4. Gestion des données#
La gestion des données est un processus complexe qui comprend un ensemble de tâches et de responsabilités visant à garantir la sécurité, l’intégrité et la disponibilité des données. Ces tâches et responsabilités comprennent la classification des données, le contrôle d’accès, le chiffrement, la sauvegarde et la restauration, la journalisation et la surveillance.
4.1. Catégories de données à protéger#
Ces recommandations sont conçues pour aider les organisations à protéger leurs données sensibles et confidentielles, à garantir l’intégrité et la disponibilité des informations, tout en respectant les réglementations et en minimisant les risques :
4.1.1. Disponibilité des Données#
Les données doivent être accessibles lorsque nécessaire. Assurez-vous que les systèmes de stockage et les serveurs sont fiables et bien configurés pour garantir une disponibilité maximale.
4.1.2. Normalisation des Données Partagées#
Lorsque des données sont partagées entre plusieurs utilisateurs ou départements, assurez-vous qu’elles sont normalisées et structurées de manière cohérente pour éviter les confusions.
4.1.3. Identificateurs de Données#
Utilisez des identificateurs uniques pour les données afin de faciliter leur recherche, leur suivi et leur gestion.
4.1.4. Catégories de Données à Protéger#
Identifiez les catégories de données sensibles ou confidentielles qui nécessitent une protection particulière. Cela peut inclure des données personnelles, financières, médicales, etc.
4.1.5. Classification des Données#
Classez les données en fonction de leur sensibilité et de leur importance. Cela peut aider à déterminer les niveaux d’accès et de protection appropriés.
4.1.6. Politiques d’Accès aux Données#
Établissez des politiques de contrôle d’accès pour déterminer qui peut accéder à quelles données et à quelles fins. Suivez le principe du moindre privilège.
4.1.7. Gestion du Cycle de Vie des Données#
Définissez des politiques pour la durée de conservation des données. Certaines données peuvent devoir être archivées ou supprimées après un certain temps.
4.1.8. Audit des Accès#
Surveillez les accès aux données sensibles en enregistrant les activités d’accès et en effectuant des audits réguliers.
4.1.9. Formation des Utilisateurs#
Sensibilisez les utilisateurs à l’importance de la protection des données, aux politiques de sécurité et aux meilleures pratiques en matière de manipulation des données.
4.2. Chiffrement#
Le chiffrement des données est une technique de cryptographie qui consiste à transformer des données en un format illisible. Le texte chiffré ne peut être lu qu’en utilisant une clé de déchiffrement.
Le chiffrement des données est utilisé pour protéger la confidentialité des données, c’est-à-dire pour empêcher qu’elles ne soient lues par des personnes non autorisées. Il est utilisé dans de nombreux contextes, notamment :
La protection des données personnelles et sensibles, telles que les numéros de cartes de crédit, les informations médicales et les données confidentielles.
La protection des données transmises sur Internet, telles que les données bancaires, les données de connexion et les données de transactions en ligne.
La protection des données stockées sur des supports physiques, tels que des disques durs, des clés USB et des cartes SD.
Chiffrer l’ensemble des périphériques de stockage utilisés pour l’administration : Il est recommandé de procéder au chiffrement complet de l’ensemble des périphériques de stockage (disques durs, périphériques de stockage amovibles, etc.) utilisés pour les actions d’administration
Utilisez le chiffrement pour protéger les données sensibles lorsqu’elles sont stockées ou transitent sur le réseau.
4.3. Sauvegarde et restauration#
La sauvegarde et la restauration font référence aux technologies et aux pratiques permettant d’effectuer des copies périodiques de données et d’applications sur un périphérique secondaire distinct, puis d’utiliser ces copies pour récupérer les données et les applications, au cas où les données de départ et les applications sont perdues ou endommagées en raison d’une panne de courant, d’une cyberattaque, d’une erreur humaine, d’un sinistre ou de tout autre événement imprévu.
Il existe trois méthodes de sauvegarde principales:
La sauvegarde complète qui crée une copie complète de toutes les données présentes sur un système.
La sauvegarde différentielle qui contient toutes les données qui ont été modifiées depuis la dernière sauvegarde complète. La quantité de données à sauvegarder dépend de la durée qui s’est écoulée entre une sauvegarde différentielle et la dernière sauvegarde complète.
La sauvegarde incrémentielle copie tous les changements qui ont eu lieu depuis la dernière sauvegarde complète ou incrémentielle. Chaque sauvegarde individuelle est de petite taille et est rapide à créer. Néanmoins, les sauvegardes incrémentielles ne sont pas indépendantes les unes des autres. Leur récupération nécessite toutes les sauvegardes incrémentielles depuis la dernière sauvegarde complète. Si une sauvegarde incrémentielle située dans la chaîne est endommagée, toutes les sauvegardes incrémentielles créées par la suite ne vaudront rien.
Voici un bref aperçu des trois principaux types de sauvegarde et de leurs forces et faiblesses:
Critère | Sauvegarde complète | Sauvegarde différentielle | Sauvegarde incrémentielle |
|---|---|---|---|
Complexité réduite | +++ | ++ | |
Faible volume de données | ++ | +++ | |
Peu coûteux en temps | ++ | +++ | |
Forte fiabilité | +++ | ++ | |
Type de périphérique idéal | Disque dur externe, NAS | Disque dur externe, NAS | Stockage Cloud, clé USB |
Voici les considérations à prendre en compte:
Pour les sauvegardes hors site, envisagez d’utiliser le stockage cloud ou les serveurs distants. Cela ajoute une couche de sécurité en protégeant vos données contre des sinistres physiques qui pourraient affecter vos locaux
La méthode 3-2-1 (trois copies de données, sur deux types de supports différents, dont une hors site) [1] reste la stratégie de sauvegarde la plus recommandée pour garantir une sécurité optimale des données
Des copies de sauvegarde des informations, des logiciels et des systèmes doivent être prises et testées régulièrement conformément à une politique de sauvegarde convenue.
Pensez à la fréquence de mise à jour et à la rapidité de récupération nécessaire pour choisir le bon support et la bonne technologie de sauvegarde
Veillez à la confidentialité des données en rendant leur lecture impossible à des personnes non autorisées en les chiffrant à l’aide d’un logiciel de chiffrement avant de les copier dans le « cloud ».
Les sauvegardes des informations et des logiciels doivent être effectuées sur la base d’une politique de sauvegarde formelle pour garantir la continuité du service et la disponibilité des systèmes et des informations.
Les sauvegardes des systèmes traitant des informations confidentielles doivent être cryptées en fonction des exigences de classification des informations. La fréquence et l’étendue des sauvegardes doivent être mutuellement convenues entre le personnel impliqué dans la gestion des services d’information et l’information/le système
La capacité à restaurer les informations et les logiciels doit être testée périodiquement conformément à la politique de sauvegarde pour garantir que les informations peuvent être récupérées avec succès à partir du support de sauvegarde.
Il est primordial de définir une politique de sauvegarde du SI d’administration, ceci afin de pouvoir rétablir le service à la suite d’un incident. Pour cela, les éléments à sauvegarder, le lieu de sauvegarde et les droits d’accès qui y sont associés doivent être clairement identifiés. Les sauvegardes doivent être réalisées régulièrement. Enfin, les procédures de restauration doivent être documentées et testées.
Définir une politique de sauvegarde du SI d’administration Pour permettre de pallier la corruption ou l’indisponibilité de données dues à un incident ou une compromission, une politique de sauvegarde doit être définie et appliquée pour le SI d’administration. Pour les éléments les plus critiques, une sauvegarde hors ligne doit être prévue.
4.4. Journalisation et supervision de la sécurité#
Les besoins de journalisation SI d’administration doivent donc être pris en compte dans l’étude de conception du SI d’administration. Une zone d’administration doit être dédiée aux services de journalisation. En effet, pour assurer une analyse pertinente des journaux d’événements, leur intégrité doit être garantie depuis leur génération jusqu’à leur lieu de stockage. En cas d’intrusion, les attaquants voudront effacer ou modifier les traces générées pour que leur présence ne soit pas détectée. Afin de couvrir ce risque, il est nécessaire de restreindre les accès à ces informations aux seules personnes ayant le besoin d’en connaître.
La journalisation doit être activée sur tous les systèmes à haut risque, y compris les systèmes de sécurité et systèmes traitant des informations sensibles, ou pour capturer, maintenir et surveiller les activités des journaux
Ces journaux doivent être conservés (et disponibles) pendant 180 jours, ou plus si nécessaire.
Les problèmes techniques doivent être enregistrés, surveillés et signalés au responsable approprié.