Confidentialité et protection des données : équilibrer votre approche face au risque en cybersécurité

Par Eric Schmitt – directeur mondial de la sécurité de l’information et Brenda G. Corey – vice-présidente senior conformité et réglementation

Dans un monde de plus en plus préoccupé par la vie privée et la protection, les entreprises doivent équilibrer leur conscience des risques avec la conformité face à des réglementations en constante évolution.

Du point de vue de la protection des données, au cours des 24 derniers mois, l’accent a été accru sur la conservation des données uniquement pendant la période où elles sont nécessaires, ou selon l’exigence légale. Avec les lois sur la transparence et les droits sur les données désormais actives dans deux États américains (Californie CPRA, Virginie) et entrant en vigueur dans trois autres États américains en 2023 (Colorado, Connecticut, Utah), c’est maintenant le moment pour les entreprises d’évaluer leur infrastructure, d’isoler les zones potentielles d’exploitation par des acteurs malveillants et d’informer les employés sur les meilleures pratiques pour protéger les données sensibles.

Conservation des disques

Un domaine d’intérêt majeur est le respect total d’un calendrier de conservation des dossiers. Le calendrier de conservation des dossiers est essentiel pour s’assurer que nous ne conservons les données que pour la période nécessaire, réduire les risques en diminuant le nombre de données stockées, et pour respecter la législation émergente. Des entreprises du monde entier entament ce parcours aujourd’hui et revalident leurs politiques existantes pour assurer la conformité. Il est important de s’assurer que les obligations de conservation des dossiers sont respectées pour plusieurs parties prenantes – statutaires, clients et assureurs – ainsi que dans des juridictions spécifiques ainsi qu’à l’échelle mondiale.

Résilience cybernétique

Du côté technologique de l’entreprise, il est important que les équipes de cybersécurité, de sauvegarde et de reprise après sinistre se réunissent pour offrir un programme plus unifié sous la bannière de la « cyberrésilience ». Ce niveau de partenariat aide à garantir que les plans de continuité, y compris les affaires et la technologie, tiennent compte de la manière de mettre en œuvre des protections en cas de cybermenace, permettant à une organisation de répondre rapidement aux menaces émergentes. Les entreprises devraient s’assurer que leur programme de continuité inclut des enjeux liés au cybersécurité.

Chasse aux menaces

Avec pour mission de « se briser avant que quelqu’un d’autre ne le fasse », les équipes de cybersécurité cherchent à attaquer les environnements cybernétiques d’une organisation de la même manière qu’un acteur malveillant le ferait – un processus appelé chasse aux menaces. Cela donne une visibilité non seulement pour repérer les points de douleur où des attaques peuvent survenir, mais aussi pour permettre une réponse plus rapide afin de protéger les données de sauvegarde et s’assurer que tout ne soit pas perdu en cas de menace. La chasse aux menaces devrait compléter un programme robuste de vulnérabilité et de tests d’intrusion, et non remplacer. Il y a deux grands avantages à la chasse aux menaces : vos défenseurs apprennent à identifier les attaques en travaillant avec les chasseurs, et l’entreprise peut aider à identifier les zones nécessitant des contrôles supplémentaires.

Mise en place d’une ligne de défense

Tu dois savoir ce que tu as avant de pouvoir le protéger. En cartographiant toutes les lignes d’affaires et les types de données qui circulent – y compris les fournisseurs qui partagent ces informations – vous pouvez obtenir une image claire de la manière et de l’endroit où les données sont sécurisées. L’utilisation des « exercices joyaux de la couronne » de MITRE permet de mettre en évidence les vulnérabilités autour des données afin de protéger, afin que les défenses puissent être superposées en conséquence.

L’éducation des collègues constitue un autre niveau d’efforts optimaux en matière de protection et de confidentialité des données. En ce qui concerne les risques liés à la cybersécurité, vos gens sont votre première et dernière ligne de défense. La question de savoir comment mieux instruire les employés pour identifier positivement les menaces entrantes, comme les courriels d’hameçonnage et autres activités malveillantes – et comment renforcer ce comportement de façon positive – devrait toujours rester au premier plan. Des exercices de formation par courriel sur l’hameçonnage devraient être effectués régulièrement pour toute l’organisation. Les collègues des équipes qui gèrent constamment des données sensibles pourraient avoir besoin d’évaluations plus fréquentes pour la prévention des violations de données.

Dans l’industrie des réclamations, les agents de confidentialité travaillent à s’assurer que les demandes de droits sur les données soient traitées rapidement et efficacement pour les demandeurs individuels. En accord avec les lois sur la vie privée, l’intelligence artificielle peut être utilisée pour offrir de meilleurs services aux individus, comme dans le cas de l’examen automatisé des réclamations.

Confidentialité dès la conception

La confidentialité et la sécurité des données peuvent être un facteur de différenciation pour une entreprise et ses clients lorsqu’elles sont « intégrées » dans la stratégie d’investissement et d’opérations. À mesure qu’une entreprise développe ses nouveaux processus et programmes, y compris le flux d’information à l’intérieur du système, il est essentiel que les équipes en front end sachent comment gérer la vie privée dès leur conception. Les agences de réglementation font un effort plus important pour réduire l’empreinte des données; Les entreprises doivent faire preuve de diligence raisonnable en posant des questions approfondies sur leurs programmes de sécurité des données et en évaluant leur investissement dans le renseignement sur les menaces.