Chapitre 11 — Gestion du Changement & Classification des Données
Ce module couvre le Change Management (processus formel pour les modifications système), la classification des données, et la destruction sécurisée des données.
Mémorisez ! Toute modification d'un système en production doit passer par un processus de changement formel. L'objectif : éviter que des changements non contrôlés causent des incidents de sécurité ou des pannes. La règle d'or : "si ça ne doit pas changer, ça ne change pas sans approbation."
- CAB (Change Advisory Board) : comité qui évalue et approuve (ou rejette) les demandes de changement importantes. Réunit représentants IT, sécurité, métier.
- RFC (Request For Change) : formulaire de demande de changement. Inclut : description, impact, plan de rollback, fenêtre de maintenance, personnes concernées.
- Change Schedule / Maintenance Window : plage horaire approuvée pour effectuer des changements (ex: 2h-4h du matin les samedis).
- Emergency Change : processus accéléré pour les changements urgents (patch critique exploité activement). Approuvé par un sous-groupe du CAB, documenté a posteriori.
- Plan de rollback : procédure pour revenir à l'état précédent si le changement échoue. Obligatoire dans toute RFC.
- Impact Analysis : évaluer les systèmes affectés avant tout changement. Utilise la CMDB pour identifier les dépendances.
| Secteur | Niveaux de classification (du moins au plus sensible) |
|---|---|
| Commercial / Privé | Public → Interne → Confidentiel → Hautement Confidentiel |
| Gouvernemental US | Unclassified → Confidential → Secret → Top Secret |
| Gouvernemental FR | Non Protégé → Diffusion Restreinte → Confidentiel Défense → Secret Défense → Très Secret Défense |
- Propriétaire des données (Data Owner) : personne responsable de la classification et de la protection d'un ensemble de données. Souvent un directeur ou responsable métier (pas IT).
- Dépositaire des données (Data Custodian/Steward) : personne IT qui implémente les contrôles définis par le propriétaire des données.
- DPO (Data Protection Officer) : obligatoire sous GDPR pour certaines organisations. Supervise la conformité protection des données.
- Étiquetage (Labeling) : marquer les données avec leur classification (métadonnées, watermarks, headers de documents).
- DLP (Data Loss Prevention) : outils qui détectent et empêchent la fuite de données sensibles (email, USB, cloud upload).
- PII (Personally Identifiable Information) : données permettant d'identifier une personne (nom, adresse, numéro de sécurité sociale, email, IP dans certains contextes).
- PHI (Protected Health Information) : informations de santé protégées par HIPAA (dossiers médicaux, diagnostics, prescriptions liées à une identité).
- PCI DSS : données de carte de paiement (numéro de carte, CVV, PIN).
- Propriété intellectuelle : brevets, secrets commerciaux, code source.
- Non-Public Financial Information : informations financières non publiques protégées par des réglementations (GLBA aux États-Unis).
Astuce Examen
Le Data Owner (propriétaire des données) décide de la classification et des politiques d'accès. Le Data Custodian (IT) implémente ces décisions. Sur l'examen : si la question demande "qui décide comment les données doivent être protégées ?" → Data Owner. "Qui implémente le chiffrement ?" → Data Custodian.