Accueil Nos publications Blog Data classification & prévention des pertes de données (DLP)
Cybersécurité

Date de publication19/09/2024

6 min

Data classification & prévention des pertes de données (DLP)

Sommaire

  1. Introduction
  2. Quand faut-il envisager une solution DLP ?
  3. Qu’est-ce que la classification des données ?
  4. Quel est l’objectif de la classification des données ?
  5. Les types de classification des données
  6. Conclusion

Introduction

« Digital Guardian », leader dans le Gartner Magic Quadrant, définit la DLP : « La prévention de la perte de données (DLP) est un ensemble d’outils et de processus utilisés pour s’assurer que les données sensibles ne sont pas perdues, mal utilisées ou accédées par des utilisateurs non autorisés. Les logiciels de DLP classifient les données réglementées, confidentielles et critiques pour l’entreprise et identifient les infractions des politiques définies par les organisations ou au sein d’un ensemble de politiques prédéfinies, généralement liées à la conformité réglementaire telle que HIPAA, PCI-DSS, ou GDPR”.

Après avoir identifié les infractions, le logiciel de DLP prend des mesures de protection telles que l’envoi d’alertes ou le chiffrement des données afin d’empêcher l’utilisateur final de partager par erreur des données susceptibles qui peuvent entraîner des risques pour la sécurité de l’organisation. En outre, les solutions de DLP surveillent et contrôlent également les activités des terminaux (Endpoints) ainsi que les données dans le cloud afin de protéger les données quel que soit leur état : en ‘rest’, en ‘Transit’ ou même en cours d’utilisation. L’une des caractéristiques les plus importantes des solutions DLP est qu’elles permettent de répondre aux exigences en matière d’audit et d’identifier des anomalies pour les besoins forensique.

Quand faut-il envisager une solution DLP (data loss prevention) ?

  • Vous ne savez pas où sont stockées les données confidentielles de votre entreprise, où elles sont envoyées et qui y accède.
  • Votre entreprise ne dispose pas de plans de protection contre le vol et la divulgation accidentelle d’informations sensibles en interne par des employés et des partenaires.
  • Vous êtes préoccupé par votre prochain audit et souhaitez rester en conformité avec les réglementations.
  • Vous voulez protéger vos données contre les menaces de sécurité causées par le BYOD et l’IoT.
  • Vous souhaitez surveiller les actions de votre organisation qui peuvent représenter un risque important pour la sécurité des données et qui sont causées par des personnes internes, tout en conservant les événements de sécurité comme preuve de leurs actions.
  • Vous avez une incertitude du niveau de protection de votre organisation pour les données confidentielles dans les applications cloud et stockage cloud.
  • Votre organisation doit mettre fin à l’utilisation inappropriée des données des terminaux sur le réseau de l’entreprise et en dehors de celui-ci.

Qu’est-ce que la classification des données (data classification) ?

Définition : « La classification des données (data classification) est le processus d’organisation des données en catégories qui facilitent leur extraction, leur tri et leur stockage pour une utilisation dans le futur ».

La data classification est importante pour les organisations, car elle les aide à gérer les risques et les questions de conformité. Si les données sont triées, l’organisation peut prendre de meilleures décisions en se concentrant sur la sécurisation des données importantes. Des procédures et des guidelines sont généralement définies dans la politique de data classification où les entreprises définissent les catégories/critères qu’elles souhaitent mettre en œuvre pour la classification de leurs données. En outre, la politique de data classification doit spécifier les rôles et les responsabilités des employés en ce qui concerne les différentes catégories de données classifiées. Après la création d’un système de data classification, des normes de sécurité sont convenues pour gérer les pratiques de chaque catégorie. Des normes de stockage sont également créées pour définir les exigences relatives au cycle de vie des données.

Quel est l’objectif de la classification des données (data classification) ?

En plus de faciliter la recherche et l’extraction des données, un système de classification des données bien conçu facilite la manipulation et le suivi des données importantes. Certaines données qui transitent par les canaux d’une organisation n’ont pas besoin d’être classifiées et il est préférable de les détruire. C’est pourquoi il est important de savoir quelles sources de données doivent faire l’objet d’une classification et lesquelles n’en ont pas besoin lors de la mise en place du système de classification des données. C’est aux experts en métadonnées de créer un cadre qui spécifie la manière de les organiser. C’est leur responsabilité d’attribuer des métadonnées ou des tags aux données afin que les machines et les solutions puissent les classer dans différentes catégories.

En plus de faciliter la recherche et l’extraction des données, un système de classification des données bien conçu facilite la manipulation et le suivi des données importantes. Certaines données qui transitent par les canaux d’une organisation n’ont pas besoin d’être classifiées et il est préférable de les détruire. C’est pourquoi il est important de savoir quelles sources de données doivent faire l’objet d’une classification et lesquelles n’en ont pas besoin lors de la mise en place du système de classification des données. C’est aux experts en métadonnées de créer un cadre qui spécifie la manière de les organiser. C’est leur responsabilité d’attribuer des métadonnées ou des tags aux données afin que les machines et les solutions puissent les classer dans différentes catégories.

Les types de classification des données :

Il existe donc plusieurs catégories standards de data classification qu’on liste ci-dessous (N.B. : certaines de ces catégories peuvent faire l’objet de lois ou règlements sur la manière dont elles doivent être traitées) :

  • Information publique : Peuvent être importantes mais sont accessibles au public. Étant donné que ces données sont ouvertement partagées, il s’agit du niveau le plus bas de classification des données
  • Informations confidentielles : Il s’agit d’informations importantes telles que des données classifiées par le gouvernement
  • Informations sensibles : Il s’agit de toute information stockée ou traitée par les institutions de l’État qui comporte des exigences d’autorisation et d’autres règles relatives à son utilisation. Cela peut également concerner des informations sur la santé des patients qui nécessitent des restrictions légales et doivent être traitées avec le plus grand soin
  • Informations personnelles : Les informations personnelles des citoyens sont considérées comme protégées par la loi et doivent être traitées conformément à certains protocoles et règles pour une utilisation appropriée. Dans certains cas, il existe des écarts entre les exigences morales et les protections législatives contemporaines relatives à leur utilisation.

Les tags de data classification sont généralement attribués et définis en fonction de leur confidentialité, de leur type de données et de leur intégrité. La divulgation à des personnes non autorisées, de données appartenant à une catégorie protégée peut être considéré comme un crime par les instances gouvernementales.

Avec les protocoles appropriés, les données protégées sont classées selon leur niveau de sensibilité :

  • Low : Contenu de sites web publics, communications de presse, matériel de marketing…
  • Medium : Emails et documents ne contenant pas de données confidentielles, contrats de fournisseurs, informations sur la gestion des services informatiques…
  • High : Données financières, propriété intellectuelle, données d’authentification, numéros de cartes de crédit, données personnelles des clients, informations de santé protégées (HIPAA), données des employés, numéros de sécurité sociale…

Il existe trois principaux types de classification des données qui sont considérés comme des normes industrielles :

  • Content-based classification : inspecte et interprète les dossiers à la recherche d’informations sensibles. Il examine le contenu des fichiers et des documents et les classifies
  • Context-based classification : regarde l’application, le lieu où le créateur parmi d’autres variables comme des indicateurs indirects d’informations sensibles pour aider la classification selon le contexte
  • User-based classification : dépend de la sélection manuelle de chaque document par l’utilisateur final. La classification basée sur l’utilisateur s’appuie sur les personnes qui travaillent avec les documents pour spécifier leur degré de sensibilité

Ces types de data classification peuvent être utilisés ou ignorés en fonction des besoins de l’organisation et du type de données. De nombreux outils peuvent être utilisés pour la classification des données, notamment les bases de données, les business intelligence software (ex : Google Data Studio, Databox et SAP Lumira) et les systèmes standard de gestion des données.

Conclusion

Lorsqu’une organisation entreprend un projet de classification des données (data classification), plusieurs étapes clés doivent être suivies pour garantir son succès.

Tout d’abord, il est essentiel d’identifier la propriété intellectuelle critique et de localiser où les données réglementées sont stockées, que ce soit sur des disques durs, des bases de données, des fichiers réseau ou des applications cloud.

Ensuite, il est important que les définitions des catégories de données restent simples pour éviter toute complication inutile. Il est impératif de protéger les données les plus sensibles et précieuses, ainsi que de préparer et former les employés de l’organisation à traiter ces données sensibles. Cela nécessite de les sensibiliser à la sécurité et de leur fournir les outils adéquats. De plus, il est crucial de respecter les lois et réglementations en matière de protection des données afin d’éviter les sanctions en cas de non-conformité. Enfin, la stratégie de classification des données doit permettre aux utilisateurs de participer au traitement adéquat de la propriété intellectuelle critique et des données réglementées au sein de l’organisation. En suivant ces étapes, les organisations peuvent garantir une gestion efficace et sécurisée de leurs données.

En conclusion, une solution de classification des données intégrée ou associée à une solution de prévention des pertes de données offre aux organisations les attributs nécessaires pour protéger leurs données contre les infractions et les fuites, tout en améliorant l’analyse et la gestion des risques liés aux données et en assurant la conformité aux réglementations en constante évolution.

Découvrir notre expertise Cybersécurité

Rédigé par :

Omar Itani

Ingénieur Cybersécurité, Néosoft

Vous souhaitez en savoir plus ? Contactez-nous !

Aller au contenu principal