27 janvier 2023
Par Eric Schmitt, directeur mondial de la sécurité de l'information, et Brenda G. Corey, vice-présidente principale chargée de la conformité et de la réglementation.
Dans un monde où la confidentialité et la protection sont des préoccupations croissantes, les entreprises doivent trouver un équilibre entre leur conscience des risques et leur conformité à des réglementations en constante évolution.
Du point de vue de la protection des données, au cours des 24 derniers mois, l'accent a été mis davantage sur la conservation des données uniquement pendant la période où elles sont nécessaires ou conformément à la loi. Avec les lois sur la transparence et les droits relatifs aux données désormais en vigueur dans deux États américains (Californie CPRA,Virginie) et qui entreront en vigueur dans trois autres États américains en 2023 (Colorado,Connecticut,Utah), le moment est venu pour les entreprises d'évaluer leur infrastructure, d'isoler les domaines susceptibles d'être exploités par des acteurs malveillants et de former leurs employés aux meilleures pratiques en matière de protection des données sensibles.
Conservation des documents
L'un des principaux axes d'action est le respect total du calendrier de conservation des documents. Ce calendrier est essentiel pour garantir que nous ne conservons les données que pendant la durée nécessaire, ce qui réduit les risques en diminuant la quantité de données stockées et permet de se conformer à la législation émergente. Partout dans le monde, les entreprises se sont engagées dans cette voie et réévaluent leurs politiques existantes afin de garantir leur conformité. Il est important de veiller à ce que les obligations en matière de conservation des documents soient respectées pour les différentes parties prenantes (autorités réglementaires, clients et assureurs) et dans des juridictions spécifiques ainsi qu'au niveau mondial.
Cyber-résilience
Du point de vue technique, il est important que les équipes chargées de la cybersécurité, de la sauvegarde et de la reprise après sinistre se réunissent et proposent un programme plus unifié sous la bannière de la « cyber-résilience ». Ce niveau de partenariat permet de garantir que les plans de continuité, y compris ceux liés aux activités et à la technologie, tiennent compte de la manière de mettre en œuvre les protections en cas de cybermenace, ce qui permet à une organisation de réagir rapidement aux menaces émergentes. Les entreprises doivent s'assurer que leur programme de continuité inclut les questions liées à la cybersécurité.
Recherche de menaces
Avec pour mission de « se détruire avant que quelqu'un d'autre ne le fasse », les équipes de cybersécurité cherchent à attaquer les environnements informatiques d'une organisation de la même manière qu'un acteur malveillant pourrait le faire, un processus appelé « chasse aux menaces ». Cela permet non seulement de repérer les points faibles où des attaques pourraient se produire, mais aussi de mettre en place une réponse plus rapide afin de protéger les données de sauvegarde et de garantir que tout ne soit pas perdu en cas de menace. La chasse aux menaces doit compléter un programme solide de tests de vulnérabilité et de pénétration, et non le remplacer. La chasse aux menaces présente deux avantages majeurs : vos défenseurs apprennent à identifier les attaques en travaillant avec les chasseurs de menaces, et l'entreprise peut aider à identifier les domaines qui pourraient nécessiter des contrôles supplémentaires.
Mettre en place une ligne de défense
Vous devez savoir ce que vous possédez avant de pouvoir le protéger. En cartographiant toutes les activités commerciales et les types de données qui y circulent, y compris les informations partagées par les fournisseurs, vous pouvez obtenir une image claire de la manière dont les données sont sécurisées et de leur emplacement. L'utilisation des « exercices couronne » du MITRE permet de mettre en évidence les vulnérabilités autour des données à protéger, afin de mettre en place des défenses adaptées.
La formation des collègues est un autre niveau d'efforts optimaux en matière de confidentialité et de protection des données. En matière de risques liés à la cybersécurité, vos employés constituent votre première et dernière ligne de défense. La question de savoir comment mieux former les employés à identifier les menaces entrantes, telles que les e-mails de phishing et autres activités malveillantes, et comment renforcer ce comportement de manière positive, doit toujours être une priorité. Des exercices email de phishing doivent être organisés régulièrement pour l'ensemble de l'organisation. Les collègues des équipes qui traitent en permanence des données sensibles peuvent avoir besoin d'évaluations plus fréquentes pour prévenir les violations de données.
Dans le secteur des sinistres, les responsables de la protection de la vie privée veillent à ce que les demandes relatives aux droits sur les données soient traitées rapidement et efficacement pour chaque demandeur. Conformément aux lois sur la protection de la vie privée, l'intelligence artificielle peut être mise à profit pour offrir de meilleurs services aux particuliers, par exemple dans le cas de l'examen automatisé des demandes d'indemnisation.
La protection de la vie privée dès la conception
La confidentialité et la sécurité des données peuvent constituer un facteur de différenciation pour une entreprise et ses clients lorsqu'elles sont intégrées dans la stratégie d'investissement et d'exploitation. Lorsqu'une entreprise met en place de nouveaux processus et programmes, y compris le flux d'informations au sein du système, il est essentiel que les équipes en première ligne sachent comment aborder la confidentialité dès la conception. Les organismes de réglementation font pression pour réduire l'empreinte des données ; les entreprises doivent faire preuve de diligence raisonnable en posant des questions approfondies sur leurs programmes de sécurité des données et en évaluant leurs investissements dans le domaine du renseignement sur les menaces.
Tags : Marques Réclamations Conformité Cyber Cyber-résilience cybersécurité cybermenaces cybersécurité Données Confidentialité des données Journée de la confidentialité des données Sécurité des données Lois Préserver les marques Confidentialité Confidentialité dès la conception lois sur la confidentialité Réglementation Résilience Résilience Sécurité
Australie
Canada
Danemark
France
Allemagne
Grèce
Irlande
Pays-Bas
Nouvelle-Zélande
Norvège
Espagne et Portugal
Royaume-Uni
États-Unis