Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À mesure que vous développez, réorganisez ou affinez votre infrastructure de classification des données, tenez compte des principales pratiques suivantes :
Ne vous attendez pas à passer de 0 à 100 le jour 1 : Microsoft recommande une approche d’analyse-marche-exécution, en hiérarchisant les fonctionnalités critiques pour le organization et en les mappant à une chronologie. Effectuez la première étape, assurez-vous qu’elle a réussi, puis passez à la phase suivante en appliquant les leçons apprises. N’oubliez pas que votre organization peut toujours être exposé à des risques lors de la conception de votre infrastructure de classification des données. Il est donc possible de commencer petit avec quelques niveaux de classification et de les développer plus tard en fonction des besoins.
Vous n’écrivez pas uniquement pour les professionnels de la cybersécurité : les frameworks de classification des données sont destinés à un large public, y compris votre personnel moyen, vos équipes juridiques et de conformité et votre équipe informatique. Écrivez des définitions claires et faciles à comprendre pour vos niveaux de classification des données, en fournissant des exemples concrets dans la mesure du possible. Essayez d’éviter le jargon et envisagez de créer un glossaire pour les acronymes et les termes très techniques. Par exemple, utilisez « Informations d’identification personnelle » et fournissez une définition au lieu de simplement dire « PII ».
Les frameworks de classification des données sont censés être implémentés : pour que les frameworks de classification des données réussissent, ils doivent être implémentés. Ce point est particulièrement pertinent lors de la création des exigences de contrôle pour chaque niveau de classification des données. Assurez-vous que les exigences sont clairement définies et qu’elles anticipent et résolvent toute ambiguïté qui peut survenir pendant l’implémentation. Par exemple, si vous avez un contrôle sur les informations d’identification personnelle, veillez à préciser exactement ce que signifie ce contrôle, comme la sécurité sociale ou le numéro de passeport.
Ne soyez granulaire que si nécessaire : les frameworks de classification des données contiennent généralement entre trois et cinq niveaux de classification des données. Mais ce n’est pas parce que vous pouvez inclure cinq niveaux que vous devez le faire. Tenez compte des critères suivants pour déterminer le nombre de niveaux de classification dont vous avez besoin :
- Votre secteur d’activité et vos obligations réglementaires associées (les secteurs hautement réglementés ont tendance à avoir besoin de plus de niveaux de classification)
- La surcharge opérationnelle requise pour maintenir un framework plus complexe
- Vos utilisateurs et leur capacité à se conformer à la complexité et à la nuance accrues associées à davantage de niveaux de classification
- Expérience utilisateur et accessibilité lors de la recherche d’une classification manuelle sur plusieurs types d’appareils
Impliquer les bonnes personnes : il est essentiel d’avoir une partie prenante supérieure pour réussir, car de nombreux projets ont du mal à démarrer ou à prendre plus de temps sans le soutien de la haute direction. Les équipes informatiques possèdent généralement des infrastructures de classification des données, mais ces frameworks peuvent avoir des implications juridiques, de conformité, de confidentialité et de gestion des modifications. Pour vous assurer que vous créez un cadre qui vous aide à protéger votre entreprise, incluez les parties prenantes en matière de protection de la vie privée et juridiques, telles que votre chef de la protection des renseignements personnels et le Bureau de l’avocat général, dans l’élaboration de votre politique. Si votre organization dispose d’une division Conformité, de professionnels de la gouvernance des informations ou d’une équipe de gestion des enregistrements, il peut également avoir une contribution précieuse. À mesure que votre infrastructure est déployée dans l’entreprise, votre service communications a également un rôle clé à jouer pour la messagerie interne et l’adoption.
Équilibrer la sécurité et la commodité : une erreur courante consiste à rédiger une infrastructure de classification des données sécurisée mais trop restrictive. Ce framework peut être conçu avec la sécurité à l’esprit, mais il est souvent difficile à implémenter dans la pratique. Si les utilisateurs doivent suivre des procédures complexes, rigides et fastidieuses pour appliquer l’infrastructure dans leur vie quotidienne, il existe toujours un risque qu’ils cessent de suivre les procédures parce qu’ils ne croient plus en sa valeur. Ce risque existe à tous les niveaux de l’organisation, y compris les cadres supérieurs (suite C) au sein de l’organisation. Un bon équilibre entre la sécurité et la facilité, ainsi que des outils faciles à utiliser, conduit généralement à une adoption et une utilisation plus larges par les utilisateurs. N’attendez pas que tout soit parfait pour démarrer l’implémentation de votre cadre, même s’il contient des lacunes. Au lieu de cela, évaluez le risque ou l’écart, créez un plan pour l’atténuer et continuez à avancer. N’oubliez pas que la protection des informations est un parcours, ce n’est pas quelque chose qui est activé du jour au lendemain, puis terminé. Planifiez, implémentez certaines fonctionnalités, confirmez le succès et recommencez jusqu’à l’étape suivante à mesure que les outils évoluent et que les utilisateurs gagnent en maturité et en expérience.
Gardez également à l’esprit qu’une infrastructure de classification des données traite uniquement ce que votre organization doit faire pour protéger les données sensibles. Les infrastructures de classification des données sont souvent accompagnées de règles ou d’instructions de gestion des données qui définissent comment mettre ces stratégies en place d’un point de vue technique et technologique. Dans les sections suivantes, nous nous tournons vers des conseils pratiques sur la façon de faire passer votre infrastructure de classification des données d’un document de stratégie à une initiative entièrement implémentée et exploitable.
Points faibles de la création d’un cadre de classification des données
Les efforts de classification des données touchent presque toutes les fonctions métier au sein d’une entreprise. En raison de cette étendue étendue et de la complexité de la gestion du contenu dans les environnements numériques modernes, les entreprises sont souvent confrontées à des difficultés pour savoir par où commencer, comment gérer une implémentation réussie et comment mesurer leurs progrès. Les points faibles courants sont souvent les suivants :
- Conception d’une infrastructure de classification des données robuste et facile à comprendre, notamment la détermination des niveaux de classification et des contrôles de sécurité associés.
- Développement d’un plan de mise en œuvre qui comprend la confirmation de la solution technologique appropriée, l’alignement du plan sur les processus métier existants et l’identification de l’impact sur le personnel.
- Configuration d’une infrastructure de classification des données dans la solution technologique choisie et résolution des écarts entre les fonctionnalités technologiques de l’outil et l’infrastructure elle-même.
- Établissement d’une structure de gouvernance qui supervise la maintenance et l’intégrité continues des efforts de classification des données.
- Identification d’indicateurs de performance clés (KPI) spécifiques pour surveiller et mesurer la progression.
- Amélioration de la sensibilisation et de la compréhension des stratégies de classification des données, de leur importance et de la façon de les respecter.
- Se conformer aux révisions d’audit interne qui ciblent la perte de données et les contrôles de cybersécurité.
- Formation et engagement des utilisateurs afin qu’ils deviennent conscients de la nécessité d’une classification correcte dans leur travail quotidien et d’appliquer les mesures de classification appropriées.
Gestion des modifications et formation
Les organisations utilisent aujourd’hui des outils tels que Microsoft 365 pour implémenter leur infrastructure de classification des données. L’objectif est d’essayer d’automatiser la classification des données et non d’augmenter la charge de travail. Cette structure ne signifie pas que votre organization n’a pas la responsabilité d’accroître la sensibilisation à la nécessité de gérer le contenu et de protéger les organization contre les risques abordés dans ce document. La pratique principale continue d’être d’effectuer des formations de sensibilisation dans l’ensemble du organization dans le cadre du calendrier annuel de formation. Notre expérience montre que la mise en œuvre d’un effort robuste et complet dans la formation de vos utilisateurs, qui sont le public clé effectuant ce travail, augmente leur « adhésion » à l’effort et peut augmenter l’adoption et la qualité. L’ajout de recommandations d’étiquettes et de conseils dans l’application peut amplifier ces efforts. Cette formation n’a pas besoin d’être un cours autonome complet. Votre organization peut l’incorporer dans d’autres formations régulières, telles que votre formation annuelle sur la sécurité des informations, puis inclure une vue d’ensemble des niveaux et définitions de classification des données. Le point principal est que votre personnel comprend que même si l’outil automatise la classification des données, cela n’élimine pas la responsabilité globale de chaque utilisateur de protéger les données conformément à la stratégie de votre entreprise.
En outre, vous devez envisager une formation plus approfondie pour les équipes informatiques et de sécurité des informations afin de renforcer la préparation opérationnelle. Les équipes qui gèrent l’outil et l’infrastructure de classification des données doivent être sur la même page. Cette coordination peut vous obliger à investir dans un calendrier de formation plus robuste qui peut être plus fréquent qu’une fois par an. Investir dans une formation plus fréquente représente une autre façon de réduire les risques pour vos organization. Cette équipe est responsable de l’implémentation et peut donc constituer un point de défaillance si elle n’est pas formée sur l’outil et la stratégie.
Si vous devez étiqueter manuellement le contenu de l’outil, il est approprié de développer un groupe de super-utilisateurs qui reçoivent une formation plus avancée. Ces super utilisateurs sont impliqués dans des situations où les utilisateurs sont tenus d’étiqueter manuellement des documents avec des étiquettes de confidentialité des données et ont une compréhension approfondie du cadre de classification des données de votre organization et des exigences réglementaires.
Enfin, votre direction doit donner la priorité au champion des comportements de sécurité des informations afin de renforcer l’importance des initiatives de gestion des risques auprès du personnel. Ces comportements incluent le développement et l’implémentation d’un framework de classification des données robuste et l’affectation de leaders clés pour promouvoir l’initiative, parfois appelés ambassadeurs ou champions du changement.
Gouvernance et maintenance
Une fois que vous avez développé et implémenté votre infrastructure de classification des données, la gouvernance et la maintenance continues sont essentielles à votre réussite. En plus de suivre la façon dont les étiquettes de confidentialité sont utilisées dans la pratique, vous devez mettre à jour vos exigences de contrôle en fonction des modifications apportées aux réglementations, des pratiques de cybersécurité et de la nature du contenu que vous gérez. Les efforts de gouvernance et de maintenance peuvent inclure :
- L’établissement d’un organisme de gouvernance dédié à la classification des données ou l’ajout d’une responsabilité de classification des données à la charte d’un organisme de sécurité de l’information existant.
- La définition des rôles et des responsabilités pour les utilisateurs qui supervisent la classification des données.
- L’établissement d’indicateurs de performance clés pour surveiller et mesurer la progression.
- Le suivi des pratiques de pointe de la cybersécurité et des modifications réglementaires.
- Développement de procédures d’exploitation standard qui prennent en charge et appliquent une infrastructure de classification des données.
Considérations relatives au secteur d’activité
Bien que les principes de base pour le développement d’une infrastructure de classification des données forte soient universels, les détails de votre infrastructure dépendent de la nature de votre secteur d’activité et des facteurs de conformité et de sécurité uniques que vos données exigent.
Par exemple, les entreprises de services financiers peuvent avoir besoin d’envisager la conformité à plusieurs cadres réglementaires en fonction de l’étendue de leurs activités et des régions dans lesquelles elles opèrent. Les sociétés de valeurs mobilières de l’États-Unis doivent se conformer à des réglementations comptables telles que la règle 17a-4(f) de la SEC ou la règle 4511 de la FINRA, qui traitent des exigences relatives à la sécurité et à la conservation des livres et registres. De même, les entreprises opérant au Royaume-Uni doivent tenir compte de la conformité de la CAF.
Les organismes gouvernementaux sont confrontés à diverses réglementations régissant leurs données, qui varient en fonction du territoire et de la nature de leur travail. Dans le États-Unis, par instance, les organismes gouvernementaux et leurs agents qui accèdent aux renseignements fiscaux fédéraux (RTC) sont assujettis à l’IRS 1075, qui vise à réduire le risque de perte, de violation ou d’utilisation abusive de renseignements fiscaux fédéraux.
Bien que les sociétés de services financiers et les agences gouvernementales soient parmi les organisations les plus fortement réglementées au monde, la plupart des entreprises ont des considérations spécifiques à l’industrie que vous devez prendre en compte. Voici quelques exemples :
- Les organisations du secteur de la santé garantissent la conformité à HIPAA.
- Les établissements d’enseignement, des écoles K-12 aux universités, gèrent la conformité à la FERPA.
- Les fabricants de médicaments qui travaillent pour se conformer aux directives GxP dans leur pays ou région en ce qui concerne la sécurité des informations.
- Les médias, la vente au détail et de nombreuses autres entreprises qui s’occupent de la conformité au RGPD.
- Livraison et stockage de contenu de divertissement, de logiciels et d’informations traitant de l’ADSA.
- Sécurité de l’information du secteur de l’énergie conforme à la norme NERC CIP.
Implémenter votre infrastructure de classification des données dans Microsoft 365
Après avoir développé votre infrastructure de classification des données, implémentez-la. Le portail Microsoft Purview permet aux administrateurs de découvrir, classifier, examiner et surveiller leurs données en fonction de leur infrastructure de classification des données. Utilisez des étiquettes de confidentialité pour protéger vos données en appliquant des protections telles que le chiffrement et le marquage de contenu. Vous pouvez appliquer des étiquettes de confidentialité aux données manuellement, par défaut en fonction des paramètres de stratégie, ou automatiquement lorsqu’une condition telle que les informations d’identification personnelle identifiées est remplie.
Pour les petites organisations ou les organisations disposant d’une infrastructure de classification des données rationalisée, la création d’une étiquette de confidentialité unique pour chaque niveau de classification des données peut suffire. L’exemple suivant montre un niveau de classification des données un-à-un avec un mappage d’étiquettes de confidentialité :
| Étiquette de classification | Étiquette de confidentialité | Paramètres d’étiquette | Publié dans |
|---|---|---|---|
| Non restreint | Non restreint | Appliquer le pied de page « Non restreint » | Tous les utilisateurs |
| Généralités | Généralités | Appliquer le pied de page « Général » | Tous les utilisateurs |
Conseil
Au cours d’un pilote de protection des informations interne Microsoft, les utilisateurs ont eu des difficultés à comprendre et à utiliser l’étiquette « Personnel ». Ils étaient confus quant à savoir si cette étiquette faisait référence à des informations personnelles ou à une question personnelle. Pour rendre l’étiquette plus claire, remplacez-la par « non professionnel ». Cet exemple montre que la taxonomie n’a pas besoin d’être parfaite dès le début. Commencez avec ce que vous pensez être correct, pilotez-le et ajustez l’étiquette en fonction des commentaires si nécessaire.
Pour les grandes organisations ayant une portée mondiale ou des besoins de sécurité des informations plus complexes, vous pouvez trouver cette relation un-à-un entre le nombre de niveaux de classification dans votre stratégie et le nombre d’étiquettes de confidentialité dans votre environnement Microsoft 365 comme un défi. Ce défi est particulièrement vrai dans les organisations mondiales où un niveau de classification de données donné, tel que « Restreint », peut avoir une définition différente ou un ensemble différent de contrôles en fonction de la région.
Pour plus d’informations sur l’implémentation, consultez Comprendre la classification des données et En savoir plus sur les étiquettes de confidentialité.