# SEC 7  Comment classer vos données ?
<a name="w2aac19b7c13b5"></a>

La classification des données fournit un moyen de classer les données en fonction de leur importance et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de conservation appropriés.

**Topics**
+ [SEC07-BP01 Identifier les données au sein de votre charge de travail](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Définir les contrôles de protection des données](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatiser l'identification et la classification](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Définir la gestion du cycle de vie des données](sec_data_classification_lifecycle_management.md)

# SEC07-BP01 Identifier les données au sein de votre charge de travail
<a name="sec_data_classification_identify_data"></a>

 vous devez comprendre le type et la classification des données que votre charge de travail traite, les processus métier associés, le propriétaire des données, les exigences légales et de conformité applicables, l'endroit où elles sont stockées et les contrôles qui en résultent et qui doivent être mis en œuvre. Il peut aussi s'agir des classifications pour indiquer si les données sont destinées à être accessibles au public, si elles sont à usage interne uniquement, comme c'est le cas des informations personnelles identifiables (IPI) des clients, ou si elles sont destinées à un accès plus restreint, comme la propriété intellectuelle, les données protégées par la loi ou sensibles, etc. En gérant avec soin un système de classification des données approprié, ainsi que le niveau de protection requis pour chaque charge de travail, vous pouvez définir les contrôles et le niveau d'accès ou de protection appropriés pour les données. Par exemple, le contenu public est accessible à tous, mais le contenu important est chiffré et stocké d'une manière protégée qui nécessite l'accès autorisé à une clé pour le déchiffrer. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Envisager la découverte des données avec Amazon Macie : Macie reconnaît les données sensibles telles que les données d'identification personnelle (PII) ou la propriété intellectuelle. 
  +  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Vidéos connexes :** 
+  [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP02 Définir les contrôles de protection des données
<a name="sec_data_classification_define_protection"></a>

 Protégez les données en fonction de leur niveau de classification. Par exemple, sécurisez les données classées comme publiques à l'aide des recommandations pertinentes tout en protégeant les données sensibles grâce à des contrôles supplémentaires. 

En utilisant des balises de ressource, des comptes AWS séparés par sensibilité (et éventuellement aussi pour chaque mise en garde, isolement ou communauté d'intérêt), les politiques IAM, les politiques de contrôle des services (SCP) AWS Organizations, AWS Key Management Service (AWS KMS) et AWS CloudHSM, vous pouvez définir et mettre en œuvre vos politiques de classification et de protection des données avec chiffrement. Par exemple, si vous disposez d'un projet avec des compartiments S3 qui contiennent des données hautement critiques ou des instances Amazon Elastic Compute Cloud (Amazon EC2) qui traitent des données confidentielles, ils peuvent être marqués avec une balise `Project=ABC` . Seule votre équipe immédiate sait ce que le code du projet signifie, et cela permet d'utiliser un contrôle d'accès basé sur les attributs. Vous pouvez définir des niveaux d'accès aux clés de chiffrement AWS KMS par le biais de politiques de clés et d'autorisations afin de garantir que seuls les services appropriés ont accès au contenu sensible par un mécanisme sécurisé. Si vous prenez des décisions d'autorisation basées sur des balises, vous devez vous assurer que les autorisations sur les balises sont définies de manière appropriée en utilisant des politiques de balises dans AWS Organizations.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Définir votre schéma d'identification et de classification des données : l'identification et la classification de vos données sont faites pour évaluer l'impact potentiel et le type de données que vous stockez et qui peut y accéder. 
  +  [Documentation AWS](https://docs.aws.amazon.com/) 
+  Découvrir les contrôles AWS disponibles : découvrez les contrôles de sécurité pour les services AWS que vous utilisez ou prévoyez d'utiliser. De nombreux services disposent d'une section relative à la sécurité dans leur documentation. 
  +  [Documentation AWS](https://docs.aws.amazon.com/) 
+  Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider. 
  +  [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Documentation AWS](https://docs.aws.amazon.com/) 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [Texte manquant](https://aws.amazon.com/compliance/) 

 **Vidéos connexes :** 
+  [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP03 Automatiser l'identification et la classification
<a name="sec_data_classification_auto_classification"></a>

 l'automatisation de l'identification et de la classification des données peut vous aider à mettre en œuvre les contrôles appropriés. Le recours à l'automatisation en la circonstance plutôt qu'à l'accès direct d'une personne réduit le risque d'erreur humaine et d'exposition. Vous devez évaluer, en utilisant un outil tel qu' [Amazon Macie](https://aws.amazon.com/macie/), qui utilise le machine learning pour découvrir, catégoriser et protéger les données sensibles dans AWS. Amazon Macie reconnaît les données sensibles en tant que données d'identification personnelle (PII) ou propriété intellectuelle, et génère des tableaux de bord et des alertes pour vous offrir de la visibilité sur les méthodes de déplacement ou d'accès à ces données. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Utiliser l'inventaire Amazon Simple Storage Service (Amazon S3) : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets. 
  +  [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Envisager Amazon Macie : Amazon Macie utilise le machine learning pour détecter et classer automatiquement les données stockées dans Amazon S3.
  +  [Amazon Macie](https://aws.amazon.com/macie/) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Vidéos connexes :** 
+  [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP04 Définir la gestion du cycle de vie des données
<a name="sec_data_classification_lifecycle_management"></a>

 votre stratégie de cycle de vie définie doit être basée sur le niveau de sensibilité, ainsi que sur les exigences légales et organisationnelles. Des aspects, tels que la durée de conservation des données, les processus de destruction des données, la gestion de l'accès aux données, la transformation des données et le partage des données, doivent être pris en compte. Lorsque vous choisissez une méthodologie de classification des données, équilibrez l'utilisabilité par rapport à l'accès. Vous devez également tenir compte des multiples niveaux d'accès et des nuances pour mettre en œuvre une approche sécurisée, mais toujours utilisable, pour chaque niveau. Utilisez toujours une approche de défense en profondeur et réduisez l'accès humain aux données et aux mécanismes de transformation, de suppression ou de copie des données. Par exemple, exigez que les utilisateurs s'authentifient d'une manière forte auprès d'une application, et donnez à l'application, plutôt qu'aux utilisateurs, l'autorisation d'accès requise pour effectuer une « action à distance ». En outre, veillez à ce que les utilisateurs proviennent d'un chemin de réseau approuvé et aient besoin d'un accès aux clés de déchiffrement. Utiliser des outils, tels que des tableaux de bord et des rapports automatisés, pour donner aux utilisateurs des informations à partir des données plutôt que de leur fournir un accès direct aux données. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Identifier les types de données : identifiez les types de données que vous stockez ou traitez dans votre charge de travail. Ces données peuvent être du texte, des images, des bases de données binaires, etc. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Vidéos connexes :** 
+  [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)