Matrice services × niveaux de classification¶
Vue d'ensemble¶
Cette matrice définit, pour chaque service du catalogue, le niveau de classification des données qu'il manipule et la zone de confiance dans laquelle il doit etre déployé.
Chaîne logicielle¶
| Service | Données manipulees | Classification | Zone |
|---|---|---|---|
| Gérer le code source (SCM) | Code source, historique, secrets accidentels | Confidentiel | Chaîne logicielle |
| Gérer les miroirs publics | Packages open source, metadonnees | Interne | Chaîne logicielle |
| Stocker les artefacts (Registry) | Images Docker, binaires, SBOMs | Confidentiel | Chaîne logicielle |
| Intégrer et déployer (CI/CD) | Pipelines, secrets de déploiement, tokens | Confidentiel | Chaîne logicielle |
| Analyser la qualité | Rapports de scan, vulnerabilites | Confidentiel | Chaîne logicielle |
| Construire des images | Templates, credentials cloud | Confidentiel | Chaîne logicielle |
Services d'entreprise¶
| Service | Données manipulees | Classification | Zone |
|---|---|---|---|
| Gérer les identités (IAM) | Identités, mots de passe, sessions, MFA | Restreint | Entreprise (segment dedie) |
| Messagerie | Emails internes, pieces jointes | Interne → Confidentiel | Entreprise |
| Collaborer | Documents partages, conversations | Interne | Entreprise |
| Bureau virtuel (VDI) | Sessions utilisateur, données applicatives | Confidentiel | Entreprise |
| Accès distant (Guacamole) | Sessions RDP/SSH, credentials de transit | Confidentiel | Entreprise (DMZ) |
Services de production¶
| Service | Données manipulees | Classification | Zone |
|---|---|---|---|
| Configurer l'infrastructure (Ansible) | Playbooks, credentials, inventaires | Confidentiel | Production (management) |
| Provisionner l'infrastructure (OpenTofu) | State files, credentials cloud | Restreint | Production (management) |
| Conteneuriser (Podman) | Images, volumes, secrets runtime | Confidentiel | Production |
| Résoudre les noms (DNS) | Enregistrements, topologie interne | Interne | Production |
| Observer (Prometheus/Grafana/Loki) | Metriques, logs, traces | Confidentiel | Production |
| Securiser le runtime (Falco/OPA) | Politiques, alertes, événements sécurité | Confidentiel | Production (management) |
| Cloud providers | Workloads, données clients | Confidentiel → Restreint | Production |
Regles de decision¶
Pour déterminer la classification d'un service :
- Lister les types de données que le service cree, stocke, traite ou transmet
- Appliquer le niveau le plus eleve parmi ces données
- Vérifier les contraintes reglementaires (RGPD, HDS, PCI-DSS)
- Documenter la decision dans un ADR
Heritage de classification
Un service qui agrege des données de niveaux différents herite du niveau le plus eleve. Exemple : un dashboard Grafana affichant des metriques (Confidentiel) ET des données de facturation (Restreint) → le dashboard est classe Restreint.