Blogue EN
Blogue EN

Le nouveau modèle de classification de sécurité de l’information des données du numériques gouvernementales

La protection des données sensibles constitue une priorité majeure pour toutes les organisations souhaitant réduire les risques liés à la sécurité de l’information. Les menaces telles que les violations de la vie privée, les fraudes, les vols d’identité, le piratage, l’hameçonnage ou encore la vente de données personnelles se multiplient, compromettant la continuité des activités et la confiance des parties prenantes.

Pour se prémunir contre ces risques, les organisations déploient une variété de solutions et de mesures de sécurité : pare-feu, chiffrement des données, authentification multifacteur (MFA), anonymisation et dépersonnalisation des données sensibles, contrôles d’accès physiques, entre autres. Cependant, leur mise en œuvre soulève des questions fondamentales :

  • Faut-il appliquer les mêmes mesures de sécurité à l’ensemble des données ?

  • Comment déterminer le niveau de sécurité approprié pour chaque type de données ?

La classification des données apparaît alors comme une démarche essentielle. Elle permet aux organisations d’évaluer les risques spécifiques associés à chaque catégorie de données et d’adopter des mesures de sécurité proportionnées.

Tout récemment, le Gouvernement du Québec a adopté le nouveau Modèle de classification de sécurité des données numériques gouvernementales qui vise à renforcer la sécurisation des données numériques détenues par les organismes publics (GAZETTE OFFICIELLE DU QUÉBEC, 26 décembre 2024, 156e année, no 52). Ce nouveau modèle de classification remplace le Guide de catégorisation de l’information, pris par le Conseil du trésor en juillet 2016.

Le modèle de classification introduit des nouveaux concepts comparativement à l'approche de catégorisation :

  • Classification des données en deux catégories : donnée classifiée / donnée protégée.

  • Distinction entre les données structurées et les données non structurées.

  • Profil de mesures de sécurité qui doit être attribué à chaque donnée structurée afin de couvrir les trois objectifs de sécurité (confidentialité, intégrité, disponibilité).

  • Marquage appliqué à chaque donnée non structurée afin de couvrir l’objectif de confidentialité.

  • Détermination du niveau de préjudice pour chaque type de préjudices. Alors que l'analyse de l'approche de catégorisation était davantage orientée vers les conséquences pour l'organisme, le modèle de classification se concentre plutôt sur les préjudices aux citoyens, aux entreprises et l'État.

L’application du modèle est obligatoire en vertu la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LGGRI). Ce modèle de classification apporte plusieurs améliorations :

  • Uniformité : Instaurer une classification commune pour tous les organismes publics assujettis à la LGGRI.

  • Sécurisation : Réduire les risques liés à la confidentialité, l'intégrité ou la disponibilité des données.

  • Interopérabilité : Permettre une collaboration efficace avec des partenaires nationaux et internationaux. Ce modèle s’inspire des méthodes en vigueur au gouvernement du Canada qui prennent appui sur les standards américains développés par le National Institute of Standards and Technology (NIST).

Méthodologie et étapes

Le modèle repose sur une analyse des risques et inclut les étapes suivantes :

  • Identification des données : Différenciation entre données structurées (bases de données) et non structurées (documents bureautiques). À cette étape, il est important de préciser la granularité retenue qui représente le niveau de précision souhaité lors de l’identification des objets à classifier.

  • Classification : Les données sont classées en deux catégories :

    • Classifiées : Données sensibles touchant à la sécurité de l'État ou des relations intergouvernementales.

    • Protégées : Données personnelles ou ayant un potentiel de préjudice pour des entités ou individus.

  • Sous-catégorisation : Basée sur le niveau de préjudice possible (très faible à très élevé). Il existe 28 sous-catégories.

  • Application de mesures de sécurité : Attribution de profils de sécurité (données structurées) ou de marquages adaptés (données non structurées).

  • Tenue d’un registre : Suivi et mise à jour tout au long du cycle de vie des données. L’organisme doit consigner les décisions de classification, tel que les objets de classification, les catégories et sous-catégories attribuées, les types et niveaux de préjudice associés.

Un élément important à prendre en considération est le lien direct et pertinent entre l’obligation de tenir un registre de classification de sécurité et celle de maintenir un inventaire des données numériques gouvernementales en vertu de la LGGRI (article 16.4 de l’arrêté ministériel 2024-05).

Application et déploiement

L’arrêté ministériel prévoit des échéances spécifiques pour l’application par les organismes publics.

  • La classification des données structurées doit être complétée avant le 31 décembre 2025.

  • L’application du marquage des données non structurées doit commencer avant le 31 mars 2028.

En conclusion, la classification des données joue un rôle central dans la gouvernance des données, en particulier dans le contexte gouvernemental où la confidentialité, l'intégrité et la disponibilité des informations sont essentielles. En attribuant des catégories et des niveaux de sensibilité aux données, les organismes publics peuvent aligner leurs pratiques sur des cadres de sécurité robustes et standardisés.

Cette démarche :

  • Réduit les risques : Une classification rigoureuse permet d’identifier les données critiques et de mettre en œuvre des mesures de sécurité proportionnées, réduisant ainsi les risques liés aux cyberattaques, aux fuites ou aux pertes de données.

  • Renforce la confiance : En catégorisant les données selon leur sensibilité, on assure une protection adaptée des renseignements personnels et confidentiels, contribuant ainsi à renforcer la confiance des citoyens dans la gestion gouvernementale.

  • Optimise la gestion des ressources : En établissant une méthodologie commune, les organismes publics adoptent des pratiques cohérentes, facilitant l’interopérabilité et l’échange d’informations de manière sécurisée au sein de l’écosystème gouvernemental et avec des partenaires externes.

  • Favorise la conformité légale et réglementaire : Elle assure que les données sont gérées conformément aux lois sur la confidentialité, comme celles relatives à l'accès à l'information et à la protection des renseignements personnels.

En intégrant la classification des données dans une démarche global de gouvernance des données, les organismes publics s’assurent non seulement de protéger les actifs informationnels, mais également de maximiser leur valeur stratégique. Cela favorise une utilisation efficace et sécurisée des ressources informationnelles, tout en contribuant à une administration moderne, résiliente et centrée sur le citoyen.

© ADNIA 2024 Tous droits réservés