+1 (800) 440 1904

Blog de DriveSavers

ITProPortal : Conformité de la sécurité des données - Un guide pour les services informatiques

Publié à l'origine par Portail ITPro.
Par Michael Hall, responsable de la sécurité de l'information (CISO) chez DriveSavers

Poursuivez votre lecture pour découvrir un ensemble unique de lignes directrices à suivre qui peuvent s'appliquer à toutes les réglementations sectorielles à la fois.

De HIPAA à SOX, que vous travailliez pour une organisation soumise à des normes de conformité ou que vous soyez une société informatique indépendante cherchant à développer son activité, les réglementations sectorielles relatives à la sécurité des données peuvent parfois constituer un véritable casse-tête. Poursuivez votre lecture pour découvrir un ensemble unique de lignes directrices à suivre qui peuvent s'appliquer à toutes les réglementations sectorielles à la fois.

Pourquoi existe-t-il une réglementation en matière de sécurité des données ?

Les exigences en matière de sécurité des données imposées par l'industrie existent pour une bonne raison. Là où il y a des données personnelles, il y a des pirates informatiques qui essaient de les obtenir. Après tout, les numéros de sécurité sociale, les numéros de carte de crédit, les dates de naissance, etc. sont tous extrêmement précieux sur le marché noir.
Selon l'Identity Theft Resource Center (ITRC), il y a eu 780 violations de données électroniques en 2015. Ces violations ont touché plus de 175 millions d'enregistrements dans divers secteurs, dont la santé, la banque, l'éducation et les agences gouvernementales. Les chiffres par secteur d'activité se présentent comme suit :
Soins de santé

  • Violations : 276
  • Enregistrements perdus : 121 629 812

Banque/crédit/finances

  • Violations : 71
  • Enregistrements perdus : 5 063 044

L'éducation

  • Violations : 58
  • Enregistrements perdus : 759 600

Gouvernement américain/militaire

  • Violations : 63
  • Enregistrements perdus : 34 222 763

Entreprises

  • Violations : 312
  • Enregistrements perdus : 16 191 017

Cinq étapes vers la conformité

Bien que les différents secteurs soient tenus de suivre des lignes directrices différentes, les éléments dont les services informatiques doivent vraiment se préoccuper se recoupent assez bien.
Bien que certaines informations personnelles puissent ne pas être soumises à des normes de conformité, d'un point de vue informatique, on peut supposer que toutes les informations personnelles des clients, des employés ou autres doivent être protégées contre une violation ou une exposition accidentelle.
Afin d'obtenir et de maintenir la conformité à tout protocole mandaté par l'industrie ou le gouvernement, vous devez disposer de politiques et de procédures documentées et validées qui sont utilisées par votre entreprise.
Les étapes que vous devez suivre en tant qu'informaticien en ce qui concerne les politiques et les procédures de sécurité sont relativement standard, quel que soit le secteur d'activité dans lequel vous travaillez :

1. Analyse des risques

L'analyse des risques, parfois également appelée analyse des lacunes ou évaluation des risques de sécurité, est la première étape de l'élaboration d'une politique de sécurité des données. Les évaluations des risques de sécurité doivent être effectuées chaque année, deux fois par an ou à chaque fois que quelque chose change, comme l'achat de nouveaux équipements ou l'expansion des services de l'entreprise.
L'objectif de l'analyse des risques est de comprendre le système existant et d'identifier les lacunes de la politique et les risques potentiels pour la sécurité. Comme l'explique le SANS Institute, le processus doit permettre de répondre aux questions suivantes :

  • Que faut-il protéger ?
  • Quelles sont les menaces et les vulnérabilités ?
  • Quelles sont les conséquences d'une détérioration ou d'une perte de ces documents ?
  • Quelle est la valeur pour l'organisation ?
  • Que peut-on faire pour minimiser l'exposition à la perte ou au dommage ?

Zones à examiner pour assurer une sécurité adéquate :

  • Configuration des postes de travail et des serveurs
  • Sécurité physique
  • Administration de l'infrastructure de réseau
  • Contrôles d'accès au système
  • Classification et gestion des données
  • Développement et maintenance des applications
  • Menaces existantes et potentielles

Méthodes de sécurité à revoir :

  • Accès et authentification : l'accès doit être physiquement inaccessible à toute personne non autorisée.
  • Gestion des comptes utilisateurs
  • Sécurité des réseaux
  • Contrôle
  • Séparation des tâches
  • Sécurité physique
  • Vérification des antécédents des employés
  • Accords de confidentialité
  • Formation à la sécurité

Les ressources de l'Institut SANS donnent également d'excellentes instructions pour effectuer une analyse approfondie des risques pour votre entreprise.

2. Élaboration de politiques et de procédures

Sur la base des résultats de l'analyse des risques, les politiques et procédures de sécurité pour la protection des données doivent être mises à jour ou, s'il n'y en a pas, rédigées à partir de zéro.
Identifier, développer et documenter :

  • Un plan complet décrivant les politiques de sécurité des données
  • Responsabilités individuelles du personnel en matière de sécurité des données
  • les outils à utiliser pour minimiser les risques, tels que les caméras de sécurité, les pare-feu ou les logiciels de sécurité
  • Lignes directrices concernant l'utilisation de l'internet, de l'intranet et de l'extranet

3. Mise en œuvre

Une fois que les politiques et les procédures de votre entreprise ont été identifiées, planifiées et documentées, elles doivent être mises en œuvre et respectées.

  • Acheter des logiciels de sécurité et d'autres outils jugés nécessaires.
  • Mettre à jour les logiciels et les systèmes d'exploitation existants qui sont obsolètes
  • Organiser des programmes obligatoires de formation et de sensibilisation à la sécurité pour tous les employés et exiger des signatures sur les documents à lire obligatoirement.
  • Vérifier les antécédents de tous les employés
  • Vérifier les fournisseurs tiers pour s'assurer qu'ils maintiennent et documentent des protocoles de sécurité conformes, identiques ou plus robustes que ceux en place dans votre entreprise.

4. La validation

Afin de prouver que votre entreprise est en conformité avec les réglementations du secteur, vous devez demander à une société tierce de sécurité des données de valider les protocoles et procédures de sécurité de votre entreprise, ainsi que la mise en œuvre de ces politiques et procédures. Ce contrôle doit être effectué chaque année ou tous les deux ans.
Ce processus peut être coûteux, chronophage et intrusif ; cependant, ce type de vérification aidera votre entreprise à maintenir la sécurité des données et ajoutera de la valeur à vos services à l'intention de vos clients.
Un protocole de sécurité SSAE16 SOC 2 Type II peut couvrir un large éventail d'exigences en matière de sécurité des données réglementées par l'industrie, y compris toutes celles évoquées dans cet article :

  • HIPAA
  • GLBA
  • SOX
  • FERPA
  • FISMA
  • NIST

5. Application de la loi

Les politiques et procédures de sécurité peuvent être mises en œuvre par le biais de l'éducation et de sanctions. Vous avez peut-être remarqué que la formation relève à la fois de la mise en œuvre et de l'application. Il s'agit de la partie la plus importante de la sécurité de votre entreprise et elle doit être dispensée en permanence.
Des programmes obligatoires de formation et de sensibilisation doivent être prévus pour les employés afin de garantir la protection des données sensibles et confidentielles. Veillez à ce que toute personne susceptible de toucher des données protégées reçoive une formation sur les politiques et les risques actuels, et à ce qu'elle soit tenue au courant des mises à jour des politiques ou de l'identification de nouveaux risques.
Par exemple, assurez-vous que tous les employés concernés sont au courant des escroqueries par hameçonnage, de la manière de les identifier, de ce qu'il faut faire si quelqu'un pense être ciblé et de ce qu'il faut faire s'il est victime d'une telle escroquerie et risque d'exposer des données protégées. Au fur et à mesure de l'apparition de nouveaux types d'escroqueries, envoyez des courriels à l'ensemble de l'entreprise détaillant les méthodes d'identification et de protection.
La deuxième partie de l'application consiste à éliminer la tentation d'ignorer les protocoles et à encourager le respect des règles. Cela peut se faire en imposant des sanctions, financières ou autres, à ceux qui ne respectent pas les procédures importantes.

Voilà, c'est simple !

D'accord, ce n'est peut-être pas très simple. Mais si vous voulez éviter d'ajouter votre entreprise ou vos clients aux statistiques sur les violations de données, les mesures de sécurité des données doivent être rigoureuses. La conformité sectorielle et la sécurité globale des données contribueront à préserver la sécurité des données de votre organisation et constitueront un excellent argument de vente lors de la prospection de clients.

A propos de l'auteur

Michael Hall

En tant que responsable de la sécurité de l'information (CISO), Michael Hall dirige et met en œuvre des politiques et des procédures concernant la confidentialité et la sécurité de toutes les données reçues par DriveSavers.

Articles connexes

Haut de page
Rechercher