Les violations de données ont exposé 2,8 milliards d’informations personnelles en 2018
Les informations d’identification personnelle, telles que définies dans le Règlement Général sur la Protection des Données (RGPD), en matière de protection de la vie privée et la sécurité des informations, peuvent être utilisées seules ou associées à d’autres informations pour identifier, contacter ou localiser une personne. Le SP 800-122 (guide de protection de la confidentialité des informations personnelles) du National Institute of Standards and Technology (NIST), définit les informations personnelles comme « toute information sur une personne qui est gérée par un organisme, y compris toute information pouvant être utilisée pour distinguer ou retrouver l’identité de cette personne, telle que le nom, le numéro de sécurité sociale, la date, le lieu de naissance, le nom de jeune fille de la mère ou des informations biométriques, ainsi que toute autre information liée ou pouvant être liée à une personne et de nature médicales, éducatives, financières, etc.».
Selon ForgeRock, en 2018, les violations de données ont valu plus de 654 milliards de dollars aux entreprises américaines et dévoilé plus de 2,8 milliards d’informations personnelles. Les informations personnelles étaient les données les plus ciblées en 2018, représentant 97 % de toutes les violations, avec des accès non autorisés couvrant 34 % de toutes les attaques. En dépit des mesures prises pour définir non seulement la portée et les paramètres de sécurité d’une organisation, mais également la responsabilité des organisations qui ne se conforment pas, force est de constater que les violations portant sur les informations personnelles ne cessent de s’accroître. Les soins de santé, les services financiers et les administrations publiques sont les secteurs les plus touchés par les cyberattaques. 48 % de toutes les violations de données se sont produites dans le secteur de la santé, quatre fois plus que dans tout autre secteur. Les services financiers et les administrations publiques sont les deuxièmes et troisièmes industries les plus ciblées, représentant ensemble 20 % des infractions.
De nombreuses parties tiers contrôlent ou ont accès à des informations personnelles, y compris les agences gouvernementales, les employeurs, les prestataires de services médicaux, les prestataires de services financiers, etc. Étant donné que de nombreux tiers ont accès aux informations personnelles, la confidentialité des données dépend uniquement des politiques et procédures de sécurité des organisations qui les détiennent. Malheureusement, les titres de la dernière décennie indiquent que ces mêmes organisations ne parviennent généralement pas à protéger leurs données personnelles. Le rapport d’enquête sur la violation des données de Verizon 2015 a montré qu’il suffisait de quelques minutes pour violer 60 % des organismes. En outre, les violations ont tendance à se produire très rapidement et, en moyenne, mettent beaucoup de temps avant d’être détectées par l’organisation ciblée. Ces chiffres démontrent l’importance d’avoir en plus des réglementations des centres d’opérations en sécurité très efficace.
« Les résultats de nos recherches montrent clairement que les données sur les consommateurs sont précieuses et très recherchées par les cybercriminels, mais qu’il est également très difficile pour les entreprises de les protéger », déclare Eve Maler, vice-présidente de l’innovation et des technologies émergentes chez ForgeRock. « Les organisations peuvent protéger les données des consommateurs en mettant en œuvre un programme solide de gestion de l’identité des clients. Chaque secteur est incité à éviter les dommages et les violations coûteuses. Les entreprises doivent donc utiliser des normes et des pratiques modernes pour sécuriser leur infrastructure ». La liste suivante décrit plusieurs exemples de réglementations de conformité. D’autres juridictions peuvent avoir des réglementations similaires, et la liste est loin d’être exhaustive.
La norme de sécurité des données de l’industrie des cartes de paiement : la norme PCI DSS est une norme de sécurité des informations exclusivement destinée aux organisations qui gèrent des cartes de crédit de grandes marques, notamment Visa, MasterCard, American Express, Discover et JCB. Les cartes de marque privée, qui ne portent pas le logo d’une grande marque, ne sont pas incluses dans le champ d’application de la norme PCI DSS;
Le Règlement général sur la protection des données (RGPD) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
Chaque organisme qui met en œuvre un traitement de données à caractère personnel a pour obligation la mise en place de procédures appropriées afin de prévenir toute violation de données et d’éviter ainsi tout préjudice à l’organisme et aux personnes concernées par le traitement. Quelles sont ces procédures ? Que faire en cas de violation de données ? La video ci-dessous vous en dit plus.
- On 11 juin 2019
- 0 Comments
0 Comments