BLOGUE – Dans un précédent article, je vous ai parlé de l’importance de classifier ses données afin d’assurer une protection adéquate de ses applications. Mais dans les organisations qui génèrent toujours plus de données, il peut paraître complexe de mettre en place un projet de classification.
La norme ISO/CEI 27002 recommande aux organisations de classer leurs informations en termes de valeur, d’exigences légales, de sensibilité ou de leur caractère critique pour l’entreprise.
Aujourd’hui, je vous propose cette entrevue avec Alexandra Truchot, chef de projet en gouvernance de la sécurité de l’information, chez LINKBYNET. Dans le passé, elle a notamment coréalisé un grand projet de deux ans de révision de la classification de l’information dans un ministère de très grande envergure. Elle se spécialise au niveau de la gestion de l’humain au regard de la sécurité de l’information.
Pourquoi classifier ses informations?
La classification est indispensable pour protéger adéquatement votre information. Elle vous permettra, par exemple, de connaître la sensibilité de vos informations pour vous guider dans le choix d’une solution infonuagique. Afin de garantir le succès de votre plan de classification, et ce, sans influer sur vos critères de choix, six étapes devraient être respectées.
La classification de l’information constitue à coup sûr un projet à long terme, cependant, celui-ci pourrait rapidement devenir fastidieux sans une certaine organisation.
Quelles sont les six étapes qui peuvent aider à classifier ses informations?
1. Connaître ses informations, c’est bien, leur assigner un détenteur, c’est encore mieux!
En plus de nommer des détenteurs pour les données, il faudrait aussi désigner un responsable technique. Comme l’information de nos jours se trouve principalement sur support informatique, il est important que chaque détenteur bénéficie de l’accompagnement d’un expert informatique sur le dossier.
2. Faites confiance au détenteur.
Ne faites pas tout à la place du détenteur, il risque de ne pas vouloir coopérer. Le détenteur doit lui-même identifier ses informations, afin qu’il se sente plus concerné. Il en est le responsable, il doit forcément les connaître mieux que quiconque.
3. Ne vous cachez pas derrière des courriels.
Il faut idéalement organiser un atelier pour chaque information ou groupe d’informations, en compagnie du détenteur et du responsable technique, afin de mieux en discerner la valeur pour l’organisation.
Il est essentiel de tenir une vraie discussion avec les responsables des informations, leur présenter leurs responsabilités et leur poser les bonnes questions. C’est alors que le détenteur et son équipe pourront adresser leurs problèmes et se rendre compte de certains enjeux liés à leurs informations.
Certains détenteurs ne savent pas à quel point l’organisation pourrait souffrir de la perte ou de la modification de leurs informations, leur méconnaissance des impacts est tout simplement liée au fait que les bonnes questions ne leur ont jamais été posées.
4. Classez avec objectivité.
En se basant sur les réponses recueillies lors de l’atelier, il faut maintenant calculer une cote afin de permettre la classification. Il est préférable d’automatiser au maximum cette étape afin d’en garantir l’objectivité. Plusieurs méthodes existent, allant du simple calcul Excel au développement d’une solution (nous n’aborderons toutefois pas le sujet dans cet article).
Il faut surtout retenir que cette cote fait office de valeur pour l’actif et devrait être associée à des exigences de sécurité (ou de contrôles). Ainsi, plus la cote est élevée, plus l’actif a de la valeur pour l’organisation, il faut donc mettre en place des contrôles pour diminuer le risque. Les contrôles ne sont pas à réinventer à chaque fois mais sont liés à chaque classe d’information.
5. Sachez bien accompagner les équipes techniques.
Après avoir pris connaissance des résultats, les détenteurs doivent veiller à la mise en œuvre des contrôles de sécurité (ou mesures) par les équipes techniques. Le travail leur sera ainsi facilité si les exigences sont normalisées dans l’organisation, notamment, en habituant les équipes techniques à suivre une grille fixe de contrôles à mettre en place, associée à chaque classe d’information. L’élaboration d’un tel processus engendrera une réduction des coûts et une augmentation de la productivité.
6. La classification : une boucle d’amélioration continue.
Pour « boucler la boucle », il est essentiel de mettre en place un audit régulier pour s’assurer du respect de la classification et des exigences qui en découlent. Cette classification doit être révisée de façon récurrente pour vérifier qu’elle prend toujours en compte la réalité de chaque métier de l’organisation.
En conclusion que doit-on retenir pour la réalisation d’une classification optimale?
Selon moi, le plus important pour se lancer dans un grand programme de classification est de sensibiliser tout d’abord l’ensemble des employés de l’organisation, qui seront forcément touchés. Il faut bien sûr sensibiliser le détenteur qui est au cœur de l’activité, mais aussi tous les membres de l’organisation qui auront à manipuler l’information au quotidien. Il est important qu’ils comprennent tous les enjeux liés à chaque classe, car sans leur adhésion, le plan de classification ne restera qu’une belle idée sur papier.
Lire aussi :
Cinq bonnes pratiques pour protéger son application web
Avez-vous défini les critères de sécurité de vos applications web?