Sécurité automatisée des données et la conformité pour le Commerce de détail

Si les données étaient une mine d'or, le commerce de détail serait le secteur le plus lucratif. Les détaillants collectent, traitent et stockent des volumes de données clients de plus en plus importants, principalement les informations personnelles identifiables (IPI) et les données de cartes de paiement. De plus, de nombreux commerces de détail évoluent dans des environnements hybrides, entre e-commerce et commerce physique, ce qui les oblige à gérer des défis tels que des écosystèmes disjoints, le travail hybride, les expériences en ligne basées sur le cloud et les technologies IoT. Inévitablement, l'avenir du commerce de détail est numérique, hybride et complexe, ce qui crée de nombreux défis. risques de cybersécurité.

Au fil des ans, les supermarchés et les grandes enseignes ont introduit les paiements sans contact et les options d'achat en ligne, ce qui a élargi leur surface d'attaque, rendant difficile la protection des données clients. De plus, le stockage cloud et les applications mobiles laissent des traces de données sur le web, ce qui entraîne des violations de données et de nouveaux vecteurs de menaces.

Pourquoi les détaillants ont besoin d'une stratégie de sécurité centrée sur les données

Selon le Rapport IBM sur le coût des violations de données en 2023Le coût moyen d'une violation de données dans le commerce de détail s'élevait à 1,4 milliard de livres sterling (TP4T) et 2,96 millions de livres sterling (TP2T). Le secteur de la vente au détail est particulièrement ciblé pour ses données de cartes de paiement : 371 TP3T de toutes les violations concernaient des données de cartes de paiement, selon le Rapport d'enquête sur la violation de données de VerizonLe secteur de la vente au détail doit faire évoluer sa stratégie de cybersécurité alors qu’il continue de tirer parti d’un modèle hybride pour surmonter ses défis uniques en matière de données.

En plus de se protéger contre les cyberattaques, les détaillants doivent se conformer à des exigences croissantes en matière de confidentialité des données et de réglementation :

• Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) : Cette norme s’applique à tous les détaillants qui traitent, stockent ou transmettent des informations de carte de crédit et exige des mesures de sécurité robustes pour protéger les données des titulaires de carte.
• Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) : Ceci est pertinent pour les détaillants qui traitent des informations de santé protégées (PHI), en particulier dans les opérations pharmaceutiques, ce qui nécessite des mesures pour protéger les PHI et garantir le respect de la confidentialité.
• Règlements de la Commission fédérale du commerce (FTC) : La FTC veille au respect des lois de protection des consommateurs aux États-Unis. Les détaillants doivent se conformer aux réglementations en matière de publicité, de pratiques marketing et de protection des données des consommateurs, telles que le signalement des incidents de cybersécurité à la SEC.
• La loi Gramm-Leach-Bliley (GLBA) : S'applique aux détaillants qui collectent, stockent et utilisent des dossiers financiers contenant des informations personnelles identifiables.
• Loi sur la protection de la vie privée des enfants en ligne (COPPA) : Cette loi régit la collecte d’informations personnelles auprès des enfants de moins de 13 ans aux États-Unis, exigeant le consentement des parents et la transparence sur les pratiques en matière de données.
• Règlement sur la protection des données : Les lois sur la confidentialité et la protection des données, telles que celles de l'UE Règlement général sur la protection des données (RGPD) et le Loi californienne sur la protection de la vie privée des consommateurs (CCPA) exiger le respect de multiples exigences de gestion des données.

Défis de sécurité des données dans le secteur de la vente au détail

Le secteur de la vente au détail est un secteur unique, très différent de la plupart des entreprises. Les détaillants doivent prendre en compte plusieurs facteurs lors de l'élaboration d'un cadre de cybersécurité afin de mieux se protéger contre les violations de données et les cybercriminels. Ce secteur doit relever les différents défis suivants :

Visibilité limitée

Les données constituent le fondement des environnements informatiques, reliant les utilisateurs, les applications et les appareils. Cependant, en raison de la dispersion, de l'ampleur et de la complexité de leur environnement informatique, les distributeurs ne disposent pas toujours des outils nécessaires pour avoir une visibilité sur l'ensemble de leurs données. Il s'agit d'une étape cruciale pour prévenir les cyberattaques et garantir la conformité, car on ne peut protéger ce qu'on ne voit pas. Plusieurs angles morts protègent la surface d'attaque, notamment lorsqu'il s'agit de données obscures et de données fantômes.

Menaces omnicanales

Les détaillants ont accéléré leur digitalisation, principalement grâce à des technologies opérationnelles telles que les boutiques en ligne, les entrepôts, les machines de tri, les caisses enregistreuses, les systèmes de paiement numérique, les objets connectés, etc. De plus, ils doivent sécuriser des environnements informatiques vastes et complexes, notamment les réseaux, les services cloud, les systèmes de caisse, les centres de distribution et la communication avec les fournisseurs dans leurs différents magasins. Les détaillants exploitent des stratégies omnicanales pour offrir un écosystème unifié aux consommateurs et aux fournisseurs. Cependant, cela offre de nombreuses opportunités aux cybercriminels pour voler des informations et exploiter les vulnérabilités. Les détaillants devraient surveiller régulièrement leurs données pour détecter toute activité inhabituelle ou tout accès non autorisé.

Vol de données de consommateurs

La stratégie de numérisation du secteur de la vente au détail incite désormais des millions de clients à utiliser plus fréquemment leurs cartes de crédit dans les magasins physiques et en ligne pour acheter des biens et des services. Si cette stratégie simplifie la vie des commerçants et des consommateurs, elle ouvre également la voie aux cybercriminels, car les commerçants conservent les données des clients (informations personnelles, adresses, transactions et relevés financiers). On observe une augmentation des attaques par rançongiciel et par hameçonnage, les cybercriminels ciblant le secteur de la vente au détail. Pour sécuriser les données confidentielles des clients, le respect des pratiques de cybersécurité permet aux commerçants d'éviter les pertes financières.

Attaques de tiers

Le risque de cyberattaques par des tiers dans le commerce de détail ne cesse de croître en raison de l'interconnexion des systèmes entre fournisseurs externes, prestataires tiers et partenaires. Ces relations commerciales peuvent engendrer des risques de cybersécurité. Les attaques contre la chaîne d'approvisionnement permettent aux cybercriminels d'attaquer plusieurs organisations via un seul fournisseur. La protection des systèmes interconnectés est nécessaire pour prévenir les perturbations de la chaîne d'approvisionnement, les cyberattaques et les accès non autorisés aux informations sensibles. Il est important de mettre en œuvre des mesures de sécurité robustes centrées sur les données, telles que la mise en œuvre d'un modèle Zero Trust.

Perte de revenus et atteinte à la réputation

Il existe des schémas très observables dans la réaction des consommateurs après une faille de sécurité au sein d'une organisation. Selon une étude d'IDC, « 80% des consommateurs des pays développés quitteront une entreprise si leurs informations personnelles sont impactées par une faille de sécurité. » La confiance engendre la confiance, mais en l'absence d'une cybersécurité adéquate, les commerçants s'exposent à des pertes financières et à une atteinte à leur réputation.

Comment BigID a aidé ses clients de détail à automatiser la confidentialité, la sécurité et la gouvernance des données critiques

Un géant de la vente au détail modernise la découverte et la classification des données

Le géant de la vente au détail choisit BigID pour l'aider à atteindre ses objectifs CCPA/CPRA/ PIPL conformité, accomplissement DSAR demandes et une meilleure gestion des données sensibles pour plus de 100 millions de clients et d'employés aux États-Unis et en Chine. Cette collaboration a permis de rationaliser les efforts de conformité en matière de confidentialité, de réduire les coûts, de respecter efficacement les droits d'accès aux données à grande échelle et d'améliorer la gestion du cycle de vie des données.

Une marque de vente au détail mondiale accélère la conformité et réduit les risques internes

Une marque mondiale de vente au détail et de fabrication utilise BigID pour identifier, découvrir et classer toutes ses données sensibles, critiques et personnelles dans des environnements complexes. Cela permet de sécuriser les opérations de fusions-acquisitions, d'optimiser les audits de conformité mondiaux et d'adopter une approche « privilégiant la confidentialité » pour accélérer les initiatives de gouvernance et de sécurité des données.

Comment BigID aide les détaillants à protéger leurs données et à se conformer aux réglementations

Les détaillants ont besoin d’une approche de sécurité centrée sur les données et consciente des risques pour protéger leurs données les plus importantes. BigID Combinant expertise sectorielle, technologies avancées, sécurité des données et analyses, BigID transforme les opérations réglementaires et stimule la croissance tout en maintenant la conformité. BigID permet aux détaillants d'obtenir une visibilité et une compréhension complètes des données commerciales critiques, de gérer les risques, de corriger les vulnérabilités des données, d'appliquer les politiques de sécurité, de sécuriser les données et de se conformer aux exigences réglementaires.

Grâce à l'approche de sécurité dès la conception de BigID, les détaillants peuvent :

• Découvrez vos données : Découvrez et cataloguez vos données sensibles, y compris structurées, semi-structurées et non structurées, dans des environnements sur site et dans le cloud.
• Connaître ses données : Classez, catégorisez, marquez et étiquetez automatiquement les données sensibles avec une précision, une granularité et une ampleur inégalées.
• Améliorer la sécurité des données : Prioriser et cibler de manière proactive les risques liés aux données et automatiser la gestion de la posture de sécurité des données (DSPM).
• Remédier aux données à votre façon : Gérez la correction des données et déléguez aux parties prenantes, ouvrez des tickets ou effectuez des appels API sur votre pile technologique.
• Activer la confiance zéro : Réduisez les accès surprivilégiés et les données surexposées et rationalisez la gestion des droits d’accès pour permettre la confiance zéro.
• Atténuer les risques liés aux initiés : Surveiller, détecter et répondre de manière proactive à l'exposition interne non autorisée, à l'utilisation et à l'activité suspecte autour des données sensibles.
• Réduisez votre surface d'attaque : Réduire la surface d'attaque en éliminant de manière proactive les données sensibles inutiles et non essentielles à l'activité de l'entreprise.
• Sécurisez votre migration vers le cloud : Optimisez la migration vers le cloud grâce à des informations et une conformité basées sur les données, réduisez automatiquement les données redondantes et déplacez les données les plus importantes.
• Rationaliser la réponse aux violations de données : Détectez et enquêtez rapidement et précisément sur l'impact des violations, facilitez une réponse rapide aux incidents et informez les autorités compétentes ainsi que les étudiants et le personnel concernés.
• Accélérer la sécurité de l'IA : BigID élabore efficacement des politiques de gouvernance de l'IA basées sur la confidentialité, la sensibilité, la réglementation et l'accès, afin de contrôler les données partagées avec les LLM et les applications d'IA. Utilisez l'IA avec des garde-fous responsables pour gérer et protéger les informations confidentielles et les données des étudiants.
• Assurer la conformité : Automatisez la conformité avec des capacités et des cadres de confidentialité et de sécurité de bout en bout pour protéger les données personnelles, sensibles et réglementées.

Planifier un rendez-vous 1:1 avec l'un de nos experts en sécurité des données dès aujourd'hui.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.