Classification des données dans Purview - mettre en œuvre les nouvelles normes proposées par le MCN

Par Dominique Robichaud

À l’ère du numérique, les organisations génèrent et partagent chaque jour des volumes massifs d’information : documents, courriels, rapports, feuilles Excel, bases de données, etc. Mais combien d’entre elles savent réellement ce qu’elles possèdent, où ces données se trouvent et quel niveau de protection elles exigent ?

La classification des données consiste à catégoriser les informations selon leur sensibilité, leur usage et leur valeur pour l’organisation. C’est une approche structurée qui permet d’assurer une protection adéquate des données, de réduire les risques et de répondre aux exigences légales (comme la Loi 25 au Québec).

En pratique, cela signifie que vos données ne sont plus toutes traitées de la même façon :

  • Les documents publics peuvent être partagés librement;
  • Les informations internes sont réservées à vos équipes;
  • Les données sensibles (RH, clients, finances) sont chiffrées, marquées et surveillées.

Le MCN propose un modèle de classification de données

En 2025, le Ministère de la Cybersécurité et du Numérique a publié son Modèle de classification de sécurité des données, une démarche officielle du gouvernement du Québec visant à uniformiser la façon dont les organisations publiques évaluent et protègent leurs informations numériques.

Son objectif : assurer une protection proportionnée selon la sensibilité des données, les risques potentiels et les obligations légales applicables.

Pourquoi adopter cette stratégie?

Même si vous n’êtes pas un organisme publique, adopter (ou s’inspirer de) la classification du MCN dans permet :

  • de standardiser la protection des données dans votre l’organisation;
  • de simplifier la conformité à la Loi 25 et autres règlements;
  • de préparer le terrain à l’automatisation et à l’IA en rendant vos données traçables et gouvernées.

Les principes clés du modèle

Le MCN distingue principalement deux grands types de données :

  1. Les données classifiées — touchant les affaires de l’État et la sécurité publique;
  2. Les données protégées — concernant des personnes physiques, des entreprises ou des entités externes (p. ex. renseignements personnels, informations contractuelles, dossiers clients, etc.).

Chaque donnée est ensuite évaluée selon trois dimensions :

  • Confidentialité : qui a le droit d’y accéder ?
  • Intégrité : comment s’assurer que l’information n’est pas altérée ?
  • Disponibilité : dans quelle mesure doit-elle rester accessible ?

À partir de cette évaluation, on attribue une catégorie de sécurité (ex. : Protégé A, B, C, Diffusion restreinte, Secret, Très secret, etc.) qui détermine le profil de mesures de sécurité à appliquer.

Figure 1: Diapositive de la présentation Modèle de classification de sécurité des données numériques gouvernementales présenté en mars 2025 par le MCN

Classification des données dans Purview

Le modèle du MCN peut être directement traduit dans Microsoft 365 via Purview, grâce aux étiquettes de sensibilité et aux types d’informations sensibles intégrés.

Voici comment cela s’articule :

1. Création des étiquettes de confidentialité

On peut créer une série d’étiquettes dans l’environnement Purview reflétant les niveaux du MCN, par exemple :

  • Non classifié;
  • Protégé A – Interne;
  • Protégé B – Restreint;
  • Protégé C – Confidentiel;
  • Secret / Très secret.

Chaque étiquette peut appliquer des règles de sécurité :

  • chiffrement du document;
  • restriction de partage (ex. interdiction d’envoyer à l’externe);
  • marquage visuel (ex. filigrane “Confidentiel” dans Word);
  • surveillance via les politiques DLP (Data Loss Prevention).

2. Détection automatique

Purview peut reconnaître automatiquement des données sensibles grâce à des séquence de chiffre et de lettres prédéfinies ou personnalisées (numéros d’assurance sociale, permis, comptes bancaires, etc.)

Ces règles permettent d’appliquer les étiquettes sans intervention manuelle. Un p’tit win pour faciliter la gestion du changement.

3. Publication et adoption

Une fois les étiquettes créées, elles peuvent être publiées pour l’ensemble de l’organisation ou pour certains groupes seulement. Elles peuvent se retrouver dans vos environnements, Teams, SharePoint, PowerBI et Exchange. Elles peuvent être appliquées dans vos sites, bibliothèques, dossiers, documents, courriels, réunions d’équipes, etc.

Les utilisateurs peuvent alors choisir manuellement la bonne étiquette ou laisser Purview l’appliquer automatiquement selon le contenu.

Figure 2: Il est possible d’appliquer une étiquette de sensibilité sur un site SharePoint, à la création de celui-ci

Figure 3: Une étiquette peut être appliquée sur un courriel dans Outlook pour limiter le partage

Figure 4: Le marquage dans la marge d’un document avec une étiquette appliquée

La démarche CHUCK&CO pour réussir votre classification

Notre approche de classification des données dans Purview repose sur quatre grandes étapes :

1. Identifier les besoins de sécurité et les actifs informationnels.

Avant toute chose, il faut savoir ce que l’on protège.

Cette étape consiste à dresser un inventaire complet des actifs informationnels : documents, bases de données, sites SharePoint, bibliothèques, dossiers partagés, Teams, etc.

L’objectif est de documenter la valeur et la criticité de chaque type de donnée pour l’organisation.

On y recense :

  • Les types d’information manipulés (opérationnelle, stratégique, RH, financière, juridique, etc.);
  • Les systèmes et emplacements où ces données résident;
  • Les processus qui les produisent ou les utilisent;
  • Les propriétaires de données (détenteurs principaux).

Cette cartographie sert de fondation pour la suite : elle permet d’identifier les zones sensibles, les risques d’exposition et les dépendances entre services.

2. Classifier les données selon leur sensibilité et attribuer les bons profils de sécurité

Une fois les données identifiées, il faut les catégoriser selon leur niveau de sensibilité — c’est la véritable étape de classification.

Le processus évalue chaque donnée selon trois axes :

  • Confidentialité;
  • Intégrité;
  • Disponibilité.

À partir de cette analyse, on détermine un niveau de classification et un profil de sécurité :

  • Non classifié : données publiques ou de faible impact;
  • Protégé A / B : données internes ou sensibles;
  • Protégé C / Diffusion restreinte / Confidentiel / Secret / Très secret : données hautement critiques.

3. Analyser les risques et définir les mesures à implanter

La classification seule ne suffit pas : il faut ensuite évaluer les risques associés à chaque catégorie de donnée.

Cette étape vise à déterminer quels scénarios de menace pourraient compromettre la confidentialité, l’intégrité ou la disponibilité des informations.

Concrètement, cela comprend :

  • L’identification des menaces (erreur humaine, cyberattaque, partage non autorisé, perte de support, etc.);
  • L’évaluation des vulnérabilités (absence de chiffrement, permissions trop larges, absence de sauvegarde);
  • L’analyse des impacts (juridiques, financiers, réputationnels);
  • La définition des mesures de mitigation (techniques et organisationnelles).

4. Configurer et déployer la classification dans votre environnement Microsoft 365

C’est la phase d’implantation concrète : on passe du concept à l’action.

À cette étape, on configure les étiquettes de sensibilité, les types d’informations sensibles, et les règles automatiques dans Microsoft Purview.

Les principales actions incluent :

  • La création des étiquettes alignées sur votre grille de classification;
  • La publication des étiquettes dans les bons services (SharePoint, OneDrive, Teams, Exchange);
  • La définition des conditions automatiques (détection de NIP, NAS, données personnelles, etc.) pour appliquer des protections sans intervention humaine;
  • L’activation de notifications et de rapports pour suivre l’adoption et détecter les non-conformités.

Passez à l’action !

Vous souhaitez savoir comment appliquer concrètement la classification des données dans Purview ?

Participez à notre formation Classification des données dans Microsoft 365.

Vous y apprendrez à :

  • Catégoriser vos données selon leur sensibilité;

  • Configurer les étiquettes de sécurité dans Purview;

  • Gérer les risques liés à la diffusion et à la conservation;

  • Respecter la Loi 25 et les meilleures pratiques de gouvernance.

On prend rendez-vous ?

Nous vous offrons une consultation gratuite pour évaluer vos besoins et voir comment nous pouvons simplifier votre gestion documentaire.