Protection des données personnelles Quelles sont les

Protection des données
personnelles
Quelles sont les
données vulnérables
et comment pouvezvous les protéger ?
Presque toutes les entreprises recueillent, utilisent et stockent des informations
personnelles identifiables (PII). La plupart possèdent des informations concernant
leur personnel, et certaines, en fonction de leur domaine d'activité, se rapportent à un
champ plus large constitué de clients, patients, résidents et étudiants.
Les organisations doivent gérer ces données confidentielles en accord avec les
règlementations en vigueur et prendre toutes les précautions nécessaires pour
les protéger contre la perte, le vol et les accès non autorisés. L'usage déplacé, la
perte ou la mise en danger de ces informations peut coûter très cher à l'entreprise,
et endommager sa réputation. Ce livre blanc examine les défis auxquels sont
confrontées les entreprises et les mesures qu'elles doivent prendre pour protéger
leurs données sensibles contre toute faille ou violation de sécurité.
Par John Stringer, Responsable produit, Sophos
Livre blanc Sophos – Octobre 2011
1
Protection des données personnelles : quelles sont les données vulnérables et comment y remédier
Quelles sont les données vulnérables
et que pouvez-vous faire pour les
protéger ?
Il n'y a pas si longtemps, le moyen le plus
courant de protéger ses informations
personnelles était de placer son numéro
de téléphone sur liste rouge. De nos jours,
l'abondance de PII en circulation ne sont pas
seulement utilisées par les entreprises. Les
écoles et universités, les hôpitaux et centres
de santé, les détaillants, les administrations
publiques et bien d'autres organisations
doivent également acquérir, traiter et
stocker des données hautement
confidentielles.
L'avancée technologique nous apporte plus de
flexibilité et de rapidité dans le domaine
des achats, du traitement des paiements et
de la gestion des données. Mais cela accroît
par la même occasion les problèmes de DLP
(prévention des pertes de données) et expose
davantage les données personnelles aux
menaces.
On note deux types de fuites de données :
accidentelles ou malveillantes. Les erreurs
humaines, le manque de précaution ou encore
une sécurité défaillante peuvent donner lieu
à des pertes ou des fuites accidentelles,
comme par exemple l'envoi d'une pièce jointe
contenant des informations confidentielles
au mauvais destinataire. Les violations de
données malveillantes, d'autre part, sont des
attaques internes ou externes, effectuées
délibérément sur les systèmes de données
d'une organisation.
Qu'entend-on par données personnelles ?
Selon l'Office of Management and Budget
américain, les données personnelles désignent
toutes les informations qui permettent
d'identifier, de contacter ou de localiser une
personne physique,
telles que la date de naissance, l'adresse, le
numéro de permis de conduire, le numéro de
carte bancaire, le numéro de compte bancaire,
les dossiers médicaux et d'assurance, etc. A
moins qu'une entreprise n'aie aucun personnel,
elle possède, de fait, des données personnelles
à protéger.
Livre blanc Sophos – Octobre 2011
Tandis que la plupart des adultes prennent
soin de protéger leurs données personnelles,
le problème a des répercussions sérieuses sur
les organisations qui traitent des informations
sur les mineurs telles que les écoles et les
services municipaux et médicaux. C'est la
responsabilité de
celui qui possède les données d'être vigilant
concernant leur utilisation et accès.
Selon le General Accounting Office américain,
87 % de la population américaine peut être
identifiée uniquement grâce au sexe, à la
date de naissance et au code postal." Par
conséquent, il est important de protéger bien
plus que les catégories de données les plus
évidentes telles que les numéros de cartes
bancaires.
Tableau 1 : Exemples de données
personnelles
• Prénom ou nom (si courant)
• Date de naissance
• Pays, département ou ville de résidence
" 87 % de la
population
des EtatsUnis peut
être identifiée
uniquement
grâce au
genre, à
la date de
naissance
et au code
postal."
• Numéros de cartes bancaires
• Dossier médical
• Age
• Numéros de téléphone
• Adresses électroniques
• Sexe
• Race
• Antécédents criminels
Les conséquences d'une absence de
protection
Quelle que soit la manière dont la perte
survient, les répercussions financières peuvent
être immenses. L'une des sanctions les plus
répandues est l'amende. La violation du Health
Insurance Portability and Accountability Act
[HIPAA] américain est passible d'une amende
pouvant s'élever à 1,5 millions de dollars par an
en cas de fuite de dossiers médicaux, ou encore
500 000 livres sterling dans le cas de
la Grande-Bretagne.
2
¨Protection des données personnelles : quelles sont les données vulnérables et comment y remédier
Les conséquences peuvent également porter
préjudice à la réputation de l'entreprise,
occasionner une perte de confiance des clients
et employés, et ceci, sans compter le coût de
réparation des dommages encourus. Les cas
suivant en témoignent :
►► Hartland Payment Systems a engagé
8 millions de dollars de frais de procès
suite à une brèche de sécurité qui
a compromis 130 millions de carte
bancaires
►► Health Net (Northeast Inc.) a consenti à
payer un service de surveillance de crédit
d'une durée de deux ans aux 1,5 millions
de membres dont les informations ont été
compromises suite à la perte d'un disque
dur.
►► Sony a accordé des services gratuits aux
clients touchés pour leur fuite de données
en 2011, pour les aider à se protéger
contre l'usurpation d'identité.
Les trois statuts de données
Les données en cours d'utilisation sont les
données utilisées par les employés dans le
cadre de leur travail.
Les données au repos sont des informations
stockées sur des postes fixes, serveurs de
fichiers et dépositaires tels que les serveurs
Exchange, Sharepoint et les serveurs Web.
Les données en mouvement sont les
données circulant sur les réseaux.
Il est important de tenir compte des trois
statuts de données dans l'élaboration d'une
stratégie de protection.
Elaborer des politiques d'utilisation
acceptables
Pour les responsables informatiques, il
s'agit de trouver le bon équilibre entre d'un
côté, contrôler et protéger efficacement les
données personnelles et, de l'autre, répondre
aux besoins des employés d'utiliser ces
données dans le cadre de leur travail. La CIA
aux Etats-Unis se base sur ces trois facteurs
: confidentialité, intégrité et disponibilité des
données personnelles. L'objectif est de créer
et d'appliquer des politiques d'utilisation
Livre blanc Sophos – Octobre 2011
Questions servant à élaborer une politique
d'utilisation acceptable des données
personnelles
• Quelles sont les personnes ayant besoin
d'accéder aux données personnelles dans
le cadre de leur travail ?
• À quelles réglementations votre
entreprise doit-elle se conformer ?
• Quelles sont les vulnérabilités actuelles
de vos données ?
• Quelles données peuvent être transférées
au sein de l'organisation ? Quelles
données peuvent être envoyées
à des tierces parties ?
• Quelles règles et autorisations relatives
aux transferts de données, votre
entreprise a-t-elle ou souhaite-t-elle
mettre en place ?
" Quelle
que soit la
manière
dont la perte
survient, les
répercussions
financières
peuvent être
immenses. "
• Les données doivent-elles être chiffrées
avant d'être envoyées ou enregistrées
sur des périphériques mobiles ?
• Qui est autorisé à modifier ou
à mettre à jour les politiques
d'utilisation acceptables ?
acceptable qui définissent clairement quelles
sont les données les plus sensibles et quels
sont les employés autorisés à y accéder et à
les utiliser dans le cadre de leur travail. Il est
recommandé de former une équipe pour aider
à identifier et classer par priorité toutes les
données personnelles que votre entreprise
possède.
L'équipe se compose généralement de
responsables des opérations informatiques,
de la sécurité et du contrôle des données c'est-à-dire des personnes qui savent quelles
sont les données disponibles et où elles sont
stockées - ainsi que des représentants des
ressources humaines et des services juridiques,
experts en matière d'obligations légales et
de réglementations sur la conformité. Cette
équipe peut vous aider à définir les politiques
d'utilisation utiles au traitement et au stockage
des informations personnelles identifiables au
sein de votre entreprise.
3
Protection des données personnelles : quelles sont les données vulnérables et comment y remédier
5 étapes pour élaborer une politique
d'utilisation acceptable
Il existe cinq étapes clés préliminaires à tout
travail de prévention des pertes de données :
votre entreprise qui définissent leur accès et leur
utilisation. Les PUA varient d'une entreprise à
l'autre mais quelle que soit l'organisation, elles
doivent répondre à trois objectifs :
►► Identifier vos données personnelles
vulnérables
►► Protéger les données personnelles
identifiables
►► Classer les données personnelles par
ordre d'importance
►► Définir qui accède aux données sensibles
►► Connaître l'emplacement des données
personnelles
►► Elaborer une PUA
►► Sensibiliser vos employés à votre PUA
Comment identifier les données sensibles dans
votre entreprise ? Elles sont éparpillées sur
l'ensemble de vos systèmes, redondants sur
les serveurs, ordinateurs portables, ordinateurs
de bureau et périphériques amovibles. Le fait
de considérer les données en fonction des trois
statuts mentionnés précédemment vous aidera
à identifier où elles sont localisées.
Une fois que vous avez trouvé les données
personnelles, vous devrez définir les PUA de
►► Etablir les règles définissant comment les
employés autorisés peuvent utiliser les
données personnelles
Les AUP que vous élaborez ne seront efficaces que
si vos employés ont le sentiment qu'ils ont un rôle à
jouer dans la protection des données personnelles.
La sensibilisation des employés est une étape
essentielle mais elle est souvent négligée.
Distribuez des exemplaires des AUP aux employés,
proposez des sessions de formation et faites-leur
signer une déclaration stipulant qu'ils s'engagent à
respecter les politiques. Ces pratiques permettent
de responsabiliser les employés dans l'application
des AUP et renforcent les efforts de l'entreprise
pour prévenir les fuites de données et les pertes de
données sensibles.
Tableau 2 : Cinq critères pour déterminer les données à protéger en priorité
Distinction
Rechercher les données qui à elles seules suffisent à identifier un individu.
Association
Rechercher deux ou plusieurs types de données qui, associées, permettent d'identifier un individu.
Méthodes de
stockage, de
transmission et
d'utilisation des
données
• En circulation fréquente sur les réseaux
• Stockées de façon redondante sur les serveurs et les périphériques portables
• Utilisées par de nombreuses personnes dans l'organisation
Conformité
Votre entreprise doit être conforme aux normes et aux réglementations sur la protection des données
applicables à votre localité et à votre domaine d'activité. Elles peuvent inclure :
• Les normes de sécurité des données de l'industrie des cartes de paiement (ou PCI DSS)
(International) – qui régissent les détenteurs de terminaux de paiement
• Les lois sur la protection des données (CE) – exigent le stockage sécurisé des données générées
par des moyens de communication publics électroniques
• HIPAA et le HITECH ACT (Etats Unis) – permettent d'appliquer des pénalités allant jusqu'à 1,5
million de dollars par an pour les fuites de données médicales
• Le Criminal Justice and Immigration Act (GB) – donne au commissaire à l'information le pouvoir
de lever des amendes allant jusqu'à 500 000 livres sterling pour les fuites de données
Il existe aussi une multitude de lois régionales à prendre en compte selon la localité dans laquelle se
trouve l'entreprise.
Simplicité
d'accès
Vous devez décider si les données personnelles :
• sont facilement accessibles par n'importe quel employé
• peuvent être copiées, envoyées et sauvegardées sans restriction
• peuvent être utilisées par les ressources humaines pour gérer un employé ou par le personnel
• ne sont pas protégées par un code d'accès ou un mot de passe avant d'être accessibles par le
personnel
Livre blanc Sophos – Octobre 2011
4
¨Protection des données personnelles : quelles sont les données vulnérables et comment y remédier
Choisir la bonne solution pour protéger les
données personnelles identifiables
Tableau 4 : Protéger les données personnelles
Après avoir identifié les PII de votre entreprise
et adopté les PUA nécessaires à leur protection,
il convient de voir comment sécuriser
votre réseau, vos systèmes d'extrémité, et
autres périphériques et applications. Une
sécurité robuste peut prévenir les pertes
accidentelles de données et arrêter les menaces
malveillantes avant qu'elles ne portent
atteinte à votre entreprise, tout en garantissant
que les employés autorisés aient accès aux
données dont ils ont besoin pour leur travail,
conformément aux AUP établies.
Il n'existe pas de recette magique pour accomplir
ces trois objectifs (cf. tableau 3). Il s'agit de
combiner plusieurs technologies pour obtenir
une protection en profondeur ou une stratégie de
sécurité à plusieurs niveaux.
Scénario type : Le responsable des ressources
humaines d'une entreprise doit fournir des
documents importants à un organisme de
retraite complémentaire. La solution de sécurité
de la société doit fournir :
• Le chiffrement : permet de sécuriser
les données en cas de vol ou de perte de
l'ordinateur portable du responsable
• La protection contre les menaces : protège
son PC contre les virus, le phishing et autres
menaces.
• La DLP (Prévention des pertes de
données) : avertit le conseiller qu'il est sur
le point d'envoyer un fichier contenant des
données personnelles identifiables.
• La conformité aux politiques : l'empêche
d'utiliser un navigateur présentant une
vulnérabilité connue ou d'enregistrer le fichier
sur une clé USB non chiffrée.
• Le blocage des proxies anonymes : pour
les recherches Web car ils permettent aux
administrateurs du serveur proxy d'accéder
aux données personnelles.
Tableau 3 : Solutions pour la protection des PII
Chiffrement
Chiffrement intégral du disque.
• Chiffrement des supports amovibles, des CD et des clés USB
• Chiffrement des courriels reposant sur les politiques
• Chiffrement des partages de fichiers
• Sauvegarde et gestion centralisée des clés
• Possibilité de vérifier le statut du chiffrement
Protection contre
les menaces
Protection de tous les vecteurs - systèmes d'extrémité, courriels et Web - grâce à des technologies éprouvées.
• Détection proactive des malwares connus et inconnus sans besoin de mises à jour, comprenant les virus,
les vers, les Chevaux de Troie, les spywares, les adwares, les fichiers suspects, les comportements
suspects, les applications potentiellement indésirables (PUA) et plus encore.
• Disposer de fonctions antivirus, pare-feu, contrôle des applications et des périphériques, le tout grâce à un
seul agent
• Protection de toutes vos plates-formes (Windows, Mac, Linux, UNIX).
Prévention des
fuites de données
Arrête la perte accidentelle des données via la détection des informations sensibles téléchargées vers des
pages Web, envoyées par courriel ou messagerie instantanée et sauvegardées sur des périphériques de
stockage grâce à des règles automatiques, telles que :
• Règle de correspondance de fichiers : une action spécifique est requise en fonction du nom ou du type de
fichier qu'un utilisateur tente d'ouvrir ou de transférer
• Règle de contenu : contient une ou plusieurs définitions de données et spécifie l'action à prendre si un
utilisateur tente de transférer des données qui correspondent à ces définitions
Conformité aux
politiques
Développez une liste d'applications qui ont besoin d'être contrôlées sous certaines circonstances pour
empêcher le transfert accidentel de données sensibles, par courriel, messagerie instantanée, P2P, stockage
en ligne, synchronisation de smartphone et autres applications de communications fréquemment utilisées.
• Introduisez et appliquez des méthodes de contrôle du Web, l'Internet étant la première source d'intrusion
des malwares.
Permettez le contrôle de trois types de périphériques qui sont utilisés pour le stockage accidentel ou l'envoi
de données sensibles :
• Stockage : les périphériques de stockage amovibles (clés USB, lecteurs de carte PC et disques durs
externes) ; les lecteurs de supports optiques (CD-ROM/DVD/Blu-ray) ; les lecteurs de disquettes
• Réseau : Modems, sans fil (Interfaces Wi-Fi , norme 802.11)
• Faible portée : Interfaces Bluetooth ; Infrarouge (interfaces IrDA)
Livre blanc Sophos – Octobre 2011
5
Protection des données personnelles : quelles sont les données vulnérables et comment y remédier
Recommandations
Il y a un certain nombre de mesures à prendre avant d'accéder à
une protection efficace des PII. L'étendue de celles-ci varie selon
de domaine d'activité, le type de données, la localité, l'attitude de
l'entreprise en matière de risques, les ressources de l'entreprise, et
d'autres facteurs.
Toutes les organisations doivent passer par les étapes suivantes :
►► Identification des PII
►► Création de politiques concernant l'utilisation des données
►► Éducation des utilisateurs (téléchargez le kit d'outils gratuit
Sophos pour vous aider à sensibiliser les utilisateurs)
►► Implémentation d'une approche multi-niveaux qui
met en place des contrôles de sécurité tels que :
•Le chiffrement
• La protection contre les menaces
• La prévention des fuites de données
•La conformité aux politiques (périphériques, applications et
accès au Web)
Pour en savoir plus sur Sophos et évaluer l'un de nos produits gratuitement pendant 30 jours,
visitez notre site www.sophos.fr
Équipe commerciale France
Tél : 01 34 34 80 00
Courriel : [email protected]
Boston, États-Unis | Oxford, Royaume-Uni
© Copyright 2011. Sophos Ltd. Tous droits réservés.
Toutes les marques déposées sont la propriété de leurs propriétaires respectifs.