L'augmentation des violations visant à extraire les identifiants des comptes clients et le renforcement des exigences de notification des violations placent les entreprises entre le marteau et l'enclume. Elles sont soumises à la logique cruelle selon laquelle une violation chez un fournisseur peut compromettre les comptes clients d'un autre fournisseur en raison de la réutilisation des mots de passe. La réglementation se durcit afin de limiter les risques de cette logique cruelle.
Mais comme l'ont montré de récentes violations, les entreprises découvrent généralement quels comptes ont été exposés lorsque les attaquants mettent en vente des données d'identification. Non seulement ces scénarios déclenchent la panique, mais les entreprises sont alors contraintes d'envoyer une notification générale de violation à tous leurs clients, ce qui nuit encore davantage à leur confiance. Dans certains cas, les destinataires des notifications ne sont peut-être même pas des clients actuels. Et comme le montre l'activité récente de Twitter, les entreprises peuvent être soumises à l'équivalent d'une notification de violation, même en l'absence de violation.
En prévision d'une violation et de la mise en vente des identifiants des utilisateurs sur les marchés des pirates informatiques, les entreprises doivent adopter une position proactive et mettre en place un plan de réponse, plutôt que de se laisser prendre au dépourvu par des catalyseurs externes. Cartographie des identités des clients accéder à leurs données personnelles où qu'elles se trouvent, et maintenir une vue centrale de quelles données appartiennent à qui est la base d'un plan de notification de violation sain - et peut aider à éviter d'avoir à émettre des notifications générales.
Minimiser l'impact des violations grâce à des notifications en temps opportun
La plupart des entreprises responsables ont déjà adopté la centralisation des données utilisateurs et le hachage et le salage des mots de passe. Cependant, les comptes utilisateurs peuvent être compromis sans que les attaquants ne pénètrent dans les référentiels de données utilisateurs. Les attaquants peuvent prédire les noms d'utilisateur et les mots de passe en corrélant les données d'autres violations, puis lancer des attaques automatisées pour identifier les combinaisons efficaces. C'est précisément la raison pour laquelle Twitter a récemment conseillé à ses utilisateurs de réinitialiser leurs mots de passe, même si leurs propres systèmes n'avaient pas été piratés, mais que des cybercriminels avaient mis en vente leurs identifiants et identifiants Twitter.
Pour de nombreuses entreprises, la situation est compliquée par l'impossibilité de cartographier systématiquement les comptes utilisateurs exposés, ou, plus grave encore, ceux susceptibles d'avoir été compromis. Pour se conformer aux règles de notification des violations, elles doivent alerter tous les clients potentiellement impactés.
Dans le même temps, les lois sur la notification des violations de données, en vigueur depuis un certain temps, notamment dans le secteur de la santé par exemple, deviennent plus explicites et plus strictes, car les régulateurs considèrent que cette tendance porte atteinte à l’intégrité systémique des entreprises numériques, et pas seulement à celle des entreprises concernées.
En fait, des lois sont à l'étude dans des États comme la Californie et New York. Elles imposeraient des mesures de sécurité spécifiques pour protéger les mots de passe, ainsi que des amendes si les entreprises ne signalent pas la violation assez rapidement. De plus, les projets de loi sur les violations de données adoptent une vision plus large de ce qui constitue des informations personnelles, y compris les données médicales, d'assurance ou biométriques. Illinois La Californie, la Floride et le Nebraska ont récemment rejoint la Californie, la Floride et le Nebraska en adoptant des lois qui exigeront que les individus soient informés si leur nom d'utilisateur, associé à un mot de passe ou à une question et une réponse de sécurité permettant l'accès à un compte en ligne, est acquis sans autorisation.
De l’autre côté de l’Atlantique, le règlement général sur la protection des données de l’UE exige désormais qu’une autorité de contrôle de la protection des données soit informée d’une violation de données personnelles « sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance ».
Centralisez vos connaissances sur les données clients, pas vos données clients
Les procédures de notification de violation sont non seulement longues et coûteuses, mais elles sapent également la confiance des clients et créent un risque de réputation, en particulier pour les entreprises qui souhaitent être considérées comme des gardiens vigilants des données de leurs clients.
Plutôt que de baisser les bras en pensant qu'une violation est le prix à payer pour faire des affaires, ou de transférer la charge de la gestion de leurs mots de passe aux utilisateurs, les entreprises ont besoin d'outils pour limiter activement la portée des exigences de notification de violation et s'assurer qu'un plan est en place pour réagir si les comptes d'utilisateurs sont compromis.
La centralisation des données utilisateurs présente ses propres défis et, dans de nombreux cas, elle peut s'avérer techniquement impossible ou incompatible avec les cadres réglementaires. Il est donc nécessaire de disposer d'une vue centralisée des identités et des données des clients.
Des fragments de données personnelles sont dispersés dans des applications, des bases de données, des répertoires et des référentiels Big Data, sans visibilité centralisée sur l'appartenance de chaque donnée. Comprendre qui sont vos utilisateurs et identifier l'emplacement de leurs données permet d'obtenir une vue plus précise. risque d'exposition aux violations. Avec une vision claire des identités que les entreprises cherchent à protéger, elles peuvent à la fois travailler à limiter la portée des données personnelles couvertes par les exigences de notification de violation et identifier les utilisateurs qui présentent le plus de risques lorsque des violations de tiers se produisent.
Auteur
