P.I.L.O.T.E

2 min de lecture

5.3 Sécurité des données (PR.DS)

Objectif de la catégorie

Cette catégorie vise à protéger la confidentialité, l’intégrité et la disponibilité des données sensibles, qu’elles soient au repos, en transit ou en cours d’utilisation.

Protection

La donnée est un actif stratégique. Sa protection est au cœur de toute politique SSI.

PR.DS-01 : Données au repos

  • Chiffrement des disques, bases de données, fichiers sensibles
  • Contrôle d’accès granulaire
  • Journalisation des accès
  • Segmentation des environnements contenant des données critiques

PR.DS-02 : Données en transit

  • Utilisation obligatoire de TLS 1.2+ ou VPN pour les communications
  • Protection des API : authentification forte, tokens à durée de vie limitée
  • Interdiction des transferts non chiffrés (FTP, HTTP)

Warning

Toute donnée circulant en clair est une vulnérabilité immédiate.

PR.DS-10 : Données en cours d’utilisation

  • Protection de la mémoire :
    • Isolation des processus
    • Limitation des dumps mémoire
  • Masquage ou anonymisation temporaire si analyse de données sensibles
  • Solutions avancées : confidential computing (chiffrement en exécution)

PR.DS-11 : Sauvegardes

  • Sauvegardes régulières, hors ligne ou isolées (air gap)
  • Tests de restauration périodiques
  • Protection des sauvegardes :
    • Chiffrement
    • Contrôle d’accès
    • Journalisation

Compléments recommandés

  • Classification des données :
    • Publique / Interne / Sensible / Critique
  • Étiquetage automatique (DLP, outils de gouvernance)
  • Politiques de rétention et de purge
  • Gestion des droits numériques (DRM)

Synthèse opérationnelle

ÉlémentBonnes pratiques
Données au reposChiffrement + contrôle d’accès
En transitTLS obligatoire + audit des flux
En usageIsolation + masquage dynamique
SauvegardesTestées, chiffrées, stockées de manière sécurisée
ClassificationPolitiques formelles + outillage (DLP, labels, etc.)

Vue Graphique