Aperçu
J.S. Held publie ses perspectives sur les risques et les opportunités qui devraient avoir un impact sur les organisations en 2025
En savoir plusAlors que nos vies et notre travail sont de plus en plus numérisés, il y a un chevauchement intrinsèque entre les programmes de confidentialité des données et de cybersécurité. Imaginez deux cercles de taille similaire : si la confidentialité des données et la cybersécurité pouvaient autrefois se chevaucher en périphérie, leurs centres sont aujourd'hui presque superposés. Dans cet article, nous nous penchons sur la relation entre la confidentialité des données et la cybersécurité, puisque ces questions sont incontestablement liées et nous observons cette tendance dans les réactions, les publications et les normes du secteur.
Par exemple, en 2020, le National Institute of Standards and Technology (NIST, Institut national des normes et de la technologie) des États-Unis a publié le Privacy Framework (PF, cadre de confidentialité) et, peu après, a créé un tableau de concordance des contrôles avec le Cyber Security Framework (CSF, cadre de cybersécurité). En Europe, le règlement général sur la protection des données (RGPD) joue un rôle prépondérant en favorisant le respect de la confidentialité des données depuis 2018, influençant les décisions en matière de cybersécurité. Aujourd'hui, de plus en plus de juridictions non membres de l'Union Européenne (UE) déploient leurs propres contrôles législatifs et réglementaires fédéraux et régionaux, en particulier dans le domaine des informations personnelles identifiables (PII), des informations personnelles sur la santé (PHI) et de la protection des consommateurs.
Compte tenu de ces tendances, y a-t-il des méthodes permettant aux initiatives de confidentialité des données et de cybersécurité de collaborer afin de réduire le risque global pour l'organisation ? Oui, et nous allons présenter quelques domaines dans lesquels les deux initiatives peuvent collaborer. Nous nous attachons plus particulièrement à identifier les zones de chevauchement et les mesures à prendre pour élaborer un programme efficace, le tout dans le but de mieux protéger les données et de réduire les cyber-risques.
Les contrôles de cybersécurité sont généralement volontaires, à moins que des forces extérieures n'exigent la conformité (par exemple contrôles réglementaires, certification pour faire des affaires, obligation de notification, etc.). Mais la confidentialité des données a tendance à être obligatoire, par le biais de la législation et d'une réglementation bien définie. Par exemple :
Mais on constate un paradoxe : les exigences numériques d'aujourd'hui, associées aux exigences législatives et réglementaires en matière de confidentialité des données, imposent des protections en matière de cybersécurité. Pensez-y comme ça :
Le chevauchement est donc immense, bien que le soutien et la mise en œuvre des contrôles puissent être très différents selon la perspective sous laquelle on aborde le problème.
Les conséquences du non-respect des lois sur la confidentialité des données sont bien connues : amendes, litiges civils, perte de parts de marché et confiance brisée. Ainsi, comme les conséquences sont claires et tangibles du point de vue de la confidentialité des données, les améliorations apportées à votre programme de cybersécurité peuvent recueillir davantage de soutien si vos responsables de la sécurité de l'information, de la confidentialité des données et de la gestion des risques démontrent explicitement le chevauchement entre ces programmes distincts mais étroitement liés.
C'est la clarté des conséquences - notamment du point de vue de la confidentialité des données - qui devient le facteur de motivation pour l'amélioration. Comment ces fonctions peuvent-elles donc collaborer ?
Vous devez répondre à deux questions liées aux données pour mettre en place un programme efficace :
En fonction de la taille et de la complexité de votre organisation (par exemple votre lieu d'activité, votre secteur d'activité, les forces extérieures qui influencent le traitement de vos données, etc.), les réponses à ces questions peuvent ne pas être évidentes. Voici quelques petits conseils pour aborder chaque question :
Une fois ces tâches accomplies, vous pourriez finalement opter pour les exigences les plus strictes ; ce n'est pas une mauvaise approche, car vous avez au moins pris le soin de vous assurer qu'il n'y a pas d'angles morts. L'avantage supplémentaire d'utiliser les exigences les plus strictes est que l'analyse de la cartographie juridictionnelle vous a probablement bien positionné pour une couverture maximale, où seules quelques modifications sont requises par la juridiction.
En outre, cet exercice permet également d'identifier les données que vous n'avez pas besoin de conserver. La meilleure option pour minimiser les risques est parfois de ne pas recueillir de données ou de détruire les données détenues.
Vous devez également tenir compte d'une autre question importante : la fiabilité de votre analyse. L'uniformité des données joue un rôle important dans la production des principaux résultats et le maintien du bon fonctionnement des opérations (par exemple, les activités quotidiennes, le traitement et la sécurisation des données, et la facilitation de la réponse aux incidents). Par conséquent, toute opération qui ne cherche pas à normaliser les données aura du mal à produire les meilleurs résultats. Posez-vous les questions suivantes :
Il existe un dicton dans le monde de l'informatique : telles entrées, telles sorties. C'est exactement la situation que vous voulez éviter, car cela vous oblige à prendre des décisions. Non seulement vos efforts en matière de confidentialité des données sont mis en péril, mais vous créez des inefficacités dans vos processus de réponse aux incidents et, plus concrètement, vous pourriez prendre de mauvaises décisions en matière d'activités commerciales.
En supposant que votre parcours en matière de confidentialité des données en soit arrivé là, les dernières pièces du puzzle sont la maintenance du programme et la préparation aux violations. Les organisations matures mettront en place des processus permettant d'extraire automatiquement les exigences en matière de confidentialité des données. Du point de vue des violations, des matrices de recours hiérarchique prédéterminées, des voies de triage et des organigrammes de communication auront été élaborés et testés afin de développer une mémoire musculaire. Voilà les principes fondamentaux de solides programmes de confidentialité des données et de cybersécurité.
Dans une mini-série à venir en deux parties sur la cyberhygiène, nous étudierons comment un bon programme de cybersécurité peut découler de bonnes pratiques en matière de confidentialité des données. Dans un avenir immédiat, les clés du succès reposeront sur vos collaborateurs, et plus précisément sur la capacité des dirigeants à illustrer pourquoi la sécurité est importante pour les utilisateurs quotidiens, en allant au-delà de la manière d'agir en toute sécurité et en s'adaptant à l'évolution des environnements de travail.
Nous tenons à remercier George Platsis et Ron J. Yearwood Jr., CISSP, CISM, CIPM,, dont les connaissances et l'expertise ont grandement contribué à cette recherche.
George Platsis, CCISO, est directeur principal au sein du
George peut être contacté à l'adresse [e-mail protégé] ou au +1 321 346 6441.
Cet article passe en revue les risques inhérents qui pèsent sur la protection des données électroniques des clients et les plateformes basées dans le cloud résultant du travail à distance. Il explique également pourquoi il est important pour les utilisateurs...
Morgan Stanley, Goldman Sachs et Citigroup ont investi plus de 2 milliards de dollars dans les sociétés de cryptomonnaies et de blockchain depuis août 2021. Fidelity offre maintenant du Bitcoin pour ses 401k plans. Blackrock a activé sa plateforme Aladdin...
Cet article porte sur les avantages de l'apprentissage actif continu (AAC), qui est une forme rentable, rapide et flexible de l'examen assisté par la technologie (EAT). L'AAC permet aux enquêteurs et aux avocats de...