Classification des données : la première étape pour sécuriser votre propriété intellectuelle

Mettez votre entreprise à l’abri des piratages d’envergure qui font la une de l’actualité

christophe-auberger-Fortinet-article

Christophe Auberger, Directeur Technique France chez Fortinet

Le piratage médiatisé du site Ashley Madison devrait inciter toute entreprise hébergeant des  données (à vrai dire, toutes les entreprises de la planète) à se pencher sérieusement sur la sécurité de leurs données. Dès lors que vous saisissez des informations d’une personne dans  la base de données de votre entreprise, vous devez vous assurez que ces dernières restent  privées et confidentielles. Cette exigence fait parti des bonnes pratiques, et, dans certains  pays, elle est même réglementaire. En cas de piratage et de divulgation de ces données, vous  pourriez bien encourir des poursuites judiciaires et des pénalités… sans compter la mauvaise  presse qui ternira l’image de votre entreprise. 

Les entreprises soumises aux réglementations les plus strictes, dans les métiers de la finance  et des soins de santé par exemple, connaissent plutôt bien les informations dont elles  disposent, ainsi que leur niveau de confidentialité. Mais de nombreuses autres entreprises ne  sont pas forcément au fait de leurs obligations en matière de sécurité de leurs bases de  données. A titre d’exemple, un point de vente est susceptible de détenir des informations  personnelles liées à un programme de fidélité, tandis qu’un acteur de la vente par  correspondance gère des centaines ou des milliers de numéros de carte de paiement. Autant  de données qui exigent d’être parfaitement sécurisées.

Et il ne s’agit pas que des informations personnelles : toute ressource ou donnée  confidentielle ou propriétaire (propositions commerciales, rapport de gestion de la relation  clients, plans stratégiques, et autres), bien que ne relevant pas forcément de la réglementation  en matière de confidentialité des données, doit néanmoins rester à l’abri des regards  indiscrets. Et pour compliquer les choses, dès que vous stockez les données dans le Cloud ou  dans des centres de données tiers, vous perdez quelque peu le contrôle sur la gestion de ces  données. Pas simple et clair de connaître précisément vos obligations et responsabilités.

Les métadonnées, essentielles à la protection des données

L’une des étapes clé lorsque vous sécurisez vos bases de données est de classifier ces  données. Toutes les données ne représentent pas la même valeur pour votre entreprise.  Certaines, d’ordre financière, ou portant sur des informations clients ou personnelles, exigent  une protection optimale. D’autres éléments, à l’image de documents internes généralistes ou  de brochures marketing ne sont pas aussi sensibles. Il est donc pertinent de ne pas traiter  toutes vos données de la même façon. La hiérarchisation des données peut également  impacter le stockage. Certaines données peuvent être stockées en mémoire pour un accès  rapide, tandis que d’autres trouveront leur place sur des bandes magnétiques.

Le concept essentiel qui sous-tend cette approche est celui de la métadonnée. C’est une  information à propos d’une information. Une métadonnée descriptive, lorsque formulée de manière appropriée, présente un réel atout pour votre stratégie de sécurité de données. Les  métadonnées peuvent contenir des champs dédiés au niveau de la confidentialité (public ou  privé, secret, très sensible, etc.), la date de recueil des données, le détail des traitements  réalisés sur les données, les niveaux d’accès (rôles et profils pouvant accéder à cette donnée)  et, très important, le délai à partir duquel ces données peuvent être supprimées.

Arbitrer le coût de la sécurité/du stockage des données et leur valeur

Les audits de données gagnent en importance et témoignent de la lutte menée par les  organisations pour sécuriser et stocker des bases de données toujours plus volumineuses.  Avec la business intelligence, les référentiels de données et le Big Data, les organisations se  contentent de recueillir les données une fois, pour ensuite les propager sur l’ensemble de leur  parc systèmes. Le stockage et la sécurité des données sont onéreux et les meilleures pratiques  incitent à évaluer vos investissements de sécurité et de stockage compte tenu de la valeur de  chaque profil de données pour votre organisation. Les métadonnées forment ainsi un levier  qui permet d’effectuer des audits de données efficaces et exhaustifs.