Depuis la violation de données d’Equifax de septembre 2017 qui a exposé les informations personnelles de 147 millions d’Américains, et les nombreuses autres violations de données très médiatisées qui se sont produites depuis, la sécurité et la confidentialité des données sont devenues des préoccupations pressantes au niveau des salles de conseil.
« C’est avec la débâcle d’Equifax qu’un grand nombre de problèmes inhérents ont vraiment fait surface au niveau de l’entreprise », a déclaré Aaron Shum, chef de pratique, sécurité, confidentialité, risque et conformité, chez Info-Tech Research Group. « C’est là que nous avons découvert le niveau d’incompétence qui peut exister dans une organisation ».
Selon le rapport spécial 2019 du baromètre de confiance Edelman : In Brands We Trust…, 81 % des consommateurs ont déclaré que la fiabilité des marques joue un rôle majeur dans leurs décisions d’achat. En d’autres termes, les violations de données représentent aujourd’hui non seulement un risque de fond sous forme de pénalités, mais elles mettent également en péril la marque et la réputation d’une organisation, ce qui a un impact direct sur sa capacité à attirer de nouveaux clients et à fidéliser les clients existants.
« Les entreprises doivent traiter la vie privée comme une question de conformité et de risque commercial afin de réduire les sanctions réglementaires et les impacts commerciaux tels que l’atteinte à la réputation et la perte consécutive de clients en raison de violations de la vie privée », a déclaré
Steve Durbin, directeur général de l’Information Security Forum au Royaume-Uni.
Plus que de la sémantique
Pour beaucoup en dehors de la communauté infosec, les termes « sécurité des données » et « confidentialité des données » sont souvent utilisés de manière interchangeable. En réalité, même s’ils partagent un objectif commun, ils ne sont pas identiques, a déclaré Greg Ewing, associé en cybersécurité chez Potomac Law.
« La différence entre la confidentialité des données et la sécurité des données est la différence entre la protection des informations personnelles d’une personne et les mesures de sécurité que vous avez mises en place pour protéger toutes les informations de votre entreprise », a-t-il déclaré.
Avec des réglementations comme la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le règlement général sur la protection des données (GDPR) de l’UE désormais en vigueur, cette distinction est plus qu’une question de sémantique. Le GDPR, par exemple, impose de lourdes sanctions financières pouvant atteindre des milliards de dollars en cas de violation de données impliquant des informations personnelles identifiables (PII) de citoyens européens. À raison de 2 500 à 7 500 dollars par enregistrement PII, les pénalités de non-conformité prévues par la CCPA peuvent également s’additionner rapidement.
Avec la pandémie de COVID-19 qui ne montre aucun signe d’affaiblissement, les gens passent plus de temps en ligne que jamais. Le changement massif de l’utilisation en ligne avant et après le COVID-19, combiné à la méfiance générale envers la façon dont les grandes entreprises de médias sociaux et de divertissement monétisent les données des clients, ne passe pas inaperçu auprès des régulateurs d’État. Selon la Conférence nationale des législateurs d’État, des projets de loi sur la protection de la vie privée sont actuellement à l’étude dans 30 États.
« La confidentialité des données est, en substance, un sous-ensemble de la sécurité des données d’une organisation », a déclaré Ewing. « La distinction est importante car, bien que les outils utilisés pour maintenir la confidentialité des données et pour assurer la sécurité des données puissent se chevaucher, les deux sont généralement traités différemment par des équipes différentes utilisant des outils différents. »
Ce chevauchement peut être source de confusion, laissant les entreprises qui se concentrent uniquement sur la sécurité des données avec la fausse impression que, par défaut, la confidentialité des données est également protégée. Ce n’est pas le cas. Contrairement à la sécurité des données, qui vise à protéger toutes les données d’une organisation contre le vol ou la corruption (comme lors d’une attaque par ransomware), la confidentialité des données est plus granulaire. Pour garantir la confidentialité des données, les organisations doivent comprendre, suivre et contrôler des éléments tels que les personnes autorisées à accéder aux données et l’endroit où elles sont stockées — dans un cloud conforme à la loi HIPAA (Health Insurance Portability and Accountability Act), par exemple.
Un bon exemple des différences entre la confidentialité et la sécurité des données a été la récolte de 87 millions de profils d’utilisateurs Facebook par la société de conseil politique Cambridge Analytica, aujourd’hui disparue, pendant l’élection présidentielle américaine de 2016-17, a déclaré Joshua Kail, un consultant en communication qui a dirigé les relations publiques côté agence pour Cambridge Analytica jusqu’à sa fermeture en mai 2018. Même si les données étaient sécurisées, Facebook a abusé de sa propre politique de confidentialité et d’un décret de consentement de la FTC de 2011 concernant l’utilisation des données des utilisateurs.
« C’était un cas étrange d’échec de la sécurité des données du point de vue, en ce sens qu’ils ont essentiellement remis les données et qu’elles ont ensuite été utilisées d’une manière inappropriée, plutôt qu’une cyberattaque malveillante traditionnelle », a-t-il déclaré. « En ce qui concerne la confidentialité des données, nous l’avons tous perdue au moment où nous avons ouvert un compte. En réalité, ce ne sont pas « nos données » qui ont été utilisées par Cambridge, mais les données de Facebook nous concernant. C’est dans cette distinction que réside le véritable danger des politiques de données actuelles. »
Kail est récemment apparu sur le podcast TechRepublic Dynamic Developer de Bill Detwiler pour discuter de la confidentialité et des droits des données.
Une question de confiance
Alors que la confidentialité des données est de plus en plus réglementée chaque année, c’est encore une question qui, aujourd’hui, se résume en grande partie à la confiance, a déclaré Kayne McGladrey, membre de l’IEEE et stratège en cybersécurité chez Ascent Solutions. Comme le montre le contrecoup du scandale de Cambridge Analytica, ce que les gens attendent des entreprises avec lesquelles ils font affaire est tout aussi important que les lois qui régissent l’utilisation de leurs données.
« Aujourd’hui, la confidentialité des données concerne principalement le traitement des données personnelles sur la base des lois, des règlements et des normes sociales », a déclaré McGladrey. « Souvent, cela est représenté par un consommateur qui ignore une politique de confidentialité incompréhensible (qui prendrait près de 20 minutes à lire) avant de cliquer sur un bouton pour reconnaître son consentement à cette politique. Leur acceptation de la politique permet à l’organisation de traiter leurs données de manière documentée, par exemple en les utilisant pour leur montrer des publicités ciblées en fonction de leurs intérêts supposés. Cependant, si cette organisation vendait ces données personnelles à une autre organisation pour faire quelque chose d’inattendu (comme les utiliser pour supprimer la liberté d’expression protégée) sans le consentement du consommateur, il s’agirait d’une violation de la vie privée, soit par un contrôle réglementaire, soit par une violation des normes sociales. »
Compte tenu de tout ce qui s’est passé au cours des dernières années — le battement de tambour constant des violations massives de données et l’escalade constante des cyberattaques contre les entreprises et les particuliers — il n’est pas surprenant que les gens sentent que leurs données ne sont plus en sécurité entre les mains des entreprises avec lesquelles ils font affaire, ou des gouvernements qui mandatent leur collecte.
En raison de cette méfiance, l’impératif pour les entreprises de se mettre en avant sur ces questions ne pourrait être plus grand, a déclaré Lili Ana, responsable de la gouvernance de la sécurité de l’information chez loanDepot.
« Alors que l’industrie du piratage se développe rapidement et que les cybercriminels sont de mieux en mieux financés, et que la transformation mondiale des lieux de travail numériques à domicile continue d’être la nouvelle normalité, les entreprises doivent prendre des mesures pour comprendre la sécurité de l’information et comment la confidentialité et la sécurité des données fonctionnent ensemble pour protéger les entreprises et les consommateurs », a déclaré Ana. « Investir dans la sauvegarde de votre entreprise dans une approche proactive est beaucoup moins coûteux que l’alternative, qui est un incident ou une violation de données qui non seulement peut détruire une entreprise, mais peut ruiner la réputation, la crédibilité et la confiance des consommateurs. »
Aussi vu
- Les entreprises ayant de mauvaises pratiques en matière de confidentialité sont 80% plus susceptibles de subir une violation de données (TechRepublic)
- Les entreprises s’appuient souvent sur des processus manuels pour se conformer à la nouvelle loi californienne sur la confidentialité (TechRepublic)
- Comment utiliser la distribution avancée de sécurité et de confidentialité Whonix (TechRepublic)
- Zoom : Nous avons tenu toutes nos promesses en matière de sécurité et de confidentialité, à l’exception d’une seule (TechRepublic)
- Les clients ne veulent pas renoncer à leurs données pour des raisons de confidentialité, selon Okta (TechRepublic)
- La plupart des Américains sont prêts à renoncer à la confidentialité des données personnelles pour lutter contre la propagation du COVID-19 (TechRepublic)
.