Pourquoi classifier l’information ?
Toutes les informations ne nécessitent pas le même niveau de protection. Traiter tout de manière identique — soit avec une protection maximale, soit minimale — est inefficace et coûteux. La classification de l’information apporte la proportionnalité : la bonne protection pour les bonnes données.
L’idée fondamentale : Si vous ne savez pas ce que vous avez, vous ne pouvez pas le protéger correctement. La classification est la première étape vers une gestion consciente de l’information.
Le modèle CIA
Les trois valeurs de protection :
| Valeur | Question | Exemple d’impact |
|---|---|---|
| Confidentialité | Que se passe-t-il si des personnes non autorisées voient ceci ? | Atteinte à la réputation, perte concurrentielle, amendes GDPR |
| Intégrité | Que se passe-t-il si l’information est modifiée ? | Décisions erronées, perte économique, produits dangereux |
| Disponibilité | Que se passe-t-il si nous n’avons pas accès à ceci ? | Arrêt d’activité, échéances manquées, impact client |
Évaluez les trois séparément. Une information peut avoir une confidentialité élevée mais des exigences de disponibilité faibles (données d’archive), ou une disponibilité élevée mais une confidentialité faible (site web public).
Niveaux de classification
Information destinée au grand public. Aucun dommage si elle est diffusée. Exemple : Communiqués de presse, marketing, site web public.
Information quotidienne à usage interne. Dommage limité en cas de fuite. Exemple : Communication interne, procédures, réservations de réunions.
Information sensible nécessitant une protection. Dommage significatif en cas de fuite. Exemple : Données clients, plans d'affaires, données personnelles, contrats.
Information nécessitant la protection la plus élevée. Dommage grave en cas de fuite. Exemple : Secrets d'affaires, données personnelles sensibles, plans stratégiques.
Mesures de protection par niveau
| Niveau | Accès | Stockage | Transmission | Destruction |
|---|---|---|---|---|
| Ouvert | Tous | Aucune exigence | Aucune exigence | Aucune exigence |
| Interne | Employés | Protection de base | Normale | Normale |
| Confidentiel | Need-to-know | Chiffrement | Canal sécurisé | Sécurisée |
| Strictement confidentiel | Strictement limité | Chiffrement fort | End-to-end | Destruction vérifiée |
Processus de classification
- Identifier les actifs informationnels Inventorier les informations existantes. Systèmes, bases de données, documents, e-mails, services cloud. Où est stocké quoi ? Qui crée et utilise quoi ?
- Désigner les propriétaires d'information Chaque catégorie d'information nécessite un propriétaire — celui qui comprend la valeur métier. Souvent un chef de service ou propriétaire de processus, pas l'IT.
- Évaluer les valeurs CIA Le propriétaire de l'information évalue : Que se passe-t-il en cas de défaillance de confidentialité ? D'intégrité ? De disponibilité ? Utiliser des catégories de conséquences.
- Attribuer le niveau de classification Basé sur l'évaluation CIA, choisir le niveau. La valeur individuelle la plus élevée détermine. Confidentialité élevée + intégrité faible = Confidentiel.
- Définir les règles de traitement Quelles mesures de protection s'appliquent à chaque niveau ? Documenter dans une politique. Tous doivent savoir comment traiter chaque niveau.
- Mettre en œuvre le marquage Marquer l'information avec sa classification. Dans les documents, systèmes, e-mails. Rendre visible ce qui s'applique.
- Former et suivre Les collaborateurs doivent comprendre le système. Que signifient les niveaux ? Comment doivent-ils agir ? Suivre la conformité.
Marquage en pratique
Marquage de documents :
- En-tête/pied de page avec niveau de classification
- Page de garde pour documents sensibles
- Convention de nommage de fichiers (ex. CONF_rapport.docx)
Marquage d’e-mails :
- Ligne d’objet : [CONFIDENTIEL]
- Bannière de signature
- Marquage automatique dans le client e-mail
Marquage système :
- Métadonnées dans le système de gestion documentaire
- Étiquettes dans SharePoint/Teams
- Intégration DLP (Data Loss Prevention)
Marquage physique :
- Étiquettes sur classeurs et dossiers
- Signalisation dans les locaux contenant des informations sensibles
- Armoires verrouillables pour matériel confidentiel
Lien avec le GDPR
Les données personnelles nécessitent une attention particulière lors de la classification :
| Type de données personnelles | Classification typique | Justification |
|---|---|---|
| Nom, e-mail (généraux) | Confidentiel | Données personnelles, GDPR s’applique |
| Numéro de sécurité sociale | Strictement confidentiel | Sensible, risque d’abus |
| Données de santé | Strictement confidentiel | Catégorie particulière selon GDPR |
| Appartenance syndicale | Strictement confidentiel | Catégorie particulière selon GDPR |
| Coordonnées publiques | Ouvert | Destinées à la diffusion |
Lien avec NIS2
Pertinence NIS2 :
NIS2 exige des “mesures techniques et organisationnelles appropriées” basées sur le risque. La classification de l’information est fondamentale pour :
- Prioriser la protection — Concentrer les ressources sur l’information critique
- Définir les catégories d’incidents — Qu’est-ce qui est “significatif” ?
- Exigences fournisseurs — Quelles informations peuvent être partagées externement ?
- Planification de continuité — Qu’est-ce qui doit être restauré en premier ?
Exigences de l’article 21 concernant la classification :
- Gestion des risques (nécessite la compréhension de ce qui mérite protection)
- Contrôle d’accès (basé sur la sensibilité de l’information)
- Chiffrement (selon la classification)
Pièges courants
Tout devient "confidentiel" par sécurité. Résultat : Personne ne prend la classification au sérieux, le système s'érode.
L'IT détermine la classification sans input métier. Ils ne comprennent pas la valeur business — seulement la technique.
Classification faite une fois et jamais mise à jour. Les nouvelles informations restent dans les limbes.
Sept niveaux avec 20 attributs. Personne ne comprend, personne ne suit. Keep it simple.
Classification existe sur papier mais rien ne se passe. Même protection pour tout quand même.
Focus sur l'interne mais données dans Dropbox, Google Drive, Slack non classifiées.
Automatisation
La classification manuelle ne passe pas à l’échelle. Les outils modernes peuvent aider :
| Fonction | Description |
|---|---|
| Découverte automatique | Scanner les systèmes pour numéros de sécurité sociale, cartes de crédit, mots-clés |
| Suggestion de classification | Suggestions basées IA selon le contenu |
| Marquage | Étiquette automatique dans documents et e-mails |
| DLP | Empêcher l’envoi erroné de données confidentielles |
| Rapportage | Vue d’ensemble des données classifiées |
Conseils d’implémentation
Commencer simplement :
- Trois-quatre niveaux suffisent
- Se concentrer d’abord sur les nouvelles informations
- Service pilote avant organisation
- Itérer basé sur les retours
Ancrer :
- Décision de direction — politique requise
- Propriété de l’information — désigner les responsables
- Formation — tous doivent comprendre
- Suivi — mesurer la conformité
Support technique :
- Modèles de documents avec marquage
- Classification e-mail
- DLP pour surveillance
- Outils intégrés
Comment Securapilot peut aider
Securapilot soutient la classification de l’information :
- Registre d’actifs — Inventorier et classifier les actifs
- Évaluation CIA — Évaluation structurée des valeurs de protection
- Politique de classification — Modèles et guidance
- Lien avec le risque — Voir comment la classification affecte le profil de risque
- Rapportage — Vue d’ensemble de l’information classifiée
Réserver une démo et voir comment nous soutenons votre travail de classification.
Questions fréquentes
Combien de niveaux de classification sont nécessaires ?
3-4 niveaux suffisent pour la plupart des organisations. Plus de niveaux créent de la complexité sans bénéfice équivalent. Courant : Ouvert, Interne, Confidentiel, Strictement confidentiel.
Qui détermine la classification ?
Le propriétaire de l'information classifie. C'est la personne ou la fonction responsable de l'information du point de vue métier, pas l'IT. L'IT met en œuvre la protection.
Devons-nous tout classifier ?
En pratique, on se concentre sur l'information créée et traitée activement. Les données archivées peuvent être classifiées a posteriori si nécessaire. Commencez par le plus critique.
Que se passe-t-il en cas de classification erronée ?
La sur-classification entraîne des coûts inutiles et des obstacles. La sous-classification implique des risques. Il vaut mieux commencer prudemment et ajuster que de ne pas classifier du tout.
