Par Eric Schmitt – directeur de la sécurité mondiale de l’information et Brenda G. Corey – Vice-président principal de la conformité et de la réglementation
Dans un monde de plus en plus préoccupé par la vie privée et la protection, les entreprises doivent trouver un équilibre entre leur conscience du risque et leur conformité dans un contexte d’évolution rapide de la réglementation.
Du point de vue de la protection des données, au cours des 24 derniers mois, on a mis davantage l’accent sur la nécessité de s’assurer que les données ne sont conservées que pendant la période nécessaire ou comme l’exige la loi. Avec les lois sur la transparence et les droits des données maintenant actives dans deux États américains (California CPRA, Virginie) et entrant en vigueur dans trois autres États américains en 2023 (Colorado, Connecticut, Utah), le moment est venu pour les entreprises d’évaluer leur infrastructure, d’isoler les zones d’exploitation potentielle par de mauvais acteurs et d’éduquer les employés sur les meilleures pratiques pour protéger les données sensibles.
Conservation des dossiers
Un grand domaine d’intérêt est la pleine conformité à un calendrier de conservation des enregistrements. Le calendrier de conservation des dossiers est essentiel pour s’assurer que nous ne conservons les données que pendant la période nécessaire, que nous réduisons les risques en diminuant les données stockées et que nous nous conformons à la législation émergente. Les entreprises du monde entier sont sur cette voie aujourd’hui et revalident leurs politiques existantes pour assurer la conformité. Il est important de s’assurer que les obligations de conservation des documents sont respectées pour de multiples parties prenantes - statutaires, clientes et compagnies d’assurance - et dans des juridictions spécifiques ainsi qu’à l’échelle mondiale.
Cyberrésilience
Du côté technologique de l’entreprise, il est important que les équipes de cybersécurité, de sauvegarde et de reprise après sinistre se réunissent et fournissent un programme plus unifié sous la bannière de la « cyberrésilience ». Ce niveau de partenariat permet de s’assurer que les plans de continuité, y compris les activités et la technologie, tiennent compte de la façon de mettre en œuvre des protections en cas de cybermenace, permettant ainsi à une organisation de réagir rapidement aux menaces émergentes. Les entreprises devraient s’assurer que leur programme de continuité comprend des questions liées à la cybersécurité.
Chasse aux menaces
Armées de la mission de « se briser avant que quelqu’un d’autre ne le fasse », les équipes de cybersécurité cherchent à attaquer les propres cyber-environnements d’une organisation de la même manière qu’un mauvais acteur pourrait - un processus appelé chasse aux menaces. Cela donne de la visibilité non seulement pour repérer les points douloureux où les attaques peuvent se produire, mais aussi pour créer une réponse plus rapide afin que les données de sauvegarde puissent être protégées pour s’assurer que tout n’est pas perdu en cas de menace. La chasse aux menaces devrait compléter un solide programme de tests de vulnérabilité et de pénétration, et non remplacer. Il y a deux grands avantages à la chasse aux menaces : vos défenseurs apprennent à identifier les attaques lorsqu’ils travaillent avec les chasseurs de menaces, et l’entreprise peut aider à identifier les zones qui peuvent nécessiter des contrôles supplémentaires à appliquer.
Mise en place d’une ligne de défense
Vous devez savoir ce que vous avez avant de pouvoir le protéger. En cartographiant les données de tous les secteurs d’activité et les types de données qui les traversent , y compris les fournisseurs qui partagent ces informations , vous pouvez obtenir une image claire de comment et où les données sont sécurisées. L’utilisation des « exercices de joyau de la couronne » MITRE permet de mettre en évidence les vulnérabilités autour des données à protéger, afin que les défenses puissent être superposées en conséquence.
L’éducation des collègues est un autre niveau d’efforts optimaux en matière de confidentialité et de protection des données. En ce qui concerne le risque de cybersécurité, vos employés sont votre première et dernière ligne de défense. La question de savoir comment les employés peuvent être mieux éduqués pour identifier positivement les menaces entrantes, telles que les e-mails de phishing et d’autres activités malveillantes - et comment renforcer ce comportement positivement - devrait toujours être une priorité. Des exercices de formation sur les courriels d’hameçonnage devraient être effectués régulièrement pour l’ensemble de l’organisation. Les collègues des équipes qui traitent constamment des données sensibles peuvent avoir besoin d’évaluations plus fréquentes pour la prévention des violations de données.
Dans l’industrie des réclamations, les agents de protection de la vie privée veillent à ce que les demandes de droits sur les données soient traitées rapidement et efficacement pour les demandeurs individuels. En harmonie avec les lois sur la protection de la vie privée, l’intelligence artificielle peut être mise à profit pour fournir de meilleurs services aux individus, comme dans le cas d’examens automatisés des réclamations.
La protection de la vie privée à dessein
La confidentialité et la sécurité des données peuvent être un différenciateur pour une entreprise et ses clients lorsqu’elles sont « intégrées » dans la stratégie d’investissement et d’exploitation. Alors qu’une entreprise développe ses nouveaux processus et programmes, y compris la circulation de l’information au sein du système, il est essentiel que les équipes de première ligne sachent comment aborder la confidentialité dès la conception. Les organismes de réglementation font un effort plus important pour réduire l’empreinte des données ; les entreprises doivent faire preuve de diligence raisonnable en posant des questions approfondies sur leurs programmes de sécurité des données et en pesant leur investissement dans le renseignement sur les menaces.