Cybersécurité Ontario: Bibliothèque de connaissances classifiant les informations

Classification des informations

Les organisations s’appuient de plus en plus sur des informations numériques et des systèmes d’information pour servir le public et remplir leurs missions.

Vous avez un rôle important à jouer dans la protection des informations que vous traitez ainsi que des systèmes et dispositifs que vous utilisez.

Toutes les informations et tous les systèmes ne sont pas protégés de la même façon. Pour une cybersécurité efficace, il est essentiel de déterminer ce qui doit être protégé et comment.

Sécurité de l’information

Nous pensons souvent à l’information uniquement lorsque nous l’utilisons. Cependant, la cybersécurité nous oblige à examiner attentivement les risques liés aux informations tout au long de leur cycle de vie.

Voici quelques éléments à prendre en compte :

Si vous créez ou saisissez des informations sensibles sur votre ordinateur, votre écran est-il protégé des autres personnes ou celles-ci peuvent-elles voir ce que vous faites?
Lorsque vous stockez des informations, les conservez-vous dans un endroit qui les protège de manière appropriée? Comment savez-vous si l’emplacement est protégé? Votre organisation doit avoir des politiques qui précisent où stocker les informations
Si vous détruisez des informations ou éliminez des actifs susceptibles de contenir des informations, respectez-vous les politiques, procédures et normes organisationnelles garantissant que les informations sont correctement détruites ou éliminées en fonction de leur niveau de sensibilité?

Les informations que vous traitez et les systèmes d’information que vous utilisez sont importants et vous avez la responsabilité de les protéger.

En cas de doute, demandez à votre gestionnaire ou au responsable de la sécurité. Ils devraient être en mesure de vous guider pour vous aider à mieux assumer vos responsabilités en matière de cybersécurité.

Classification de l’information sensible

Lorsqu’il s’agit d’informations, il n’y a pas de taille unique.

La classification des informations est fondamentale pour un programme de cybersécurité efficace.

Toutes les informations doivent être évaluées, classifiées et sauvegardées en fonction de leur niveau de confidentialité.

Niveaux de confidentialité typiques
Niveau de confidentialité	Description
Haute sensibilité	Une divulgation non autorisée pourrait entraîner la perte de vies humaines ou un impact sur la sécurité publique, une perte de confiance importante ou un embarras pour le gouvernement, des blessures extrêmement graves pour les personnes ou les entreprises, un impact économique majeur, un sabotage ou un acte de terrorisme, des pertes financières significatives ou des difficultés sociales.
Sensibilité moyenne	Une divulgation non autorisée pourrait entraîner un préjudice grave pour une personne ou une entreprise, la perte d’un avantage concurrentiel, la perte de confiance dans un programme gouvernemental, une perte financière modérée ou des dommages à des sociétés ou à des réputations.
Sensibilité faible	Une divulgation non autorisée pourrait entraîner des blessures mineures à des personnes, des pertes financières mineures, un léger embarras ou des inconvénients.
Non classifié	La divulgation n’entraînera aucun préjudice ou blessure et ne nécessite pas d’autorisation préalable.

Classification de l’information sensible

Voici les étapes que vous devez suivre :

Classifier l’information dans l’un des quatre niveaux de sensibilité
Étiqueter toutes les informations avec le niveau de sensibilité approprié
Sauvegarder l’information en fonction de son niveau de sensibilité

Pour déterminer les niveaux de sensibilité, prenez en compte les éléments suivants :

Considérez l’information dans son contexte.

Examinez l’information et décidez :

De quel type d’information s’agit-il?
Où l’information apparaît-elle?
Comment l’information est-elle utilisée?
Quelles autres informations apparaissent avec elle?
Quelle loi s’y applique?

Pensez au potentiel de préjudices et de dommages si jamais les informations étaient divulguées sans autorisation

Il pourrait s’agir d’un préjudice physique, voire d’une perte de vie
Il pourrait s’agir d’une perturbation de l’activité ou de difficultés financières – par exemple, la divulgation non autorisée d’impôts sur les sociétés ou d’appels d’offres

Déterminez les besoins de l’entreprise en matière d’informations (sont-elles régies par la loi?) et le niveau de sensibilité que l’information nécessite (qui doit y avoir accès?).

Par exemple :

L’accès doit-il être limité à des personnes ou à des postes désignés?
L’accès doit-il être limité à des groupes de travail ou à des unités spécifiques?
L’accès doit-il être limité aux personnes de votre organisation?
Cette information est-elle destinée au grand public?

Une fois que vous avez classifié vos informations, vous devez les étiqueter pour pouvoir les sauvegarder.

Pourquoi étiqueter les informations?

Étiqueter les informations pour indiquer que leur sensibilité a été évaluée. Une étiquette nous aide à savoir comment sauvegarder correctement l’information.

Les étiquettes de classification de la sensibilité des informations fournissent des informations sur les mesures de traitement exigées. De la même manière que les pictogrammes de lessive nous indiquent comment prendre soin de nos vêtements, les étiquettes de sensibilité de l’information communiquent les exigences de traitement pour protéger la confidentialité, l’intégrité et la disponibilité de l’information.

Les informations doivent être étiquetées à toutes les étapes de leur cycle de vie. Au fil du temps, le niveau de sensibilité peut changer. Par exemple, une fois l’autorisation donnée de rendre une information publique, l’étiquette peut passer du niveau moyen au niveau non classifié.

Tous les formats d’information doivent être classifiés, étiquetés et sauvegardés. Cela inclut les dossiers papier et les documents numériques, notamment les fichiers Microsoft Office, les clés USB, les disques durs, les vidéos et les enregistrements vocaux.

Une bonne pratique consiste à apposer l’étiquette de classification à un endroit bien visible, afin que les autres puissent la trouver facilement, et sur chaque page des documents. L’étiquetage des informations, même « non classifiées », permet à chacun de savoir qu’elles ont été correctement évaluées.

Pensez au travail que vous faites. Les informations que vous traitez sont-elles correctement classifiées?

Knowledge Library

Bibliothèque des connaissances

Cyber Security Ontario

Classification des informations

Sécurité de l’information

Triade de la CID

Confidentialité

Intégrité

Disponibilité

Ce qui se passerait en cas de violation?

Cycle de vie de l’information

Classification de l’information sensible

Niveaux de confidentialité typiques

Classification de l’information sensible

Classifiez

Considérez l’information dans son contexte.

Étiquetage et Sauvegarde

Pourquoi étiqueter les informations?

Comment puis-je protéger les renseignements?