Guide pratique - Cloud computing et protection des données
11
Pour protéger les données de façon adéquate, il est fondamental qu’elles soient
inventoriées et qualifiées selon une typologie distinguant les données sensibles
des autres données utilisées et traitées par le système d’information.
Pour qualifier les données, il existe de nombreuses méthodes, souvent lourdes à
mettre en œuvre. Néanmoins, une méthode simple pour qualifier une donnée est
d’évaluer quel serait l’impact pour l’entreprise si la donnée :
•
était rendue indisponible,
•
était utilisée oumodifiée par une personne non autorisée (interne ou externe),
•
devenait publique ou largement diffusée.
et qu’il n’existait pas de surveillance efficace permettant de détecter cette perte
de confidentialité, d’intégrité et de disponibilité, et d’en déterminer la cause et
l’origine.
Ainsi, les données de l’entreprise peuvent être réparties selon les trois catégories
suivantes :
•
les données sensibles à caractère personnel (cf. CNIL),
•
les données stratégiques pour l’entreprise,
•
les autres données utilisées dans les applications métiers.
Nous définissons les données stratégiques de l’entreprise comme un ensemble
d’informations qui, si elles étaient détenues ou mises en corrélation par des tiers,
pourraient permettre de prendre de vitesse ou neutraliser une prise de position
envisagée par l’entreprise et dont l’impact serait d’une telle ampleur, que la
stratégie de l’entreprise serait fortement ou durablement impactée.
Par ailleurs, le caractère stratégique d’une donnée est lié à la durée de validité
de l’axe stratégique de l’entreprise (fusion, appel d’offres…) qu’elle concerne. Une
donnée stratégique peut alors être confidentielle ou sensible pendant un temps
déterminé, et perdre cette caractéristique ultérieurement.
Typologie des données
