Dans le monde numérique d’aujourd’hui, protéger les données sensibles du vol et de la vulnérabilité peut être incroyablement difficile. Plus encore en raison de l’adoption généralisée du cloud computing.
Pour comprendre comment empêcher que les données sensibles ne tombent entre de mauvaises mains, vous devez d’abord savoir ce qui est considéré comme des données sensibles.
Dans ce guide, nous explorerons plus en détail les données sensibles – ce que vous pouvez faire pour conserver vos données sensibles à leur place et aussi sécurisées que possible.
Qu’est-ce que les données sensibles de toute façon?
Les données sensibles, également appelées données ou informations privées, sont des informations qui doivent être protégées et rendues inaccessibles au public, sauf autorisation expresse.
La définition légale des informations sensibles les décrit comme toute information qui doit être protégée contre la divulgation non autorisée, y compris les PII (informations personnellement identifiables), les PHI (informations de santé protégées), etc.
Il est crucial d’imposer des restrictions plus strictes lorsqu’il s’agit de traiter ce type de données, en particulier lorsqu’il s’agit de la vie privée et des droits de propriété individuels, pour des raisons éthiques ou juridiques. Par exemple, une violation de données pourrait exposer une entreprise à de graves risques tels que l’espionnage d’entreprise, les cybermenaces ou les atteintes à la vie privée de leurs clients et / ou de leurs employés.
De même, une violation de données dans une commission gouvernementale pourrait permettre à des puissances étrangères d’accéder aux secrets gouvernementaux.
Fonctionnement des données sensibles
En règle générale, si vous doutez que les données soient personnelles ou non, traitez-les comme si elles l’étaient. Mais différentes industries se sont mises d’accord sur une norme uniforme spécifique pour mesurer la sensibilité de toute donnée spécifique. Cette norme est basée sur trois parties: confidentialité, intégrité et disponibilité (généralement désignées sous le nom de «triade CIA»).
Confidentialité
Au fond, la confidentialité équivaut à la vie privée. Cela implique des contre-mesures, telles qu’une simple formation de sensibilisation pour comprendre les risques de sécurité et des logiciels de cybersécurité sophistiqués, pour empêcher l’accès non autorisé à des informations sensibles et garantir que seules les personnes autorisées peuvent y accéder.
Voici des exemples de contre-mesures de confidentialité:
- Cryptage des données
- Porte-clés
- Mots de passe
- Authentification à deux facteurs
- Jetons de sécurité
- Stockage sur papier uniquement
- Limitation de la fréquence de transmission des informations
Intégrité
L’intégrité implique des contre-mesures qui aident à maintenir la cohérence, l’exactitude et la fiabilité des données sur une période de temps spécifique.
Voici des exemples de contre-mesures d’intégrité:
- Droits d’accès aux fichiers
- Contrôle de version
- Sauvegardes
- Licenciements
- Journaux d’audit
- Contrôles d’accès utilisateur
- Sommes de contrôle cryptographiques
Disponibilité
La disponibilité se concentre entièrement sur la disponibilité des données sensibles en cas de besoin.
Voici quelques exemples de contre-mesures de disponibilité:
- Maintenance matérielle avec réparations immédiates
- Correctif logiciel
- Garanties contre la perte de données ou l’interruption de données lors de catastrophes naturelles et d’incendies
- Assurer une bande passante de communication adéquate
- Équipements et logiciels de sécurité supplémentaires tels que des pare-feu et des serveurs supplémentaires
- Reprise après sinistre rapide et adaptative avec un plan de reprise après sinistre complet
Exemple de données sensibles n ° 1: propriété intellectuelle et secrets commerciaux
Presque toutes les entreprises stockent des informations propriétaires dans leur réseau, dans un système de gestion de documents ou chez un tiers. Pour un développeur de matériel, cela peut être de la sémantique, tandis que pour un développeur de logiciel, cela peut être du code.
Les secrets commerciaux et la propriété intellectuelle peuvent également inclure les spécifications du produit, la recherche concurrentielle ou tout autre élément qui relèverait d’un accord de non-divulgation avec un fournisseur.
Supposons que la société X développe un ordinateur portable et donne à la société Y la responsabilité d’aider avec un composant de conception. Si la société Y est violée, elle laisse la société X vulnérable, exposant ses données sensibles au risque d’exposition.
Exemple de données sensibles n ° 2: données sur les employés et informations sur les clients
Les données des employés et les informations clients sont pour la plupart similaires. Il comprend les noms, les adresses personnelles, les informations de carte de paiement, les numéros de sécurité sociale, les e-mails, les attributs de l’application, les informations bancaires, les noms d’utilisateur et les mots de passe de vos employés et clients.
Étant donné que toutes ces informations sont sensibles, chaque organisation doit prendre les mesures nécessaires pour les stocker en toute sécurité.
Exemple de données sensibles n ° 3: données spécifiques à l’industrie
Il peut y avoir des exemples spécifiques de données sensibles qui doivent être protégées en fonction de votre secteur.
Par exemple, ceux qui travaillent dans le secteur de la santé devraient prendre des mesures appropriées pour protéger les dossiers médicaux et les données de recherche médicale stockés numériquement, tandis que ceux du commerce de détail devraient se concentrer sur la protection des informations de paiement de leurs clients.
De plus, les clients ne savent pas toujours qu’ils vous ont fourni des informations, ni où ces informations sont stockées.
Les hôpitaux sont un exemple courant de ce type d’arrangement. Les patients peuvent volontairement fournir des informations à leurs prestataires de soins de santé, mais si l’hôpital décide de stocker les informations par l’intermédiaire d’un tiers, le patient peut ne pas le savoir.
Exemple de données sensibles n ° 4: informations de santé protégées (PHI)
Le Health Insurance Portability and Accountability Act de 1996 (HIPAA) définit les PHI en vertu de la loi américaine comme toute information sur l’état de santé, la fourniture de soins de santé ou le paiement des soins de santé qui est créée ou collectée par une entité couverte (ou un tiers associé) qui peut être lié à une personne spécifique.
Vous ne savez jamais comment un agent malveillant peut utiliser ces informations confidentielles.
Exemple de données sensibles n ° 5: données d’exploitation et d’inventaire
Ce type de données sensibles comprend toutes les opérations commerciales généralisées ou les chiffres d’inventaire. Par exemple, les entreprises qui vendent des produits physiques ne voudraient pas que leurs chiffres de vente soient rendus publics ou consultés par leurs rivaux.
Fondamentalement, les données sensibles ne sont pas toujours des données personnelles ou individuelles. Ce sont plutôt des informations à l’échelle de l’entreprise qui pourraient avoir un impact négatif sur les décisions commerciales, la réputation et les opérations si elles sont évaluées par les mauvaises personnes.
Comment protéger les données sensibles et prévenir l’exposition
Que pouvez-vous faire ou avez-vous fait pour identifier et protéger vos données sensibles?
Voici trois étapes complètes qui peuvent vous aider à protéger les données sensibles et à éviter qu’elles ne soient exposées.
Étape 1: Identifiez toutes les données sensibles
Vous devez prendre les mesures nécessaires pour identifier et regrouper toutes les données en fonction de leur sensibilité. Considérez cette étape comme une classification des données sensibles.
Cela peut sembler une tâche facile, mais ce n’est certainement pas le cas.
Vous verrez toujours un changement dans la complexité du système sur une période donnée, en particulier parce que de nouvelles données apparaissent presque tous les jours. En conséquence, le processus global de recherche de données sensibles devient constant et hautement dynamique.
Les organisations devraient également être en mesure d’identifier les données pertinentes en vertu du règlement général sur la protection des données (RGPD).
Étape 2: Répondez aux risques liés aux données et évaluez-les dès que possible
Le vol et la fuite de données sont un problème sans fin. De plus, comme il affecte tous les secteurs d’une organisation ou d’une unité gouvernementale, on ne peut pas le classer uniquement comme un problème informatique.
Ce qui aggrave les choses, c’est que les cybercriminels ciblent toujours des données sensibles. C’est précisément pourquoi vous devez prendre des mesures immédiates pour évaluer le risque global pour vos données sensibles après les avoir séparées des autres données.
L’évaluation des risques est un aspect extrêmement crucial de la protection des données sensibles. Vous devez d’abord identifier tous les utilisateurs, appareils, réseaux, applications et informations, puis les classer en fonction de l’impact d’une fuite de données sur l’organisation.
N’oubliez pas que les informations sensibles sont «à haut risque», tandis que d’autres informations sans importance, telles que les données marketing, peuvent être «à faible risque».
La dernière étape ici consiste à évaluer tous ces vecteurs d’attaque potentiels et à décider si vous souhaitez accepter, transférer, atténuer ou refuser le risque.
Certains de ces risques incluent le coût de responsabilité des données sensibles, l’emplacement où vous prévoyez de stocker les données sensibles, le mouvement des données sensibles d’une source ou d’un domaine à un autre, la taille des données sensibles, etc.
Étape 3: Surveiller et mettre en œuvre des mesures de sécurité adéquates
La création de mesures de sécurité viables doit être effectuée avec beaucoup de soin afin qu’elles puissent protéger efficacement toutes vos données sensibles contre le vol.
Une fois que cela est fait, l’étape suivante devrait être de surveiller en permanence les étapes pour s’assurer qu’il n’y a pas de vulnérabilités ou de failles de sécurité dans le processus. Vous devez attribuer toutes les mesures de protection aux données sensibles que vous avez trouvées au préalable, ainsi qu’aux nouveaux types de données sensibles.
Voici quelques mesures de sécurité que vous pouvez prendre pour protéger les informations que vous conservez:
- Rappelez aux employés d’éviter de laisser des papiers sensibles sur le bureau lorsqu’ils ne sont pas à leur poste de travail. Demandez-leur plutôt de verrouiller tous les fichiers contenant des informations personnellement identifiables dans les classeurs.
- Cryptez toutes les informations sensibles envoyées à des tiers sur les réseaux publics. Vous pouvez également crypter les transmissions de courrier électronique au sein de votre entreprise si elles contiennent des informations personnellement identifiables.
- Identifiez toutes les connexions aux réseaux sur lesquels vous stockez des informations sensibles et accédez à la vulnérabilité de chaque connexion aux attaques connues ou raisonnablement prévisibles.
- Exécutez régulièrement des programmes antivirus et anti-spyware à jour sur des ordinateurs individuels et sur vos serveurs réseau
- Rendez obligatoire pour vos employés l’utilisation de mots de passe forts et évitez les mots de passe simples et faciles à deviner.
- Éduquez les employés sur l’importance de suivre les protocoles de sécurité et les meilleures pratiques.
- Utilisez un pare-feu pour protéger votre ordinateur contre les attaques de pirates lorsqu’il est connecté à Internet.
- Utilisez un système de détection d’intrusion pour diriger les failles de réseau lorsqu’elles se produisent.
- Créer une «culture de la sécurité» en mettant en place un calendrier régulier de formation des employés. Continuez à les mettre à jour au fur et à mesure que vous découvrez les nouveaux risques et vulnérabilités.
- Découvrez si vous utilisez des appareils sans fil tels que des scanners d’inventaire ou des téléphones portables pour vous connecter à votre réseau informatique ou pour transmettre des informations sensibles. Si oui, envisagez de limiter le nombre d’utilisateurs pouvant utiliser une connexion sans fil pour accéder à votre réseau informatique. Vous pouvez également limiter le nombre d’appareils sans fil pouvant se connecter à votre réseau.
- Évitez de stocker des données personnelles sensibles sur un ordinateur ou un ordinateur portable avec une connexion Internet à moins que cela ne soit absolument nécessaire à la conduite de votre entreprise.