Introduction sur la classification : définition
La classification des données (ou contenus) consiste à attribuer un niveau de sensibilité ou de confidentialité à des informations, en fonction de leur valeur, de leur criticité ou de leur impact potentiel en cas de divulgation ou de perte. Cette classification permet de définir des règles de sécurité et d'accès adaptées à chaque niveau, pour protéger les informations contre les menaces internes ou externes et garantir leur intégrité, leur disponibilité et leur confidentialité.
En plus de cette classification des données, il est important de définir des contrôles d’accès (qui peut voir quoi), d’auditer et détecter les violations de données, de réduire les risques et de vérifier la conformité réglementaire (donc choisir l’infogérance adaptée).
Une importance réglementaire
En plus de son utilité d’un point de vue sécurité et confidentialité, certaines lois (RGPD, Loi n° 68-678 dite "loi de blocage",...) ou réglementations (« Cloud au centre » SG 6282-SG du 5 juillet 2021 et qualification SecNumcloud) sans parler du monde de la défense nationale (IG 1300/SGDSN/PSE/PSD « Protection du secret de la défense nationale » en France, Executive Order 12356 aux Etats-Unis) ou de la santé, imposent le contrôle de certaines données comme les données personnelles, les données sensibles, ...
Au niveau Européen :
Dans le RGPD [Article 5.1(f)], il est indiqué concernant les données personnelles :
(f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
Dans le nouveau « Règlement européen sur les données » (UE) 2023/2854 [Article 4] :
§6 ... Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec l'utilisateur de mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées ...
(101) ... Dans d'autres cas, il peut arriver qu'une demande de transfert de données à caractère non personnel ou d'accès à de telles données fondée sur le droit d'un pays tiers soit incompatible avec l'obligation de protéger ces données au titre du droit de l'Union ou au titre du droit national de l'État membre concerné... en matière sécurité nationale ou de défense, ainsi que des données commercialement sensibles, notamment des secrets d'affaires, ou des droits de propriété intellectuelle ...
Dans la Décision du Conseil à destination des organismes européens « Règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne » (2013/488/UE) [Article 3.1] « Gestion de la classification » :
1. Les autorités compétentes veillent à ce que les ICUE soient classifiées de manière appropriée, clairement identifiées en tant qu’informations classifiées, et qu’elles ne conservent leur niveau de classification qu’aussi longtemps que nécessaire.
Au niveau Français :
Dans la circulaire à destination des administrations « Cloud au Centre » n° 6282-SG du 5 juillet 2021 [R9] :
Si le système ou l’application informatique manipule des données d’une sensibilité particulière, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État : l’offre de cloud commercial retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification européenne d’un niveau au moins équivalent) et être immunisée contre toute réglementation extracommunautaire
Dans la loi de blocage [Art.1er] qui s’applique aux entreprises privées françaises :
qu’aucune communication d’informations sensibles détenues par une société française à destination d’une autorité publique étrangère requérante ne puisse porter atteinte aux intérêt de la Nation
Au niveau des Etats-Unis :
Dans le NIST SP 800-53 (pour les agences fédérales américaines), AC-3 (11) « Restreindre l'accès à des types d'informations spécifiques » & (13) « Contrôle d'accès basé sur les attributs » :
... restreint l'accès au système aux utilisateurs autorisés sur la base d'attributs organisationnels spécifiés (par exemple, fonction, identité), d'attributs d'action (par exemple, lecture, écriture, suppression), d'attributs environnementaux (par exemple, heure de la journée, emplacement) et d'attributs de ressources (par exemple, classification d'un document) ...
Dans loi sur les données de santé HIPAA (« Health Insurance Portability and Accountability Act ») que nous détaillerons pas ici.
Au niveau des normes :
Dans la norme ISO 27001:2022 Annexe A 5.12 « Classification des informations » :
Les informations doivent être classées en fonction des besoins de l'organisme en matière de sécurité de l'information, sur la base de la confidentialité, de l'intégrité, de la disponibilité et des exigences pertinentes des parties intéressées.
Bien sûr il existe de nombreux autres textes et normes, par exemple dans le secteur bancaire et financier la norme PCI-DSS (Payment Card Industry Data Security Standard) que nous détaillerons pas ici.
Comme on peut le constater que cela soit pour le secteur privé ou public, le nombre de réglementation et/ou norme à suivre est très important.
Ce qu’il faut retenir est que quelque soit le texte sous-jacent, il faut classifier les données sensibles (personnelles, santé, secrets des affaires, bancaire, ...).
Rapide panorama des modèles de classification
De nombreux modèles de classification existent segmenté généralement entre civil et militaires.
Dans les entreprises privées, les normes et textes n’imposent que rarement les niveaux de classification. En France à noter que la loi de blocage renvoie sur une classification particulière (type « Sensible souverain »).
On trouve néanmoins assez régulièrement :
- C0 – Public ou Non classifié (NC)
- C1 – Interne
- C2 – Confidentiel
- C3 – Restreint / Secret
- Rarement C4 – Top Secret
A noter que le niveau C3 peut nécessiter des protections supplémentaires comme le chiffrement des documents.
A noter le “Traffic Light Protocol)” (TLP) proposé par le « FIRST » et repris par l’Agence Européenne CERT-EU (« Computer Security Incident Response Team ») et le CISA Américain (« Cybersecurity and Infrastructure Security Agency »). Il s’agit plutôt d’un protocole entre acteurs de la sécurité et concerne les emails, les documents et même les conversations de messagerie instantanée :
- TLP:CLEAR (aucune restriction en interne ou externe)
- TLP:GREEN (diffusion limitée à une « communauté »)
- TLP:AMBER (liste de diffusion limitée dans l’organisation et/ou ses « clients »)
- TLP:AMBER+STRICT (équivalent de Diffusion interne)
- TLP:RED (liste définie et limitée)
Pour le militaire on trouvera par exemple la classification OTAN :
- COSMIC Top Secret (CTS)
- NATO Secret (NS)
- NATO Confidential (NC)
- NATO Restricted (NR)
Exemple de classification par type de contenus
| HAUTE | MODERE | BASSE |
| Données de santé | Candidature, CV, Entretiens, Contrats de travail, salaire, ... | Liste des contacts de l’entreprise |
| Données personnelles dont numéros d’identification (Sécurité Sociale, Passeport, Permis, ...) | Notes et compte-rendus de direction | Notes de service internes sans informations critiques |
| Propriété intellectuelle | Information sur les clients, contrats commerciaux, ... | Procédures |
| Informations sur les salaires et les compensations des dirigeants | Données financières, budgets, ... |
|
| Secrets des affaires (Plan d’affaires, Rapports annuels avant publication, Fusion-acquisition, ...) | Contrats de partenariats, fournisseurs |
|
| Détails bancaires et informations sur les comptes de l'entreprise |
|
|
| Données de recherche critique |
|
|
| Données d’authentification (mot de passe, PIN, clefs privés, ...) |
|
|
|
Rapport de vulnérabilité |
|
|
Les données de "haute sensibilité" peuvent être classées "C3 - Restreint / Secret", les données sensibilité "modérées", "C2 - Confidentiel" par exemple.
Mise en pratique
La mise en pratique va bien sûr dépendre du système d’information utilisé pour gérer les contenus. Un serveur de fichiers sera très limité alors qu’une GED offrira beaucoup plus de possibilités.
Dans une GED il y a tout d’abord le ‘type de document’ (appelé parfois ‘Catégorie’) qui en théorie pourrait aider à la classification. Ce type de document peut être ‘Contrat’, Bulletin de Salaire’, ....
Néanmoins il n’en détermine pas toujours la sensibilité. Par exemple un ‘Compte-rendu’ n’aura pas la même sensibilité si il s’agit d’un compte-rendu de direction ou d’un service, ou de son objet (projet d’acquisition en cours, ...).
D’autres métadonnées seront donc nécessaires comme le type d’informations contenues (‘Données Personnelles’, ‘Données financières’,...), et/ou directement le niveau de classification (‘C0’, ‘C1’, ...).
Ce niveau de classification peut être déterminé d’une façon manuelle, semi-automatique et potentiellement dans le futur automatiquement notamment par de l’IA (mais un contrôle humain sera forcément nécessaire vu les risques en cas d’erreur)
Une fois la classification des données effectué, il faut en déterminer des règles d’accès. Certains utilisateurs auront donc des habilitations pour certains niveaux de classification.
Il est également possible que des ‘espaces’ (ou ‘dossiers’ terme de GED) soient définis avec un niveau de classification. Un espace 'C2' n’autorisant que des contenus de type 'C2' ou moins, et des utilisateurs de niveau 'C2' ou plus.
A savoir, certains niveaux de classification élevés nécessitent dans certaines réglementations un chiffrement des documents et un hébergement certifié type SecNumCloud en France ou C2S (Etats-Unis), ou la future réglementation EUCS (« European Union Cybersecurity Certification Scheme on Cloud Services »).
Quelques Références :
- Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Actualisation de la doctrine d'utilisation de l'informatique en nuage par l'État (« cloud au centre»)
- La loi « de blocage » : réforme et publication d'un guide
- "Guide à usage des entreprises d’identification des données sensibles"
- NIST SP 800-53 Rev. 5 "Security and Privacy Controls for Information Systems and Organizations" (ENG)