Classification des données

Transcription

1 Classification des données 16 Novembre 2015 Présenté par : Mme Awatef HOMRI KHANCHOUCH Dir. De l audit de la sécurité des systèmes d information

2 Plan L ANSI en bref Les préoccupations du cloud computing Les enjeux de la protection des données Normes et Standards internationaux Expériences internationales Projet de classification des données Challenges et Perspectives 2

3 L ANSI Proactive Plan de réaction Amen Coordination internationale Investigation suite aux incidents Assistance pour le traitement des incidents Vulgarisation de la sécurité de l information Développement des compétences (Auditeurs, RSSIs, etc) Conformité (réglementaire, Standards internationaux,etc) Etudes Veille sur le cyberespace national Assistance à la maitrise d ouvrage Reactive Predictive SAHER SAHER Honeynet Threat intelligence 3

4 Nos données sont désormais sur le cloud Utilisation d un fournisseur d Internet, comme webmail, Hotmail, Gmail Accès à des fichiers et à des logiciels de travail via un portail Web Utilisation de Twitpics pour partager des photos sur Twitter, ou téléchargement d une vidéo sur Facebook Collaboration sur des documents avec des amis et des collègues à l aide de Google Docs Stockage de fichiers en ligne avec un service comme Dropbox 4

5 Préoccupations du cloud 5

6 Préoccupations du cloud Qui aura accès aux données? Aurai-je accès à mes données à n importe quel moment? Où sont stockées mes données? Pendant combien de temps mes données sont stockées? Que se passe t-il pour les données en rétention? Comment sont gérées les réquisitions éventuelles? Qu arrivera-t-il si nous arrêtons notre contrat?

7 Qui fait Quoi? L entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau

8 Enjeux de la protection des données Explosion des services dématérialisés et des volumes d information sur le réseau de l entreprise et sur internet Décentralisation de l environnement et l hétérogéneité des règles de sécurité interne Convergence des usages personnels et professionnels Expansion du périmètre de l entreprise et les transformations des frontières traditionnelles Croissance et complexité des menaces Exigences de transparence 8

9 Politique de protection des données Identifier les actifs immatériels de l entreprise Définir les orientations générales et les priorités Développer, mettre en œuvre et maintenir un référentiel de protection de l information (politiques, rôles et responsabilités, processus, normes) Sensibiliser et éduquer le management/les employés à tous les niveaux Identifier et traiter les risques prioritaires Assurer la conformité et contrôler. 9

10 Classification des données: un élément clé pour la protection des données Définition : Attribution d'une mention qui permet de caractériser la valeur et l'importance stratégique d'une donnée détenue par une entreprise et, conséquemment, le niveau de protection à lui accorder. Note : Les mentions varient selon les organisations et les données en cause. La classification de sécurité relative à la confidentialité, par exemple, peut comporter les niveaux suivants : public, diffusion restreinte, confidentiel, secret et très secret. 10

11 ISO version 2013 Mesure A Classification des informations Les informations doivent être classifiées en termes d exigences légales, de valeur, de caractère critique et de sensibilité au regard d une divulgation ou modification non autorisée. Mesure A Marquage des informations Un ensemble approprié de procédures pour le marquage de l information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l organisation. Exemple 1. la divulgation ne cause aucun dommage, 2. la divulgation provoque un dommage mineur, 3. la divulgation a un impact significatif à court terme sur les opérations ou les objectifs tactiques, la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la survie de l'organisation à risque.

12 FIPS PUB 199 Le format généralisé pour exprimer la catégorie de sécurité est : SC Information = {(confidentialité, impact), (Intégrité, impact), (Disponibilité, impact)}, Avec l impact potentiel est : Faible, Modéré, Elevé, Non Applicable Impact potentiel Description faible Une affection de la confidentialité, l intégrité ou la disponibilité pourrait avoir un effet négatif limité pour les activités de l entreprise, les actifs de l entreprise ou pour les particuliers. Modéré Une affection de la confidentialité, l intégrité ou la disponibilité pourrait avoir un effet négatif sérieux pour les activités de l entreprise, les actifs de l entreprise ou pour les particuliers. Elevé Une affection de la confidentialité, l intégrité ou la disponibilité pourrait avoir un effet négatif catastrophique pour les activités de l entreprise, les 12 actifs de l entreprise ou pour les particuliers.

13 Expériences internationales USA Le système de "classification" a trois niveaux de secret : «confidentiel», «secret», et «top secret». Les États-Unis avaient aussi un niveau «Restricted» pendant la Seconde Guerre mondiale, mais ce niveau n'est plus utilisé aujourd'hui. Le Freedom of Information Act (FOIA) permet l'accès à certains types d'information, à condition qu'ils ne soient plus couverts par le secret défense. Ce cadre juridique a été modifié par l'ordre exécutif du 29 décembre 2009 qui s'oppose au classement indéfini de documents. L'ordre établit un Centre national de déclassement aux National Archives et rend plus difficile le classement secret de documents antérieurement déclassés. Les documents sont par principe automatiquement déclassés après 25 ans, et ne rester secrets que si une agence gouvernementale demande une prorogation de cette durée au Centre national de déclassement. Au bout de 50 ans en moyenne, 75 ans au plus, tout document devient public, sauf si l'interagency Security Classification Appeals Panel (ISCAP, Bureau d'appel interagences de la classification de sécurité) admet une exception, qui ne pourrait être accordée que si le document révélerait une source humaine de renseignement ou des aspects clés d'armes de destruction massive. 13

14 Expériences internationales France La France utilise cinq niveaux de secret. quatre niveaux pour les informations classées («Très secret Défense», «Secret Défense», «Confidentiel Défense» et «Diffusion restreinte») Un niveau pour les informations non classées (cependant divisée en quatre catégories). Il existe également une mention «Spécial France» mais elle n'est pas un niveau de secret à part entière. La loi du 15 juillet 2008 sur les archives a créé la catégorie d'«archives incommunicables» pour lesquelles aucune procédure de déclassement n'est prévue. la mention «Diffusion restreinte» ne fait pas partie du secret : il s'agit d'une mention de protection qui n'est pas protégée par l'aspect pénal de la faute mais dont la divulgation est répréhensible du point de vue de la discrétion professionnelle. 14

15 Expériences internationales Royaume uni Quatre niveaux de secret : OFFICIAL, SECRET, TOP SECRET Ceux qui manipulent ces informations doivent avoir le niveau d'habilitation nécessaire, et la plupart du temps signer un document spécifique ("Official Secrets Act"). Les documents gouvernementaux non secrets sont estampillés "Not protectively marked". 15

16 Expériences internationales et généralement Classification Description TOP Secret Le plus haut niveau de secret de l'information. La divulgation publique de cette information pourrait causer un dommage extrêmement grave pour la sécurité nationale. Secret La divulgation publique d'une information classée secret pourrait nuire sérieusement à la sécurité nationale. Confidential La divulgation publique d'une information classée confidentielle pourrait nuire ou être préjudiciable à la sécurité nationale Restricted La divulgation publique d'une information classée restreinte pourrait causer des effets indésirables. Quelques pays n'utilisent pas cette classe. Unclassified Ce niveau est utilisé pour les documents gouvernementaux dont le niveau de sensibilité ne correspond pas à une des classes ci-dessus. Leur lecture ne nécessite pas d' habilitation spécifique. 16

17 Le projet de classification des données publiques Classe 1 Exig. de protection 1 Doc. papier Vidéo Données classifiées Doc. numérique Documents publics Référentiel unique pour la classification des données Classe 2 Exig. de protection 2... Classe n Exig. de protection n 17

18 Le projet de classification des données publiques Gestion du Cycle de vie des données 1 La création des données 2 Exigences d indexation Exigence de classement Exigences de marquage 3 Exigences d administration Exigences de contrôle des accès Exigences de gestion des màj Exigences de sauvegarde/récupération des données Exigences de chiffrement des données L échange des données Exigences d échange de données Exigences d utilisation de la signature électronique L exploitation des données 4 Fin de vie des données Exigences d archivage des données Exigences de destruction des données 18

19 Les challenges Conscience d avoir des informations sensibles à protéger mais : - Démarche complexe et risquée - Difficile d être automatisée - Souvent basée sur la confidentialité - Le contrôle de la classification est un exercice aussi complexe que la classification 19

20 Merci pour votre attention 20