Description
Pour comprendre le rôle de la data classification dans un système d'information.
NIST "Data Classification Concepts and Considerations for Improving Data Protection " https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Je commencerai ce nouvel épisode par une question un peu provocatrice. Pourquoi protéger son système d'information ? D'une certaine manière, le corollaire de cette question est qu'est-ce qui est si important dans une organisation qui nécessite tant d'énergie, d'argent et d'efforts ? Dans la grande majorité des cas, ce sont les données. Ça peut sembler paradoxal, mais l'un des actifs les plus importants dans une organisation, ce sont ces données. Et malheureusement, les données sont loin d'être la chose la plus facile à contrôler. D'ailleurs, vous vous êtes-vous déjà posé la question d'où venaient les données ? Quelle est leur nature ? Comment s'assurer qu'elles soient disponibles en temps et en heure aux bonnes personnes, et qu'elles soient cachées à d'autres ? Sans parler de déterminer qui a le droit ou non de les modifier et dans quelle proportion. Si on y réfléchit bien, chaque organisation traite de données de manière différente. C'est un peu comme le piano cocktail décrit dans l'écume des jours, le livre de Boris Vian, dont voilà un court extrait. A chaque note, dit Colin, je fais correspondre un alcool, une liqueur ou un aromate. La pédale forte correspond à l'oeuf battu et la pédale faible à la glace. Pour le celtz, il faut un trill dans le registre aigu. Les quantités sont en raison directe de la durée. A la quadruple croche équivaut le 16e d'unité, à la noire l'unité et à la ronde la quadruple unité. Eh bien les données de votre système d'information sont un peu comme le résultat du piano cocktail de Boris Vian. Le mélange résultera du morceau que vous avez décidé de jouer, c'est-à-dire la façon dont vous gérez votre activité. On pourrait même se demander si la gamme heptatonique donnera des résultats meilleurs que la gamme pentatonique. Bonne aide. C'est du brutal. Vous avez raison. Il est curieux, hein ? Les collègues polonais, ce qu'on prenait au petit-déjeuner. Au-delà de ces considérations alcoolopolitiques, il y a un vrai sujet en matière de cybersécurité, c'est ce qu'on appelle la classification des données. Très récemment, le 15 novembre dernier, le NIST a publié une version quasi-finalisée d'un document intitulé Data Classification, Concept and Consideration for Improving Data Collections. Autant dire un guide pour bien gérer la classification de ces données. Je vous propose de nous plonger dans ce document pour mieux comprendre comment gérer et classer ces données. Commençons par la notion de classification de données. La classification des données, c'est un peu comme organiser une bibliothèque. Imaginez que vous avez des milliers de livres, mais qu'ils sont tous mélangés. Pour les trouver facilement, vous devez les classer par catégorie, comme les romans, les livres de science, les bandes dessinées, etc. Dans le monde des données, c'est pareil. Les entreprises et les organisations ont des tonnes de données différentes, comme des informations sur les clients, des données financières, des documents internes et bien d'autres. La classification des données, c'est le processus où on met des étiquettes sur les données pour savoir de quel type elles sont. Par exemple, on peut avoir des étiquettes comme informations personnelles ou données financières. C'est crucial parce que ça aide à protéger les données. Si on sait quel type de données on a et où elles se trouvent, on peut les sécuriser. C'est comme mettre un cadenas sur des étagères les plus importantes de la bibliothèque. En plus, ça aide aussi à respecter les lois et les réglementations, comme RGPD par exemple. Cela permet d'avoir une attention particulière sur des données sensibles comme les données de santé ou les informations personnelles. En classant les données, on peut s'assurer qu'on suit bien ces règles. En résumé, la classification des données, c'est un peu comme le GPS de l'information dans une entreprise. Ça nous aide à savoir ce qu'on a, où c'est et comment bien les protéger. C'est essentiel pour garder les données en sécurité et bien gérer ce qu'on peut appeler une bibliothèque numérique d'entreprise. Ensuite arrive la nécessité de créer des politiques de classification de données. Imaginez que vous avez en charge de définir les règles d'une grande bibliothèque. Vous devez décider comment classer chaque livre ou le mettre et qui peut y avoir accès. La politique de classification de données, c'est un peu la même chose, mais pour les informations au sein d'une entreprise ou d'une organisation. Cette politique, c'est un peu comme un grand plan ou un guide qui explique comment on doit organiser toutes les données. Elle définit différentes catégories pour les informations, un peu comme les étagères dans une bibliothèque. Par exemple, on peut avoir des catégories comme données confidentielles, données publiques, données personnelles des employés, ainsi de suite. Une partie importante de cette politique, c'est de s'assurer que tout le monde comprend et utilise les mêmes catégories de la même manière. C'est comme s'assurer que tous les bibliothécaires classent les livres de science-fiction au même endroit. Ça évite la confusion et les erreurs. C'est d'ailleurs l'une des principales difficultés, car d'une part chacun doit connaître cette politique, ce qui est très complexe particulièrement si votre organisation est importante, mais d'autre part, il est assez difficile de faire des contrôles. Un système pourra facilement détecter des données relatives à une activité financière, comme un D-BAN par exemple, ou détecter un numéro de sécurité sociale. C'est raisonnablement facile de faire un contrôle dans ce cas, car les données sont structurées. Or, il existe de nombreux cas où une information confidentielle, comme un projet d'acquisition par exemple, ne peut pas être catégorisée automatiquement. Seul l'humain est capable de donner la classification de ce type d'informations. Ainsi, chaque type de données est lié à des règles spécifiques sur comment la protéger. Par exemple, pour les données très sensibles, comme les informations financières, il pourrait y avoir des règles très strictes sur qui peut les avoir ou comment elles doivent être sécurisées. Par exemple, imposer le chiffrement de ces données. Mais ce n'est pas tout. La politique doit être claire pour tous, y compris pour les partenaires externes qui pourraient avoir accès à certaines données. C'est un peu comme avoir des règles claires pour les visiteurs de la bibliothèque. Finalement, la politique de classification des données n'est pas juste un simple document qu'on écrit une fois et qu'on oublie. Elle doit être revue régulièrement pour s'assurer qu'elle est toujours à jour avec les nouvelles lois, les nouvelles technologies et les changements de l'entreprise, comme l'utilisation du cloud par exemple. C'est comme réorganiser les étagères de temps en temps pour s'assurer que tout est au bon endroit. Pour que cette politique s'applique efficacement, il faut donc identifier les données que l'on a à traiter. Et ceci se trouve dans le chapitre Identifying data assets to classify Ce chapitre s'attaque à une question cruciale. Comment reconnaître et catégoriser toutes les données d'une entreprise gérée au quotidien ? C'est un peu comme si vous étiez l'organisateur d'une grande fête et que vous deviez identifier les invités dès leur arrivée pour savoir qui a droit à quoi. Vous avez des données qui naissent à l'intérieur de votre entreprise, comme les infos saisies par un employé par exemple, mais aussi des données qui arrivent de l'extérieur, comme celles partagées par des partenaires. Il faut les identifier rapidement et précisément. La règle est que dès que des données font leur apparition, on leur marque une sorte de badge virtuel. C'est ce qu'on appelle des métadonnées, c'est-à-dire des données qui décrivent les données. Ça peut être à leur création, ou lorsqu'elles sont découvertes cachées quelque part dans le système d'information. ou dernier cas possible, quand on les importe d'ailleurs. C'est crucial de le faire à ce moment-là. Car ça permet de ne pas perdre de vue ces données et de les protéger dès le départ. Mais ce n'est pas juste une question de sécurité. C'est aussi une manière de préparer l'avenir. Ces métadonnées sont comme des notes qu'on se laisse pour plus tard. Elles nous aideront à comprendre ce qu'on a entre les mains, même dans quelques années ou dans un contexte différent, comme avec l'arrivée des nouvelles technologies ou d'une nouvelle réglementation. Donc, identifier les données, c'est poser les fondations pour tout ce qui concerne leur gestion, les protéger, les utiliser correctement, et même les partager en toute sécurité. C'est une étape fondamentale qui demande de la rigueur et de la clairvoyance pour que l'entreprise soit bien organisée et prête pour les défis futurs. Sans faire cette analyse, implémenter une politique de cybersécurité reviendrait à protéger quelque chose sans savoir quoi exactement. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et poser des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Merci. Merci.
Description
Pour comprendre le rôle de la data classification dans un système d'information.
NIST "Data Classification Concepts and Considerations for Improving Data Protection " https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Je commencerai ce nouvel épisode par une question un peu provocatrice. Pourquoi protéger son système d'information ? D'une certaine manière, le corollaire de cette question est qu'est-ce qui est si important dans une organisation qui nécessite tant d'énergie, d'argent et d'efforts ? Dans la grande majorité des cas, ce sont les données. Ça peut sembler paradoxal, mais l'un des actifs les plus importants dans une organisation, ce sont ces données. Et malheureusement, les données sont loin d'être la chose la plus facile à contrôler. D'ailleurs, vous vous êtes-vous déjà posé la question d'où venaient les données ? Quelle est leur nature ? Comment s'assurer qu'elles soient disponibles en temps et en heure aux bonnes personnes, et qu'elles soient cachées à d'autres ? Sans parler de déterminer qui a le droit ou non de les modifier et dans quelle proportion. Si on y réfléchit bien, chaque organisation traite de données de manière différente. C'est un peu comme le piano cocktail décrit dans l'écume des jours, le livre de Boris Vian, dont voilà un court extrait. A chaque note, dit Colin, je fais correspondre un alcool, une liqueur ou un aromate. La pédale forte correspond à l'oeuf battu et la pédale faible à la glace. Pour le celtz, il faut un trill dans le registre aigu. Les quantités sont en raison directe de la durée. A la quadruple croche équivaut le 16e d'unité, à la noire l'unité et à la ronde la quadruple unité. Eh bien les données de votre système d'information sont un peu comme le résultat du piano cocktail de Boris Vian. Le mélange résultera du morceau que vous avez décidé de jouer, c'est-à-dire la façon dont vous gérez votre activité. On pourrait même se demander si la gamme heptatonique donnera des résultats meilleurs que la gamme pentatonique. Bonne aide. C'est du brutal. Vous avez raison. Il est curieux, hein ? Les collègues polonais, ce qu'on prenait au petit-déjeuner. Au-delà de ces considérations alcoolopolitiques, il y a un vrai sujet en matière de cybersécurité, c'est ce qu'on appelle la classification des données. Très récemment, le 15 novembre dernier, le NIST a publié une version quasi-finalisée d'un document intitulé Data Classification, Concept and Consideration for Improving Data Collections. Autant dire un guide pour bien gérer la classification de ces données. Je vous propose de nous plonger dans ce document pour mieux comprendre comment gérer et classer ces données. Commençons par la notion de classification de données. La classification des données, c'est un peu comme organiser une bibliothèque. Imaginez que vous avez des milliers de livres, mais qu'ils sont tous mélangés. Pour les trouver facilement, vous devez les classer par catégorie, comme les romans, les livres de science, les bandes dessinées, etc. Dans le monde des données, c'est pareil. Les entreprises et les organisations ont des tonnes de données différentes, comme des informations sur les clients, des données financières, des documents internes et bien d'autres. La classification des données, c'est le processus où on met des étiquettes sur les données pour savoir de quel type elles sont. Par exemple, on peut avoir des étiquettes comme informations personnelles ou données financières. C'est crucial parce que ça aide à protéger les données. Si on sait quel type de données on a et où elles se trouvent, on peut les sécuriser. C'est comme mettre un cadenas sur des étagères les plus importantes de la bibliothèque. En plus, ça aide aussi à respecter les lois et les réglementations, comme RGPD par exemple. Cela permet d'avoir une attention particulière sur des données sensibles comme les données de santé ou les informations personnelles. En classant les données, on peut s'assurer qu'on suit bien ces règles. En résumé, la classification des données, c'est un peu comme le GPS de l'information dans une entreprise. Ça nous aide à savoir ce qu'on a, où c'est et comment bien les protéger. C'est essentiel pour garder les données en sécurité et bien gérer ce qu'on peut appeler une bibliothèque numérique d'entreprise. Ensuite arrive la nécessité de créer des politiques de classification de données. Imaginez que vous avez en charge de définir les règles d'une grande bibliothèque. Vous devez décider comment classer chaque livre ou le mettre et qui peut y avoir accès. La politique de classification de données, c'est un peu la même chose, mais pour les informations au sein d'une entreprise ou d'une organisation. Cette politique, c'est un peu comme un grand plan ou un guide qui explique comment on doit organiser toutes les données. Elle définit différentes catégories pour les informations, un peu comme les étagères dans une bibliothèque. Par exemple, on peut avoir des catégories comme données confidentielles, données publiques, données personnelles des employés, ainsi de suite. Une partie importante de cette politique, c'est de s'assurer que tout le monde comprend et utilise les mêmes catégories de la même manière. C'est comme s'assurer que tous les bibliothécaires classent les livres de science-fiction au même endroit. Ça évite la confusion et les erreurs. C'est d'ailleurs l'une des principales difficultés, car d'une part chacun doit connaître cette politique, ce qui est très complexe particulièrement si votre organisation est importante, mais d'autre part, il est assez difficile de faire des contrôles. Un système pourra facilement détecter des données relatives à une activité financière, comme un D-BAN par exemple, ou détecter un numéro de sécurité sociale. C'est raisonnablement facile de faire un contrôle dans ce cas, car les données sont structurées. Or, il existe de nombreux cas où une information confidentielle, comme un projet d'acquisition par exemple, ne peut pas être catégorisée automatiquement. Seul l'humain est capable de donner la classification de ce type d'informations. Ainsi, chaque type de données est lié à des règles spécifiques sur comment la protéger. Par exemple, pour les données très sensibles, comme les informations financières, il pourrait y avoir des règles très strictes sur qui peut les avoir ou comment elles doivent être sécurisées. Par exemple, imposer le chiffrement de ces données. Mais ce n'est pas tout. La politique doit être claire pour tous, y compris pour les partenaires externes qui pourraient avoir accès à certaines données. C'est un peu comme avoir des règles claires pour les visiteurs de la bibliothèque. Finalement, la politique de classification des données n'est pas juste un simple document qu'on écrit une fois et qu'on oublie. Elle doit être revue régulièrement pour s'assurer qu'elle est toujours à jour avec les nouvelles lois, les nouvelles technologies et les changements de l'entreprise, comme l'utilisation du cloud par exemple. C'est comme réorganiser les étagères de temps en temps pour s'assurer que tout est au bon endroit. Pour que cette politique s'applique efficacement, il faut donc identifier les données que l'on a à traiter. Et ceci se trouve dans le chapitre Identifying data assets to classify Ce chapitre s'attaque à une question cruciale. Comment reconnaître et catégoriser toutes les données d'une entreprise gérée au quotidien ? C'est un peu comme si vous étiez l'organisateur d'une grande fête et que vous deviez identifier les invités dès leur arrivée pour savoir qui a droit à quoi. Vous avez des données qui naissent à l'intérieur de votre entreprise, comme les infos saisies par un employé par exemple, mais aussi des données qui arrivent de l'extérieur, comme celles partagées par des partenaires. Il faut les identifier rapidement et précisément. La règle est que dès que des données font leur apparition, on leur marque une sorte de badge virtuel. C'est ce qu'on appelle des métadonnées, c'est-à-dire des données qui décrivent les données. Ça peut être à leur création, ou lorsqu'elles sont découvertes cachées quelque part dans le système d'information. ou dernier cas possible, quand on les importe d'ailleurs. C'est crucial de le faire à ce moment-là. Car ça permet de ne pas perdre de vue ces données et de les protéger dès le départ. Mais ce n'est pas juste une question de sécurité. C'est aussi une manière de préparer l'avenir. Ces métadonnées sont comme des notes qu'on se laisse pour plus tard. Elles nous aideront à comprendre ce qu'on a entre les mains, même dans quelques années ou dans un contexte différent, comme avec l'arrivée des nouvelles technologies ou d'une nouvelle réglementation. Donc, identifier les données, c'est poser les fondations pour tout ce qui concerne leur gestion, les protéger, les utiliser correctement, et même les partager en toute sécurité. C'est une étape fondamentale qui demande de la rigueur et de la clairvoyance pour que l'entreprise soit bien organisée et prête pour les défis futurs. Sans faire cette analyse, implémenter une politique de cybersécurité reviendrait à protéger quelque chose sans savoir quoi exactement. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et poser des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Merci. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Pour comprendre le rôle de la data classification dans un système d'information.
NIST "Data Classification Concepts and Considerations for Improving Data Protection " https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Je commencerai ce nouvel épisode par une question un peu provocatrice. Pourquoi protéger son système d'information ? D'une certaine manière, le corollaire de cette question est qu'est-ce qui est si important dans une organisation qui nécessite tant d'énergie, d'argent et d'efforts ? Dans la grande majorité des cas, ce sont les données. Ça peut sembler paradoxal, mais l'un des actifs les plus importants dans une organisation, ce sont ces données. Et malheureusement, les données sont loin d'être la chose la plus facile à contrôler. D'ailleurs, vous vous êtes-vous déjà posé la question d'où venaient les données ? Quelle est leur nature ? Comment s'assurer qu'elles soient disponibles en temps et en heure aux bonnes personnes, et qu'elles soient cachées à d'autres ? Sans parler de déterminer qui a le droit ou non de les modifier et dans quelle proportion. Si on y réfléchit bien, chaque organisation traite de données de manière différente. C'est un peu comme le piano cocktail décrit dans l'écume des jours, le livre de Boris Vian, dont voilà un court extrait. A chaque note, dit Colin, je fais correspondre un alcool, une liqueur ou un aromate. La pédale forte correspond à l'oeuf battu et la pédale faible à la glace. Pour le celtz, il faut un trill dans le registre aigu. Les quantités sont en raison directe de la durée. A la quadruple croche équivaut le 16e d'unité, à la noire l'unité et à la ronde la quadruple unité. Eh bien les données de votre système d'information sont un peu comme le résultat du piano cocktail de Boris Vian. Le mélange résultera du morceau que vous avez décidé de jouer, c'est-à-dire la façon dont vous gérez votre activité. On pourrait même se demander si la gamme heptatonique donnera des résultats meilleurs que la gamme pentatonique. Bonne aide. C'est du brutal. Vous avez raison. Il est curieux, hein ? Les collègues polonais, ce qu'on prenait au petit-déjeuner. Au-delà de ces considérations alcoolopolitiques, il y a un vrai sujet en matière de cybersécurité, c'est ce qu'on appelle la classification des données. Très récemment, le 15 novembre dernier, le NIST a publié une version quasi-finalisée d'un document intitulé Data Classification, Concept and Consideration for Improving Data Collections. Autant dire un guide pour bien gérer la classification de ces données. Je vous propose de nous plonger dans ce document pour mieux comprendre comment gérer et classer ces données. Commençons par la notion de classification de données. La classification des données, c'est un peu comme organiser une bibliothèque. Imaginez que vous avez des milliers de livres, mais qu'ils sont tous mélangés. Pour les trouver facilement, vous devez les classer par catégorie, comme les romans, les livres de science, les bandes dessinées, etc. Dans le monde des données, c'est pareil. Les entreprises et les organisations ont des tonnes de données différentes, comme des informations sur les clients, des données financières, des documents internes et bien d'autres. La classification des données, c'est le processus où on met des étiquettes sur les données pour savoir de quel type elles sont. Par exemple, on peut avoir des étiquettes comme informations personnelles ou données financières. C'est crucial parce que ça aide à protéger les données. Si on sait quel type de données on a et où elles se trouvent, on peut les sécuriser. C'est comme mettre un cadenas sur des étagères les plus importantes de la bibliothèque. En plus, ça aide aussi à respecter les lois et les réglementations, comme RGPD par exemple. Cela permet d'avoir une attention particulière sur des données sensibles comme les données de santé ou les informations personnelles. En classant les données, on peut s'assurer qu'on suit bien ces règles. En résumé, la classification des données, c'est un peu comme le GPS de l'information dans une entreprise. Ça nous aide à savoir ce qu'on a, où c'est et comment bien les protéger. C'est essentiel pour garder les données en sécurité et bien gérer ce qu'on peut appeler une bibliothèque numérique d'entreprise. Ensuite arrive la nécessité de créer des politiques de classification de données. Imaginez que vous avez en charge de définir les règles d'une grande bibliothèque. Vous devez décider comment classer chaque livre ou le mettre et qui peut y avoir accès. La politique de classification de données, c'est un peu la même chose, mais pour les informations au sein d'une entreprise ou d'une organisation. Cette politique, c'est un peu comme un grand plan ou un guide qui explique comment on doit organiser toutes les données. Elle définit différentes catégories pour les informations, un peu comme les étagères dans une bibliothèque. Par exemple, on peut avoir des catégories comme données confidentielles, données publiques, données personnelles des employés, ainsi de suite. Une partie importante de cette politique, c'est de s'assurer que tout le monde comprend et utilise les mêmes catégories de la même manière. C'est comme s'assurer que tous les bibliothécaires classent les livres de science-fiction au même endroit. Ça évite la confusion et les erreurs. C'est d'ailleurs l'une des principales difficultés, car d'une part chacun doit connaître cette politique, ce qui est très complexe particulièrement si votre organisation est importante, mais d'autre part, il est assez difficile de faire des contrôles. Un système pourra facilement détecter des données relatives à une activité financière, comme un D-BAN par exemple, ou détecter un numéro de sécurité sociale. C'est raisonnablement facile de faire un contrôle dans ce cas, car les données sont structurées. Or, il existe de nombreux cas où une information confidentielle, comme un projet d'acquisition par exemple, ne peut pas être catégorisée automatiquement. Seul l'humain est capable de donner la classification de ce type d'informations. Ainsi, chaque type de données est lié à des règles spécifiques sur comment la protéger. Par exemple, pour les données très sensibles, comme les informations financières, il pourrait y avoir des règles très strictes sur qui peut les avoir ou comment elles doivent être sécurisées. Par exemple, imposer le chiffrement de ces données. Mais ce n'est pas tout. La politique doit être claire pour tous, y compris pour les partenaires externes qui pourraient avoir accès à certaines données. C'est un peu comme avoir des règles claires pour les visiteurs de la bibliothèque. Finalement, la politique de classification des données n'est pas juste un simple document qu'on écrit une fois et qu'on oublie. Elle doit être revue régulièrement pour s'assurer qu'elle est toujours à jour avec les nouvelles lois, les nouvelles technologies et les changements de l'entreprise, comme l'utilisation du cloud par exemple. C'est comme réorganiser les étagères de temps en temps pour s'assurer que tout est au bon endroit. Pour que cette politique s'applique efficacement, il faut donc identifier les données que l'on a à traiter. Et ceci se trouve dans le chapitre Identifying data assets to classify Ce chapitre s'attaque à une question cruciale. Comment reconnaître et catégoriser toutes les données d'une entreprise gérée au quotidien ? C'est un peu comme si vous étiez l'organisateur d'une grande fête et que vous deviez identifier les invités dès leur arrivée pour savoir qui a droit à quoi. Vous avez des données qui naissent à l'intérieur de votre entreprise, comme les infos saisies par un employé par exemple, mais aussi des données qui arrivent de l'extérieur, comme celles partagées par des partenaires. Il faut les identifier rapidement et précisément. La règle est que dès que des données font leur apparition, on leur marque une sorte de badge virtuel. C'est ce qu'on appelle des métadonnées, c'est-à-dire des données qui décrivent les données. Ça peut être à leur création, ou lorsqu'elles sont découvertes cachées quelque part dans le système d'information. ou dernier cas possible, quand on les importe d'ailleurs. C'est crucial de le faire à ce moment-là. Car ça permet de ne pas perdre de vue ces données et de les protéger dès le départ. Mais ce n'est pas juste une question de sécurité. C'est aussi une manière de préparer l'avenir. Ces métadonnées sont comme des notes qu'on se laisse pour plus tard. Elles nous aideront à comprendre ce qu'on a entre les mains, même dans quelques années ou dans un contexte différent, comme avec l'arrivée des nouvelles technologies ou d'une nouvelle réglementation. Donc, identifier les données, c'est poser les fondations pour tout ce qui concerne leur gestion, les protéger, les utiliser correctement, et même les partager en toute sécurité. C'est une étape fondamentale qui demande de la rigueur et de la clairvoyance pour que l'entreprise soit bien organisée et prête pour les défis futurs. Sans faire cette analyse, implémenter une politique de cybersécurité reviendrait à protéger quelque chose sans savoir quoi exactement. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et poser des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Merci. Merci.
Description
Pour comprendre le rôle de la data classification dans un système d'information.
NIST "Data Classification Concepts and Considerations for Improving Data Protection " https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Je commencerai ce nouvel épisode par une question un peu provocatrice. Pourquoi protéger son système d'information ? D'une certaine manière, le corollaire de cette question est qu'est-ce qui est si important dans une organisation qui nécessite tant d'énergie, d'argent et d'efforts ? Dans la grande majorité des cas, ce sont les données. Ça peut sembler paradoxal, mais l'un des actifs les plus importants dans une organisation, ce sont ces données. Et malheureusement, les données sont loin d'être la chose la plus facile à contrôler. D'ailleurs, vous vous êtes-vous déjà posé la question d'où venaient les données ? Quelle est leur nature ? Comment s'assurer qu'elles soient disponibles en temps et en heure aux bonnes personnes, et qu'elles soient cachées à d'autres ? Sans parler de déterminer qui a le droit ou non de les modifier et dans quelle proportion. Si on y réfléchit bien, chaque organisation traite de données de manière différente. C'est un peu comme le piano cocktail décrit dans l'écume des jours, le livre de Boris Vian, dont voilà un court extrait. A chaque note, dit Colin, je fais correspondre un alcool, une liqueur ou un aromate. La pédale forte correspond à l'oeuf battu et la pédale faible à la glace. Pour le celtz, il faut un trill dans le registre aigu. Les quantités sont en raison directe de la durée. A la quadruple croche équivaut le 16e d'unité, à la noire l'unité et à la ronde la quadruple unité. Eh bien les données de votre système d'information sont un peu comme le résultat du piano cocktail de Boris Vian. Le mélange résultera du morceau que vous avez décidé de jouer, c'est-à-dire la façon dont vous gérez votre activité. On pourrait même se demander si la gamme heptatonique donnera des résultats meilleurs que la gamme pentatonique. Bonne aide. C'est du brutal. Vous avez raison. Il est curieux, hein ? Les collègues polonais, ce qu'on prenait au petit-déjeuner. Au-delà de ces considérations alcoolopolitiques, il y a un vrai sujet en matière de cybersécurité, c'est ce qu'on appelle la classification des données. Très récemment, le 15 novembre dernier, le NIST a publié une version quasi-finalisée d'un document intitulé Data Classification, Concept and Consideration for Improving Data Collections. Autant dire un guide pour bien gérer la classification de ces données. Je vous propose de nous plonger dans ce document pour mieux comprendre comment gérer et classer ces données. Commençons par la notion de classification de données. La classification des données, c'est un peu comme organiser une bibliothèque. Imaginez que vous avez des milliers de livres, mais qu'ils sont tous mélangés. Pour les trouver facilement, vous devez les classer par catégorie, comme les romans, les livres de science, les bandes dessinées, etc. Dans le monde des données, c'est pareil. Les entreprises et les organisations ont des tonnes de données différentes, comme des informations sur les clients, des données financières, des documents internes et bien d'autres. La classification des données, c'est le processus où on met des étiquettes sur les données pour savoir de quel type elles sont. Par exemple, on peut avoir des étiquettes comme informations personnelles ou données financières. C'est crucial parce que ça aide à protéger les données. Si on sait quel type de données on a et où elles se trouvent, on peut les sécuriser. C'est comme mettre un cadenas sur des étagères les plus importantes de la bibliothèque. En plus, ça aide aussi à respecter les lois et les réglementations, comme RGPD par exemple. Cela permet d'avoir une attention particulière sur des données sensibles comme les données de santé ou les informations personnelles. En classant les données, on peut s'assurer qu'on suit bien ces règles. En résumé, la classification des données, c'est un peu comme le GPS de l'information dans une entreprise. Ça nous aide à savoir ce qu'on a, où c'est et comment bien les protéger. C'est essentiel pour garder les données en sécurité et bien gérer ce qu'on peut appeler une bibliothèque numérique d'entreprise. Ensuite arrive la nécessité de créer des politiques de classification de données. Imaginez que vous avez en charge de définir les règles d'une grande bibliothèque. Vous devez décider comment classer chaque livre ou le mettre et qui peut y avoir accès. La politique de classification de données, c'est un peu la même chose, mais pour les informations au sein d'une entreprise ou d'une organisation. Cette politique, c'est un peu comme un grand plan ou un guide qui explique comment on doit organiser toutes les données. Elle définit différentes catégories pour les informations, un peu comme les étagères dans une bibliothèque. Par exemple, on peut avoir des catégories comme données confidentielles, données publiques, données personnelles des employés, ainsi de suite. Une partie importante de cette politique, c'est de s'assurer que tout le monde comprend et utilise les mêmes catégories de la même manière. C'est comme s'assurer que tous les bibliothécaires classent les livres de science-fiction au même endroit. Ça évite la confusion et les erreurs. C'est d'ailleurs l'une des principales difficultés, car d'une part chacun doit connaître cette politique, ce qui est très complexe particulièrement si votre organisation est importante, mais d'autre part, il est assez difficile de faire des contrôles. Un système pourra facilement détecter des données relatives à une activité financière, comme un D-BAN par exemple, ou détecter un numéro de sécurité sociale. C'est raisonnablement facile de faire un contrôle dans ce cas, car les données sont structurées. Or, il existe de nombreux cas où une information confidentielle, comme un projet d'acquisition par exemple, ne peut pas être catégorisée automatiquement. Seul l'humain est capable de donner la classification de ce type d'informations. Ainsi, chaque type de données est lié à des règles spécifiques sur comment la protéger. Par exemple, pour les données très sensibles, comme les informations financières, il pourrait y avoir des règles très strictes sur qui peut les avoir ou comment elles doivent être sécurisées. Par exemple, imposer le chiffrement de ces données. Mais ce n'est pas tout. La politique doit être claire pour tous, y compris pour les partenaires externes qui pourraient avoir accès à certaines données. C'est un peu comme avoir des règles claires pour les visiteurs de la bibliothèque. Finalement, la politique de classification des données n'est pas juste un simple document qu'on écrit une fois et qu'on oublie. Elle doit être revue régulièrement pour s'assurer qu'elle est toujours à jour avec les nouvelles lois, les nouvelles technologies et les changements de l'entreprise, comme l'utilisation du cloud par exemple. C'est comme réorganiser les étagères de temps en temps pour s'assurer que tout est au bon endroit. Pour que cette politique s'applique efficacement, il faut donc identifier les données que l'on a à traiter. Et ceci se trouve dans le chapitre Identifying data assets to classify Ce chapitre s'attaque à une question cruciale. Comment reconnaître et catégoriser toutes les données d'une entreprise gérée au quotidien ? C'est un peu comme si vous étiez l'organisateur d'une grande fête et que vous deviez identifier les invités dès leur arrivée pour savoir qui a droit à quoi. Vous avez des données qui naissent à l'intérieur de votre entreprise, comme les infos saisies par un employé par exemple, mais aussi des données qui arrivent de l'extérieur, comme celles partagées par des partenaires. Il faut les identifier rapidement et précisément. La règle est que dès que des données font leur apparition, on leur marque une sorte de badge virtuel. C'est ce qu'on appelle des métadonnées, c'est-à-dire des données qui décrivent les données. Ça peut être à leur création, ou lorsqu'elles sont découvertes cachées quelque part dans le système d'information. ou dernier cas possible, quand on les importe d'ailleurs. C'est crucial de le faire à ce moment-là. Car ça permet de ne pas perdre de vue ces données et de les protéger dès le départ. Mais ce n'est pas juste une question de sécurité. C'est aussi une manière de préparer l'avenir. Ces métadonnées sont comme des notes qu'on se laisse pour plus tard. Elles nous aideront à comprendre ce qu'on a entre les mains, même dans quelques années ou dans un contexte différent, comme avec l'arrivée des nouvelles technologies ou d'une nouvelle réglementation. Donc, identifier les données, c'est poser les fondations pour tout ce qui concerne leur gestion, les protéger, les utiliser correctement, et même les partager en toute sécurité. C'est une étape fondamentale qui demande de la rigueur et de la clairvoyance pour que l'entreprise soit bien organisée et prête pour les défis futurs. Sans faire cette analyse, implémenter une politique de cybersécurité reviendrait à protéger quelque chose sans savoir quoi exactement. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et poser des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Merci. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)