Protection des données personnelles Quelles sont les données vulnérables et comment pouvezvous les protéger?

Transcription

1 Protection des données Quelles sont les données vulnérables et comment pouvezvous les protéger? Presque toutes les entreprises recueillent, utilisent et stockent des informations identifiables (PII). La plupart possèdent des informations concernant leur personnel, et certaines, en fonction de leur domaine d'activité, se rapportent à un champ plus large constitué de clients, patients, résidents et étudiants. Les organisations doivent gérer ces données confidentielles en accord avec les règlementations en vigueur et prendre toutes les précautions nécessaires pour les protéger contre la perte, le vol et les accès non autorisés. L'usage déplacé, la perte ou la mise en danger de ces informations peut coûter très cher à l'entreprise, et endommager sa réputation. Ce livre blanc examine les défis auxquels sont confrontées les entreprises et les mesures qu'elles doivent prendre pour protéger leurs données sensibles contre toute faille ou violation de sécurité. Par John Stringer, Responsable produit, Sophos 1

2 Protection des données : quelles sont les données vulnérables et comment y remédier Quelles sont les données vulnérables et que pouvez-vous faire pour les protéger? Il n'y a pas si longtemps, le moyen le plus courant de protéger ses informations était de placer son numéro de téléphone sur liste rouge. De nos jours, l'abondance de PII en circulation ne sont pas seulement utilisées par les entreprises. Les écoles et universités, les hôpitaux et centres de santé, les détaillants, les administrations publiques et bien d'autres organisations doivent également acquérir, traiter et stocker des données hautement confidentielles. L'avancée technologique nous apporte plus de flexibilité et de rapidité dans le domaine des achats, du traitement des paiements et de la gestion des données. Mais cela accroît par la même occasion les problèmes de DLP (prévention des pertes de données) et expose davantage les données aux menaces. On note deux types de fuites de données : accidentelles ou malveillantes. Les erreurs humaines, le manque de précaution ou encore une sécurité défaillante peuvent donner lieu à des pertes ou des fuites accidentelles, comme par exemple l'envoi d'une pièce jointe contenant des informations confidentielles au mauvais destinataire. Les violations de données malveillantes, d'autre part, sont des attaques internes ou externes, effectuées délibérément sur les systèmes de données d'une organisation. Qu'entend-on par données? Selon l'office of Management and Budget américain, les données désignent toutes les informations qui permettent d'identifier, de contacter ou de localiser une personne physique, telles que la date de naissance, l'adresse, le numéro de permis de conduire, le numéro de carte bancaire, le numéro de compte bancaire, les dossiers médicaux et d'assurance, etc. A moins qu'une entreprise n'aie aucun personnel, elle possède, de fait, des données à protéger. Tandis que la plupart des adultes prennent soin de protéger leurs données, le problème a des répercussions sérieuses sur les organisations qui traitent des informations sur les mineurs telles que les écoles et les services municipaux et médicaux. C'est la responsabilité de celui qui possède les données d'être vigilant concernant leur utilisation et accès. Selon le General Accounting Office américain, 87 % de la population américaine peut être identifiée uniquement grâce au sexe, à la date de naissance et au code postal." Par conséquent, il est important de protéger bien plus que les catégories de données les plus évidentes telles que les numéros de cartes bancaires. Tableau 1 : Exemples de données Prénom ou nom (si courant) Date de naissance Pays, département ou ville de résidence Numéros de cartes bancaires Dossier médical Age Numéros de téléphone Adresses électroniques Sexe Race Antécédents criminels Les conséquences d'une absence de protection Quelle que soit la manière dont la perte survient, les répercussions financières peuvent être immenses. L'une des sanctions les plus répandues est l'amende. La violation du Health Insurance Portability and Accountability Act [HIPAA] américain est passible d'une amende pouvant s'élever à 1,5 millions de dollars par an en cas de fuite de dossiers médicaux, ou encore livres sterling dans le cas de la Grande-Bretagne. " 87 % de la population des Etats- Unis peut être identifiée uniquement grâce au genre, à la date de naissance et au code postal." 2

3 Protection des données : quelles sont les données vulnérables et comment y remédier Les conséquences peuvent également porter préjudice à la réputation de l'entreprise, occasionner une perte de confiance des clients et employés, et ceci, sans compter le coût de réparation des dommages encourus. Les cas suivant en témoignent : Hartland Payment Systems a engagé 8 millions de dollars de frais de procès suite à une brèche de sécurité qui a compromis 130 millions de carte bancaires Health Net (Northeast Inc.) a consenti à payer un service de surveillance de crédit d'une durée de deux ans aux 1,5 millions de membres dont les informations ont été compromises suite à la perte d'un disque dur. Sony a accordé des services gratuits aux clients touchés pour leur fuite de données en 2011, pour les aider à se protéger contre l'usurpation d'identité. Les trois statuts de données Les données en cours d'utilisation sont les données utilisées par les employés dans le cadre de leur travail. Les données au repos sont des informations stockées sur des postes fixes, serveurs de fichiers et dépositaires tels que les serveurs Exchange, Sharepoint et les serveurs Web. Les données en mouvement sont les données circulant sur les réseaux. Il est important de tenir compte des trois statuts de données dans l'élaboration d'une stratégie de protection. Elaborer des politiques d'utilisation acceptables Pour les responsables informatiques, il s'agit de trouver le bon équilibre entre d'un côté, contrôler et protéger efficacement les données et, de l'autre, répondre aux besoins des employés d'utiliser ces données dans le cadre de leur travail. La CIA aux Etats-Unis se base sur ces trois facteurs : confidentialité, intégrité et disponibilité des données. L'objectif est de créer et d'appliquer des politiques d'utilisation Questions servant à élaborer une politique d'utilisation acceptable des données Quelles sont les personnes ayant besoin d'accéder aux données dans le cadre de leur travail? À quelles réglementations votre entreprise doit-elle se conformer? Quelles sont les vulnérabilités actuelles de vos données? Quelles données peuvent être transférées au sein de l'organisation? Quelles données peuvent être envoyées à des tierces parties? Quelles règles et autorisations relatives aux transferts de données, votre entreprise a-t-elle ou souhaite-t-elle mettre en place? Les données doivent-elles être chiffrées avant d'être envoyées ou enregistrées sur des périphériques mobiles? Qui est autorisé à modifier ou à mettre à jour les politiques d'utilisation acceptables? acceptable qui définissent clairement quelles sont les données les plus sensibles et quels sont les employés autorisés à y accéder et à les utiliser dans le cadre de leur travail. Il est recommandé de former une équipe pour aider à identifier et classer par priorité toutes les données que votre entreprise possède. L'équipe se compose généralement de responsables des opérations informatiques, de la sécurité et du contrôle des données - c'est-à-dire des personnes qui savent quelles sont les données disponibles et où elles sont stockées - ainsi que des représentants des ressources humaines et des services juridiques, experts en matière d'obligations légales et de réglementations sur la conformité. Cette équipe peut vous aider à définir les politiques d'utilisation utiles au traitement et au stockage des informations identifiables au sein de votre entreprise. " Quelle que soit la manière dont la perte survient, les répercussions financières peuvent être immenses. " 3

4 Protection des données : quelles sont les données vulnérables et comment y remédier 5 étapes pour élaborer une politique d'utilisation acceptable Il existe cinq étapes clés préliminaires à tout travail de prévention des pertes de données : Identifier vos données vulnérables Classer les données par ordre d'importance Connaître l'emplacement des données Elaborer une PUA Sensibiliser vos employés à votre PUA Comment identifier les données sensibles dans votre entreprise? Elles sont éparpillées sur l'ensemble de vos systèmes, redondants sur les serveurs, ordinateurs portables, ordinateurs de bureau et périphériques amovibles. Le fait de considérer les données en fonction des trois statuts mentionnés précédemment vous aidera à identifier où elles sont localisées. Une fois que vous avez trouvé les données, vous devrez définir les PUA de votre entreprise qui définissent leur accès et leur utilisation. Les PUA varient d'une entreprise à l'autre mais quelle que soit l'organisation, elles doivent répondre à trois objectifs : Protéger les données identifiables Définir qui accède aux données sensibles Etablir les règles définissant comment les employés autorisés peuvent utiliser les données Les AUP que vous élaborez ne seront efficaces que si vos employés ont le sentiment qu'ils ont un rôle à jouer dans la protection des données. La sensibilisation des employés est une étape essentielle mais elle est souvent négligée. Distribuez des exemplaires des AUP aux employés, proposez des sessions de formation et faites-leur signer une déclaration stipulant qu'ils s'engagent à respecter les politiques. Ces pratiques permettent de responsabiliser les employés dans l'application des AUP et renforcent les efforts de l'entreprise pour prévenir les fuites de données et les pertes de données sensibles. Tableau 2 : Cinq critères pour déterminer les données à protéger en priorité Distinction Association Méthodes de stockage, de transmission et d'utilisation des données Conformité Simplicité d'accès Rechercher les données qui à elles seules suffisent à identifier un individu. Rechercher deux ou plusieurs types de données qui, associées, permettent d'identifier un individu. En circulation fréquente sur les réseaux Stockées de façon redondante sur les serveurs et les périphériques portables Utilisées par de nombreuses personnes dans l'organisation Votre entreprise doit être conforme aux normes et aux réglementations sur la protection des données applicables à votre localité et à votre domaine d'activité. Elles peuvent inclure : Les normes de sécurité des données de l'industrie des cartes de paiement (ou PCI DSS) (International) qui régissent les détenteurs de terminaux de paiement Les lois sur la protection des données (CE) exigent le stockage sécurisé des données générées par des moyens de communication publics électroniques HIPAA et le HITECH ACT (Etats Unis) permettent d'appliquer des pénalités allant jusqu'à 1,5 million de dollars par an pour les fuites de données médicales Le Criminal Justice and Immigration Act (GB) donne au commissaire à l'information le pouvoir de lever des amendes allant jusqu'à livres sterling pour les fuites de données Il existe aussi une multitude de lois régionales à prendre en compte selon la localité dans laquelle se trouve l'entreprise. Vous devez décider si les données : sont facilement accessibles par n'importe quel employé peuvent être copiées, envoyées et sauvegardées sans restriction peuvent être utilisées par les ressources humaines pour gérer un employé ou par le personnel ne sont pas protégées par un code d'accès ou un mot de passe avant d'être accessibles par le personnel 4

5 Protection des données : quelles sont les données vulnérables et comment y remédier Choisir la bonne solution pour protéger les données identifiables Après avoir identifié les PII de votre entreprise et adopté les PUA nécessaires à leur protection, il convient de voir comment sécuriser votre réseau, vos systèmes d'extrémité, et autres périphériques et applications. Une sécurité robuste peut prévenir les pertes accidentelles de données et arrêter les menaces malveillantes avant qu'elles ne portent atteinte à votre entreprise, tout en garantissant que les employés autorisés aient accès aux données dont ils ont besoin pour leur travail, conformément aux AUP établies. Il n'existe pas de recette magique pour accomplir ces trois objectifs (cf. tableau 3). Il s'agit de combiner plusieurs technologies pour obtenir une protection en profondeur ou une stratégie de sécurité à plusieurs niveaux. Tableau 4 : Protéger les données Scénario type : Le responsable des ressources humaines d'une entreprise doit fournir des documents importants à un organisme de retraite complémentaire. La solution de sécurité de la société doit fournir : Le chiffrement : permet de sécuriser les données en cas de vol ou de perte de l'ordinateur portable du responsable La protection contre les menaces : protège son PC contre les virus, le phishing et autres menaces. La DLP (Prévention des pertes de données) : avertit le conseiller qu'il est sur le point d'envoyer un fichier contenant des données identifiables. La conformité aux politiques : l'empêche d'utiliser un navigateur présentant une vulnérabilité connue ou d'enregistrer le fichier sur une clé USB non chiffrée. Le blocage des proxies anonymes : pour les recherches Web car ils permettent aux administrateurs du serveur proxy d'accéder aux données. Tableau 3 : Solutions pour la protection des PII Chiffrement Protection contre les menaces Prévention des fuites de données Conformité aux politiques Chiffrement intégral du disque. Chiffrement des supports amovibles, des CD et des clés USB Chiffrement des courriels reposant sur les politiques Chiffrement des partages de fichiers Sauvegarde et gestion centralisée des clés Possibilité de vérifier le statut du chiffrement Protection de tous les vecteurs - systèmes d'extrémité, courriels et Web - grâce à des technologies éprouvées. Détection proactive des malwares connus et inconnus sans besoin de mises à jour, comprenant les virus, les vers, les Chevaux de Troie, les spywares, les adwares, les fichiers suspects, les comportements suspects, les applications potentiellement indésirables (PUA) et plus encore. Disposer de fonctions antivirus, pare-feu, contrôle des applications et des périphériques, le tout grâce à un seul agent Protection de toutes vos plates-formes (Windows, Mac, Linux, UNIX). Arrête la perte accidentelle des données via la détection des informations sensibles téléchargées vers des pages Web, envoyées par courriel ou messagerie instantanée et sauvegardées sur des périphériques de stockage grâce à des règles automatiques, telles que : Règle de correspondance de fichiers : une action spécifique est requise en fonction du nom ou du type de fichier qu'un utilisateur tente d'ouvrir ou de transférer Règle de contenu : contient une ou plusieurs définitions de données et spécifie l'action à prendre si un utilisateur tente de transférer des données qui correspondent à ces définitions Développez une liste d'applications qui ont besoin d'être contrôlées sous certaines circonstances pour empêcher le transfert accidentel de données sensibles, par courriel, messagerie instantanée, P2P, stockage en ligne, synchronisation de smartphone et autres applications de communications fréquemment utilisées. Introduisez et appliquez des méthodes de contrôle du Web, l'internet étant la première source d'intrusion des malwares. Permettez le contrôle de trois types de périphériques qui sont utilisés pour le stockage accidentel ou l'envoi de données sensibles : Stockage : les périphériques de stockage amovibles (clés USB, lecteurs de carte PC et disques durs externes) ; les lecteurs de supports optiques (CD-ROM/DVD/Blu-ray) ; les lecteurs de disquettes Réseau : Modems, sans fil (Interfaces Wi-Fi, norme ) Faible portée : Interfaces Bluetooth ; Infrarouge (interfaces IrDA) 5

6 Protection des données : quelles sont les données vulnérables et comment y remédier Recommandations Il y a un certain nombre de mesures à prendre avant d'accéder à une protection efficace des PII. L'étendue de celles-ci varie selon de domaine d'activité, le type de données, la localité, l'attitude de l'entreprise en matière de risques, les ressources de l'entreprise, et d'autres facteurs. Toutes les organisations doivent passer par les étapes suivantes : Identification des PII Création de politiques concernant l'utilisation des données Éducation des utilisateurs (téléchargez le kit d'outils gratuit Sophos pour vous aider à sensibiliser les utilisateurs) Implémentation d'une approche multi-niveaux qui met en place des contrôles de sécurité tels que : Le chiffrement La protection contre les menaces La prévention des fuites de données La conformité aux politiques (périphériques, applications et accès au Web) Pour en savoir plus sur Sophos et évaluer l'un de nos produits gratuitement pendant 30 jours, visitez notre site Équipe commerciale France Tél : Courriel : info@sophos.fr Boston, États-Unis Oxford, Royaume-Uni Copyright Sophos Ltd. Tous droits réservés. Toutes les marques déposées sont la propriété de leurs propriétaires respectifs.