La gestion de la confidentialité se situe à l’intersection de la sécurité de l’information, de la gestion des données et de l’analyse, mais représente bien plus que la somme des parties.
Le fait que conformité ne soit pas synonyme de sécurité est un sujet de controverse récurrent dans les milieux de la sécurité informatique. Certes, des violations de données dévastatrices et l'accès par des attaquants à des données sensibles dans des entreprises pourtant jugées conformes aux exigences PCI DSS ou à d'autres réglementations étayeraient cet argument. Mais la même relation s'applique-t-elle à la gouvernance et à la gestion des données d'identité des clients et à la sécurité des informations ? La réponse est oui, mais pour des raisons très différentes.
L'une de ces choses n'est pas comme l'autre
Les exigences de conformité sont mieux comprises comme un sous-ensemble de la sécurité de l'information : elles constituent la base d'une sécurité adéquate, ou ce que les cyniques pourraient qualifier de plus petit dénominateur commun. De plus, en raison d'un décalage entre le rythme de mise en place des exigences de conformité ou d'autres réglementations et la prolifération rapide des nouvelles attaques, les détails techniques spécifiques des exigences de conformité sont souvent en retard sur les mesures nécessaires pour contenir efficacement les menaces et prévenir les attaques.
La gestion de la confidentialité et la protection des données d'identité des clients ne se limitent pas à évaluer si des contrôles de sécurité adéquats sont en place, mais plutôt comment ils sont mis en œuvre pour protéger certains types de données contre les accès non autorisés. En ce sens, la gestion et la protection des données privées sont plus complémentaires des infrastructures et des processus de sécurité de l'information que ne le seraient les normes de conformité traditionnelles.
Cela implique également qu'une organisation peut être sécurisée tout en enfreignant les réglementations en matière de confidentialité, ce qui est l'inverse de la relation entre la conformité PCI DSS, par exemple, et la sécurité de l'information. Un autre élément qui distingue cette relation est que les attentes des consommateurs en matière de confidentialité des données – et pas seulement de sécurité – ont dépassé la mise en œuvre des réglementations, y compris les nouvelles dispositions relatives à la résidence des données dans le cadre de Safe Harbor 2.0.
Autre distinction majeure : les organisations disposent de processus bien définis pour déterminer quels systèmes et données relèvent du périmètre de conformité. Définir les données clients concernées par la protection de la vie privée est beaucoup moins abouti. Ce défi comporte de multiples facettes : les organisations doivent identifier l'emplacement des données, puis définir les réglementations qui leur sont applicables, telles que la loi HIPAA, les politiques de confidentialité internes et la résidence des données. Ces exigences sont d'autant plus complexes que les plateformes Big Data se multiplient au sein des organisations, sous l'effet de tendances comme la transformation numérique, et que de nouvelles réglementations ont créé des silos de données d'identité résultant d'initiatives d'engagement client ou patient déconnectées.
Le risque n'est pas spectateur Instagram privé toujours binaire
C'est un truisme de dire que l'on ne peut protéger ce que l'on ignore. Surtout quand on sait que l'accès aux données privées des clients peut être autorisé dans certaines circonstances, mais pas dans d'autres. Par exemple, de nombreuses organisations partagent des données avec des tiers ou utilisent des données de tiers via des API. Les données transmises dans un sens ou dans l'autre peuvent avoir été collectées selon des conditions non conformes aux politiques internes ou en violation des dispositions relatives à la résidence des données. Sans visibilité sur le transfert de données privées et sans moyen d'évaluer le risque lié à l'action, les outils de sécurité de l'information sont d'une utilité limitée, voire inexistante.
Idéalement, l'analyse des renseignements et des risques liés aux violations potentielles de la confidentialité des données clients, qu'elles soient le fait d'acteurs internes ou externes, éclairerait la mise en œuvre de la sécurité. Les outils de sécurité de l'information, notamment la gestion des identités et des accès et la sécurité des données, fonctionnent selon un modèle binaire : l'accès est autorisé ou interdit. L'analyse comportementale peut détecter une activité anormale, mais ne permet pas d'appliquer l'intelligence pour détecter une activité susceptible de violer les politiques de confidentialité.
Pour assurer une application efficace, les outils de sécurité doivent savoir où et quoi chercher. Les risques liés à la confidentialité et les renseignements sur l'utilisation dans le contexte des exigences de confidentialité complètent la boucle.
@bigidsecure | www.bigid.com
Auteur
