2019

White paper series

Édition 6

CLASSIFICATION
DES DONNÉES
 CLASSIFICATION
DES DONNÉES
 CRÉDITS
Luis Almagro
Secretario General
Organización de los Estados Americanos (OEA)

Equipo técnico OEA

Farah Diva Urrutia
Alison August Treppel
Belisario Contreras
Kerry-Ann Barrett
Diego Subero
David Moreno
Mariana Cardona
Jaime Fuentes
Kadri Kaska
Elsa Neeme
Klaid Mägi
Lauri Luht

Equipo técnico AWS

Abby Daniell
Michael South
Andres Maz
Melanie Kaplan
Min Hyun
 CONTENU
1. INTRODUCTION...................................... 5
STRUCTURE 6

2. PRINCIPES DE CLASSIFICATION DES DONNÉES

ET DE L’INFORMATION............................... 7

3. QUELS SONT LES MODÈLES EXISTANTS DU

SECTEUR PUBLIC?....................................... 9
LES ÉTATS-UNIS D’AMERIQUE 9
ROYAUME-UNI 11
ARGENTINE 12

4. RECOMMENDATIONS POUR L’
ÉTABLISSEMENT D’UN SYSTEME DE
CLASSIFICATION DES DONNÉES.................. 13

AUDIT 13
MISE EN ŒUVRE 14
CONTROLE 15
RÉVISION 16

5. RESSOURCES RECOMMANDÉES................ 17

6. ANNEXE I. SCENARIOS DE RISQUE...........19

CLASSIFICATION DES DONNÉES 3

 CLASSIFICATION
DES DONNÉES
Introduction
1
Les organisations, les personnes et les milliards La première question souvent posée est la
d’appareils connectés produisent, traitent et suivante : « Pourquoi ne pas simplement protéger
consomment toutes sortes de données par jour. toutes les données au plus haut niveau et gagner
Plus de 2,5 quintillions d’octets de toutes sortes du temps ? » Pour les gouvernements, cela n’est
de nouvelles données1 sont produits, chaque jour, tout simplement pas faisable sur le plan financier
pour être analysés, traités et stockés. L’éventail et annule certains autres avantages d’une
des données est également varié, allant des classification et d’un étiquetage appropriés des
uns et zéros provenant de simples dispositifs différents types de données. Premièrement, les
IdO (Internet des Objets) qui renseignent sur un niveaux les plus élevés de protection des données
événement on/off (par exemple, un détecteur impliquent des coûts supplémentaires. Il s’agirait
de mouvement), les conditions météorologiques, donc de1 dépenser plus que ce qu’elles valent en
le trafic, les transactions financières, la santé termes de protection des données. D’un autre
et aux médias sociaux, entre autres. De même, côté, si toutes les données sont traitées de la même
les gouvernements, qui font l’objet du présent façon et ne sont pas différenciées, il peut être
document, produisent, gèrent et stockent des difficile de mettre en œuvre des contrôles d’accès
pétaoctets de données. La diversité des données appropriés et les données sensibles peuvent être
nous amène à nous demander quelles sont les accessibles aux personnes qui n’ont pas de raison
bonnes politiques qu’un gouvernement devrait officielle d’avoir accès à ces données. Finalement,
suivre pour classifier et stocker les données il est possible de réaliser des gains d’efficacité
qu’il détient. Les gouvernements ont répondu à dans la gestion et la communication de données
cette question en élaborant des politiques de correctement organisées, regroupées, sécurisées
classification des données sous forme de lignes et étiquetées en fonction de leur classification.
directrices précises, à l’intention des organismes
gouvernementaux, décrivant la façon dont les La classification des données permet aux
différents types de données devraient être classés, organisations de réfléchir à leur sensibilité et
protégés, manipulés, stockés et traités en fonction leur impact commercial, ce qui les aide ensuite à
de leur niveau. évaluer les risques associés aux différents types

1 Forbes : Combien de données créons-nous chaque jour ? The Mind-Blowing Stats Everyone Should Read. [Link]
how-much-data-do-we-create-every-day-the-mind-blowing-stats-everyone-should-read/#49f394760ba9

CLASSIFICATION DES DONNÉES 5

de données. Des organismes de normalisation Les recommandations contenues dans ce
réputés, comme l’Organisation internationale livre blanc peuvent être appliquées quel que
de normalisation (ISO) et l’Institut national soit le type d’organisation. Néanmoins, elles
des standards et de la technologie (NIST, visent principalement à présenter aux entités
National Institute of Standards and Technology), gouvernementales qui fournissent des services
recommandent des systèmes de classification des publics, des considérations clés à prendre en
données pour que l’information puisse être gérée compte lors de ce processus.
et sécurisée plus efficacement en fonction du
risque relatif et de la criticité qu’elle représente, |Structure|
puis déconseille les pratiques qui traitent toutes
les données de façon égale. Malgré le fait que Le présent Livre blanc vise à fournir des orientations
chaque organisation traite et classifie les données pour l’élaboration d’un système de classification
en fonction de leurs besoins, de leurs règlements des données qui permette d’assurer la protection
et même de leurs capacités respectives, il est et l’accès à l’information produite et traitée par
toujours nécessaire d’établir un ensemble de les gouvernements. Il évalue les approches de
contrôles de sécurité de base qui offrent une classification des données existantes tant au niveau
protection appropriée contre les vulnérabilités, national qu’international, afin de proposer un outil
les menaces et les risques proportionnellement fonctionnel de classification des données et le moyen
au niveau de protection défini, notamment dans d’éviter tout risque potentiel de sousclassification ou
le secteur public. surclassification des informations.

Les avantages d’une classification efficace des Ce Livre blanc est divisé en quatre sections : i.
données pour une organisation sont multiples. En Principes de classification des données et de
effet, l’organisation est ainsi en mesure d’améliorer l’information ; ii. Quels sont les modèles existants
son accessibilité au données et son efficacité du secteur public ? iii. Recommandations pour
organisationnelle. Une classification efficace des l’établissement d’un système de classification des
données permet de s’assurer que l’information données ; iv. Ressources recommandées permettant
bénéficie d’une protection appropriée en fonction un aperçu des principes de la classification des
de sa sensibilité, de sa valeur et de sa criticité, ainsi données, ainsi que quelques recommandations
que de la nature et du degré de risques liés à sa pour leur mise en œuvre. Afin d’illustrer certains
divulgation, détérioration ou destruction injustifiée. des modèles existants du secteur public, la section
II présente une analyse de l’expérience des États-
Le but de ce livre blanc est de fournir des Unis, du Royaume-Uni et de l’Argentine en matière
orientations pour l’élaboration d’un système de mise en œuvre et de réglementation générale de
de classification des données afin d’assurer la la classification des données. Les études de cas des
protection et l’accès à l’information produite États-Unis et du Royaume-Uni sont particulièrement
et traitée par les gouvernements. Il convient de pertinentes étant donné leur niveau de rigueur et
souligner qu’une politique de classification des de sophistication. Le cas de l’Argentine présente,
données est nécessaire quel que soit le type quant à lui, l’expérience d’un pays de la région
d’infrastructure utilisé par une organisation : sur de l’Amérique latine et des Caraïbes. Les
site, sur le cloud ou mobile. Une politique de recommandations de ce livre blanc doivent, avant
classification des données fournit des directrices tout, être appliquées au contexte et aux besoins
aux organisations quant au niveau de sécurité de votre organisation dans l’établissement d’une
et aux processus associés au stockage et à stratégie de protection des données.
la gestion des différents types de données.

6 CLASSIFICATION DES DONNÉES

Principes de classification des
données et de l’information

2
La mise en place d’une gestion de l’information, nationales (et régionales) ainsi que les instruments
de façon générale, et de la classification des à disposition des organisations internationales
données, en particulier, peut varier selon en matière de gestion de l’information. Ces
le type d’organisation. Toutefois, certains principes doivent être utilisés comme guide
principes fondamentaux sont communs à plutôt que comme point de référence unique et
tous les gouvernements, organisations non permanent dans l’élaboration ou l’amélioration
gouvernementales et organisations commerciales. d’une stratégie de gestion de l’information et de
Les considérations qui suivent exposent six classification des données.
principes provenant de sources juridiques

Approche en 1
Proportionnalité
matière de gestion
des riques

Approche axée sur Rôles et  

le contenu et responsabilités
technologiquement  clairement
neutre définis

Principes de
Ouverture, Approche
transparence et
classification
fondée sur le 
valeurs sociétales des données et cycle de vie
de l'information

Figura 1- Principes de classification des données et de l’information

CLASSIFICATION DES DONNÉES 7

1. Ouverture, transparence et valeurs sociétales : La classification doit être utilisée avec
prudence et conformément à la sensibilité, à la valeur et à la criticité des données. Les restrictions
d’accès ne doivent être effectuées que dans les cas où la divulgation d’informations pourrait nuire
aux intérêts légitimes et aux obligations légales de l’organisation elle-même, de son personnel
ou de tiers. Dans de tels cas, les procédures spécifiées doivent être strictement observées de
manière à s’assurer que l’information n’ait pas été divulguée délibérément ou par inadvertance.
Le défi consistera à ne pas surclasser l’information pour des raisons de commodité ou praticité,
au détriment de la transparence et de la confiance du public et ainsi priver les parties prenantes
d’être maîtres de leurs propres décisions en matière de gestion des risques.

2. Approche axée sur le contenu et technologiquement neutre : Les informations

doivent être classées en fonction de leur contenu et des risques associés à la diffusion de leur
contenu, quels que soient leur format, support ou origine. Aucune discrimination fondée sur
le format ou le support de l’information (analogique (papier) ou numérique) ne devra avoir
lieu, qu’elle soit stockée dans un système d’information, sur des supports de stockage, sur des
appareils mobiles ou sur le Cloud. De même, la décision de classification de l’information
devra dépendre du contenu lui-même et ne devra pas nécessairement découler de la source
sur laquelle elle se fonde, à laquelle elle répond ou à laquelle elle fait référence. Ainsi, le
fait de se fier à des sources publiques ne devra pas automatiquement amener à ce que
l’information agrégée puisse être rendue publique.

3. Approche en matière de gestion des risques : L’information devra être protégée en

fonction de son degré de sensibilité, de sa valeur et de sa criticité. L’approche habituellement
utilisée est graduelle et proportionnelle à la valeur et au risque. Un niveau de protection
comprend l’ensemble des mesures visant à réduire les risques à un niveau acceptable, c’est-
à-dire la gravité potentielle et la probabilité de divulgation de l’information. Pour déterminer
le niveau de sensibilité et la valeur de l’information, il faut tenir compte à la fois du degré de
dommage potentiel dans le cas de divulgation (divulgation non autorisée, modification ou
perte) ainsi que de la valeur potentielle des données.

4. Proportionnalité: Les informations doivent être classées à un niveau approprié qui doit être
aussi bas que possible, mais aussi important que nécessaire.

5. Rôles et responsabilités clairement définis : La politique et les processus devront être

élaborés pour permettre la sécurité de l’information au sein de l’organisation et être ratifiés
par l’engagement de la direction envers la sécurité de l’information.

6. Approche fondée sur le cycle de vie : Dans le cadre d’un système de gestion de l’information,
le système de classification devra tenir compte de l’information tout au long de son cycle de vie :
depuis sa création ou sa réception à sa destruction, en passant par son stockage, récupération,
modification, transfert, copie et transmission. De plus, la politique de gestion de l’information et de
traitement des données d’une organisation ne devra pas être gravée dans le marbre, mais pourra
évoluer régulièrement afin de répondre aux besoins et aux attentes de l’organisation.

8 CLASSIFICATION DES DONNÉES

Quels sont les modèles
existants du secteur public ?

3
La mondialisation a entraîné une tendance car largement applaudie pour la convergence
à la convergence de la terminologie de la de ses données ouvertes avec la classification
classification des données. Cette convergence de celles-ci et sans la composante de sécurité
s’explique notamment par la rigueur des normes nationale. Les systèmes de classification des
de l’industrie des technologies de l’information et données comportent une courte liste des
de la communication (l’adhésion aux définitions particularités et mesures ou critères connexes
ISO/CEI et NIST), les développements politiques visant à aider les organisations à déterminer le
et juridiques régionaux qui en résultent (en niveau de classification approprié.2
particulier dans l’Union européenne et ses
États membres), mais tout particulièrement
par les interactions et interdépendances entre |Les États-Unis
1 d’Amérique|
domaines (la prise en compte croissante des
réglementations sur la cybersécurité et la Le gouvernement des États-Unis utilise un système de
protection des données). Il est donc recommandé classification à trois niveaux mis à jour par le décret-loi
de tenir compte de ces bonnes pratiques lors de 135261 et fondé sur l’impact potentiel sur la sécurité
l’élaboration des définitions nationales. nationale en cas de divulgation (confidentialité) :

Les États-Unis, le Royaume-Uni et l’Argentine [Link] —Information dont la divulgation

ont établi des systèmes de classification des non autorisée risquerait vraisemblablement de
données du secteur public. Les gouvernements porter atteinte à la sécurité nationale.
des États-Unis et du Royaume-Uni utilisent,
tous deux, un système de classification à [Link]—Information dont la divulgation non
trois niveaux, la majorité des données du autorisée risquerait vraisemblablement de porter
secteur public étant classée dans les deux gravement atteinte à la sécurité nationale.
niveaux inférieurs. Le cas de l’Argentine a été
inclus comme exemple régional permettant [Link] secret — Information dont la divulgation
d’observer la mise en œuvre et les difficultés non autorisée risquerait vraisemblablement
rencontrées. La ville de Washington, D.C., de causer des dommages exceptionnellement
pourrait également être prise comme modèle graves à la sécurité nationale.

2 Classification des données de AWS - Adoption du cloud sécurisé (juin 2018)

CLASSIFICATION DES DONNÉES 9

De plus, bien qu’il ne s’agisse pas d’une dans ses niveaux de classification (facteurs qui
classification réelle, les États-Unis utilisent devraient être requis pour évaluer les exigences en
également l’expression « données non classifiées matière de protection de l’information), le NIST a
» pour désigner toute donnée qui ne soit pas élaboré un système de classification à trois niveaux
classée selon les trois niveaux de classification fondé sur l’impact potentiel sur la confidentialité,
officiels. Même dans le cas de données l’intégrité et la disponibilité des informations et
non classifiées, certaines réserves existent systèmes d’information applicables à la mission
concernant les informations sensibles, telles que « d’une organisation. La plupart des données traitées
Exclusivement réservé à l’usage officiel » (FOUO) et stockées par les organisations du secteur public
ou « Informations non classifiées contrôlées » peuvent être classées comme suit:
(CUI) qui restreignent la divulgation au public ou
au personnel non autorisé. Cette classification ne •Faible — Effets négatifs limités sur les
tient pas compte des diverses lois en matière de activités, les biens ou les personnes de
protection des données fondées sur des types de l’organisation.
données plus restreints comme le sont les données
fiscales des particuliers, les données criminelles, •Modéré — Effets négatifs indésirables sur
les données relatives aux cartes de crédit, les les activités, les biens ou les personnes de
données relatives aux soins de santé et autres. l’organisation.

En raison de l’étroitesse du système de classification •Élevé — Effets négatifs graves sur les
américain, qui ne tient pas directement compte activités, les biens ou les personnes de
de l’intégrité et de la disponibilité des données l’organisation.

Classification des
Niveau de sécurité du système
données
Non classifié Faible à élevé
Confidentiel Modéré à élevé
Secret Modéré à élevé
Top secret Élevé
Tableau 1 — Classification des données par rapport au niveau de sécurité du système

Pour de nombreuses autres administrations nationale (le cas échéant) que les trois piliers
nationales, provinciales, étatiques et locales, ce de la sûreté de l’information (confidentialité,
double système de classification et de niveaux intégrité et disponibilité) pour la mission et les
peut s’avérer trop complexe et inutile pour activités d’une organisation. De ce fait, dans ce
répondre aux besoins de sûreté de l’information. document, le mot « classification » fait référence
Dans ces cas-là, une option plus simple consiste à un classement plus globale en matière de
à fusionner les deux concepts sous un seul terme confidentialité, intégrité et disponibilité plutôt
« classification » qui aborderait tant la sécurité qu’à la seule incidence sur la sécurité nationale.

10 CLASSIFICATION DES DONNÉES

|Royaume-Uni|

Le gouvernement du Royaume-Uni a récemment Le gouvernement du Royaume-Uni a énoncé

simplifié son système de classification en passant diverses considérations relatives à la sécurité
de six niveaux aux trois suivants: de l’information stockée sur le Cloud :

[Link] — Activités et services commerciaux [Link] — Les différents services de

courants dont certains pourraient présenter des GCloud5 conviennent à toutes les informations
conséquences dommageables en cas de perte, et tous les biens classés dans la catégorie
vol ou publication dans les médias, mais dont Officiel. Néanmoins, il est exigé que tous les
aucun ne fait l’objet d’un profil de menace accru. propriétaires de risques puissent comprendre,
de façon complète, l’accréditation GCloud. Tous
[Link]—Informations très sensibles qui les services des technologies de l’information et
justifient de l’adoption de mesures accrues de la communication (TIC) doivent continuer à
de protection contre des acteurs déterminés suivre le processus de gestion des risques tel que
et hautement compétents (une divulgation défini dans les normes de sûreté de l’information
pourrait nuire considérablement aux capacités du gouvernement britannique, en plus des
militaires, aux relations internationales ou aux approches architecturales standard qui doivent
enquêtes contre la criminalité organisée grave). être hébergées au Royaume-Uni.

[Link] secret — Les Informations les plus [Link]— Tous les services des technologies de
sensibles nécessitant des niveaux de protection l’information et de la communication qui traitent
les plus élevés contre les menaces les plus ou stockent des informations secrètes doivent
graves (une divulgation de ces informations être accrédités, le cas échéant, conformément au
pourrait causer la perte de nombreuses vies ou modèle de menace secrète. L’Autorité technique
menacer la sécurité ou le bien-être économique nationale pour la sûreté de l’information (CESG)
du pays ou des pays amis). devra fournir Les modèles de conception
spécifiques ou les conseils à mettre en œuvre.
90 % des données du gouvernement du Royaume- D’après une évaluation préliminaire des risques
Uni ont traditionnellement été classées dans la et conséquences de la mise en place de la
catégorie « officiel »3. Le pays utilise un système fonctionnalité d’échange d’information hors du
d’accréditation flexible et décentralisée selon niveau secret, cette possibilité sera fortement
lequel les agences déterminent les fournisseurs limitée et gérée au moyen d’une accréditation
de services cloud qui conviennent aux données spécifique de partage.
« officielles » en se fondant sur les garanties de
sécurité fournies par ceux-ci suivant 14 principes [Link] secret— Les systèmes des technologies
de sécurité sur le cloud4. La plupart des agences de l’information et de la communication conçus
gouvernementales britanniques jugent approprié devront bénéficier des accréditations nécessaires
d’utiliser des fournisseurs de services cloud pour ne pas laisser filtrer le matériel top secret.
à grande échelle et réputés lorsqu’elles ont à Des conseils personnalisés en architecture
travailler avec des données « officielles ». peuvent s’avérer nécessaires.

3 [Link]
[Link]
4 [Link]
5 Le cadre G-Cloud est un accord passé entre le gouvernement britannique et les fournisseurs de services cloud.

CLASSIFICATION DES DONNÉES 11

|Argentine| employés. Leur modification non autorisée peut
être facilement réparée et ne compromet pas les
Dès 2004, le gouvernement argentin a activités de l’organisation.
commencé à définir les conditions nécessaires
à l’élaboration et à la mise en œuvre d’une •Criticité moyenne: Les informations sont
stratégie nationale de protection des données. classées comme réservées ou à usage interne.
Cette stratégie initiale comprenait la création Elles peuvent être connues ou utilisées par certains
d’un modèle de politique de sécurité, la formation employés de l’organisation et certaines autorités
d’un comité de sécurité de l’information, déléguées externes. Leur utilisation peut entraîner
l’établissement de ses fonctions ainsi que la de légers risques ou pertes pour l’Agence, le secteur
nomination d’un coordinateur pour superviser le public national ou des tiers. Leur modification non
travail du comité. La politique a été formalisée en autorisée peut être réparée, bien qu’elle puisse
2005 lorsque l’Office national des technologies entraîner de légères pertes pour l’organisme
(ONTI), l’entité argentine responsable de la public ou des tiers associés. Leur perte permanente
transformation et de la mise en œuvre des ou d’une journée pourrait causer des dommages
solutions technologiques dans le secteur public, importants aux activités de l’organisation.
a promulgué le modèle de politique de sécurité
de l’information, Décret N° 378, qui par la suite •Criticité élevée: Les informations sont
a été mis à jour et modifié en 2014, sur la base classées comme confidentielles ou secrètes. Ces
d’une série de recommandations issues de sa informations ne peuvent être connues que d’un
révision en 2013 puis connue sous le nom de groupe restreint d’employés, habituellement
Disposición 1/2015i. la haute direction de l’organisation, et leur
divulgation ou utilisation non autorisée
Dans le cadre de sa gestion des risques, cette pourrait entraîner des pertes importantes pour
politique définit les meilleures pratiques en le secteur public ou des tiers associés. Leur
matière de protection et de gestion des actifs. Les perte permanente pourrait causer de sérieux
propriétaires des données et de l’information sont dommages à l’organisation.
responsables de leur classification en fonction de
leur degré de sensibilité puis doivent documenter
et mettre à jour la classification de l’information
et définir quels utilisateurs devraient avoir accès
à l’information en fonction de leurs positions et
rôles. Au sein de la classification, la politique
devra être fondée sur les trois facteurs suivants :
confidentialité, intégrité et disponibilité. Chacun
des trois facteurs se place sur une échelle de 0 à
3 qui détermine ensuite le degré de protection à
adopter. L’échelle est la suivante:

•Faible criticité: Les informations sont classées

comme publique. Elles sont généralement
connues et utilisées par toutes les personnes ou

i [Link]

12 CLASSIFICATION DES DONNÉES

Recommandations pour
l’établissement d’un système de
classification des données

4
Les systèmes de classification des données existants |Audit|
reconnaissent différents niveaux de sensibilité,
de valeur et de criticité de l’information, ainsi •Inventaire des actifs de données
que divers niveaux de gravité et de probabilité La première étape de la classification des
de divulgation. À moins que les niveaux de données au sein d’une organisation consiste à
sécurité de certaines données ne soient prescrits procéder à un inventaire des données ou à un «
par la loi (tel est le cas des renseignements audit des données ». Cette étape doit permettre
relatifs à la sécurité nationale ou à la protection une compréhension générale des types de
de la vie privée) ou qu’ils ne nécessitent pas données et des informations traitées au sein de
d’alignement sur des engagements régionaux l’organisation, de leur valeur, de leur sensibilité
ou internationaux, la définition des niveaux de et de leur
1 caractère critique.
sécurité sera laissée à la discrétion de chaque Cette phase comprend également l’identification
organisation. Cela ne signifie pas nécessairement des exigences légales applicables et l’audit
que le respect des exigences légales nécessite des politiques et procédures organisationnelles
d’une myriade de niveaux distincts. Lorsque le ou administratives existantes en matière de
risque et les protections requises sont équivalents, gestion des données, y compris des rôles et
il est possible d’organiser celles-ci sous un seul responsabilités organisationnels existants en
niveau de classification. matière de traitement des données.

La section suivante propose un aperçu des •Évaluation des risques

premières phases du processus de classification D’après la définition des politiques de classification
des données. Elle ne se substitue pas à la mise des données, le système de classification des
en œuvre systématique des normes en matière données peut être déployé. L’étape suivante
de sécurité de l’information ou des exigences consiste à effectuer une évaluation des risques
légales découlant d’instruments spécifiques, pour les types de données traitées afin d’identifier
mais vise plutôt à offrir une compréhension et quantifier les risques de gravité et de probabilité,
globale des principales étapes nécessaires à et classer ces risques par ordre de priorité par
l’élaboration et la mise en œuvre d’un système rapport aux critères d’acceptation des risques et
de classification des données. Il existe quatre aux objectifs de l’organisation. Le résultat de cet
étapes principales : exercice devrait déterminer le choix des mesures

CLASSIFICATION DES DONNÉES 13

techniques et organisationnelles appropriées classement. Une approche à trois niveaux tend
à adopter ainsi que les priorités en matière de à répondre à la fois aux normes de sécurité de
gestion des risques. Les évaluations des risques l’information (ISO, NIST et normes nationales)
devront être périodiques et, de préférence, et, dans la plupart des cas, aux attentes en
comparables6 (sachant que l’environnement matière de conformité juridique.
technologique et des menaces, de même que
les pratiques en matière de sécurité évoluent •Etablissement des rôles de gestion des
continuellement au fil du temps). données
L’étape suivante consiste à définir les rôles
Le responsable du traitement sera chargé de et responsabilités de l’organisation et du
l’évaluation des risques. Il pourra être, dans personnel en matière de classification et de
certains cas, soutenu dans sa tâche par des protection de l’information. Les obligations
exigences légales, comme indiqué dans la section de gestion des risques propres à chaque rôle
précédente7. La loi peut exiger que le responsable devront également être définies. L’objectif est
du traitement soit en mesure de démontrer que de « traduire » ce qui précède en routines
celui-ci est conforme aux exigences et contraintes organisationnelles au moyen de politiques et de
établies (Procédure réalisée par le GDPR pour le procédures. Dans le cadre de ce processus, il
traitement des données à caractère personnel). est également intéressant à ce niveau de réviser
Voir l’annexe I relative aux considérations sur les et mettre à jour les règlements internes existants.
facteurs de risque à prendre en compte dans le
cadre de ce processus. Finalement, c’est l’organisation, en tant que «
responsable du traitement des données » qui sera
•Définir les niveaux de protection et chargée de la conformité et devra être en mesure
leur application de démontrer cette conformité (responsabilité).
Des exigences de protection appropriées et
regroupées par catégories de classification, devront
ensuite être définies pour chaque type d’information. |Mise en œuvre|

La quantité de niveaux de classification des •Classification

données devra être optimale pour l’organisation. En se fondant sur l’évaluation des risques, le
Une approche trop nuancée sera difficile à gérer niveau de risque est attribué en tenant compte
et pourra entraîner un manque d’uniformité de chaque objectif de sécurité (confidentialité,
dans la protection des données et un risque intégrité et disponibilité). Une classification
accru, puis pourra semer la confusion chez les globale est attribuée aux données en fonction du
responsables du traitement des données et les facteur le plus élevé8 . Certains systèmes disposent
sous-traitants. Toutefois, un modèle trop simplifié également d’un niveau combiné (confidentialité
présente un risque de surclassement ou de sous- élevée, intégrité modérée, faible disponibilité)9.

6 ISO 27000:2018 ; ISO/CEI 27005 fournit des lignes directrices sur la gestion des risques en matière de sécurité de l’information, y compris des conseils sur
l’évaluation des risques, le traitement des risques, l’acceptation des risques, les rapports de risques, la surveillance des risques et leur examen. Des exemples de
méthodes d’évaluation des risques sont également inclus.
7 Voir, par exemple, l’article 75 du préambule du RRTP.
8 Classification des données : Adoption sécurisée de cloud. AWS, juin 2018. [Link]
9 Par exemple, IT Grundschutz [Link] d’Allemange et ISKE d’Estonie, [Link]
en/cyber-security/[Link].

14 CLASSIFICATION DES DONNÉES

•Considérations relatives aux technologies catégories» (Exemple : non sensibles et non
émergentes (Cloud, mobile et IdO) critiques, moyennement sensibles et moyennement
Une approche fondée sur les risques doit être critiques, etc…) et une classification détaillée
adoptée pour toutes les évaluations et mises en est attribuée à chaque actif et service lors de sa
œuvre techniques, qu’il s’agisse d’équipements migration vers le cloud10.
traditionnels sur site, d’appareils mobiles, sur le
Cloud ou avec des dispositifs de l’Internet des objets
(IdO). Les stratégies d’adoption des technologies |Contrôle|
émergentes devront être influencées par la
stratégie de gestion des risques de l’organisation. •Supervision et assurance qualité
Néanmoins, elles devront aussi fournir un feedback Un directeur des systèmes d’information,
permettant de mettre à jour la stratégie de gestion directeur des données ou directeur de la sécurité
des risques de l’organisation à mesure que de des systèmes informatiques devra être nommée
nouvelles capacités apparaissent. Une évaluation pour la supervision et l’aide, ainsi que pour la
des actifs de données, des niveaux de risque et des révision des décisions de classification. Il sera
exigences en matière de confidentialité, d’intégrité chargé de la classification des données, des
et de disponibilité devra permettre à l’organisation décisions relatives aux risques des données
de comprendre sa tolérance au risque ainsi que et des mesures de protection requises. Cette
les combinaisons acceptables de mise en œuvre, personne devra également garantir la qualité de
les modèles de service et les emplacements que les la mise en œuvre des contrôles de sûreté ainsi
technologies émergentes ont à offrir. que la pertinence et l’adéquation des contrôles
existants pour atteindre les objectifs de sûreté
En effet, l’une des technologies émergentes les souhaités et la conformité.
plus méconnues aujourd’hui est le « Cloud ».
Lorsque les gouvernements et les organisations •Amélioration et suivi continus
ne possèdent pas de programme de classification Après la classification des données, des
des données, de processus de gestion des risques procédures de sécurité doivent être mises en place
et se concentrent sur des contrôles techniques en vue d’une surveillance et d’une évaluation
existants plutôt que sur des objectifs de sécurité constantes afin de continuer à satisfaire aux
des données, la crainte, l’incertitude et le doute ont exigences en matière de gestion des risques et de
tendance à se propager. Ces dernières empêchent conformité. Pour atteindre les objectifs de sécurité,
à l’organisation d’adopter des technologies il est recommandé d’élaborer des normes et des
émergentes et de bénéficier de nouvelles capacités, guides de mise en œuvre en se fondant sur les
performances et économies. capacités techniques et non techniques existantes.
Ces normes et guides pourront être mises à jour
Une approche de « migration par étapes » peut afin de permettre une adoption plus aisée des
être utile en ce qui concerne l’adoption des nouvelles innovations sans qu’une mise à jour de
technologies émergentes. Dans ce cas, les actifs et la politique ne soit nécessaire.
les services sont initialement affectés à des «macro-

10 Sécurité et résilience sur les clouds gouvernementaux : Prendre une décision éclairée. ENISA 2011, [Link]
resilience...clouds/.../fullReport.

CLASSIFICATION DES DONNÉES 15

|Révision|

•Révision et ajustement périodiques

Au-delà du contrôle et de l’évaluation continus,
des révisions systématiques permettent d’ajuster
l’accès aux données et d’examiner les données
classifiées. Une méthodologie de reclassement et
de révision peut garantir l’application de mesures
de sécurité adaptées à la technologie actuelle et
à l’environnement menace/risque, mais aussi à
l’évolution de la valeur et de la sensibilité des
données classifiées. Les informations classifiées
devront être révisées régulièrement afin d’éviter le
stockage d’informations anciennes, plus couteux
et difficile à gérer. Il est également recommandé
de revoir de façon périodique les politiques et
procédures de classification.

•Inventaire des
actifs de données
•Evaluation des risques
•Définirtion des niveaux
de protection Classification
•Détermination des rôles en
matière de gestion des données

•Supervision et
Révision
assurance qualité
et ajustement
périodiques •Amélioration et suivi
continus

Figure 2- Recommandations pour l’établissement

d’un système de classification des données

16 CLASSIFICATION DES DONNÉES

Ressources
recommandées
5
Convention du Conseil de l’Europe sur l’accès aux documents publics (2009)
[Link]

Classification des données pour la préparation du cloud. Microsoft, avril 2017.

[Link]

Classification des données : Adoption sécurisée sur le Cloud. AWS, juin 2018.
1
[Link]

Décret 13526 sur la classification et la déclassification des informations relatifves à la sécurité

nationale (CT:IM-226 ; 10-31-2018). Bureau d’origine : A/GIS/IPS [Link]
fam/05fam/[Link] ; voir 5 FAM 482.5 pour les catégories de classification.

Guide des bonnes pratiques pour la mise en œuvre sécurisé de clouds gouvernementaux. ENISA,
2013, [Link]
governmental-clouds

Règlement général sur la protection des données. Règlement (UE) 2016/679 du Parlement européen
et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/CE. JO L 119 du 4.5.2016, p. 1-88, [Link]

Politique de protection de l’information de la CPI, ICC/AI/2007/001. Circulaire du Secrétaire

général ST/SGB/2007/6 du 12 février 2007 sur la sensibilité, la classification et le traitement
de l’information, [Link]
Protection%20Policy%20-%[Link]

CLASSIFICATION DES DONNÉES 17

IT Grundshutz. Bureau fédéral de la sécurité de l’information. [Link]
ITGrundschutz/itgrundschutz_node.html

Loi sur l’information publique, Estonie [Link]

Utilisation sécurisée des services de Cloud dans le secteur financier. Bonnes pratiques et
recommandations. ENISA, 2015 [Link]

Loi sur les secrets d’État et les informations classifiées des États étrangers, [Link]
en/eli/501042019009/consolide

Publication spéciale du NIST 800-60 Rev. 1 (Volume 1, Volume 2), Guide pour l’assignation de type
d’information et système d’information à des niveaux de sécurité.

Publication 199 sur les normes fédérales du NIST en matière de traitement de l’information : Normes
pour les niveaux de sécurité des informations fédérales et des systèmes d’information [Link]
[Link]/nistpubs/FIPS/NIST. [Link]

Cadre de gestion des risques (CGR) du NIST) [Link]

Management-Framework-(RMF)-Overview

Classification en matière de sécurité du gouvernement britannique [Link]

publications/government- security-classifications

Organisation internationale de normalisation (ISO) 27001, Exigences relatives aux systèmes de

gestion de la sécurité de l’information [Link]

Information Systems Audit and Control Association (ISACA) Objectifs de contrôle pour les technologies
de l’information et les technologies connexes (COBIT) [Link]

Blogue de l’AWS sur la résidence des données - [Link]

data- residency-with-aws/

Livres blancs de AWS - [Link]

Centre de données et sécurité physique de AWS - [Link]

center/data- centres/

Classification des données de AWS - Adoption sécurisé du cloud Juin 2018 - [Link]
com/whitepapers/compliance/AWS_Data_Classification.pdf

18 CLASSIFICATION DES DONNÉES

Annexe I.
Scénarios de risque

6
La classification suivante résume les scénarios de risque communément reconnus dans les instruments
examinés dans les sections précédentes de ce livre blanc. Plus qu’un catalogue prédéterminé de risques, il
peut servir de guide pour l’élaboration d’un système de classification des données aux fins de la gestion des
risques découlant des atteintes à la sécurité de l’information (soit confidentialité, intégrité ou disponibilité).

-Impact sur la sécurité physique d’une personne, y compris une menace directe
ou indirecte à la vie ou à la santé, quelle que soit sa relation avec l’organisation
(personnel ou tiers) ; 1

-Impact sur les droits individuels immatériels (perte ou atteinte à la vie privée,
Risques pour la discrimination, atteinte à la réputation ou autre désavantage social important, ou
personne encore privation des droits et libertés d’une personne ou interdiction d’exercer
un contrôle sur ses données personnelles) ;

-Impact sur les droits et intérêts matériels individuels (lorsque le résultat pourrait
être, par exemple, un vol ou une fraude d’identité, une perte financière ou un
autre désavantage économique important) ;

-Impact sur le fonctionnement et l’administration efficaces de l’organisation et

Risques pour les de ses processus ;
activités d’une
organisation -Impact sur la liberté et l’indépendance du processus décisionnel interne et des
enquêtes (internes) ;

CLASSIFICATION DES DONNÉES 19

 -Risque de perte financière pour l’organisation. Impact sur les intérêts financiers
de l’organisation ou des autres parties concernées ;
Risques pour
les actifs ou -Impact sur les partenaires de l’organisation, y compris sur les informations
les intérêts échangées avec des tiers et considérées comme confidentielles par ceux-ci ;
commerciaux
d’une -Impact sur les informations couvertes par le secret professionnel ;
organisation
-Impact pour l’organisation dans ses négociations commerciales ou politiques ;

-Risque pour la réputation, la stabilité ou la sécurité de l’organisation ;

-Impact sur la sécurité nationale et la capacité de défense (y compris les

Risque pour la questions technologiques et économiques liées à la sécurité nationale) qui
sécurité nationale, peut porter atteinte aux opérations ou activités de sécurité ;
l’ordre public
ou les relations -Impact sur l’exercice des relations extérieures (y compris les informations des
étrangères gouvernements étrangers) ;

-Impact sur l’ordre public et le fonctionnement des autorités de sécurité

Sources et exemples:

GDPR, ISO/CEI, NIST, ICC, droit de la sécurité nationale

(États-Unis, Estonie et pays de l’OTAN/UE ).11

11 [Link]

20 CLASSIFICATION DES DONNÉES

 CLASSIFICATION
DES DONNÉES
 CLASSIFICATION
DES DONNÉES

White paper series

Édition 6

2019