Desjardins, Revenu Québec, Industrielle Alliance : rien qu’en 2019, au Québec seulement, plusieurs grandes organisations ont dû reconnaître que des données personnelles de leurs clients avaient été exposées.
L’espionnage industriel cherche depuis longtemps à subtiliser des données confidentielles liées à la propriété intellectuelle. Mais dans les dernières années, avec la multiplication des transactions en ligne, ce sont les données personnelles qui ont suscité la convoitise des pirates informatiques. L’accès aux données personnelles est devenu leur première motivation. À preuve, 49 % des incidents de sécurité vécus par les entreprises canadiennes sondées par PwC concernaient les données de leurs clients.
Les clients ne sont pas les seuls visés. « Je rencontre beaucoup de gestionnaires qui pensent ne pas avoir de données personnelles à protéger parce que leur entreprise ne fait pas de vente en ligne, raconte Roger Ouellet, concepteur de solutions senior, responsable de la pratique de sécurité chez NOVIPRO. Je leur rappelle alors qu’ils possèdent forcément des informations personnelles de nature confidentielle sur une autre catégorie de personnes : leurs employés ! »
Trois aspects à protéger
Une entreprise doit protéger ses données critiques de façon adéquate pour garantir :
1. leur confidentialité — le premier impératif de sécurité est d’empêcher l’accès non autorisé aux données;
2. leur intégrité — une donnée n’est utilisable que si elle est exacte;
3. leur disponibilité — pour que l’entreprise puisse poursuivre ses activités, les données nécessaires doivent demeurer disponibles en tout temps.
Pour assurer la confidentialité, l’intégrité et la disponibilité des données critiques pour les activités de l’organisation, encore faut-il les avoir bien identifiées en vue de leur appliquer des mesures de sécurité spécifiques. D’où l’utilité de procéder à leur classification, qui vise à regrouper les données par catégories selon des critères définis.
Pour commencer, classifier les données
Avec la multiplication des sources de données, leur volume explose et elles sont de plus en plus variées. Chaque entreprise a besoin d’une vision claire sur les données dont elle dispose, afin de pouvoir concentrer ses efforts de sécurité sur les données critiques. C’est la première utilité d’une classification de données.
En classifiant ses données, l’entreprise peut aussi assurer plus facilement sa conformité aux réglementations — comme HIPPA dans le secteur de la santé et le Règlement général sur la protection des données (RPGD) pour les entreprises faisant affaire avec des clients européens. La classification des données facilite aussi leur traitement, ce qui rend l’entreprise plus productive.
La classification des données en 3 étapes
1. Établir une politique de classification
« L’entreprise doit d’abord préciser les objectifs de sa classification, conseille Roger Ouellet. Puis, elle doit définir un schéma de classification, établir les processus qui permettront cette classification, assigner à un service ou à un individu la responsabilité de surveiller chaque catégorie, et fixer les règles de manipulation des données dans chaque catégorie. »
2. Identifier les données critiques
Une fois catégorisées, on peut plus facilement identifier quelles catégories sont critiques, et pour quelles raisons. Il peut s’agir d’un impératif de confidentialité. À haut niveau, on peut ainsi distinguer :
• les données publiques, qui peuvent ou doivent être accessibles au public;
• les données internes, qui ne doivent normalement pas sortir de l’organisation, mais dont la fuite ne causerait pas de tort majeur; et
• les données confidentielles, dont la divulgation aurait des répercussions négatives considérables.
D’autres données peuvent être classées critiques parce qu’elles sont indispensables à la bonne marche quotidienne de l’organisation.
3. Utiliser la classification pour orienter la stratégie de sécurité et de continuité des affaires
La classification sert de base à la définition de la gouvernance des données de l’entreprise. Elle permet également de prioriser, dans le budget de l’entreprise, les investissements et les coûts récurrents qui doivent être consacrés à sécuriser et assurer la disponibilité de chaque catégorie de données.
À chaque catégorie de données, ses utilisateurs autorisés
Les données classées critiques ne doivent être accessibles qu’à des utilisateurs expressément autorisés à les consulter. Dans un environnement où ces données peuvent être hébergées autant dans l’entreprise que dans le nuage, la microsegmentation est une bonne méthode pour appliquer les restrictions d’accès. Elle consiste à segmenter virtuellement le réseau de sorte que chaque utilisateur voie seulement les serveurs, les applications et les données auquel il a accès.
La méthode de la microsegmentation s’inscrit bien dans un cadre de travail de type « zéro confiance ». Dans un environnement zéro confiance, la surveillance ne s’arrête jamais : même après qu’il ait été autorisé à se connecter, chaque utilisateur continue à être surveillé pendant qu’il utilise le réseau et manipule les données afin d’identifier tout comportement suspect. En suivant ce principe zéro confiance, l’entreprise peut s’assurer que les données qu’elle a classées critiques ou confidentielles ne seront pas visibles au regard d’utilisateurs non autorisés.