Classifier les données sensibles dans une application native du cloud
La première étape de la mise en œuvre de la conformité dans une application native du cloud consiste à classer les données. La classification des données consiste à identifier les données utilisées par votre application en fonction de leur sensibilité. La classification des données se fait en attribuant une étiquette à chaque type de données. Par exemple, vous pouvez qualifier le nom d'un utilisateur de « sensible » et l'âge d'un utilisateur de « non sensible ».
Dans cette unité, vous explorerez certaines des fonctions de conformité de .NET. Vous apprendrez ensuite à classifier les données dans une application native du cloud.
Qu’est-ce que la conformité ?
Les organisations doivent se conformer à leurs propres politiques internes et aux réglementations externes. Par exemple, une entreprise peut avoir une politique qui stipule que les données des clients ne peuvent pas être stockées dans un fichier journal. Un gouvernement peut également être amené à créer des réglementations pour assurer le traitement approprié des données des clients. Ces stratégies et réglementations sont souvent appelées exigences de conformité.
Les exigences de conformité sont mises en œuvre par la création d'un ensemble de règles appliquées aux applications d'une organisation. En général, une équipe de conformité est chargée de mettre en œuvre les règles de conformité et de veiller à ce qu'elles soient respectées.
Qu’est-ce que la classification des données ?
La classification des données est un terme utilisé dans le domaine de la cybersécurité et de la gouvernance de l'information. La classification des données décrit le processus d'identification, de catégorisation et de protection du contenu en fonction de sa sensibilité ou de son niveau d'impact. La classification des données protège les données de votre organisation contre la divulgation, l'altération ou la destruction non autorisée, en fonction de leur sensibilité ou de leur impact.
Votre entreprise décide de mettre en œuvre une politique de classification des données. Cette stratégie classifie les données dans deux taxonomies :
- Informations d’identification des utilisateurs finaux (EUII) : informations qui peuvent être utilisées pour identifier un individu. Par exemple, le nom, l'adresse ou le numéro de téléphone d'un utilisateur.
- Identificateurs pseudonymes de l’utilisateur final (EUPI) : informations qui peuvent être utilisées pour identifier un individu, mais uniquement si les données sont combinées avec d’autres informations. Par exemple, l'identifiant d'un utilisateur pour ses données dans une base de données, ou l'adresse IP.
Comment classifier les données dans une application native du cloud
Microsoft a ajouté une nouvelle extension à .NET qui facilite la mise en œuvre de la classification des données. L’extension Microsoft.Extensions.Compliance.Classification vous permet de définir les propriétés DataClassification et DataClassificationAttribute.
Pour utiliser l’extension dans votre solution, ajoutez le package NuGet Microsoft.Extensions.Compliance.Redaction à votre projet.
Par exemple, le code pour créer les taxonomies ci-dessus pourrait ressembler à ceci :
using Microsoft.Extensions.Compliance.DataClassification;
public static DataClassification EUIIDataClassification {get;} = new DataClassification("EUIIDataTaxonomy", "EUIIData");
public static DataClassification EUPDataClassification {get;} = new DataClassification("EUPDataTaxonomy", "EUPData");
public class EUIIDataAttribute : DataClassificationAttribute
{
public EUIIDataAttribute() : base(DataClassifications.EUIIDataClassification) { }
}
public class EUPDataAttribute : DataClassificationAttribute
{
public EUPDataAttribute() : base(DataClassifications.EUPDataClassification) { }
}
Une fois vos taxonomies définies, vous pouvez maintenant annoter vos types de données avec l'attribut approprié. Par exemple :
public class User
{
[EUIIData]
public string Name { get; set; }
[EUIIData]
public string Address { get; set; }
[EUPData]
public string UserId { get; set; }
}
Voyons comment mettre en œuvre la classification des données dans un exemple d'application native du cloud.