# SEC07-BP02 Appliquer des contrôles de protection des données en fonction de la sensibilité des données
Appliquez des contrôles de protection des données qui fournissent un niveau de contrôle approprié pour chaque classe de données définie dans votre politique de classification. Cette pratique peut vous permettre de protéger les données sensibles contre tout accès et toute utilisation non autorisés, tout en préservant la disponibilité et l’utilisation des données.
**Résultat escompté :** vous disposez d’une politique de classification qui définit les différents niveaux de sensibilité des données au sein de votre organisation. Pour chacun de ces niveaux de sensibilité, vous avez publié des directives claires concernant les services et sites de stockage et de traitement approuvés, ainsi que leur configuration requise. Vous mettez en œuvre les contrôles pour chaque niveau en fonction du niveau de protection requis et des coûts associés. Vous avez mis en place une surveillance et des alertes afin de détecter si des données sont présentes dans des emplacements non autorisés, traitées dans des environnements non autorisés, consultées par des acteurs non autorisés ou si la configuration des services associés devient non conforme.
**Anti-modèles courants :**
+ Appliquer le même niveau de contrôles de protection à toutes les données. Cela peut entraîner un surprovisionnement des contrôles de sécurité pour les données peu sensibles ou une protection insuffisante des données hautement sensibles.
+ Ne pas impliquer les parties prenantes concernées des équipes chargées de la sécurité, de la conformité et des opérations lors de la définition des contrôles de protection des données.
+ Surveiller les frais opérationnels et les coûts associés à la mise en œuvre et à la maintenance des contrôles de protection des données.
+ Ne pas procéder à des examens périodiques des contrôles de protection des données pour préserver l’alignement avec les politiques de classification.
+ Ne pas disposer d’un inventaire complet des emplacements des données au repos et en transit.
**Avantages liés au respect de cette bonne pratique :** en alignant vos contrôles sur le niveau de classification de vos données, votre organisation peut investir dans des niveaux de contrôle plus élevés si nécessaire. Cela peut inclure l’augmentation des ressources consacrées à la sécurisation, à la surveillance, à la mesure, à la correction et à la production de rapports. Lorsque moins de contrôles sont nécessaires, vous pouvez améliorer l’accessibilité et l’exhaustivité des données pour votre personnel, vos clients ou vos administrés. Cette approche offre à votre organisation une grande flexibilité en matière d’utilisation des données, tout en respectant les exigences de protection des données.
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé
## Directives d’implémentation
La mise en œuvre de contrôles de protection des données basés sur les niveaux de sensibilité des données implique plusieurs étapes clés. Tout d’abord, identifiez les différents niveaux de sensibilité des données au sein de votre architecture de charge de travail (public, interne, confidentiel et restreint) et évaluez où vous stockez et traitez ces données. Définissez ensuite les limites d’isolement autour des données en fonction de leur niveau de sensibilité. Nous vous recommandons de séparer les données en différents Comptes AWS, en utilisant des [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) pour restreindre les services et les actions autorisés pour chaque niveau de sensibilité des données. Vous pouvez ainsi créer des limites d’isolement solides et appliquer le principe du moindre privilège.
Après avoir défini les limites d’isolement, implémentez les contrôles de protection appropriés en fonction des niveaux de sensibilité des données. Consultez les bonnes pratiques en matière de [protection des données au repos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-at-rest.html) et de [protection des données en transit](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) pour mettre en œuvre des contrôles pertinents tels que le chiffrement, les contrôles d’accès et l’audit. Envisagez des techniques telles que la création de jeton ou l’anonymisation pour réduire le niveau de sensibilité de vos données. Simplifiez l’application de politiques de données cohérentes dans l’ensemble de votre entreprise grâce à un système centralisé de création/décréation de jeton.
Surveillez et testez en permanence l’efficacité des contrôles mis en œuvre. Régulièrement, passez en revue et mettez à jour le schéma de classification des données, les évaluations des risques et les contrôles de protection à mesure que le paysage des données et les menaces de votre organisation évoluent. Alignez les contrôles de protection des données mis en œuvre avec les réglementations, normes et exigences légales pertinentes du secteur. En outre, sensibilisez et formez les employés à la sécurité pour les aider à comprendre le système de classification des données et leurs responsabilités en matière de traitement et de protection des données sensibles.
### Étapes d’implémentation
1. Identifiez la classification et les niveaux de sensibilité des données au sein de votre charge de travail.
1. Définissez des limites d’isolement pour chaque niveau et déterminez une stratégie d’application.
1. Évaluez les contrôles que vous définissez pour régir l’accès, le chiffrement, l’audit, la conservation et les autres éléments requis par votre politique de classification des données.
1. Évaluez les options permettant de réduire le niveau de sensibilité des données le cas échéant, par exemple en utilisant la création de jeton ou l’anonymisation.
1. Vérifiez vos contrôles à l’aide de tests et de contrôles automatisés de vos ressources configurées.
## Ressources
**Bonnes pratiques associées :**
+ [PERF03-BP01 Utiliser un magasin de données dédié le mieux adapté à vos besoins en matière de stockage des données et d’accès aux données](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html)
+ [COST04-BP05 Appliquer les politiques de conservation des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html)
**Documents connexes :**
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Bonnes pratiques en matière de sécurité, d’identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all)
+ [Meilleures pratiques pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html).
+ [Bonnes pratiques et fonctionnalités de chiffrement pour les services AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/welcome.html)
**Exemples connexes :**
+ [Création d’une solution de création de jeton sans serveur pour masquer les données sensibles](https://aws.amazon.com/blogs/compute/building-a-serverless-tokenization-solution-to-mask-sensitive-data/)
+ [Comment utiliser la création de jeton pour améliorer la sécurité des données et réduire la portée de l’audit](https://aws.amazon.com/blogs/security/how-to-use-tokenization-to-improve-data-security-and-reduce-audit-scope/)
**Outils associés :**
+ [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/)
+ [AWS CloudHSM](https://aws.amazon.com/cloudhsm/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)