Lorsque l'on parle d'informations dans le cadre d'une organisation, qu'il s'agisse d'une entreprise privée ou d'une entité (non-)gouvernementale, l'un des premiers réflexes à avoir afin de maîtriser toute fuite potentielle dans le futur devrait être de classifier ladite information selon des niveaux clairs et précis. Il s'agit d'une démarche fastidieuse à réaliser lorsque l'organisation génère et possède de nombreux documents, c'est pourquoi entreprendre cette classification le plus tôt possible est préférable.
Nous allons évoquer ici quelques méthodes de classement de l'information en nous basant sur des sources reconnues dans le monde entier. Inutile de chercher à réinventer la roue lorsqu'elle existe déjà.
TLP - Traffic Light Protocol
La notation TLP est très répandue au sein d'organisations sensibilisées à la cybersécurité. Cette classification date du début des années 2000 par différentes équipes de défense nationales (notamment le Royaume-Uni et les États-Unis) et est aujourd'hui tenue à jour par l'organisation FIRST. Il s'agit d'une classification très simple basée sur des couleurs, mais dont l'utilisation semble limitée aux organisation proposant des services de cybersécurité.
Ci-dessous, vous trouverez une description des différentes étiquettes établies par cette notation, de la plus restrictive à la plus permissive:
- TLP:RED : document à destination des individus désignés uniquement. L'émetteur ne souhaite pas que cette information soit diffusée à d'autres individus
- Désignation simplifiée: uniquement pour les destinataires désignés
- Raison: la divulgation de ces informations pourrait poser un risque substantiel en matière de vie privée, de réputation ou pour les opérations des organisations impliquées
- Exemple: un rapport contenant la masse salariale de l'entreprise devrait être restreinte au maximum (direction, RH)
- TLP:AMBER+STRICT : document à diffusion limitée à l'organisation cible uniquement, sur la base du principe de nécessité de mise au courant (need-to-know).
- Désignation simplifiée: distribution strictement limitée
- Raison: la diffusion du document pourrait poser un risque en matière de vie privée, de réputation ou pour les opérations des organisations impliquées
- Exemple: les politiques de sécurité d'une entreprise ne regardent généralement que les membres de l'organisation
- TLP:AMBER : document à diffusion limitée à l'organisation cible et de ses clients, sur la base du principe de nécessité de mise au courant (need-to-know)
- Désignation simplifiée: distribution limitée
- Raison: la diffusion du document pourrait poser un risque en matière de vie privée, de réputation ou pour les opérations des organisations impliquées
- Exemple: les politiques de sécurité d'une entreprise ne regardent généralement que les membres de l'organisation
- TLP:GREEN : document dont la diffusion est autorisée dans un cadre plus large que l'organisation, sans toutefois être disponible publiquement
- Désignation simplifiée: distribution communautaire
- Raison: la diffusion du document peut participer à la sensibilisation d'une communauté de personnes averties, mais pourrait avoir des répercussions néfastes si l'information est rendue publique
- Exemple: un document précisant comment une attaque peut être menée sur un système, afin d'avertir d'autres professionnels de la cybersécurité quant à la nécessité de se prémunir contre celle-ci
- TLP:CLEAR : les destinataires peuvent librement diffuser l'information sans limitation particuilère
- Désignation simplifiée: distribution illimitée
- Raison: sous réserve des règles de copyright standard, les informations contenues dans le document peuvent être distribuées librement, sans restriction; le document ne présente pas de risque particulier (ou alors celui-ci est prévisible et faible) à l'organisation
- Exemple: les politiques de sécurité d'une entreprise ne regardent généralement que les membres de l'organisation
Sources:
Politique de classification des données
Une autre approche - largement plus répendue - est celle d'une classification des données en 4 catégories. Cette approche a été popularisée par la norme ISO 27001, portant sur la sécurité des systèmes d'information. Cette norme ne définit en revanche pas de niveaux attendus ni leur contenu. Dans les faits, on constate que la plupart des implémentation se basent sur les quatres grandes catégories suivantes, allant de la plus restrictive à la plus permissive:
- Donnée restreinte: qualifie tout document ou toute information de nature à porter une grave atteinte à l'organisation (réputation, conséquences financières). Seules les personnes autorisées peuvent y accéder
- Donnée confidentielle: qualifie tout document ou toute information pour lesquels une autorisation doit être accordée avant d'y accéder
- Donnée interne: qualifie tout document ou toute information librement accessible à l'interne d'une organisation, mais qui ne doit pas être rendu public
- Donnée publique: qualifie tout ce qui peut être accessible au public, que ce soit localement ou sur Internet
Il appartient à chaque entreprise de définir ses propres catégories, d'en ajouter ou même d'en supprimer si elle le souhaite.
Sources: