C’est probablement le paradoxe de la classification des données : tout le monde se sent concerné par la question mais peu s’y frottent tant un tel projet intimide. En surface, pourtant, tout parait simple : l’objectif est d’associer la bonne étiquette à la bonne information produite par l’entreprise. Mais le petit-déjeuner thématique organisé par SecurityVibes aura démontré que tout n’est pas aussi évident dans la classification des données !

La tâche se complique en effet lorsque l’on détaille un peu la question : quelle étiquette, à quelle information ? Et pour combien de temps ?

Résumons : pour classifier ses données, il faut donc disposer d’étiquettes adéquates (les niveaux de classification), mais aussi bien connaître ses données et en comprendre le cycle de vie.

Les niveaux de classification

Pour ce qui est des fameuses « étiquettes » à attribuer aux données, la présentation d’Eric Grospeiller (Fonctionnaire de SSI, Ministère de la Santé et des Sports) et de Myriam Pellissier (RSSI de l’Agence Régionale de Santé PACA) a parfaitement posé le problème en détaillant la méthode de classification mise en oeuvre au des Ministères (vous pourrez d’ailleurs bientôt retrouver leur présentation dans la zone membres de SecurityVibes).

Si le choix des niveaux de classification est libre, Eric Grospeiller recommande cependant de choisir un nombre pair de niveaux. A défaut la majorité des utilisateurs ne se mouilleront pas vraiment et choisiront plutôt le niveau du milieu. A titre d’exemple le ministère a choisi quatre niveaux : public, interne, confidentiel, secret. Une approche plus anglo-saxonne, que nous avions abordée lors de notre dernière édition du CSO Interchange de Londres, consiste quant à elle à suivre la symbolique du feu de circulation : vert, orange et rouge. Les utilisateurs disposent alors de règles simples pour décider où classer leurs informations : « le rouge est pour les documents dont les destinataires doivent être nommés individuellement, l’orange pour les documents confidentiels dont l’accès est réservé à un groupe d’utilisateurs défini dans Active Directory ou à un rôle spécifique dans l’entreprise, et le vert pour les documents internes (utilisateurs authentifiés)« , expliquait alors un RSSI britannique. Les documents publics, quant à eux sont considérés « blancs » (pas classifiés), ce qui permet de conserver un nombre pair de niveaux.

Mais le travail ne s’arrête pas là pour autant. « Dans la défense, outre les niveaux de classification il y a aussi le besoin de savoir« , ajoute Eric Grospeiller. En effet, ce n’est pas parce qu’un document est classé « interne » que n’importe qui dans l’entreprise pourra y accéder librement. Pour bien faire une notion de projets, ou de services, aura alors tout intérêt à être associée à la classification.

Se pose également la question des prestataires. « Faut-il dissocier les prestataires des utilisateurs internes, en créant une échelle de classification spécifique pour ces derniers, ou peut-on s’en sortir en gérant simplement les droits individuels ?‘, s’interroge un participant. Un autre membre de SecurityVibes lui répond : dans son entreprise il est convenu que seul le niveau « secret » n’est pas accessible aux personnels externes. Les autres niveaux de classification le sont potentiellement, sur la base du cas-par-cas (habilitation spécifique individuelle et motivée, par projet, etc…).

Connaître la donnée

Disposer d’un modèle efficace de classification n’est qu’une partie de la solution. Encore faut-il savoir à quoi l’appliquer ! Et c’est là que commencent les difficultés : comment identifier toutes les données produites par l’entreprise ? Comment s’assurer que celles qui doivent être classifiées le sont correctement ?

« Le plus simple est de démarrer par les services de l’entreprise qui manipulent des données critiques ou sensibles« , conseille un participant. Certes, mais comment identifier ces dernières ? Par l’analyse de risques, bien sûr ! C’est ici que l’on comprend qu’un projet de classification des données ne pourra avoir lieu sans une démarche orientée risques. « On commence par une analyse de risques, puis une expression des besoins critiques, qui est traduite par un PRA/PCA, et qui débouche ensuite sur une classification adéquate des données« , résume un autre participant.

L’approche peut cependant aussi être très pragmatique : « Je demande à mon interlocuteur quelle est l’information qui, si elle était rendue publique, l’empêcherait de dormir« , explique un auditeur. Et la question se décline à l’identique pour les applications, les zones de stockage ou les fonctions du SI, qui peuvent toutes être classifiées au même titre que les données.

Attention également à prendre en compte l’information dans tous ses états : elle n’est pas que numérique, mais aussi physique (imprimée, par exemple) ou télécopiée.

Afin d’aider à la tâche le marché propose bien entendu des solutions supposées aider à l’identification de la donnée et à sa classification automatique. L’on peut citer en la matière des spécialistes (Dataglobal, Abrevity, Arkivio, StoredIQ, Varonis), ou des acteurs de la gestion documentaire (Autonomy). Sans oublier bien entendu les vendeurs de DLP qui prétendent souvent faire eux aussi de la classification (mais qui se limitent bien souvent à la donnée en mouvement, et non pas stockée). Toutefois aucun de nos participants (21 utilisateurs finaux pourtant concernés par un projet de classification) n’a évalué de telles solutions. Et aucun n’a semblé très convaincu de leur utilité…

A noter enfin que chaque niveau de classification ne doit pas se limiter à la seule dimension de la confidentialité : il doit aussi être décliné sur chacun des autres piliers de la SSI, notamment l’intégrité et la disponibilité. Ainsi en fonction de son niveau classification une donnée sera non seulement soumise à des exigences variables en termes de confidentialité (qui peut y accéder ?), mais aussi en terme de disponibilité (comment est-elle mise à disposition, avec quelle redondance ?) et d’intégrité (quelles mesures doivent-être prises pour garantir qu’elle ne soit pas altérée ? Quels formats de document sont-ils mieux adaptés ?)

La tâche de recensement est conséquente, même si l’entreprise ne génère que peu d’information. C’est pourquoi nos membres ont reconnu à plusieurs reprise qu’il est inutile de s’embarrasser de l’information existante. Le projet de classification aura déjà bien assez à faire avec les données fraîches produites au quotidien. L’existant doit être archivé de manière sécurisée et correctement indexé. « Ce n’est que lorsqu’une donnée doit sortir de l’archive qu’elle mérite alors d’être classifiée« , conseille Myriam Pellissier.

Maîtriser le cycle de vie

« Comment puis-je modéliser le cycle de vie de mes données ? Car ce qui est confidentiel aujourd’hui sera peut-être public demain ! Et le délai varie en fonction de la donnée« , s’interroge un membre de SecurityVibes. Une piste fournie par un autre participant repose sur les métiers : c’est à eux (propriétaires de la donnée) de décider de sa durée de vie. Et ensuite à la solution de classification, au processus de traitement ou à l’archiviste, de gérer ce critère.
Mais la dé-classification peut aussi être un processus manuel : « Nous nous posons la question chaque année, mais seulement pour les données qui représentent le dessus du panier, et l’on dé-classifie en fonction« , explique un autre membre de SecurityVibes. A noter qu’une telle opération doit également avoir lieu à chaque changement législatif concernant la protection des données personnelles, par exemple.

Le cycle de vie d’une donnée concerne également ses modifications : un document peut être enrichi par d’autres données de niveaux différents. Qui en est alors le propriétaire ? Comment classifier un tel document voyageur ? « Chez nous le produit final est alors classifié selon le niveau de l’information la plus classifiée qu’il contient« , explique fort logiquement un participant. Cela s’appelle le principe d’héritage. Et il est valable également pour les contenants : un document ne pourra pas être déposé dans un répertoire de classification inférieure, par exemple. Attention toutefois à ne pas être trop granulaire ici : vouloir suivre le niveau de classification de chaque élément ajouté (la classification « remonte ») peut être très consommateur en ressources pour les métiers. Une autre approche consiste à faire « descendre » la classification (le document en cours d’assemblage est déjà classé selon sa criticité finale).

Attention aussi à prendre en compte le critère de quantité : un document contenant les coordonnées d’un seul client doit-il être classé de la même manière que celui qui contient une liste de plusieurs milliers de clients ? Aux yeux de la loi, oui. Mais en termes d’impact, leur classification sera probablement très différente.

Enfin l’efficacité et la pertinence de la classification doit être contrôlée dans le temps. Pour cela, nos membres font essentiellement appel à des audits réguliers. « Nous réalisons des audits trimestriels en auto-évaluation, et tous les deux ans en audit externe. Et le résultat de ces audits pèse pour un point dans notre intéressement« , conclue un membre de SecurityVibes.

> Si vous souhaitez poursuivre le débat au sujet de la classification des données, retrouvez les participants dans le fil de discussion consacré au sujet dans notre espace Discussions !

Le prochain petit-déjeuner SecurityVibes aura pour thème la gestion du départ des collaborateurs de l’entreprise. Il aura lieu à Paris le 8 septembre prochain, et vous pouvez d’ores et déjà réserver votre place !