Classifier ses données, un impératif !

Tout le monde connait les termes Top Secret ou Confidentiel Défense. Si les états et en particulier l’armée ont depuis des temps immémoriaux classifier leurs données pour des questions évidentes de défense de leurs territoires, il n’en est pas de même des autres organisations publiques ou privées. Certains modèles sont intéressants d’un point de vue intellectuel, comme celui décrit dans le FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems), le standard de classification des informations fédérales américaines, mais complexes à mettre en œuvre et pas forcément adaptés au cloud. Une bonne pratique simple et efficace consiste à se poser la question de la classification en termes de risques pour l’entreprise : faible, modéré, élevé, et donc de dommages potentiels en cas de divulgation de ces informations.

Comme dans les exemples donnés précédemment, une information diffusée légalement dans le public est à risque faible, voire nul, un document concernant le procédé de fabrication d’un produit de l’entreprise peut comporter un risque modéré, alors que les documents décrivant en détail le futur produit révolutionnaire peuvent comporter un risque élevé pour le futur de l’entreprise.

Un peu de vocabulaire

Il convient donc de définir le vocabulaire définissant la classe dans lequel se trouve le document en fonction du risque qu’il fait porter à l’organisation.

Risque Terminologies 1 Terminologies 2 Terminologies 3
Faible Public Illimité Non protégé
Modéré Restreint Limité à l’interne Interne
Élevé Confidentiel Secret Restreint

Exemples de terminologies de classification

Il existe des classifications à quatre ou cinq niveaux. Cependant, la complexité de la classification est inversement proportionnelle à son utilisation. Il est infiniment préférable d’avoir un système simple et utile.

Classifier risques et effets

L’avantage de la classification du risque en trois niveaux : faible, modéré et élevé, est qu’il est compris par l’ensemble des collaborateurs de l’organisation. En voici la définition du FIPS 199

  • Faible : on peut d’attendre à ce que la perte de confidentialité, d’intégrité ou de disponibilité ait un effet négatif limité sur les opérations ou les actifs de l’organisation, ou les individus.
  • Modéré : on peut d’attendre à ce que la perte de confidentialité, d’intégrité ou de disponibilité ait un effet négatif sérieux sur les opérations ou les actifs de l’organisation, ou les individus.
  • Élevé : on peut d’attendre à ce que la perte de confidentialité, d’intégrité ou de disponibilité ait un effet négatif catastrophique sur les opérations ou les actifs de l’organisation, ou les individus.

Le FIPS 199 définit alors les effets limités, sérieux et catastrophiques :

  • Limité : les capacités de la mission de l’organisation sont réduites mais elle peut continuer à effectuer ses opérations ; les dommages sur les actifs sont mineurs ; les pertes financières sont mineures ; les blessures corporelles sont mineures (ce dernier point s’applique dans un contexte militaire, rarement d’entreprise).
  • Sérieux : les capacités de la mission de l’organisation sont réduites et ses opérations sont significativement réduites ; les dommages sur les actifs sont significatifs ; les pertes financières sont significatives ; les blessures corporelles sont significatives.
  • Catastrophiques : les capacités de la mission de l’organisation sont réduites et ses opérations sont stoppées ; les dommages sur les actifs sont importants ; les pertes financières sont importantes ; les blessures corporelles mettent la vie des individus en danger.

On peut aussi définir un risque nul pour les informations disponibles librement, comme celles publiées sur un site web accessible à tout un chacun ou des messages spam reçus, qui n’ont aucune valeur. Ce risque est associé aux documents, données et applications de l’entreprises qui ne sont alors pas classifiées. Cela facilite grandement le processus de classification à postériori. En effet, on peut partir du principe que toute information qui n’a aucun impact sur les opérations ou les actifs de l’organisation n’a pas besoin d’être classifiée.

Même si les définitions peuvent évoluer d’une organisation à l’autre, on en comprend les limites et celles-ci peuvent être expliqués aux collaborateurs.

Vous trouverez plus de détails sur la classification de données et les outils qui la permettent dans mon livre Cloud Hybride, Public et Privé.

Photo par Stefan Steinbauer sur Unsplash

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fièrement propulsé par WordPress | Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :