Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Classification de l'information : Définition & Développement interne

Découvrez comment une migration des utilisateurs avec Okta permet de réduire les réinitialisations des mots de passe inattendues, les demandes d’assistance et les problèmes de support.

Mis à jour: 26 août 2024 Temps de lecture: ~

Sujette

IAM

Sommaire

 

Cet article a été traduit automatiquement.

 

Le terme " classification de l'information" peut sembler avoir une définition évidente - la façon dont l'information est classée dans un système. la manière dont les informations sont classées dans un système. Toutefois, ce processus présente certaines complexités, notamment en ce qui concerne la sécurité des données et les réglementations relatives à l'accès à l'information. Il est important que les administrateurs de IT et les responsables d'entreprise comprennent les règles de conformité et les réglementations, les bonnes pratiques de l'industrie et la meilleure approche de la sécurité et de l'attribution du droit d'accès au sein des organisations. La classification de l'information fait référence à la manière dont les données sont regroupées dans le système informatique d'une organisation, souvent à l'aide d'une structure de base de données. Cela signifie, par exemple, que les données du service marketing ne se mélangent pas avec celles du service des ressources humaines. Si ces fichiers sont stockés sans aucune organisation, il sera difficile de les retrouver plus tard. L'utilisation de ce type de stockage de données vous permet de restreindre l'accès à certains groupes d'informations aux seules personnes qui en ont besoin. Par exemple, vous pouvez avoir certains dossiers auxquels le responsable financier doit avoir accès, mais pas un comptable débutant. Ce type de restriction protège également les données de votre organisation contre la brèche ou le piratage.

Conformité à la norme ISO 27001

Une organisation classera les informations informatiques en fonction des personnes qui doivent y avoir accès. La plupart des systèmes utilisent quatre niveaux d'autorisation :

  1. Confidentiel : L'informatique est réservée aux cadres supérieurs.
  2. Restreint : La plupart des employés y ont accès, mais certains n'y ont pas accès.
  3. Interne : Tous les employés y ont accès ; personne de l'extérieur ne peut accéder à l'informatique.
  4. Public : Tout le monde y a accès, y compris les personnes qui ne travaillent pas avec les organisations.

Il existe souvent des sous-catégories ou des niveaux différents dans les grandes organisations, et les entreprises peuvent utiliser des noms différents pour ces niveaux d'accès. Organizations qui prennent au sérieux l'accès aux données et leur protection utiliseront la norme de système de gestion de l'information et de la sécurité (ISMS) système de gestion de l'information et de la sécurité (SGIS), la norme ISO 27001 Compliancepour leurs bases de données.

Ce site international standard est recommandé par les organismes de réglementation dans le monde entier comme la bonne pratique pour protéger les données numériques au sein des organisations. La norme ISO/IEC 20071:2013, généralement appelée simplement ISO27001, spécifie comment les SMSI doivent être gérés. La dernière version de ce site standard a été publiée en septembre 2013, mettant à jour les orientations de 2005.

ISO 27001:2013 étapes

La norme ISO 27001 comporte 10 clauses relatives au système de gestion pour support implémentation d'un SMSI. Ces derniers sont les suivants :

  1. périmètre des données requises 
  2. Références normatives
  3. Termes et définitions
  4. Contexte
  5. Leadership 
  6. Planification et gestion des risques
  7. Support
  8. Exploitation
  9. Évaluation des performances
  10. Amélioration

La mise en œuvre d'un SGSI conforme à la norme ISO 27001 comprend les éléments suivants : 

  • périmètre des données requises le projetLe projet a pour but d'améliorer la qualité de l'enseignement et de la formation, ce qui implique d'auditer les systèmes et d'identifier les problèmes qui doivent être résolus.
  • Obtenir l'engagement de la direction, ainsi que le budget nécessaire à la mise en œuvre de la nouvelle norme.
  • Identifier les parties intéressées et les exigences contractuelles, en particulier les normes juridiques et réglementaires.
  • Effectuer une évaluation des risques.
  • Examiner et mettre en œuvre les contrôles requis.
  • Développer les compétences internes pour gérer ce projet, ce qui peut nécessiter une formation spécifique, la recherche d'un prestataire ou l'embauche d'un nouveau personnel.
  • Documenter chaque étape et la manière de gérer le système.
  • Organiser des formations de sensibilisation du personnel.
  • des informations sur les rapports, en particulier pour aider à évaluer le plan d'évaluation des risques.
  • mettre en œuvre un contrôle, une mesure et un audit continus du SMSI afin d'en garantir la conformité.
  • Mettre en œuvre toutes les mesures préventives et correctives nécessaires.

Conformité à la clause de classification des informations A8.2

pour la classification des informations figure dans la clause A8.2 de la norme ISO 27001.. Le site standard comprend les étapes suivantes pour se mettre en conformité : 

  • Inscrivez vos biens dans un inventaire. Rassemblez toutes vos informations dans un inventaire ou un registre des actifs. Il doit s'agir d'un nouvel inventaire, qui n'utilise pas la version précédente. Lorsque vous saisissez ces actifs, notez qui est le propriétaire ou le responsable de chaque actif et sous quel format il se présente, y compris les copies papier et les supports d'impression.
  • Classer. Une fois que vous avez rassemblé toutes les informations, commencez à classer les technologies de l'information. Cela peut impliquer des lignes directrices de la part de l'encadrement supérieur sur la base de l'évaluation des risques. Par exemple, les informations présentant des risques plus importants requièrent généralement un niveau de confidentialité plus élevé, mais il peut y avoir des exceptions.
  • Étiquette. Une fois les informations classées, vous devez créer un système d'étiquetage. Cette procédure doit être claire et cohérente, même si les normes applicables aux documents numériques peuvent être différentes de celles applicables aux copies papier. Il pourrait être important de veiller à ce qu'il y ait des références croisées.
  • Créez des règles de traitement. Une fois l'étiquetage terminé, établissez des règles pour protéger chaque information en fonction du format et de la classification. Les documents sensibles peuvent faire l'objet de restrictions d'accès strictes, tandis que les vieux dossiers papier peuvent être stockés dans un classeur non fermé à clé, car il s'agit d'informations publiques.

Pourquoi la conformité de la classification des informations est-elle importante ?

Il est plus important que jamais de sécuriser vos données contre la brèche et d'autres cybermenaces. De plus en plus d'employés travaillent à domicile et accèdent à leurs données à distance à partir de plusieurs terminaux. Il est donc essentiel de savoir où se trouvent les données et qui doit avoir accès aux technologies de l'information pour que votre organisation soit protégée contre les menaces. Une fois qu'une structure de base de données a été mise en place avec des autorisations spécifiques et que le système a été correctement documenté pour que tous les membres de l'organisation puissent y accéder et comprendre le processus, vous pouvez surveiller l'accès pour détecter les brèches potentielles, trouver les points faibles qui pourraient devenir des brèches et mettre en œuvre des mesures de sécurité pour préserver la sécurité des données. Le respect des lignes directrices de la norme ISO 27001 facilite également la mise en œuvre d'autres normes de sécurité fondées sur des réglementations gouvernementales ou des lignes directrices sectorielles. Certains de ces règlements peuvent inclure les éléments suivants : 

  • Conformité HIPAA pour les organismes de soins de santé
  • Conformité GDPR pour les données à caractère personnel des citoyens de l'Union européenne
  • la conformité PCI, qui permet de classer la sensibilité des données
  • Conformité SOC 2 pour les organisations de services qui conservent des informations confidentielles

Le stockage en nuage solutions est bon marché et de nombreuses organisations adoptent ce type de stockage de données pour répondre à leurs besoins internes. Cependant, le stockage en nuage signifie que vos informations sont séquestrées sur un serveur avec celles d'autres personnes. Il est donc d'autant plus important de développer des systèmes de classification des informations solides pour surveiller les menaces potentielles à la sécurité.

Références

Classification de l'information - Pourquoi l'informatique est-elle importante ? Université PECB.

Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences. (octobre 2013). ISO.

ISO 27001, la norme internationale de sécurité de l'information. ITGovernance.co.uk.

ISO/IEC 27001:2013(en). (octobre 2013). ISO.

Comment documenter le périmètre des données requises de votre SMSI ISO 27001 - Avec modèle. (décembre 2019), ITGovernance.co.uk.

Qu'est-ce que la classification des informations ISO 27001 ? (février 2019). ITGovernance.co.uk.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter