Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Réussir la classification des données

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

La classification des données devrait être une étape incontournable de toute stratégie sécuritaire. Mais c’est paradoxalement rarement le cas : la plupart des entreprises ne procèdent à aucune classification formelle même lorsqu’elles disposent d’une politique de sécurité. Des RSSI britanniques nous expliquent pourquoi ils trouvent compliqué de classifier les données, et quelles sont leur stratégie en la matière.

« La plupart des entreprises ne procèdent à aucune classification, parce que ce serait pour elles un changement culturel trop important à mener », explique l’un des RSSI interrogé lors du dernier CSO Interchange que SecurityVibes organisait à Londres.

Pour autant, même si elles n’ont pas de stratégie de classification la plupart des entreprises sont tout de même conscientes d’avoir des informations confidentielles à protéger : ne leur suffirait-il pas alors de mettre une étiquette sur ces dernières ? C’est hélas plus complexe que cela : il faut non seulement créer une politique de classification (décider quels niveaux de classification attribuer aux documents selon quels critères), mais il faut ensuite également disposer des outils nécessaires afin de coller la bonne étiquette à la bonne information. Le tout aussi bien sur les documents existants que, dans l’idéal, ceux nouvellement créés.

Le mieux est l’ennemi du bien

En ce qui concerne la politique de classification celle-ci a tout intérêt à être simple afin que les collaborateurs ne rechignent pas à étiqueter les documents au fur et à mesure de leur création et qu’ils le fassent sans trop d’erreur. « Nous avions une politique de classification complexe qui n’avait pas été révisée depuis quinze ans. Résultat : une partie de nos collaborateurs l’appliquait mais la plupart ne s’en souciait pas. J’ai alors décidé de la simplifier à l’extrême : j’ai réduit la procédure à une série de questions à se poser pour chaque document créé. En fonction du nombre de ‘oui’ auxquels il a répondu l’utilisateur sait comment classer son document », détaille une RSSI.

A ce stade, un schéma de classification simple sera le meilleur : « Nous avons choisi un schéma de classification à l’image d’un feu de circulation : rouge pour les documents dont les destinataires doivent impérativement être nommés, orange pour les documents confidentiels (dont l’accès est réservé à un groupe d’utilisateurs défini dans Active Directory ou à un rôle dans l’entreprise), vert pour les documents internes (nos utilisateurs authentifiés) et blanc pour les documents publics. Et nous ajoutons à cela une date d’expiration de la classification », détaille un autre RSSI.

Une fois le schéma de classification formalisé et les règles d’étiquetage des documents définies, il reste à faire accepter le tout aux collaborateurs. Et ce n’est pas une mince affaire. « Le soutien de la direction générale est indispensable, ainsi que l’appui de la direction juridique », reconnaît un participant à notre discussion. Un autre va même plus loin : « il faut être réaliste et ne pas vouloir imposer la classification à toute l’entreprise d’un coup. Nous avons commencé par travailler avec le top management, avant de descendre dans la hiérarchie. Et encore, uniquement pour leur production documentaire actuelle. Nous avons estimé que classifier l’existant est tout simplement impossible, ce serait une charge trop lourde », se souvient un autre RSSI. Tous, enfin, reconnaissent que les choses sont quand même beaucoup plus simples lorsqu’il existe un moyen de pression sur les utilisateurs afin de les motiver à jouer le jeu de la classification : charte informatique ou avenant au contrat de travail, par exemple.

La technique ne suit pas toujours

Sur le terrain de la technique les RSSI que nous avons interrogés se plaignent de l’absence d’outils efficaces. « Il existe certes des outils capables par exemple d’attribuer un niveau de classification aux documents de la suite Microsoft Office lors de leur création, mais ce qu’il nous faut c’est surtout pouvoir suivre le propriétaire de la donnée, et là ça devient compliqué : si je créé par exemple une donnée, puis que je l’ajoute à un data store et qu’elle est ensuite utilisée par un autre groupe pour la création d’un autre document, qui est le propriétaire de la donnée ? », s’interroge un participant.

Si ce dernier problème ne concerne peut-être qu’une minorité d’activités, tous nos témoins en revanche sont unanimes quant à la difficulté de classifier les données existantes : « C’est bien beau d’être en mesure d’attacher une étiquette à la création de la donnée mais les documents existants n’ont pas d’étiquette ! Il faut alors prendre une décision en fonction de son contenu, ce qui représente un travail colossal », confirme un RSSI.

Le marché, jamais en reste de solution, propose bien entendu des outils de classification automatique. Elles ne semblent toutefois pas faire l’unanimité parmi nos membres : « Toutes les solutions de classification automatique que nous avons évaluées étaient nulles », explique sans détour un autre RSSI. Autours de la table, ses confrères approuvent. « Ces outils sont notamment incapables de prendre en charge la temporalité des documents », approfondit-il.

Sans être aussi sévère, les solutions de classification automatique pourront s’avérer utiles tant que l’entreprise ne leur en demande pas trop. Elles pourront notamment mettre de l’ordre dans la masse de documents existants que, sans elles, personne ne classera jamais (avec comme argument-choc : « c’est ça ou rien ! »).

La classification automatique

Ces solutions sont notamment capables de noter les méta-données des documents qu’elles rencontrent : leur auteur par exemple, mais aussi la date de dernière ouverture. Elles peuvent parfois aussi se connecter à un annuaire et associer le nom de l’auteur avec un service de l’entreprise afin de regrouper les documents par service, voire en déduire une éventuelle criticité. Les outils de classification automatique pourront également analyser le contenu des documents à la recherche de certains mots-clés et leur appliquer une classification particulière (localiser les numéros de cartes bancaires dans le cadre d’une conformité PCI par exemple, ou encore regrouper les documents qui mentionnent le nom d’un projet sensible).

Mais si un tel travail satisfera à coup sûr le responsable stockage ce n’est généralement pas suffisant pour le RSSI : un arbitrage humain sera trop souvent nécessaire afin d’attribuer les bonnes étiquettes aux documents en tenant compte de leur temporalité ou des subtilités de leur contenu. C’est pourquoi nos RSSI préfèrent exclure les documents existants du périmètre de la classification.

Enfin, si le paysage de la classification n’était pas assez contraignant ainsi, nous avons gardé la question qui fâche pour la fin : une fois la politique et les outils de classifications mis en place, comment s’assurer que tout cela fonctionne sans erreur ? « Le contrôle de la classification et potentiellement un exercice plus complexe que la classification elle-même », s’amuse un RSSI britannique, un brin ironique.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Réussir la classification des données

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.