D’après la dernière édition du « Data Security Confidence Index » publié en juillet par Gemalto, 65 % des organisations interrogées estiment ne pas être capables d’analyser ou de classer l’ensemble de leurs données clients. Seules 54 % savent où sont stockées les plus sensibles.
Deux mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en Europe, être en mesure de localiser ses données n’est plus une option ; les entreprises doivent impérativement savoir exactement quelles informations ont besoin d’être protégées afin de définir les priorités stratégiques et budgétaires. Pour Pierre-Louis Lussan, Country Manager France, chez Netwrix, la classification des données est le point de départ indispensable car elle fournit aux équipes IT une base stratégique de protection solide, leur permettant d’identifier les zones à risques à l’intérieur du réseau, sur site ou dans le cloud. « On ne peut pas sécuriser correctement ce que l’on ne comprend pas et ce que l’on ne voit pas. De ce fait, les entreprises qui ignorent encore quelles sont leurs données sensibles et leur emplacement courent de gros risques, face aux pirates informatiques qui attendent patiemment ce type de manquements pour agir. C’est pourquoi, les entreprises doivent organiser leurs données par catégories prédéfinies pour être moins vulnérables et plus efficaces, et ceci pour toute l'organisation. Cela contribue à la gestion des risques, aux enquêtes juridiques et aux processus de conformité. Dans ce contexte, la connaissance des données sensibles stockées dans les systèmes, leur emplacement, les personnes qui peuvent y accéder, les modifier et les effacer, ou encore la manière dont toute fuite, destruction ou modification inappropriée de ces données peut potentiellement affecter l’entreprise, est indispensable. Cependant, aucun système de classification n’est unique. Il est donc important d’établir des règles en amont et de les partager avec l’ensemble des employés qui manipulent des données sensibles quotidiennement. Tout d’abord, il convient de définir les raisons de cette hiérarchisation, les catégories nécessaires et les attentes de l’entreprise qui a mis ce système en place. Il faut ensuite anticiper l’impact de ces nouveaux processus sur la productivité des employés, et la manière dont cela va s’inscrire dans leurs tâches quotidiennes. Par conséquent, des responsables doivent être nommés et leur rôle clairement défini, avec les instructions spécifiques sur la gestion de ces informations. En outre, la mise en place d’un outil de découverte des données (data discovery) permet de ne pas laisser d’information sans protection suffisante. Il est d’ailleurs possible de qualifier chaque donnée critique – de façon manuelle ou automatisée – pour renforcer l’application des politiques de classement. Il n'existe pas de "bonne" méthode pour concevoir son modèle de classification et définir des catégories. Par exemple, les agences gouvernementales américaines déterminent souvent trois types de données : Publiques, Secrètes et Top Secrètes. De son côté, l’OTAN a utilisé un classement à cinq niveaux. Pour une entreprise lambda, une organisation sur trois niveaux de sécurité constituerait un bon point de départ et lui permettrait de définir un modèle de classification initial, et d’ajouter des niveaux plus granulaires basés sur le contenu des données, la pertinence par rapport aux normes à respecter ou encore aux spécificités métier. La classification des données n’est pas une baguette magique qui sécurise les données ou assure la conformité aux exigences réglementaires par elle-même. Toutefois, à l’heure du RGPD et des cyberattaques multiples qui peuvent toucher les entreprises à tout moment, ces dernières ne peuvent pas se permettre d’ignorer où se trouvent leurs données sensibles. Un système de hiérarchisation les aiderait ainsi à améliorer leur stratégie de sécurité en concentrant leur attention, leur main-d'œuvre et leurs ressources financières sur les éléments les plus critiques. Une fois les risques classés par niveaux, elles bénéficient à la fois d’une meilleure compréhension et d’une plus grande visibilité qui garantissent une sécurisation appropriée des données et une conformité continue, avec les réglementations en vigueur. » Pierre-Louis Lussan, Country Manager France, chez Netwrix |