Une entreprise multinationale cherche à améliorer la gestion de ses informations sensibles en mettant en œuvre une politique de classification des données plus pertinente et efficace. Elle doit s’assurer que la classification est cohérente dans toute l’entreprise, qu’elle permet de répondre parfaitement aux exigences réglementaires et qu’elle permet également d’assurer la sécurité des informations les plus critiques de l’organisme.
Quelle stratégie devrait être adoptée pour améliorer la classification des données dans cette entreprise ?
[A] Classifier toutes les informations de l’entreprise comme hautement confidentielles pour assurer une gestion simple et unifiée de la sécurité
[B] Mettre en œuvre une politique de classification des données basée sur les niveaux de sensibilité et les exigences réglementaires
[C] Déterminer la classification des données uniquement sur la base du choix des départements qui les traitent
[D] Classifier les données par défaut sur un niveau intermédiaire et permettre aux dépositaires des données de modifier leur niveau de classification si nécessaire
Proposition [A] : Classer toutes les informations comme hautement confidentielles peut sembler simplifier la gestion de la sécurité, mais cela peut également entraîner une surprotection coûteuse et inefficace de données qui ne nécessitent pas un tel niveau de sécurité. Cela empêche d’autre part d’identifier les véritables données sensibles et donc de ne pas pouvoir priorisez leur sécurisation vis-à-vis d’autres données beaucoup moins sensibles.
Proposition [B] : Adopter une politique de classification des données basée sur les niveaux de sensibilité et les exigences réglementaires est la meilleure approche. Cela permet de s’assurer que les données sont protégées de manière appropriée selon leur importance et leurs exigences légales, optimisant ainsi les mesures de sécurité et facilitant la conformité réglementaire.
Proposition [C] : Laisser les départements déterminer la classification des données peut offrir une certaine flexibilité, mais cette approche manque de cohérence et peut mener à une classification incohérente et à des risques de sécurité non identifiés. Il est préférable que la classification soit gérée de manière centralisée pour maintenir l’uniformité à travers l’organisme.
Proposition [D] : Une politique de classification qui fixe de façon arbitraire un niveau intermédiaire n’est pas une bonne approche car elle risque fortement d’entrainer des problèmes de sécurité et de conformité règlementaire. D’autre part les dépositaires des données (data custodians) ne sont pas les entités légitimes pour déterminer le niveau de classification des données. Ce rôle revient généralement aux propriétaires des données (data owners) ou au responsable du traitement (Data controller).
La bonne réponse est la proposition [B]. Elle consiste en une approche équilibrée et adaptative qui prend en compte à la fois la sensibilité des données et les obligations réglementaires. Cette méthode améliore non seulement la sécurité des données mais facilite également la conformité règlementaire particulièrement complexe dans un contexte international.
Pour en savoir plus sur la classification des données nous vous recommandons de suivre le module n°5 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE