6.2.1.5 Classification
des informations par valeur et niveau de sensibilité
Concernant la classification des données, la norme ISO
27002 explique que l'information devrait être classée et
étiquetée selon un système généralement
admis, assurant ainsi un niveau de protection approprié. Comme nous
l'avons spécifiée dans le développement du thème 3
de la norme ISO 27002, la classification des information doit être
accompagnée de procédures formelles et être
exécutée en tenant compte des besoins liés à
l'exploitation, de la sensibilité des informations, des restrictions
éventuelles et du degré d'impact des évènements
nuisibles à leur exploitation. De plus, les actifs technologiques
liés à la sécurité de l'information, doivent avoir
un propriétaire désigné qui se charge de leur gestion et
de l'inventaire régulier. Un actif inactif peut être source de
motivation à la fraude ou à des violations des règles de
sécurité établies par la banque.
Aucune méthode particulière de classification
n'est définie étant donné la diversité des secteurs
économiques et l'interprétation variante d'une information d'une
entreprise à une autre. Cependant, notre recommandation, c'est que la
banque garde en mémoire que, quel que soit la méthode de
classification adoptée, elle doit tenir compte du degré de
sensibilité et de criticité et du niveau de partage de ses
informations. Les informations doivent être classées et
foncièrement protégées pour éviter que celles
jugées sensibles et confidentielles soient diffusées en interne
comme à l'extérieur aux personnes non autorisées
accidentellement ou volontairement.
Dans le cas de la banque qui gère des comptes et
dossiers personnels de clients divers et qui est tenue par des exigences
légales, négliger le classement des informations peut entrainer
non seulement des pertes financières mais aussi peut porter atteinte
à son image, sa réputation et sa crédibilité.
Pour protéger et classer une information, il faut la
connaître et identifier son niveau de sensibilité et de
criticité et sa valeur. Il faut pour cela :
ü lister les données et leur localisation dans les
processus et activités ;
ü formaliser une échelle de classification et des
règles d'utilisation (à travers une politique de classification
et protection des informations) ;
ü qualifier la sensibilité des données au
regard des impacts liés à un incident de
sécurité ;
ü sensibiliser les utilisateurs à ces impacts et
à la nécessité d'appliquer les règles de
classification.
Cette démarche suit le modèle PDCA qui oriente
l'entreprise de la planification au suivi des actions mis en oeuvre pour
atteindre les objectifs. Nous précisions que la banque doit veiller
à la loyauté de ses employés dans leur engagement au
respect de la discrétion et la confidentialité quant aux
informations.
| 
