
selon une étude de Getapp
Deux grands principes bien connus des spécialistes en sécurité des informations sont le principe du moindre privilège et la séparation des tâches et pouvoirs. Le principe du moindre privilège stipule que tous les employés, qu’il s’agisse des simples utilisateurs, des gestionnaires, des directeurs ou des dirigeants, ne doivent se voir attribuer que le niveau de privilège dont ils ont besoin pour accomplir leur travail, et pas plus.
Cependant, une nouvelle étude portant sur plus de 700 employés à temps plein révèle que 48 % des employés ont accès à plus de données de l'entreprise qu'ils n'en ont besoin pour exécuter leur travail, tandis que 12 % des employés déclarent avoir accès à toutes les données de l'entreprise.
« Tandis que les entreprises font face à des volumes croissants d'informations sensibles, les risques liés à la sécurité des données augmentent pour les entreprises de toutes tailles. C'est pourquoi les résultats de notre enquête sont si alarmants », déclare Zach Capers, analyste de contenu senior chez GetApp. « Vous pouvez avoir une confiance totale en vos employés, mais des erreurs se produisent et votre entreprise se retrouve entrain de perdre des millions de dollars de revenus et une atteinte à sa réputation. Une classification stricte des données, associée à une formation approfondie des employés sur les dangers des mauvaises pratiques dans votre entreprise, serait une bonne idée ».
Pourquoi une politique de classification des données est-elle importante ?
Les stratégies de classification des données permettent de distinguer les informations de niveaux de sensibilité variables, vous permettant ainsi d'identifier et d'investir dans la sécurisation des informations les plus sensibles. Parmi les raisons d'avoir une politique de classification des données, nous pouvons citer :
- l’aide à l’organisation et au suivi des données critiques de l'entreprise : 80 % des entreprises ne savent pas où se trouvent leurs données sensibles et comment elles transitent sur le réseau. Avec une stratégie de classification des données, vous pouvez attribuer aux employés la responsabilité de sa protection. Il vous aide également à planifier des actions pour contenir les fuites de données potentielles ;
- la prise en charge de l'utilisation optimale des ressources et la réduction des coûts : l’application des contrôles de données nécessite de consacrer du temps et de l'argent à des outils tels que la gestion des identités et des accès (IAM) et la prévention des pertes de données (DLP). En déterminant la criticité de différents types de données, vous pouvez mieux vous concentrer sur les données qui doivent être protégées à tout prix sans gaspiller vos ressources en données non ou moins critiques ;
- la prise de conscience par les employés de l’intérêt de la sécurité des données : grâce à une stratégie de classification des données accessible aux employés, ils sont conscients de la manière dont ils gèrent les données de l'entreprise. Les employés ont tendance à faire des choix plus sûrs lorsqu'ils stockent ou transmettent des données lorsqu'ils se rendent compte qu'ils travaillent sur des informations sensibles ;
- facilite le respect des mandats réglementaires : les cadres réglementaires tels que HIPAA, PCI et GDPR permettent aux entreprises de protéger les données sensibles telles que les dossiers médicaux, les données de paiement ou les informations personnelles identifiables (PII). Les entreprises doivent veiller à classer ces données comme confidentielles ou à diffusion restreinte afin d'éviter qu'elles ne soient divulguées sans autorisation ou stockées ou transmises par des voies non cryptées.
Quelques étapes pour construire une politique de classification des données
1. Connectez-vous avec la direction de l'entreprise
Les dirigeants d’entreprise et les responsables à tous les niveaux connaissent mieux les différents types de données qu’ils gèrent. Ils peuvent également suivre des stratégies de données non écrites qui déterminent qui peut accéder ou modifier différentes informations.
La connexion avec les différentes équipes permet également d'identifier les données héritées dupliquées et non classifiées, de prendre en compte différents contextes métier et de créer une stratégie de classification unifiée des données.
2. Identifier les risques réglementaires et juridiques
Certains types d'informations (telles que les informations de paiement des clients et les numéros d'identification gouvernementaux) sont considérés comme plus sensibles par les organismes de réglementation et doivent être hautement sécurisés. Par exemple, le GDPR considère les données génétiques ou biométriques, le statut ethnique ou racial d'une personne et les données sur son état de santé comme des données personnelles sensibles. Toute exposition non autorisée ou violation de données personnelles sensibles est sanctionnée par une amende par l'organisme de réglementation. Vous devez identifier ces informations sensibles et vous assurer qu'elles sont correctement protégées à l'aide de méthodes d'authentification et de chiffrement renforcées.
3. Définir les niveaux de données et les politiques en fonction des risques de l'entreprise
Définissez les niveaux de classification de vos données en fonction de la valeur des différents types de données et du risque commercial que leur exposition peut entraîner. Certaines des questions clés à poser pour déterminer la valeur ou le risque de vos données sont les suivantes :
- Criticité : quelle est l’importance des données pour les opérations quotidiennes et la continuité des opérations ?
- Disponibilité : un accès rapide et fiable aux données, est-il important pour votre entreprise ?
- Sensibilité : quel est l'impact potentiel sur l'entreprise si les données sont compromises ?
- Intégrité : à quel point est-il important de veiller à ce que les données ne soient pas altérées pendant le stockage ou le transit ?
- Caractère durable : pendant combien de temps devez-vous conserver les données conformément aux exigences réglementaires ou aux normes de l'industrie ?
Sur la base des paramètres ci-dessus, si vous trouvez que le type de données a un risque élevé pour la valeur ou le commerce, il est important de le classer comme sensible.
4. Opérationnaliser votre politique de classification des données
Voici quelques moyens de mettre en œuvre votre stratégie de classification des données dans l’entreprise.
- formez les employés sur la nécessité de classer les données pour améliorer la confidentialité et la sécurité : sensibilisez votre public à votre politique et mettez les documents à la disposition de tous vos employés. Planifiez des sessions de formation qui leur apprennent à faire la distinction entre les différentes données qu’elles utilisent et les règles applicables à chaque type. Un autre moyen de promouvoir votre initiative de classification des données consiste à reconnaître ou récompenser les employés qui aident à identifier les violations ou les divergences dans votre politique de protection des données ;
- intégrez les niveaux de classification des données dans les flux de contrôle métier pour alléger le fardeau des employés : utilisez des stratégies telles que les filigranes, le balisage et l'étiquetage automatisé des données ou l'accès restreint aux données sensibles pour appliquer votre stratégie de classification. Cela aide les utilisateurs à moins identifier la catégorie à laquelle appartiennent les données et comment l’utiliser.
[CENTER]
Étiquettes de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.