Quatre étapes simples pour classer vos données et sécuriser votre start-up

Un processus de classification des données vous permet de faire la distinction entre les données confidentielles et celles destinées à la consommation publique. Il vous permet également de gérer chaque jeu en conséquence. Une start-up qui a classé ses données peut fonctionner de manière plus efficace et plus confiante dans le respect de lois telles que le Règlement général sur la protection des données (RGPD) de l'Union européenne et la loi sur la protection des données personnelles du consommateur en Californie (CCPA).

Comprendre vos types de données et leurs niveaux de sensibilité permet à votre start-up de garder une longueur d'avance sur les utilisations ou divulgations involontaires de données et de répondre aux exigences de conformité.

Pour vous aider à démarrer, cet article propose quatre étapes simples pour faciliter et automatiser le processus de classification des données pour votre start-up.

1. Concevez votre cadre de classification des données

Tout d'abord, vous établirez qui est autorisé à accéder aux données de votre start-up en évaluant comment les classer et les contrôler.

Évaluez et classez vos données

La classification des données « consiste à identifier les types de données traitées et stockées dans un système d'information qu'une organisation détient ou exploite », comme le définit le livre blanc Amazon Web Services (AWS) sur la classification des données.

Pour concevoir votre cadre de classification des données, vous allez d'abord évaluer vos données. Pour ce faire, nous recommandons de regrouper les données en aussi peu de catégories que possible, car il est plus facile de gérer les cadres plus simples.

Pour la plupart des entreprises, ces trois niveaux devraient couvrir les cas d'utilisation les plus courants en matière de classification des données :

• Données non classifiées, à faible niveau de sécurité (telles que les données de sites Web publics, le catalogue de cours, etc.)
• Données officielles, à niveau de sécurité modéré (telles que les communications officielles, les notes internes, etc.)
• Données secrètes, à haute sensibilité (telles que les dossiers financiers, la propriété intellectuelle, les données légalement privilégiées, etc.)

La manière dont vous classez vos données et l'endroit où vous les stockez seront fonction de la nature de votre activité et de ses exigences légales. Par exemple, si vous traitez des cartes de crédit, vous devez vous conformer aux normes du secteur des cartes de paiement (PCI), qui sont classifiées comme données secrètes.

Besoin d'aide pour classer les données ?Amazon Macie utilise le machine learning (ML) pour automatiser la classification des données sensibles et critiques pour l'entreprise. Il utilise le ML et la comparaison de modèles pour détecter les informations sensibles comme les numéros de carte de crédit, les données médicales et d'autres types de données d'identification personnelle (PII).

Identifiez les contrôles de protection des données

Les contrôles de protection des données gèrent la manière dont vos données sont utilisées, qui y a accès et comment elles sont cryptées.

Après avoir affecté vos jeux de données aux différents niveaux de classification, vous déterminerez quels contrôles s'appliquent à chaque catégorie. En gérant soigneusement un système de classification des données approprié, ainsi que les exigences de chaque charge de travail en matière de protection, vous pouvez définir les contrôles et le niveau d'accès ou de protection appropriés pour les données.

Il existe de nombreux types de contrôles de protection des données, mais les plus courants que vous devez connaître sont les suivants :

• Utilisation de comptes distincts pour répartir les ressources de charge de travail par niveau de sensibilité. AWS Organizations vous permet de créer et de gérer facilement plusieurs comptes AWS .
• La configuration de politiques IAM, de politiques de contrôle des services (SCP) des organisations, d' AWS Key Management Service (AWS KMS) et d'AWS CloudHSM vous permet de définir et de mettre en œuvre vos politiques de classification et de protection des données par chiffrement.
• Veiller à ce que vos données soient stockées et traitées dans la région AWS appropriée en fonction de vos exigences en matière de conformité et de résidence des données. AWS n'initie jamais le transfert de données entre les régions. Le contenu placé dans une région restera dans cette région à moins que vous n'activiez explicitement une fonctionnalité ou que vous n'utilisiez un service qui fournit cette fonctionnalité.
• Utilisation des règles AWS Config pour vérifier automatiquement que vous utilisez le chiffrement pour les données au repos, par exemple pour les volumes Amazon Elastic Block Store (Amazon EBS), les instances Amazon Relational Database Service (Amazon RDS) et les compartiments Amazon Simple Storage Service (Amazon S3).
• Appliquer le chiffrement en cours de transport. Par exemple, les requêtes HTTP peuvent également être automatiquement redirigées vers HTTPS dans Amazon CloudFront ou sur un équilibreur Application Load Balancer.

Les données non classifiées, par exemple, peuvent être accessibles à tous les membres de votre organisation ou même à l'extérieur, tandis que les données secrètes peuvent nécessiter un accès autorisé à une clé pour être déchiffrées.

2. Balisez vos données

Pour des raisons de sécurité, les balises de métadonnées peuvent vous permettre d'identifier, de classer et de gérer les ressources selon plusieurs critères comme par objectif, par propriétaire, par environnement, entre autres. Vous pouvez utiliser des balises de sécurité pour identifier et regrouper vos ressources en fonction des exigences de confidentialité et de conformité.

Maintenant que vous savez comment classer et protéger vos données, vous allez ajouter des balises de métadonnées qui indiquent leur niveau de classification. Ces balises fournissent une référence à votre équipe et permettent une automatisation et des contrôles supplémentaires. Il existe de nombreuses stratégies de balisage courantes, mais les balises que vous pouvez utiliser pour des raisons de sécurité sont les suivantes :

• Confidentialité : identifiant du niveau spécifique de confidentialité des données pris en charge par une ressource.
• Conformité : identifiant pour les charges de travail qui doivent respecter des exigences de conformité spécifiques.

Vous pouvez, par exemple, utiliser des balises pour exiger le chiffrement ou pour restreindre l'accès aux données. Si vous ne possédez pas encore de balises pour vos ressources existantes, AWS propose des outils pour vous permettre de gérer les balises de ressources sur plusieurs services :

• Les AWS Resource Groups et les Resource Groups Tagging API permettent de contrôler les balises par programmation, ce qui facilite la gestion, la recherche et le filtrage des balises et des ressources.
• AWS Identity and Access Management (IAM) vous permet de contrôler l'accès aux ressources à l'aide de balises.

N'oubliez pas qu'il est assez facile de modifier les balises pour répondre à l'évolution des besoins de l'entreprise, mais prenez en compte les conséquences des modifications futures. Par exemple, la modification des balises de contrôle d'accès signifie que vous devez également mettre à jour les politiques qui font référence à ces balises et contrôlent l'accès à vos ressources.

3. Expurgez les données sensibles

La suppression des données permet de limiter les lieux de stockage des données sensibles et d'en restreindre l'accès à ceux qui en ont besoin, sans entraver les environnements en aval.

Automatiser la suppression limite le risque de publication involontaire de données et permet aux start-ups de se conformer aux exigences de confidentialité lorsqu'elles gèrent un volume croissant de données.

Amazon Comprehend, associé aux points d'accès Amazon S3 Object Lambda, peut détecter plus d'une douzaine de types d'informations personnelles, notamment des mots de passe, des adresses, des numéros de téléphone et des numéros de sécurité sociale, et créer automatiquement des expurgations dans les documents texte.

4. Suivez le rythme de la conformité

La conformité des données définit les règles de protection, de sécurité et de stockage des données. Elle établit des politiques, des procédures et des protocoles et garantit la protection des données contre tout accès et toute utilisation non autorisés.

Au cours de notre dernière étape, vous allez surveiller vos données pour vous assurer qu'elles restent conformes. Les règles AWS Config et les bonnes pratiques de sécurité fondamentales d'AWS dans AWS Security Hub vous permettent de suivre la configuration de vos paramètres de données et de vous informer en cas de modification. Elles vous permettent de vous assurer en permanence que vos normes de sécurité sont respectées.

Sécuriser votre start-up avec AWS

Presque toutes les start-ups opèrent désormais dans un environnement mondial, et sont de plus en plus confrontées à des exigences différentes selon les pays dans lesquels elles exercent leurs activités.

En identifiant les données dont vous disposez et en mettant en œuvre des contrôles automatisés appropriés, vous pouvez répondre à ces exigences plus facilement, tout en améliorant votre niveau de sécurité. Pour en savoir plus, nous vous recommandons de vous référer au livre blanc AWS Data Classification. Nous vous recommandons également de vous référer au cadre AWS Well-Architected, qui vous présente les avantages et les inconvénients des décisions que vous prenez lors de la création de systèmes dans le cloud et explique comment tirer parti des technologies cloud pour protéger les données, les systèmes et les actifs de manière à améliorer votre niveau de sécurité.