Classification des données : l’urgence du moment

2014 s’inscrit dans la droite ligne des années précédentes en matière de sécurité, avec son lot d’actes majeurs de piratage qui font la une des médias. Les agences gouvernementales, ainsi que les acteurs de la distribution, de la finance, des télécoms ou encore de la santé sont ainsi des cibles privilégiées. Face au nombre important d’entreprises victimes de cybercriminels, force est de constater que ces derniers sont très peu nombreux à répondre de leurs actes devant la justice. Certes, le concepteur du malware bancaire SpyEye a été arrêté.  Mais il s’agit davantage d’une exception que d’une généralité. Il faut dire que le monde est réellement sans frontières pour les cybercriminels, ce qui rend plus complexe de se défendre et de traduire ces personnes malveillantes en justice.

En tant que professionnels de la sécurité informatique, nous faisons de notre mieux pour aider les entreprises à lutter contre les assauts qui visent leurs infrastructures pour détourner leurs données de valeur. Au final, ce sont bien les données qui sont ciblées. Sans une classification adéquate des données, les organisations risquent (fort inutilement d’ailleurs) d’assurer le plus haut niveau de sécurité à toutes leurs données ou, pire, de déployer une sécurité générique, avec les risques de sécurité inhérents. Dans notre récent rapport de sécurité, qui dresse un récapitulatif de 2013 en matière de sécurité, nous exposons comment les cybercriminels monétisent les informations numériques, ainsi que les méthodes utilisées pour mener leurs attaques ciblées avec succès. Voici un post sur le blog de nos collègues américains qui synthétise ce document.

On comprend ainsi mieux l’intérêt de déployer un modèle de gestion des risques pertinent et spécifique à chaque organisation. Et en matière de gestion des risques, l’arbitrage devient nécessaire, un arbitrage entre les investissements à réaliser et les risques encourus en cas de piratage avéré des données. Il sera difficile voire impossible de réaliser ces arbitrages sans catégorisation des données! 

Je reviendrai sur cette problématique de catégorisation dans un post à venir sur les méthodes, best practices et problématique que rencontre les organisations lorsqu’elles déploient cette catégorisation.

Leave a Reply

Your email address will not be published. Required fields are marked *