Presque toutes les entreprises recueillent, utilisent et stockent des informations personnelles identifiables (PII). La plupart possèdent des informations concernant leur personnel, et certaines, en fonction de leur domaine d'activité, se rapportent à un champ plus large constitué de clients, patients, résidents et étudiants.
Les organisations doivent gérer ces données confidentielles en accord avec les règlementations en vigueur et prendre toutes les précautions nécessaires pour les protéger contre la perte, le vol et les accès non autorisés. L'usage déplacé, la perte ou la mise en danger de ces informations peut coûter très cher à l'entreprise, et endommager sa réputation. Ce livre blanc examine les défis auxquels sont
confrontées les entreprises et les mesures qu'elles doivent prendre pour protéger leurs données sensibles contre toute faille ou violation de sécurité.
Par John Stringer , Responsable produit, Sophos
personnelles
Quelles sont les
données vulnérables
et comment pouvez-
vous les protéger ?
Tandis que la plupart des adultes prennent soin de protéger leurs données personnelles, le problème a des répercussions sérieuses sur les organisations qui traitent des informations sur les mineurs telles que les écoles et les services municipaux et médicaux. C'est la responsabilité de
celui qui possède les données d'être vigilant concernant leur utilisation et accès.
Selon le General Accounting Office américain, 87 % de la population américaine peut être identifiée uniquement grâce au sexe, à la date de naissance et au code postal." Par conséquent, il est important de protéger bien plus que les catégories de données les plus évidentes telles que les numéros de cartes bancaires.
Quelles sont les données vulnérables et que pouvez-vous faire pour les protéger ?
Il n'y a pas si longtemps, le moyen le plus courant de protéger ses informations personnelles était de placer son numéro de téléphone sur liste rouge. De nos jours, l'abondance de PII en circulation ne sont pas seulement utilisées par les entreprises. Les écoles et universités, les hôpitaux et centres de santé, les détaillants, les administrations publiques et bien d'autres organisations doivent également acquérir, traiter et stocker des données hautement confidentielles.
L'avancée technologique nous apporte plus de flexibilité et de rapidité dans le domaine des achats, du traitement des paiements et de la gestion des données. Mais cela accroît par la même occasion les problèmes de DLP (prévention des pertes de données) et expose davantage les données personnelles aux menaces.
On note deux types de fuites de données : accidentelles ou malveillantes. Les erreurs humaines, le manque de précaution ou encore une sécurité défaillante peuvent donner lieu à des pertes ou des fuites accidentelles, comme par exemple l'envoi d'une pièce jointe contenant des informations confidentielles au mauvais destinataire. Les violations de données malveillantes, d'autre part, sont des attaques internes ou externes, effectuées délibérément sur les systèmes de données d'une organisation.
Qu'entend-on par données personnelles ?
Selon l'Office of Management and Budget américain, les données personnelles désignent toutes les informations qui permettent d'identifier, de contacter ou de localiser une personne physique,telles que la date de naissance, l'adresse, le numéro de permis de conduire, le numéro de carte bancaire, le numéro de compte bancaire, les dossiers médicaux et d'assurance, etc. A moins qu'une entreprise n'aie aucun personnel, elle possède, de fait, des données personnelles à protéger.
• Prénom ou nom (si courant)
• Date de naissance
• Pays, département ou ville de résidence
• Numéros de cartes bancaires
• Dossier médical
• Age
• Numéros de téléphone
• Adresses électroniques
• Sexe
• Race
• Antécédents criminels
" 87 % de la population des Etats- Unis peut
être identifiée uniquement grâce au genre, à la date de naissance et au code postal."
Tableau 1 : Exemples de données personnelles
Les conséquences d'une absence de protection
Quelle que soit la manière dont la perte survient, les répercussions financières peuvent être immenses. L'une des sanctions les plus répandues est l'amende. La violation du Health Insurance Portability and Accountability Act [HIPAA] américain est passible d'une amende pouvant s'élever à 1,5 millions de dollars par an en cas de fuite de dossiers médicaux, ou encore 500 000 livres sterling dans le cas de
la Grande-Bretagne.
Les conséquences peuvent également porter préjudice à la réputation de l'entreprise, occasionner une perte de confiance des clients et employés, et ceci, sans compter le coût de réparation des dommages encourus. Les cas suivant en témoignent :
► Hartland Payment Systems a engagé 8 millions de dollars de frais de procès suite à une brèche de sécurité qui a compromis 130 millions de carte bancaires
► Health Net (Northeast Inc.) a consenti à payer un service de surveillance de crédit d'une durée de deux ans aux 1,5 millions de membres dont les informations ont été compromises suite à la perte d'un disque dur.
► Sony a accordé des services gratuits aux clients touchés pour leur fuite de données en 2011, pour les aider à se protéger contre l'usurpation d'identité.
Les trois statuts de données
Les données en cours d'utilisation sont les données utilisées par les employés dans le cadre de leur travail.
Les données au repos sont des informations stockées sur des postes fixes, serveurs de fichiers et dépositaires tels que les serveurs Exchange, Sharepoint et les serveurs Web.
Les données en mouvement sont les données circulant sur les réseaux.
Il est important de tenir compte des trois statuts de données dans l'élaboration d'une stratégie de protection.
Elaborer des politiques d'utilisation acceptables
Pour les responsables informatiques, il s'agit de trouver le bon équilibre entre d'un côté, contrôler et protéger efficacement les données personnelles et, de l'autre, répondre aux besoins des employés d'utiliser ces données dans le cadre de leur travail. La CIA aux Etats-Unis se base sur ces trois facteurs : confidentialité, intégrité et disponibilité des données personnelles. L'objectif est de créer et d'appliquer des politiques d'utilisation
acceptable qui définissent clairement quelles sont les données les plus sensibles et quels sont les employés autorisés à y accéder et à les utiliser dans le cadre de leur travail. Il est recommandé de former une équipe pour aider à identifier et classer par priorité toutes les données personnelles que votre entreprise possède.
L'équipe se compose généralement de responsables des opérations informatiques, de la sécurité et du contrôle des données - c'est-à-dire des personnes qui savent quelles sont les données disponibles et où elles sont stockées - ainsi que des représentants des ressources humaines et des services juridiques, experts en matière d'obligations légales et de réglementations sur la conformité. Cette équipe peut vous aider à définir les politiques d'utilisation utiles au traitement et au stockage des informations personnelles identifiables au sein de votre entreprise.
• Quelles sont les personnes ayant besoin d'accéder aux données personnelles dans le cadre de leur travail ?
• À quelles réglementations votre entreprise doit-elle se conformer ?
• Quelles sont les vulnérabilités actuelles de vos données ?
• Quelles données peuvent être transférées au sein de l'organisation ? Quelles données peuvent être envoyées à des tierces parties ?
• Quelles règles et autorisations relatives aux transferts de données, votre entreprise a-t-elle ou souhaite-t-elle mettre en place ?
• Les données doivent-elles être chiffrées avant d'être envoyées ou enregistrées sur des périphériques mobiles ?
• Qui est autorisé à modifier ou à mettre à jour les politiques d'utilisation acceptables ?
" Quelle que soit la manière
dont la perte survient, les
répercussions financières peuvent être immenses. "
Questions servant à élaborer une politique
d'utilisation acceptable des données
personnelles
5 étapes pour élaborer une politique d'utilisation acceptable
Il existe cinq étapes clés préliminaires à tout travail de prévention des pertes de données :
► Identifier vos données personnelles vulnérables
► Classer les données personnelles par ordre d'importance
► Connaître l'emplacement des données personnelles
► Elaborer une PUA
► Sensibiliser vos employés à votre PUA Comment identifier les données sensibles dans votre entreprise ? Elles sont éparpillées sur l'ensemble de vos systèmes, redondants sur les serveurs, ordinateurs portables, ordinateurs de bureau et périphériques amovibles. Le fait de considérer les données en fonction des trois statuts mentionnés précédemment vous aidera à identifier où elles sont localisées.
Une fois que vous avez trouvé les données personnelles, vous devrez définir les PUA de
Tableau 2 : Cinq critères pour déterminer les données à protéger en priorité
Distinction Rechercher les données qui à elles seules suffisent à identifier un individu.
Association Rechercher deux ou plusieurs types de données qui, associées, permettent d'identifier un individu.
Méthodes de stockage, de transmission et d'utilisation des données
• En circulation fréquente sur les réseaux
• Stockées de façon redondante sur les serveurs et les périphériques portables
• Utilisées par de nombreuses personnes dans l'organisation
Conformité Votre entreprise doit être conforme aux normes et aux réglementations sur la protection des données applicables à votre localité et à votre domaine d'activité. Elles peuvent inclure :
• Les normes de sécurité des données de l'industrie des cartes de paiement (ou PCI DSS) (International) – qui régissent les détenteurs de terminaux de paiement
• Les lois sur la protection des données (CE) – exigent le stockage sécurisé des données générées par des moyens de communication publics électroniques
• HIPAA et le HITECH ACT (Etats Unis) – permettent d'appliquer des pénalités allant jusqu'à 1,5 million de dollars par an pour les fuites de données médicales
• Le Criminal Justice and Immigration Act (GB) – donne au commissaire à l'information le pouvoir de lever des amendes allant jusqu'à 500 000 livres sterling pour les fuites de données
Il existe aussi une multitude de lois régionales à prendre en compte selon la localité dans laquelle se trouve l'entreprise.
Simplicité
d'accès Vous devez décider si les données personnelles :
• sont facilement accessibles par n'importe quel employé
• peuvent être copiées, envoyées et sauvegardées sans restriction
• peuvent être utilisées par les ressources humaines pour gérer un employé ou par le personnel
• ne sont pas protégées par un code d'accès ou un mot de passe avant d'être accessibles par le personnel
votre entreprise qui définissent leur accès et leur utilisation. Les PUA varient d'une entreprise à l'autre mais quelle que soit l'organisation, elles doivent répondre à trois objectifs :
►Protéger les données personnelles identifiables
►Définir qui accède aux données sensibles
►Etablir les règles définissant comment les employés autorisés peuvent utiliser les données personnelles
Les AUP que vous élaborez ne seront efficaces que si vos employés ont le sentiment qu'ils ont un rôle à jouer dans la protection des données personnelles.
La sensibilisation des employés est une étape essentielle mais elle est souvent négligée.
Distribuez des exemplaires des AUP aux employés, proposez des sessions de formation et faites-leur signer une déclaration stipulant qu'ils s'engagent à respecter les politiques. Ces pratiques permettent de responsabiliser les employés dans l'application des AUP et renforcent les efforts de l'entreprise pour prévenir les fuites de données et les pertes de données sensibles.
Choisir la bonne solution pour protéger les données personnelles identifiables
Après avoir identifié les PII de votre entreprise et adopté les PUA nécessaires à leur protection, il convient de voir comment sécuriser
votre réseau, vos systèmes d'extrémité, et autres périphériques et applications. Une sécurité robuste peut prévenir les pertes accidentelles de données et arrêter les menaces malveillantes avant qu'elles ne portent
atteinte à votre entreprise, tout en garantissant que les employés autorisés aient accès aux données dont ils ont besoin pour leur travail, conformément aux AUP établies.
Il n'existe pas de recette magique pour accomplir ces trois objectifs (cf. tableau 3). Il s'agit de combiner plusieurs technologies pour obtenir une protection en profondeur ou une stratégie de sécurité à plusieurs niveaux.
Scénario type : Le responsable des ressources humaines d'une entreprise doit fournir des documents importants à un organisme de retraite complémentaire. La solution de sécurité de la société doit fournir :
• Le chiffrement : permet de sécuriser les données en cas de vol ou de perte de l'ordinateur portable du responsable
• La protection contre les menaces : protège son PC contre les virus, le phishing et autres menaces.
• La DLP (Prévention des pertes de données) : avertit le conseiller qu'il est sur le point d'envoyer un fichier contenant des données personnelles identifiables.
• La conformité aux politiques : l'empêche d'utiliser un navigateur présentant une vulnérabilité connue ou d'enregistrer le fichier sur une clé USB non chiffrée.
• Le blocage des proxies anonymes : pour les recherches Web car ils permettent aux administrateurs du serveur proxy d'accéder aux données personnelles.
Tableau 4 : Protéger les données personnelles
Chiffrement Chiffrement intégral du disque.
• Chiffrement des supports amovibles, des CD et des clés USB
• Chiffrement des courriels reposant sur les politiques
• Chiffrement des partages de fichiers
• Sauvegarde et gestion centralisée des clés
• Possibilité de vérifier le statut du chiffrement Protection contre
les menaces Protection de tous les vecteurs - systèmes d'extrémité, courriels et Web - grâce à des technologies éprouvées.
• Détection proactive des malwares connus et inconnus sans besoin de mises à jour, comprenant les virus, les vers, les Chevaux de Troie, les spywares, les adwares, les fichiers suspects, les comportements suspects, les applications potentiellement indésirables (PUA) et plus encore.
• Disposer de fonctions antivirus, pare-feu, contrôle des applications et des périphériques, le tout grâce à un seul agent
• Protection de toutes vos plates-formes (Windows, Mac, Linux, UNIX).
Prévention des
fuites de données Arrête la perte accidentelle des données via la détection des informations sensibles téléchargées vers des pages Web, envoyées par courriel ou messagerie instantanée et sauvegardées sur des périphériques de stockage grâce à des règles automatiques, telles que :
• Règle de correspondance de fichiers : une action spécifique est requise en fonction du nom ou du type de fichier qu'un utilisateur tente d'ouvrir ou de transférer
• Règle de contenu : contient une ou plusieurs définitions de données et spécifie l'action à prendre si un utilisateur tente de transférer des données qui correspondent à ces définitions
Conformité aux politiques
Développez une liste d'applications qui ont besoin d'être contrôlées sous certaines circonstances pour empêcher le transfert accidentel de données sensibles, par courriel, messagerie instantanée, P2P, stockage en ligne, synchronisation de smartphone et autres applications de communications fréquemment utilisées.
• Introduisez et appliquez des méthodes de contrôle du Web, l'Internet étant la première source d'intrusion des malwares.
Permettez le contrôle de trois types de périphériques qui sont utilisés pour le stockage accidentel ou l'envoi de données sensibles :
• Stockage : les périphériques de stockage amovibles (clés USB, lecteurs de carte PC et disques durs externes) ; les lecteurs de supports optiques (CD-ROM/DVD/Blu-ray) ; les lecteurs de disquettes
• Réseau : Modems, sans fil (Interfaces Wi-Fi , norme 802.11)
• Faible portée : Interfaces Bluetooth ; Infrarouge (interfaces IrDA)
Tableau 3 : Solutions pour la protection des PII
Boston, États-Unis | Oxford, Royaume-Uni
© Copyright 2011. Sophos Ltd. Tous droits réservés.
Toutes les marques déposées sont la propriété de leurs propriétaires respectifs.
Équipe commerciale France Tél : 01 34 34 80 00 Courriel : info@sophos.fr
Recommandations
Il y a un certain nombre de mesures à prendre avant d'accéder à une protection efficace des PII. L'étendue de celles-ci varie selon de domaine d'activité, le type de données, la localité, l'attitude de l'entreprise en matière de risques, les ressources de l'entreprise, et d'autres facteurs.
Toutes les organisations doivent passer par les étapes suivantes :
► Identification des PII
► Création de politiques concernant l'utilisation des données
► Éducation des utilisateurs (téléchargez le kit d'outils gratuit Sophos pour vous aider à sensibiliser les utilisateurs)
► Implémentation d'une approche multi-niveaux qui met en place des contrôles de sécurité tels que :
•Le chiffrement
• La protection contre les menaces
• La prévention des fuites de données
•La conformité aux politiques (périphériques, applications et accès au Web)
Pour en savoir plus sur Sophos et évaluer l'un de nos produits gratuitement pendant 30 jours, visitez notre site www.sophos.fr
