Cybersécurité : La Défense Nationale publie un guide pour la classification de données

Le guide détaille les étapes clés du processus de classification, en précisant les rôles et responsabilités des acteurs concernés.

Infrastructures : La gestion des données et leur protection sont devenues des priorités pour les administrations et les infrastructures d’importance vitale publiques et privées.

La Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) vient de publier un guide dédié à la classification des données, dans le cadre de la mise en œuvre de la loi n° 05-20 sur la cybersécurité et de son décret d’application n° 2-21-406. Ce document a pour vocation d’accompagner les entités publiques et les infrastructures d’importance vitale dans l’identification et la protection de leurs informations sensibles. Le guide détaille les étapes clés du processus de classification, en précisant les rôles et responsabilités des acteurs concernés. Il propose une méthode d’évaluation permettant d’apprécier le niveau de sensibilité des données selon les critères de confidentialité, d’intégrité et de disponibilité et présente également une liste indicative de mesures techniques et organisationnelles pour en assurer la protection. Comme l’explique la même direction, la gestion des données et leur protection sont devenues des priorités pour les administrations et les infrastructures d’importance vitale publiques et privées. «Avec l’utilisation croissante des technologies de l’information et l’intégration des processus numériques dans les activités de ces organismes, la quantité des données créées et utilisées augmente de façon exponentielle.

Le Maroc, à l’instar des autres pays, est conscient de la nécessité de mettre en place des mécanismes appropriés pour gérer et protéger ses données notamment sensibles. Pour cela, un cadre juridique rigoureux a été mis en place afin de renforcer la sécurité des données et des systèmes d’information en général. Au cœur de ce cadre se trouve la loi n° 05-20 relative à la cybersécurité, qui constitue l’épine dorsale de l’arsenal juridique du Royaume en matière de cybersécurité», indique la même source soulignant que cette loi prévoit des obligations strictes aux administrations et organismes publics, ainsi qu’aux infrastructures d’importance vitale. «La loi n° 05-20 a mis en place également, via son décret d’application, un référentiel visant à encadrer la démarche de classification des actifs informationnels, y compris des données et des systèmes d’information des organismes publics et des infrastructures d’importance vitale. Sur la base de ce référentiel, un premier inventaire des systèmes d’information sensibles pour l’Etat a été dressé », rapporte la DGSSI relevant que les systèmes, qui sont déclarés à cette direction, sont soumis à des dispositions de sécurité renforcées. De même, les organismes soumis à la loi 05-20 conformément au même référentiel sont également tenus, selon la même source, de procéder à la classification de leurs données et de définir celles ayant un caractère sensible. « La classification des données est un exercice préalable à la mise en place des mesures de protection», précise la Direction générale de la sécurité des systèmes d’information.

Principes

Ledit document détaille, entre autres, les principes de classification des données incluant leur cycle de vie, l’évaluation des risques, la proportionnalité, la mise en place d’un cadre de gouvernance et la classification technologiquement neutre et axée sur le contenu. Si la mise en œuvre d’une opération de classification des données varie en fonction du type d’organisme concerné, certains principes fondamentaux s’imposent à tous, quels que soient leur taille ou leur secteur d’activité. Ces lignes directrices, essentielles pour structurer et orienter la démarche de classification, s’appuient à la fois sur le cadre juridique et réglementaire national en matière de cybersécurité, ainsi que sur les bonnes pratiques internationales reconnues. « Les données passent par plusieurs phases depuis leur création jusqu’à leur archivage, voire leur suppression. Chaque changement apporté aux données dans le cadre de la gestion de leur cycle de vie impacterait leur niveau de sensibilité et nécessiterait une reclassification. La valeur des données et leur importance peuvent également changer au fil des années. Certains types de données ont un caractère temporel et leur pertinence ou leur sensibilité peut évoluer avec le temps.

A cette fin, il est nécessaire de garantir que les mesures de protection prennent en considération le statut des données durant leur cycle de vie. Ignorer cet aspect évolutif pourrait donner lieu à des incidents de sécurité», peut-on lire dans ce document. En termes d’évaluation des risques, l’objectif recherché à travers la classification des données est de se protéger contre les risques potentiels pesant sur le patrimoine informationnel de l’organisme. «Par conséquent, l’évaluation des risques est un préalable pour la détermination de la sensibilité et de l’importance des données. L’évaluation des risques donne lieu, en effet, à la mise en place de mesures de contrôle et de sécurité proportionnelles au niveau de risque associé à chaque type de donnée, et ce dans le but d’éviter tout excès ou toute négligence », explique le même document. Pour ce qui est de la proportionnalité, on apprend dans ce contexte qu’il s’agit d’assurer un certain équilibre entre la sécurité des données et l’agilité opérationnelle et organisationnelle. « L’objectif recherché est de permettre aux organismes de prendre en considération la dimension cybersécuritaire sans pour autant complexifier les processus métiers ou créer des charges administratives ou financières excessives. Pour cela, le niveau de sensibilité attribué aux données doit être, conformément à ce principe, le plus bas possible, mais suffisamment élevé pour assurer une protection adéquate. Une classification trop élevée risque de limiter l’accès, de créer des contrôles inutiles ou de nuire à l’efficacité organisationnelle. À l’inverse, une classification trop faible peut exposer les données à des risques de cybersécurité, faute de contrôles appropriés», souligne la même source. Du côté de la mise en place d’un cadre de gouvernance, le même document relève qu’il s’agit d’un prérequis pour le succès de toute démarche de classification des données. «Il s’agit de créer un environnement où le processus de classification des données soit mené dans un cadre collégial et ne repose nullement sur une personne ou une entité. Pour atteindre cet objectif, il est nécessaire de définir les rôles et responsabilités de chaque intervenant en matière de classification et de protection des données en établissant des procédures précises qui traduisent ces responsabilités en actions et tâches concrètes », explique ce guide notant que lesdites procédures sont appelées à être révisées de manière régulière afin de s’assurer qu’elles restent adaptées à l’environnement des menaces, aux évolutions technologiques, aux exigences réglementaires et aux meilleures pratiques en la matière.

Concernant la classification technologiquement neutre et axée sur le contenu, elle vise à classer les données strictement en fonction de leur contenu et des risques associés à la compromission de ce contenu, indépendamment de leur format, support ou origine. «En règle générale, les données, qu’elles soient stockées sur papier, dispositifs numériques, appareils mobiles ou dans le Cloud, doivent être évaluées et classées de manière uniforme. En privilégiant le contenu plutôt que le support ou la source, les organismes peuvent éviter des incohérences lors de la conception du schéma de protection et qui pourraient survenir si certaines données sont moins bien protégées que d’autres simplement en raison de leur format ou de leur lieu de stockage », souligne la même source.