L’évolution de cette pandémie de COVID a généré de nouvelles préoccupations en matière de protection des données au sein des entreprises et des gouvernements, poussant ainsi les responsables de la cybersécurité et les autorités à surveiller activement les effets potentiels sur la sécurité des données. En parallèle, les employés de secteurs entiers s’adaptent à de nouvelles méthodes de télétravail sécurisé.
Alors que cette nouvelle normalité remodèle notre activité professionnelle et notre vie numérique, elle offre également aux cybercriminels et hackers des nouvelles opportunités de cyberattaques. Les SophosLabs et les équipes de sécurité ont déjà identifié de tels initiatives malveillantes. Une attaque de phishing prétendant provenir de l’Organisation Mondiale de la Santé avec des recommandations sur les “mesures de sécurité contre le coronavirus” en est un bon exemple.
Ces acteurs malveillants profitent de la peur des gens et lancent des campagnes de cyber-extorsion et de fraude en utilisant toutes les tactiques à leur disposition : des nouveaux ransomwares aux attaques de phishing sur le thème de la pandémie. Un défi important pour les entreprises consiste à gérer ces risques de sécurité avec des équipes réduites au minimum dans ce contexte particulier.
Même si les entreprises commencent à être davantage sensibilisées au risque accru d’attaques de cybersécurité, elles doivent néanmoins redoubler d’efforts pour mettre en œuvre les bonnes pratiques en matière de protection des données : plus précisément, elles doivent s’assurer que leurs stratégies de protection des données suivent les directives réglementaires en vigueur et que cette conformité se reflète clairement dans toutes leurs activités.
Quels que soient les types de données sensibles que les organisations sont censées protéger, qu’il s’agisse des données de patients, des coordonnées des employés, des données de carte de crédit, des contrats, d’informations de sécurité sociale ou encore des données d’étudiants, les entreprises de tous secteurs devront faire preuve d’une plus grande responsabilité en matière de surveillance, d’anticipation et de gestion des risques potentiels associés à ces données sensibles. Pour les entreprises en transition accélérée vers cette nouvelle norme du télétravail et de la transformation numérique, c’est le moment idéal de corriger leurs postures de sécurité et d’atteindre plus rapidement une certaine forme de cyber-résilience.
Informations Personnelles Identifiables (PII) et règles de protection
Le National Institute of Standards and Technology (NIST) fournit la définition suivante des PII :
Les PII sont des informations sur un individu conservées par une agence, comprenant (1) toute information qui peut être utilisée pour distinguer ou tracer l’identité d’un individu, comme le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille maternel ou des données biométriques; et (2) toute autre information liée ou pouvant être liée à une personne, telle que des informations médicales, scolaires, financières et professionnelles.
Les normes de protection des données représentent un ensemble de directives réglementaires, de règles et de recommandations en termes de procédures qui aident à mettre en oeuvre des mesures efficaces pour protéger ces informations sensibles contre d’éventuelles tentatives de vol de données, d’intrusion et d’accès non autorisé.
Vous trouverez ci-dessous cinq réglementations majeures en matière de protection des données et de la vie privée. Voyons ensemble comment elles s’appliquent aux différents secteurs et comment Sophos aide les entreprises dans leurs efforts de conformité réglementaire.
1. La conformité HIPAA
L’HIPAA (Health Insurance Portability and Accountability Act de 1996) oblige les entités concernées à protéger la vie privée et à assurer la sécurité des PHI (Protected Health Information/Informations de Santé Protégées) d’un individu, entre autres exigences. Il s’applique à toute organisation qui collecte, stocke ou partage des PHI, notamment les plans de santé, les centres de santé et les prestataires de soins de santé qui effectuent certaines transactions financières et administratives par voie électronique, comme les médecins et les hôpitaux. Suite à l’augmentation des incidents en matière de violation de données médicales, cette conformité est devenue extrêmement stricte, et toute violation de celle-ci peut entraîner d’énormes sanctions et, éventuellement, un risque accru pour le capital-marque (brand equity).
Sophos fournit des solutions de cybersécurité next-gen complètes et innovantes pour soutenir les efforts des organisations de soins de santé afin de rester conformes à l’HIPAA et protéger les dossiers médicaux et les données des patients. Téléchargez la carte de conformité HIPAA de Sophos ou parcourez le livre blanc ePHI pour obtenir davantage d’informations.
2. La RGPD (Règlement Général sur la Protection des Données de l’EU)
Ce règlement de l’UE a entraîné une augmentation majeure des activités de mise en oeuvre de la protection des données et a inspiré plusieurs nouvelles initiatives réglementaires plus strictes à l’échelle mondiale. Le Règlement Général sur la Protection des Données (RGPD) de l’UE, qui est entré en vigueur le 25 mai 2018, affecte toutes les organisations qui détiennent des données personnelles sur des citoyens de l’UE, quel que soit l’endroit où l’organisation est basée dans le monde. La mise en œuvre d’une stratégie de protection des données incluant le chiffrement et une sécurité anti-malware est vitale. Les conséquences d’une violation de données dans le cadre du RGPD peuvent être graves et les amendes potentielles peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Qu’il s’agisse de déjouer les activités de piratage et les attaques de malwares, de sécuriser les appareils perdus ou volés ou de réduire l’impact des erreurs humaines, Sophos vous aide à respecter les exigences du RGPD et à minimiser le risque d’amende en protégeant vos données et appareils. Découvrez sans plus attendre la carte de référence RGPD de Sophos pour en savoir plus sur la protection que nous proposons.
3. La conformité PCI DSS
Le PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité visant à garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des données de carte de crédit les aient au préalable correctement sécurisées afin de protéger les titulaires de ces cartes contre l’utilisation abusive de leurs données personnelles. Les amendes pour non-respect de la norme PCI vont de 5000$ à 500 000$ (soit de 4245€ à 424 500€) et sont prélevées par les banques et les établissements de cartes de crédit. Même pour les entreprises qui sont déjà conformes à la norme PCI, il est nécessaire de prouver que cette conformité est continue dans le temps.
Sophos peut vous aider à relever les défis de la conformité PCI DSS avec un large gamme de solutions de cybersécurité next-gen. Vous pouvez lire dès à présent la carte de conformité PCI DSS pour obtenir plus de détails.
4. La conformité SOX
La loi Sarbanes-Oxley de 2002, également connue sous le nom de Public Company Accounting Reform and Investor Protection Act, a été promulguée suite à plusieurs scandales financiers majeurs. Toutes les sociétés cotées en bourse sont tenues de se conformer à la SOX, et plusieurs dispositions de la loi s’appliquent également aux sociétés privées.
La loi Sarbanes-Oxley exige la mise en œuvre de bons rapports financiers et d’une bonne gouvernance d’entreprise, et la conformité est importante pour la sécurité des données financières. Sophos peut vous aider. Découvrez la carte de référence SOX de Sophos pour en savoir plus.
5. La conformité CIPA
La CIPA (Children’s Internet Protection Act) oblige les écoles (de la maternelle à la 12ème année) et les bibliothèques associées à certifier qu’elles appliquent une politique de sécurité sur Internet qui comprend des mesures de protection technologique afin d’être éligibles à un financement fédéral et à des réductions pour l’accès à Internet via le programme E-Rate. La CIPA vise à assurer la sécurité des jeunes apprenants en ligne et, bien que la cause soit noble, cette conformité présente un réel défi pour les établissements d’enseignement.
Les établissements d’enseignement, comprenant les écoles, les collèges et les universités, sont déjà confrontés à de multiples problèmes de sécurité en raison de la transition soudaine et forcée vers le modèle de télé-enseignement. Heureusement, Sophos reste un partenaire cybersécurité privilégié pour les établissements d’enseignement, et avec une gamme complète de solutions de sécurité faciles à gérer, Sophos contribue à garantir un apprentissage à distance sécurisé et des environnements d’apprentissage conformes à la CIPA. Parcourez sans plus attendre la carte de référence de conformité CIPA de Sophos pour découvrir les solutions disponibles.
Conclusion
En raison de la pandémie, les besoins en cybersécurité se sont nettement développés, impliquant ainsi d’importants oublis dans les initiatives de conformité réglementaire mises en oeuvre par les entreprises. Le monde doit faire face à de nombreuses perturbations, notamment la gouvernance d’entreprise, la santé et la sécurité au travail, l’emploi, la chaîne d’approvisionnement et la protection des données.
Les entreprises qui n’ont pas analysé l’impact et les risques associés aux règles spécifiques à la protection des données et aux directives réglementaires applicables à leurs secteurs respectifs devraient se familiariser davantage avec ces règles et mandats.
Il convient également de noter que le respect des mandats en matière de protection des données pour chacune des réglementations mentionnées ci-dessus nécessite des examens exhaustifs de tous les éléments organisationnels, dont certains vont au-delà de la seule cybersécurité.
Néanmoins, avec le bon partenaire cybersécurité, vous aurez un avantage concernant la planification et la mise en œuvre de vos solutions de protection des données et de conformité réglementaire.
Billet inspiré de Safeguarding data privacy during the new normal: 5 major privacy regulations you need to know about, sur le Blog Sophos.