Par Eric Schmitt - Chief Global Information Security Officer et Brenda G. Corey - SVP Compliance & Regulatory
Dans un monde de plus en plus préoccupé par la protection de la vie privée, les entreprises doivent trouver un équilibre entre la conscience du risque et la conformité à des réglementations qui évoluent rapidement.
Du point de vue de la protection des données, au cours des 24 derniers mois, l'accent a été mis davantage sur la nécessité de veiller à ce que les données ne soient conservées que pendant la période nécessaire, ou comme l'exige la loi. Les lois sur la transparence et les droits des données étant désormais en vigueur dans deux États américains(Californie CPRA, Virginie) et entrant en vigueur dans trois autres États américains en 2023(Colorado, Connecticut, Utah), le moment est venu pour les entreprises d'évaluer leur infrastructure, d'isoler les zones susceptibles d'être exploitées par des acteurs malveillants et de former leurs employés aux meilleures pratiques de protection des données sensibles.
Conservation des documents
L'un des principaux domaines d'intervention est la conformité totale avec un calendrier de conservation des enregistrements. Ce calendrier est essentiel pour garantir que nous ne conservons les données que pendant la période nécessaire, pour réduire les risques en diminuant les données stockées et pour se conformer à la législation émergente. Les entreprises du monde entier sont aujourd'hui engagées dans cette voie et revalident leurs politiques existantes pour assurer leur conformité. Il est important de s'assurer que les obligations de conservation des documents sont respectées pour de multiples parties prenantes - statutaires, clients et assureurs - et dans des juridictions spécifiques ainsi qu'au niveau mondial.
Cyber-résilience
Sur le plan technique, il est important que les équipes chargées de la cybersécurité, de la sauvegarde et de la reprise après sinistre se réunissent et proposent un programme plus unifié sous la bannière de la "cyber-résilience". Ce niveau de partenariat permet de s'assurer que les plans de continuité, y compris pour les entreprises et les technologies, prennent en compte la manière de mettre en œuvre des protections en cas de cybermenace, ce qui permet à une organisation de répondre rapidement aux menaces émergentes. Les entreprises doivent s'assurer que leur programme de continuité inclut les questions liées à la cybernétique.
Chasse aux menaces
Armées de la mission "se casser la figure avant que quelqu'un d'autre ne le fasse", les équipes de cybersécurité cherchent à attaquer les environnements cybernétiques d'une organisation de la même manière qu'un acteur malveillant pourrait le faire - un processus appelé "chasse aux menaces". Cela permet non seulement de repérer les points sensibles où des attaques peuvent se produire, mais aussi de réagir plus rapidement afin de protéger les données de sauvegarde et de s'assurer que tout n'est pas perdu en cas de menace. La chasse aux menaces doit compléter un solide programme de tests de vulnérabilité et de pénétration, et non le remplacer. La chasse aux menaces présente deux grands avantages : vos défenseurs apprennent à identifier les attaques lorsqu'ils travaillent avec les chasseurs de menaces, et l'entreprise peut aider à identifier les domaines qui pourraient nécessiter l'application de contrôles supplémentaires.
Mise en place d'une ligne de défense
Il faut savoir ce que l'on a avant de pouvoir le protéger. En cartographiant toutes les lignes d'activité et les types de données qui y circulent - y compris les fournisseurs qui partagent ces informations - vous pouvez obtenir une image claire de la manière dont les données sont sécurisées et de l'endroit où elles le sont. L'utilisation des "exercices des joyaux de la couronne" de MITRE permet de mettre en évidence les vulnérabilités autour des données à protéger, de sorte que les défenses peuvent être superposées en conséquence.
La formation des collègues est un autre volet des efforts optimaux en matière de confidentialité et de protection des données. En matière de risques de cybersécurité, vos collaborateurs sont votre première et votre dernière ligne de défense. La question de savoir comment les employés peuvent être mieux formés pour identifier positivement les menaces entrantes, telles que les courriels d'hameçonnage, et d'autres activités malveillantes - et comment renforcer ce comportement de manière positive - devrait toujours être au centre des préoccupations. Des exercices de formation au phishing devraient être organisés régulièrement pour l'ensemble de l'organisation. Les collègues des équipes qui manipulent constamment des données sensibles peuvent avoir besoin d'évaluations plus fréquentes pour la prévention des violations de données.
Dans le secteur des sinistres, les responsables de la protection de la vie privée veillent à ce que les demandes de droits sur les données soient traitées rapidement et efficacement pour les demandeurs individuels. En harmonie avec les lois sur la protection de la vie privée, l'intelligence artificielle peut être exploitée pour fournir de meilleurs services aux personnes, par exemple dans le cas d'un examen automatisé des demandes d'indemnisation.
La protection de la vie privée dès la conception
La confidentialité et la sécurité des données peuvent être un facteur de différenciation pour une entreprise et ses clients lorsqu'elles sont intégrées dans la stratégie d'investissement et d'exploitation. Lorsqu'une entreprise élabore ses nouveaux processus et programmes, y compris le flux d'informations au sein du système, il est essentiel que les équipes en amont sachent comment aborder la question de la protection de la vie privée dès la conception. Les organismes de réglementation s'efforcent de réduire l'empreinte des données ; les entreprises doivent faire preuve de diligence raisonnable en posant des questions approfondies sur leurs programmes de sécurité des données et en évaluant leur investissement dans la veille sur les menaces.