Pourquoi la classification sous-tend tout le reste
Vous ne pouvez pas protéger les données de façon cohérente sans avoir décidé de leur sensibilité. Une politique de classification des données affecte l'information à des niveaux et définit comment chacun est manipulé, stocké, partagé et détruit. C'est le socle sur lequel s'appuient les autres politiques (contrôle d'accès, chiffrement, conservation).
Quoi inclure
- Niveaux de classification — une échelle simple et utilisable (ex. Public, Interne, Confidentiel, Restreint). Peu de niveaux sont réellement utilisés ; trop de niveaux sont ignorés.
- Critères — des exemples clairs de ce qui relève de chaque niveau.
- Règles de manipulation — par niveau : stockage, transmission, chiffrement, partage et impression.
- Étiquetage — comment les documents et données sont marqués.
- Rôles — les propriétaires des données décident de la classification ; chacun applique les règles de manipulation.
- Déclassification et conservation — quand une donnée descend d'un niveau ou est détruite.
- Tiers — comment la classification se transmet aux fournisseurs.
Erreurs fréquentes
- Trop de niveaux, si bien que chacun choisit le plus bas ou les ignore.
- Définir les niveaux mais pas les règles de manipulation qui leur donnent un sens.
- Aucun propriétaire, donc rien n'est réellement classifié.
Alignement référentiels
Correspond à l'Annexe A 5.12–5.13 d'ISO 27001:2022 (classification et marquage des informations), aux critères de confidentialité SOC 2, et aux fonctions Identifier/Protéger du NIST CSF.
Générez-la en quelques minutes
Voir un exemple de politique de classification des données ou générez la vôtre gratuitement.