Cependant, une nouvelle étude portant sur plus de 700 employés à temps plein révèle que 48 % des employés ont accès à plus de données de l'entreprise qu'ils n'en ont besoin pour exécuter leur travail, tandis que 12 % des employés déclarent avoir accès à toutes les données de l'entreprise.
« Tandis que les entreprises font face à des volumes croissants d'informations sensibles, les risques liés à la sécurité des données augmentent pour les entreprises de toutes tailles. C'est pourquoi les résultats de notre enquête sont si alarmants », déclare Zach Capers, analyste de contenu senior chez GetApp. « Vous pouvez avoir une confiance totale en vos employés, mais des erreurs se produisent et votre entreprise se retrouve entrain de perdre des millions de dollars de revenus et une atteinte à sa réputation. Une classification stricte des données, associée à une formation approfondie des employés sur les dangers des mauvaises pratiques dans votre entreprise, serait une bonne idée ».
Pourquoi une politique de classification des données est-elle importante ?
Les stratégies de classification des données permettent de distinguer les informations de niveaux de sensibilité variables, vous permettant ainsi d'identifier et d'investir dans la sécurisation des informations les plus sensibles. Parmi les raisons d'avoir une politique de classification des données, nous pouvons citer :
- l’aide à l’organisation et au suivi des données critiques de l'entreprise : 80 % des entreprises ne savent pas où se trouvent leurs données sensibles et comment elles transitent sur le réseau. Avec une stratégie de classification des données, vous pouvez attribuer aux employés la responsabilité de sa protection. Il vous aide également à planifier des actions pour contenir les fuites de données potentielles ;
- la prise en charge de l'utilisation optimale des ressources et la réduction des coûts : l’application des contrôles de données nécessite de consacrer du temps et de l'argent à des outils tels que la gestion des identités et des accès (IAM) et la prévention des pertes de données (DLP). En déterminant la criticité de différents types de données, vous pouvez mieux vous concentrer sur les données qui doivent être protégées à tout prix sans gaspiller vos ressources en données non ou moins critiques ;
- la prise de conscience par les employés de l’intérêt de la sécurité des données : grâce à une stratégie de classification des données accessible aux employés, ils sont conscients de la manière dont ils gèrent les données de l'entreprise. Les employés ont tendance à faire des choix plus sûrs lorsqu'ils stockent ou transmettent des données lorsqu'ils se rendent compte qu'ils travaillent sur des informations sensibles ;
- facilite le respect des mandats réglementaires : les cadres réglementaires tels que HIPAA, PCI et GDPR permettent aux entreprises de protéger les données sensibles telles que les dossiers médicaux, les données de paiement ou les informations personnelles identifiables (PII). Les entreprises doivent veiller à classer ces données comme confidentielles ou à diffusion restreinte afin d'éviter qu'elles ne soient divulguées sans autorisation ou stockées ou transmises par des voies non cryptées.
Quelques étapes pour construire une politique de classification des données
1. Connectez-vous avec la direction de l'entreprise
Les dirigeants d’entreprise et les responsables à tous les niveaux connaissent mieux les différents types de données qu’ils gèrent. Ils peuvent également suivre des stratégies de données non écrites qui déterminent qui peut accéder ou modifier différentes informations.
La connexion avec les différentes équipes permet également d'identifier les données héritées dupliquées et non classifiées, de prendre en compte différents contextes métier et de créer une stratégie de classification unifiée des données.
2. Identifier les risques réglementaires et juridiques
Certains types d'informations (telles que les informations de paiement des clients et les numéros d'identification gouvernementaux) sont considérés comme plus sensibles par les organismes de réglementation et doivent être hautement sécurisés. Par exemple, le GDPR considère les données génétiques ou biométriques, le statut ethnique ou racial d'une personne et les données sur son état de santé comme des données personnelles sensibles. Toute exposition non autorisée ou violation de données personnelles sensibles est sanctionnée par une amende par l'organisme de réglementation. Vous devez identifier ces informations sensibles et vous assurer qu'elles sont correctement protégées à l'aide de méthodes d'authentification et de chiffrement renforcées.
3. Définir les niveaux de données et les politiques en fonction des risques de l'entreprise
Définissez les niveaux de classification de vos données en fonction de la valeur des différents types de données et du risque commercial que leur exposition peut entraîner. Certaines des questions clés à poser pour déterminer la valeur ou le risque de vos données sont les suivantes :
- Criticité : quelle est l’importance des données pour les opérations quotidiennes et la continuité des opérations ?
- Disponibilité : un accès rapide et fiable aux données, est-il important pour votre entreprise ?
- Sensibilité : quel est l'impact potentiel sur l'entreprise si les données sont compromises ?
- Intégrité : à quel point est-il important de veiller à ce que les données ne soient pas altérées pendant le stockage ou le transit ?
- Caractère durable : pendant combien de temps devez-vous conserver les données conformément aux exigences réglementaires ou aux normes de l'industrie ?
Sur la base des paramètres ci-dessus, si vous trouvez que le type de données a un risque élevé pour la valeur ou le commerce, il est important de le classer comme sensible.
4. Opérationnaliser votre politique de classification des données
Voici quelques moyens de mettre en œuvre votre stratégie de classification des données dans l’entreprise.
- formez les employés sur la nécessité de classer les données pour améliorer la confidentialité et la sécurité : sensibilisez votre public à votre politique et mettez les documents à la disposition de tous vos employés. Planifiez des sessions de formation qui leur apprennent à faire la distinction entre les différentes données qu’elles utilisent et les règles applicables à chaque type. Un autre moyen de promouvoir votre initiative de classification des données consiste à reconnaître ou récompenser les employés qui aident à identifier les violations ou les divergences dans votre politique de protection des données ;
- intégrez les niveaux de classification des données dans les flux de contrôle métier pour alléger le fardeau des employés : utilisez des stratégies telles que les filigranes, le balisage et l'étiquetage automatisé des données ou l'accès restreint aux données sensibles pour appliquer votre stratégie de classification. Cela aide les utilisateurs à moins identifier la catégorie à laquelle appartiennent les données et comment l’utiliser.
Étiquettes de sensibilité dans Microsoft Word
Stratégies d'accès aux données pour minimiser les risques
Les stratégies technologiques suivantes vous aideront à améliorer votre sécurité globale et à empêcher les employés de révéler par inadvertance des secrets commerciaux.
- utilisez la segmentation du réseau : la stratégie de segmentation du réseau sépare les réseaux contenant différents types de données et empêche les hôtes de communiquer inutilement. De cette manière, un pirate informatique ayant accès à un appareil compromis sur un réseau ne peut pas accéder aux données sensibles hébergées sur un autre ;
- réduisez les comptes d’administrateur privilégiés : ne donnez qu’à quelques employés de confiance dotés des droits d’administrateur pour afficher, modifier ou supprimer des fichiers d’entreprise confidentiels. Surveillez attentivement ces comptes privilégiés pour vérifier s’ils sont mal utilisés, exploités ou soumis à des attaques de logiciels malveillants ;
- limitez le partage : les solutions de sécurité Endpoint peuvent garantir qu'un document étiqueté comme sensible n'est pas copié vers des applications Web tierces ou des périphériques de stockage amovibles tels que des clés USB. Vous pouvez également configurer vos options de sécurité de messagerie pour empêcher les employés d'envoyer des données d'entreprise à des comptes personnels ;
- amélioration des contrôles d'accès : appliquez des contrôles d'accès stricts, tels que l'authentification multifactorielle et la biométrie, pour accéder aux données confidentielles ou restreintes. Utilisez un courtier de sécurité d’accès au cloud (CASB) pour empêcher l’exfiltration de données vers des services de cloud non autorisés. Activez les restrictions d'accès au réseau pour fermer les ports inutiles ;
- chiffrez les données confidentielles : utilisez des outils de cryptage pour masquer des données commerciales confidentielles (en transit et inactives). Cela garantit que les personnes non autorisées ne sont pas en mesure de le déchiffrer sans la clé.
Source : GetApp
Et vous ?
Qu'en pensez-vous ?
Existe-t-il une politique d’accès aux données dans votre entreprise ?
Voir aussi
Sécurité : 99 % des employés de bureau ignorent les bonnes pratiques en matière de protection des données, un risque pour eux et leur employeur
Un défaut de sécurité des données des clients de Verizon, aurait exposé des millions d'enregistrements
Facebook, Google, Microsoft et Twitter lancent un projet open source de portabilité des données, pour des transferts directs entre plateformes