Classifier

Classifier l’Information et les droits d’accès.

Pourquoi classifier les informations ?

Les données sont devenues l’or noir du XXIe siècle. L’ouverture au cloud et au Saas augmente le risque de fuites et donc met en péril vos activités. Mettre en place une protection centrée sur les données et leurs  accessibilitées permet de réduire ces risques. 

La classification

Qu'est-ce que c'est ?

C’est l’ensemble des processus techniques et organisationnels permettant de catégoriser l’information produite par une organisation et ses collaborateurs.

A retenir : une donnée ne doit être accessible qu’aux personnes autorisés.

Comment CLASSIFIER lES DONNEES ?

La classification doit débuter avec le premier créateur de contenu et donc de donnée : l’humain.

C’est les collaborateurs de l’entreprise qui sont au cœur du processus et donc responsables du contenu qu’ils utilisent. Cependant les règles et les outils de la classification doit venir du responsable sécurité, de la compliance ou de la direction selon les modèles d’entreprises.

Pour classifier l’information il existe plusieurs méthodes manuelles : 

  • Classification par des cases à cocher sur un document (métier et/ou sensibilité)
  • Classification par une nomenclature prédéfinit des documents (exemple : 01 sensible, 02 condentielle, 03 public… suivi du service 01RH…, 03ACHAT…)
  • Classification par dossier spécifique (dossier RH>Candidature>Confidentielle – Marketing>Publicité>Public…)
  • Classification par « métadonnées » : ceci implique des outils permettant cet ajout de manière simplifié pour les collaborateurs.
  • Classification par code couleur et/ou marquages visuels : par exemple via l’ajout d’un entête ou pied de page de couleur ou un filigrane sur le document.

Qu'elle type de données

Il existe 2 types de données :

  • Les données structurées : qui sont l’ensemble des informations répondant à un type de format et facilement identifiable, par exemple un numéro de sécurité sociale, un nom de domaine, une identité de personne (nom, prénom), un numéro de téléphone… Nous retrouvons en règle générale ces données dans des bases de données (fichier client, partenariat, administratif…).
  • Les données non structurées : celles-ci se retrouvent sous n’importe quel format (vidéo, son, présentation, image…) et sont le résultat produit par les collaborateur d’une entreprise.

 

Quel niveau de sensibilité existe-t-il ?

En France, il existe 3 niveaux de classification des informations : « Très Secret-Défense », « Secret Défense » et « Confidentiel-Défense ».

Pour une entreprise de type PME, ces niveaux de classification ne seront pas adaptés. Voici cependant des exemples de classification plus à même de répondre au besoin :

  • Par métier : RH, IT, Achat, R&D…
  • Par sensibilité : Interne, Confidentiel, Secret, Public…

Par quoi debuter ?

Pas de miracle ! Cela débute par une mise en place d’une politique en interne. Celle-ci doit définir les différents niveaux de sensibilité et les accès pour chacun de ces niveaux. Impliquer chaque service pour connaitre le degrés de sensibilité à apporter à chacune des informations qui sont traitées.

Ensuite tous les fichiers devront être classifiés selon des règles prédéfinies (exemple : une case à cocher sur les documents stipulant le niveau de sensibilité). Cette annotation devra être systématique pour être le plus efficace possible.

Troisième étape, séparer les rôles et les accès aux dossiers des collaborateurs. Un service de Ressources Humaines n’as besoin d’avoir accès aux données du service Achat et inversement.

Etape suivante, mettre en place les outils nécessaires à la classification. Ceci afin de facilité et aider les collaborateurs dans ce travail qui pourrait s’avérer fastidieux ou inutile pour certains. Adapter ces outils à vos besoins tout en ciblant la simplicité d’utilisation.

La dernière étapes est l'(in)formation : avertissez et montrez à tous vos collaborateurs comment classifier et pourquoi. Démontrer le bénéfice que cela peut apporter : meilleur classement des informations, recherche facilité de document. Ceci aura plus d’impact auprès de vos collaborateurs.