Connect with us

Technologie

Classification des données : qu’est-ce que c’est et pourquoi vous en avez besoin

Published

on


Les DSI et les directeurs informatiques travaillant sur tout projet impliquant des données de quelque manière que ce soit ont toujours plus de chances de réussir lorsque l’organisation a une vision claire des données qu’elle détient.

De plus en plus, les organisations utilisent classification des données pour suivre l’information en fonction de sa sensibilité et de sa confidentialité, ainsi que de son importance pour l’entreprise.

Les données qui sont essentielles aux opérations ou qui doivent être protégées, telles que les dossiers clients ou la propriété intellectuelle, sont plus susceptibles d’être chiffrées, d’avoir des contrôles d’accès appliqués et d’être hébergées sur les systèmes de stockage les plus robustes avec les niveaux de redondance les plus élevés.

AWS, par exemple, définit la classification des données comme « un moyen de catégoriser les données organisationnelles en fonction de leur criticité et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de rétention appropriés ».

Cependant, les mesures de protection des données peuvent être coûteuses, en termes de trésorerie et potentiellement pour rendre les flux de travail plus complexes. Toutes les données ne sont pas égales, et peu d’entreprises ont des budgets informatiques sans fond en matière de protection des données.

Mais une politique claire de classification des données devrait assurer la conformité et optimiser les coûts – et il peut également aider les organisations à utiliser plus efficacement leurs données.

À quoi sert la classification des données?

Les politiques de classification des données sont l’un des couteaux suisses de la boîte à outils informatique.

Les organisations utilisent leurs politiques dans le cadre de leur planification de la continuité des activités et de la reprise après sinistre, y compris la définition des priorités en matière de sauvegarde.

Ils les utilisent pour assurer la conformité avec réglementations telles que le RGPD, PCI-DSS et HIIPA.

Ces politiques sont fondamentales pour une sécurité efficace des données, définissant des règles pour le cryptage, l’accès aux données et même qui peut modifier ou supprimer des informations.

Les politiques de classification des données sont également un élément clé du contrôle des coûts informatiques, grâce à la planification et à l’optimisation du stockage. Ceci est de plus en plus important, car les organisations stockent leurs données dans le cloud public avec ses modèles de tarification basés sur la consommation.

Mais il est également essentiel de faire correspondre les bonnes technologies de stockage aux bonnes données, du stockage flash haute performance pour les bases de données transactionnelles aux bandes pour l’archivage à long terme. Sans cela, les entreprises ne peuvent pas faire correspondre les performances de stockage, les coûts de calcul et de mise en réseau associés à la criticité des données.

En fait, alors que les organisations cherchent à tirer plus de valeur de leurs informations, la classification des données a un autre rôle : aider à développer des capacités d’exploration et d’analyse des données.

« Le sujet de la gestion des données a pris de l’importance parmi les équipes de direction de nombreuses organisations au cours des dernières années », explique Alastair McAulay, expert en stratégie informatique chez PA Consulting.

« Il y a deux grands moteurs pour cela. Le premier moteur est positif, où les organisations sont désireuses de maximiser la valeur de leurs données, de les libérer des systèmes individuels et de les placer là où elles peuvent être accessibles par des outils d’analyse pour créer des informations, améliorer les performances des entreprises.

« Le deuxième facteur est négatif, où les organisations découvrent à quel point leurs données sont précieuses pour les autres parties. »

Les organisations doivent protéger leurs données, non seulement contre l’exfiltration par des pirates malveillants, mais aussi contre les attaques de ransomware, le vol de propriété intellectuelle et même l’utilisation abusive des données par des tiers de confiance. Comme le met en garde McAulay, les entreprises ne peuvent pas contrôler cela à moins de disposer d’un système robuste d’étiquetage et de suivi des données.

Que prennent en compte les politiques de classification des données ?

Les politiques efficaces de classification des données commencent par les trois principes de base de la gestion des données :

  • Confidentialité.
  • Intégrité.
  • Accès.

Ce »Modèle cia» ou la triade est le plus souvent associée à la sécurité des données, mais c’est aussi un point de départ utile pour la classification des données.

La confidentialité couvre la sécurité et les contrôles d’accès – en veillant à ce que seules les bonnes personnes voient les données – et des mesures telles que la prévention de la perte de données.

L’intégrité garantit que les données peuvent être fiables tout au long de leur cycle de vie. Cela inclut les sauvegardes, les copies secondaires et les volumes dérivés des données d’origine, par exemple par une application d’aide à la décision.

La disponibilité comprend des mesures matérielles et logicielles telles que la continuité des activités, la sauvegarde et la restauration, ainsi que la disponibilité du système et même la facilité d’accès aux données pour les utilisateurs autorisés.

Les DSI et les directeurs des données voudront ensuite étendre ces principes de la CIA pour répondre aux besoins spécifiques de leurs organisations et tles données qu’ils détiennent.

Cela inclura des informations plus détaillées sur qui devrait être en mesure d’afficher ou de modifier les données, en étendant les applications qui peuvent y accéder, par exemple via des interfaces de programmation d’applications (API). Mais la classification des données déterminera également combien de temps les données doivent être conservées, où elles doivent être stockées, en termes de systèmes de stockage, à quelle fréquence elles doivent être sauvegardées et quand elles doivent être archivées.

« Une bonne politique de sauvegarde des données peut très bien s’appuyer sur une carte des données afin que toutes les données utilisées par l’organisation soient localisées et identifiées et donc incluses dans le processus de sauvegarde pertinent », explique Stephen Young, directeur chez assureStor, fournisseur de protection des données. « En cas de catastrophe, tout ne peut pas être restauré en même temps. »

Quels sont les éléments clés d’une politique de classification des données?

L’un des exemples les plus évidents de classification des données est celui où les organisations détiennent des informations gouvernementales sensibles. Ces données auront des marquages de protection – au Royaume-Uni, cela va de « officiel » à « top secret » – qui peuvent être suivis par des outils de gestion et de protection des données.

Les entreprises peuvent vouloir imiter cela en créant leurs propres classifications, par exemple en séparant les données financières ou de santé qui doivent être conformes aux réglementations spécifiques de l’industrie.

Ou les entreprises pourraient vouloir créer des niveaux de données en fonction de leur confidentialité, autour de la R&D ou des transactions financières, ou de leur importance pour les systèmes et les processus métier critiques. À moins que les organisations n’aient mis en place la politique de classification, elles ne seront pas en mesure de créer des règles pour traiter les données de la manière la plus appropriée.

Une bonne politique de classification des données « ouvre la voie à des améliorations de l’efficacité, de la qualité du service et d’une plus grande fidélisation de la clientèle » si elle est utilisée efficacement, explique Fredrik Forslund, vice-président international de la société de protection des données Blancco.

Une politique robuste aide également les organisations à déployer des outils qui éliminent une grande partie des frais généraux liés à la gestion et à la conformité du cycle de vie des données. Amazon Macie, par exemple, utilise l’apprentissage automatique et la correspondance de modèles pour analyser les magasins de données à la recherche d’informations sensibles. Entre-temps Microsoft dispose d’un ensemble de plus en plus complet d’outils d’étiquetage et de classification dans Azure et Microsoft 365.

Cependant, en ce qui concerne la classification des données, les outils ne sont aussi bons que les politiques qui les animent. Avec la sensibilité croissante des conseils d’administration aux données et aux risques liés à l’informatique, les organisations devraient examiner les risques associés aux données qu’elles détiennent, y compris les risques posés par les fuites de données, le vol ou les ransomwares.

Ces risques ne sont pas statiques. Ils évolueront au fil du temps. Par conséquent, les politiques de classification des données doivent également être flexibles. Mais une politique bien conçue aidera à la conformité et aux coûts.

Quels sont les avantages de la classification des données?

Il est impossible d’éviter que la création d’une politique de classification des données puisse prendre beaucoup de temps et nécessite une expertise technique dans des domaines tels que la sécurité informatique, la gestion du stockage et la continuité des activités. Il a également besoin de l’apport de l’entreprise pour classer les données et assurer la conformité légale et réglementaire.

Mais, comme le disent les experts travaillant dans le domaine, une politique est nécessaire pour assurer la sécurité et contrôler les coûts, et pour permettre une utilisation plus efficace des données dans la planification et la gestion des activités.

« La classification des données aide les organisations à réduire les risques et à améliorer la conformité globale et la posture de sécurité », explique Stefan Voss, vice-président de la société d’outils de gestion informatique N-able. « Cela contribue également à la maîtrise des coûts et à la rentabilité grâce à la réduction des coûts de stockage et à une plus grande transparence de la facturation. »

En outre, la classification des données est la pierre angulaire d’autres politiques, telles que la gestion du cycle de vie des données. Et il aide les responsables informatiques à créer des objectifs de temps de récupération (RTO) et des objectifs de point de récupération (RPO) efficaces pour leurs plans de sauvegarde et de reprise après sinistre.

En fin de compte, les organisations ne peuvent être efficaces dans la gestion de leurs données que si elles savent ce qu’elles ont et où elles se trouvent. Comme le dit McAulay de PA Consulting : « Les outils ne seront jamais aussi efficaces que la classification des données qui les sous-tend. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance