Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesModèle
Exemple de politique de Data Classification

Exemple de politique de Data Classification

1. Objectif de la politique de Data Classification

Expliquez pourquoi la classification des données doit être effectuée et quels avantages elle devrait apporter.

L'objectif de cette politique est d'établir un cadre pour la classification des données en fonction de leur sensibilité, de leur valeur et de leur importance pour l'organisation, afin que les données sensibles de l'entreprise et des clients puissent être sécurisées de manière appropriée.

2. Portée de la politique

Définissez les types de données devant être classifiées et précisez qui est responsable de la classification, de la protection et de la manipulation appropriées des données.

Cette politique s'applique à toute forme de données, y compris les documents papier et les données numériques stockées sur tout type de support. Elle concerne tous les employés de l'organisation, ainsi que les agents tiers autorisés à accéder aux données.

3. Rôles et Responsabilités

Décrivez les rôles et responsabilités associés à l'effort de classification des données. Les départements doivent désigner des individus qui seront responsables de l'exécution des tâches associées à chacun des rôles.

Responsabilités du propriétaire des données

Propriétaire des données — La personne qui est ultimement responsable des données et des informations collectées et maintenues par son département ou division, généralement un membre de la haute direction. Le propriétaire des données doit aborder les points suivants :

  • Révision et catégorisation — Révisez et catégorisez les données et informations collectées par son département ou division
  • Attribution des étiquettes de Netwrix Data Classification — Attribuez des étiquettes de Netwrix Data Classification en fonction du niveau d'impact potentiel des données
  • Compilation des données — Assurez-vous que les données compilées de plusieurs sources soient classifiées au moins au niveau de classification le plus sécurisé de n'importe quelle donnée classifiée individuellement
  • Coordination de la Netwrix Data Classification — Assurez-vous que les données partagées entre les départements soient classifiées et protégées de manière cohérente
  • Conformité de Netwrix Data Classification (en collaboration avec les responsables des données) — Assurez-vous que les informations à impact élevé et modéré sont sécurisées conformément aux réglementations et directives fédérales ou étatiques
  • Accès aux données (en collaboration avec les responsables des données) — Élaborer des directives d'accès aux données pour chaque étiquette de classification des données

Responsabilités du gardien des données

Les responsables des données — Techniciens du département informatique ou, dans les grandes organisations, du bureau de la sécurité de l'information. Les responsables des données sont chargés de maintenir et de sauvegarder les systèmes, bases de données et serveurs qui stockent les données de l'organisation. De plus, ce rôle est responsable du déploiement technique de toutes les règles établies par les propriétaires des données et de s'assurer que les règles appliquées au sein des systèmes fonctionnent. Certaines responsabilités spécifiques des responsables des données comprennent :

  • Contrôle d'accès — Assurez-vous que les contrôles d'accès appropriés sont mis en place, surveillés et audités conformément aux étiquettes de classification des données attribuées par le propriétaire des données
  • Rapports d'audit — Soumettez un rapport annuel aux propriétaires des données qui traite de la disponibilité, de l'intégrité et de la confidentialité des données classifiées
  • Sauvegardes de données — Effectuez des sauvegardes régulières des données d'état
  • Validation des données — Validez périodiquement l'intégrité des données
  • Restauration des données — Restaurez les données à partir des supports de sauvegarde
  • Conformité — Répondez aux exigences en matière de données spécifiées dans les politiques, normes et directives de sécurité de l'organisation concernant la sécurité de l'information et la protection des données
  • Surveillez l'activité — Surveillez et enregistrez l'activité des données, y compris des informations sur qui a accédé à quelles données
  • Stockage sécurisé — Chiffrez les données sensibles au repos pendant qu'elles sont stockées ; auditez l'activité des administrateurs du réseau de stockage (SAN) et examinez régulièrement les journaux d'accès
  • Conformité de la classification des données (en collaboration avec les propriétaires des données) — Assurez-vous que les informations ayant un niveau d'impact élevé et modéré soient sécurisées conformément aux réglementations et directives fédérales ou étatiques
  • Accès aux données (en collaboration avec les propriétaires de données) — Élaborer des directives d'accès aux données pour chaque étiquette de classification des données

Responsabilités des utilisateurs de données

Utilisateur de données — Personne, organisation ou entité qui interagit avec, accède, utilise ou met à jour des données dans le but de réaliser une tâche autorisée par le propriétaire des données. Les utilisateurs de données doivent utiliser les données de manière cohérente avec l'objectif prévu, et se conformer à cette politique et à toutes les politiques applicables à l'utilisation des données.

4. Procédure de Data Classification

Décrivez chaque étape de la procédure de Netwrix Data Classification étape par étape. Détaillez qui effectue chaque étape, comment les données sont évaluées pour leur sensibilité, que faire lorsque les données ne correspondent pas à une catégorie établie, etc.

Exemple d'une procédure détaillée :

1. Les propriétaires de données examinent chaque élément de données dont ils sont responsables et déterminent son niveau d'impact global, comme suit :

  • Si cela correspond à l'un des types prédéfinis d'informations restreintes énumérés dans l'annexe A, le propriétaire des données lui attribue un niveau d'impact global de « Élevé ».
  • Si cela ne correspond à aucun des types prédéfinis de l'Annexe A, le propriétaire des données doit déterminer son type d'information et les niveaux d'impact sur la base des orientations fournies dans les Sections 5 et 6 de ce document, et NIST 800-600 Volume 2. Le plus élevé des trois niveaux d'impact est le niveau d'impact global.
  • Si le type d'information et le niveau d'impact global ne peuvent toujours pas être déterminés, le propriétaire des données doit travailler avec les responsables des données pour résoudre la question

2. Le propriétaire des données attribue à chaque donnée une étiquette de classification en fonction du niveau d'impact global :

Niveau d'impact global

Étiquette de classification

Élevé

Restreint

Modéré

Confidentiel

Faible

Public

3. Le propriétaire des données enregistre l'étiquette de classification et le niveau d'impact global pour chaque donnée dans le tableau officiel de classification des données, que ce soit dans une base de données ou sur papier.

4. Les responsables des données appliquent les contrôles de sécurité appropriés pour protéger chaque donnée conformément à l'étiquette de classification et au niveau d'impact global consignés dans le tableau officiel de Netwrix Data Classification.

Exemple d'une procédure de base :

1. Les propriétaires de données examinent et attribuent à chaque donnée qu'ils possèdent un type d'information basé sur les catégories de NIST 800-600 Volume 1.

2. Les propriétaires de données attribuent à chaque donnée un niveau d'impact potentiel pour chacun des objectifs de sécurité (confidentialité, intégrité, disponibilité), en utilisant le guide de la Section 6 de ce document. Le plus élevé des trois est le niveau d'impact global.

3. Les propriétaires de données attribuent à chaque donnée une étiquette de classification basée sur le niveau d'impact global :

Niveau d'impact global

Étiquette de classification

Élevé

Restreint

Modéré

Confidentiel

Faible

Public

4. Les propriétaires de données enregistrent le niveau d'impact et l'étiquette de classification pour chaque donnée dans le tableau de Netwrix Data Classification.

5. Les responsables des données appliquent des contrôles de sécurité de l'information à chaque donnée en fonction de son étiquette de classification et de son niveau d'impact global.

5. Directive de Data Classification

Créez un tableau qui décrit chaque type d'actif d'information que l'agence stocke, détaille l'impact de chacun des trois objectifs de sécurité et spécifie les niveaux d'impact et la classification à attribuer à chaque type d'actif.

Utilisez ce tableau pour déterminer le niveau d'impact global et l'étiquette de classification pour de nombreux actifs d'information couramment utilisés dans l'organisation.

Documents de planification budgétaire fédérale

Les documents de planification budgétaire fédérale indiquent les dépenses potentielles pour l'année suivante. Ils comprennent des données sur les partenaires et les fournisseurs, ainsi que des données analytiques et de recherche.

Types d'informations

Contrôle des fonds

Les documents de contrôle des fonds comprennent des informations sur la gestion du processus budgétaire fédéral, y compris l'élaboration de plans et l'utilisation de programmes, budgets et résultats de performance, ainsi que des informations sur le financement des programmes et opérations fédéraux par l'attribution et la répartition de l'autorité de dépenses directes et remboursables, les transferts de fonds, les investissements et autres mécanismes.

Objectifs de sécurité

Impact sur la confidentialité

Impact sur l'intégrité

Impact sur la disponibilité

Description de l'impact

La divulgation non autorisée d'informations sur le contrôle des fonds (en particulier les allocations budgétaires pour des programmes spécifiques ou des éléments de programme) peut être gravement préjudiciable aux intérêts du gouvernement dans les processus d'approvisionnement. Dans de nombreux cas, une telle divulgation non autorisée est interdite par décret exécutif ou par la loi. La publication prématurée de brouillons d'informations sur le contrôle des fonds peut conférer des avantages à des intérêts concurrents et mettre sérieusement en danger les opérations de l'agence ou même sa mission.

Les activités de contrôle des fonds ne sont généralement pas critiques en termes de temps. Une accumulation de petits changements dans les données ou la suppression de petites entrées peut entraîner des déficits budgétaires ou des cas d'obligations ou de décaissements excessifs.

Les processus de contrôle des fonds sont généralement tolérants aux retards. En règle générale, une perturbation de l'accès aux informations de contrôle des fonds ne devrait avoir qu'un effet néfaste limité sur les opérations de l'agence, les actifs de l'agence ou les individus.

Niveau d'impact

Modérer

Modérer

Faible

Niveau d'impact global

Modéré

Étiquetage de Data Classification

Confidentiel

6. Détermination du niveau d'impact

Fournissez un tableau qui aidera les propriétaires de données à déterminer le niveau d'impact pour chaque élément de données en décrivant les objectifs de sécurité que vous souhaitez atteindre et comment l'échec à atteindre chaque objectif affecterait l'organisation.

Utilisez ce tableau pour évaluer l'impact potentiel sur l'entreprise d'une perte de confidentialité, d'intégrité ou de disponibilité d'un actif de données qui ne rentre pas dans les types d'informations décrits dans la Section 5 et NIST 800-600 Volume 2.

Objectif de sécurité

Impact potentiel

Faible

Modérer

Élevé

Confidentialité.

Restreindre l'accès aux données et leur divulgation aux utilisateurs autorisés afin de protéger la vie privée des personnes et sécuriser les informations propriétaires.

La divulgation non autorisée des informations devrait avoir des effets  limités négatifs sur les opérations, les actifs organisationnels ou les individus.

La divulgation non autorisée des informations devrait avoir un effet négatif grave sur les opérations, les actifs organisationnels ou les individus.

La divulgation non autorisée des informations devrait avoir un effet sévère ou catastrophique sur les opérations, les actifs organisationnels ou les individus.

Intégrité.

Protégez-vous contre la modification ou la destruction inappropriée des données, ce qui inclut la garantie de la non-répudiation et de l'authenticité de l'information.

La modification ou la destruction non autorisée des informations devrait avoir un effet limité sur les opérations, les actifs ou les individus.

La modification ou la destruction non autorisée des informations devrait avoir un effet néfaste sérieux sur les opérations, les actifs ou les individus.

La modification ou la destruction non autorisée des informations devrait avoir un effet sévère ou catastrophique sur les opérations, les actifs ou les individus.

Disponibilité.

Assurez un accès et une utilisation de l'information rapides et fiables.

Une perturbation de l'accès ou de l'utilisation des informations ou du système d'information est prévue pour avoir un effet limité sur les opérations, les actifs ou les individus.

Une perturbation de l'accès ou de l'utilisation des informations ou du système d'information est susceptible d'avoir un effet négatif grave sur les opérations, les actifs ou les individus.

Une perturbation de l'accès ou de l'utilisation des informations ou du système d'information est susceptible d'avoir un effet sévère ou catastrophique sur les opérations, les actifs ou les individus.

7. Annexe A

Décrivez les types d'informations qui devraient automatiquement être classifiés comme « Restreint » et se voir attribuer un niveau d'impact « Élevé ». Avoir cette liste rendra le processus de Netwrix Data Classification plus facile pour les propriétaires de données.

Types d'informations qui doivent être classifiées comme « Restricted»

Informations d'authentification

Les informations d'authentification sont des données utilisées pour prouver l'identité d'un individu, d'un système ou d'un service. Des exemples incluent :

  • Mots de passe
  • Secrets partagés
  • Clés privées cryptographiques
  • Tables de hachage

Informations de santé protégées électroniques (ePHI)

ePHI est défini comme toute information de santé protégée (PHI) qui est stockée ou transmise par des supports électroniques. Les supports électroniques incluent les disques durs d'ordinateur ainsi que les supports amovibles ou transportables, tels qu'une bande magnétique ou un disque, un disque optique ou une carte mémoire numérique.

La transmission est le mouvement ou l'échange d'informations sous forme électronique. Les supports de transmission incluent Internet, un extranet, des lignes louées, des lignes commutées, des réseaux privés et le mouvement physique de supports de stockage électroniques amovibles ou transportables.

Informations sur la carte de paiement (PCI)

Les informations de carte de paiement sont définies comme un numéro de carte de crédit combiné à un ou plusieurs des éléments de données suivants :

  • Nom du titulaire de la carte
  • Code de service
  • Date d'expiration
  • Valeur CVC2, CVV2 ou CID
  • Code PIN ou blocage de PIN
  • Contenu de la bande magnétique d'une carte de crédit

Informations personnellement identifiables (PII)

Les informations personnellement identifiables sont définies comme le prénom ou l'initiale du prénom et le nom de famille d'une personne en combinaison avec un ou plusieurs des éléments de données suivants :

  • Numéro de sécurité sociale
  • Numéro de permis de conduire délivré par l'État
  • Numéro de carte d'identité délivrée par l'État
  • Numéro de compte financier combiné à un code de sécurité, code d'accès ou mot de passe qui permettrait l'accès au compte
  • Informations sur l'assurance médicale et/ou santé

8. Historique des révisions

Assurez-vous de suivre tous les changements apportés à votre politique de Netwrix Data Classification.

Version

Publié

Auteur

Description

0.1

01/01/2018

John Smith

Original

Foire aux questions sur Data Classification

1. Qu'est-ce qu'une politique de classification des données et pourquoi est-elle importante ?
Une politique de classification des données définit comment une organisation identifie et catégorise ses informations en fonction de la sensibilité, de la valeur et des exigences réglementaires. Ce processus aide à garantir que les données sensibles telles que les dossiers clients, les informations financières et la propriété intellectuelle, sont correctement sécurisées, gérées et accessibles uniquement au personnel autorisé. Il joue également un rôle crucial dans le respect des obligations de conformité telles que le RGPD, l'HIPAA et d'autres.

Pour mieux comprendre les fondamentaux et apprendre à construire une stratégie efficace, lisez notre article : Data Classification: What It Is and How to Implement It. Cet article vous guide à travers le processus de classification, les avantages clés et des conseils pratiques pour la mise en œuvre.

2. Qui est responsable de la Netwrix Data Classification au sein d'une organisation ?
En général, les propriétaires de données, les gardiens et les utilisateurs partagent la responsabilité. Les propriétaires de données déterminent les niveaux de classification, les gardiens appliquent les contrôles et les utilisateurs doivent suivre les procédures de manipulation.

3. Quels sont les niveaux de classification des données les plus courants ?
La plupart des organisations utilisent trois à quatre niveaux, tels que :

  • Public – Informations non sensibles
  • Confidentiel – Données internes de l'entreprise
  • Restreint – Données hautement sensibles ou réglementées
  • Top Secret – Informations rares et critiques (pour certains secteurs)

4. Comment déterminer le niveau d'impact d'un actif de données ?
Évaluez les conséquences potentielles d'une violation de la confidentialité, de l'intégrité ou de la disponibilité en utilisant une échelle faible, modérée ou élevée. La note individuelle la plus élevée détermine généralement le niveau d'impact global.

5. À quelle fréquence une politique de classification des données doit-elle être révisée ou mise à jour ?
Au minimum, les politiques doivent être examinées annuellement ou lorsqu'il y a un changement organisationnel ou réglementaire majeur. Un historique des révisions clair aide à suivre les mises à jour.

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management