A l’heure actuelle, aucun sujet important ne mérite ce nom s’il n’a pas une journée qui lui est consacrée. Aujourd’hui (28 janvier), c’est au tour de la confidentialité des données (ou de la protection des données selon la personne à qui vous parlez) d’être à son tour sous les projecteurs.
Alors que les organisations collectent de plus en plus de données, les inquiétudes quant à la manière dont elles sont stockées et utilisées ont augmenté, ce qui a amené les législateurs à s’y intéresser également.
Alors, quels sont les grands problèmes actuels concernant la confidentialité des données et comment sont-ils traités ? Nous avons demandé l’avis de certains experts du secteur.
“En cette journée de la confidentialité des données, nous souhaitons attirer l’attention sur l’impact des menaces de sécurité sur les problèmes de confidentialité des données”, déclare Raffael Marty, vice-président exécutif et directeur général de la cybersécurité chez ConnectWise. « Les entreprises doivent rester agiles et réactives face à l’évolution du paysage des menaces afin de préserver la confidentialité de leurs données, ainsi que celles de leurs clients et utilisateurs.. Tout cela inaugurera un tout nouveau modèle de cybersécurité qui repose sur une vérification continue plutôt que sur un simple renforcement des réseaux et des systèmes.”
“La création de données a explosé ces dernières années, des industries entières étant construites sur la base de accès à des données uniques et utiles », explique Thomas LaRock, responsable de SolarWinds. « Ces informations peuvent permettre de meilleurs résultats commerciaux, ce qui en fait un atout inestimable pour toute entreprise. Malheureusement, cette importance croissante accordée aux données peut également présenter des risques. Solutions de prévention (DLP) et adoption d’une sécurité zéro confiance.”
Okey Obudulu, CISO chez Skillsoft, pense que chacun doit assumer la responsabilité des données :
Le changement a été le seul constante de ces dernières années, la protection des données ne faisant pas exception. Les retards du projet de loi sur la réforme des données du gouvernement britannique ont rendu difficile pour les entreprises de planifier à l’avance, se débattant avec ce à quoi ressemblera l’avenir de la confidentialité des données après le Brexit.
Bien qu’il n’y ait pas de calendrier clair en vue, l’évolution les cadres réglementaires autour de ces sujets nécessitent une contribution et une surveillance accrues de la conformité dans tous les domaines d’activité. Les organisations doivent reconnaître que chaque employé a un rôle à jouer. Du RSSI aux descendants, la protection des données est la responsabilité de chacun.
Cela est repris par W. Curtis Preston, évangéliste technique en chef chez Druva :
La confidentialité est désormais au premier plan et l’une des principales préoccupations des consommateurs, ce qui en fait la responsabilité de tous les informaticiens. Lors de la Journée de la confidentialité des données, les organisations ont la possibilité de réfléchir et de s’engager dans une approche holistique au sein de leurs équipes informatiques pour s’assurer que les normes de confidentialité des données sont respectées et que la résilience des données est atteinte.
Dans une équipe informatique, c’est le développeur Web travail pour s’assurer que toutes les données personnelles reçues via le Web sont stockées directement dans une base de données spéciale conçue pour les informations personnelles.
C’est le travail de l’administrateur de la base de données (DBA) de s’assurer que la base de données est traitée différemment, en appliquant judicieusement le processus de moindre privilège, pour s’assurer que seuls quelques privilégiés obtiennent l’accès, et que tout le monde (y compris les mauvais acteurs) voit des absurdités cryptées.
C’est le travail de l’administrateur système d’appliquer les mêmes concepts partout où cela base de données réside. Il est de la responsabilité de la personne chargée de la sauvegarde de s’assurer que les sauvegardes de cette base de données suivent les meilleures pratiques, et sont cryptées et isolées.
Enfin, c’est, bien sûr, le travail de la personne chargée de la sécurité de vérifier avec tout le monde pour aidez-les à comprendre leurs responsabilités et à s’assurer qu’ils les assument.
Lorsque tous ces éléments de l’équipe sont alignés, les organisations peuvent être certaines qu’elles ont fait tout leur possible pour maintenir la résilience de leurs données face aux menaces inattendues et adversité.
“Les données volées au nez et à la barbe des organisations peuvent avoir des effets néfastes et durables. Les clients, les partenaires et les employés font confiance aux entreprises pour s’occuper de leurs données, et lorsqu’elles sont volé que la confiance est brisée. Les gens perdent confiance dans les services numériques, ce qui peut ensuite nuire à leur réputation à long terme ainsi qu’à un impact financier important », déclare Ronan David, chef de la stratégie chez EfficientIP.”Les organisations doivent être en mesure d’arrêter l’exfiltration de données le plus tôt possible. Les entreprises doivent examiner le trafic DNS en temps réel afin que les équipes de sécurité puissent détecter, localiser et contrecarrer les menaces de sécurité cachées. De plus, l’accès aux applications basé sur le DNS le contrôle au niveau de l’utilisateur doit être mis en œuvre pour réduire la surface d’attaque des entreprises et bloquer les mouvements latéraux, et finalement, renforcer leur chaîne de sécurité.”
“L’intersection de la sécurité et de la confidentialité est évidente depuis des années–et en fin de compte, vous ne pouvez pas avoir l’un sans l’autre », déclare Clar Rosso, PDG de (ISC)2.”Alors que nous continuons d’interagir, de traiter et de consommer des données à un rythme exponentiel, il est nécessaire de bien comprendre où les données sont situées, gérées et accessibles pour éviter de tomber entre de mauvaises mains. Les fonctions de confidentialité et de cybersécurité devenant de plus en plus synergiques, la confidentialité et les professionnels de la cybersécurité doivent travailler en collaboration pour assurer une gestion des données solide et efficace. Non seulement cela améliorera les postures de sécurité et de confidentialité, mais la collaboration contribuera à atténuer les problèmes de ressources.”
Dr. Ellison Anne Williams, fondatrice et PDG de Enveil, déclare :
Transformation numérique , l’essor de l’économie numérique et la large reconnaissance des données en tant qu’atout ont considérablement transformé les exigences mondiales en matière de données, ce qui nous oblige à faire progresser la sensibilisation aux défis et aux opportunités dans le domaine de la confidentialité des données. La Journée de la confidentialité des données fait un excellent travail pour stimuler de telles discussions.
Avec les vastes quantités de données disponibles aujourd’hui, les organisations doivent de plus en plus trouver le bon équilibre entre l’extraction de valeur et la gestion des risques. Les régulateurs s’efforcent de suivre le rythme du changement, il y a donc souvent un manque de clarté concernant les limites de l’utilisation acceptable des données. Les principales organisations axées sur les données sont obligées de se demander :”quel degré de risque pouvons-nous tolérer ?”
Eve Maler, CTO chez ForgeRock, estime que les données des enfants devront être mieux protégées.”La génération d’enfants d’aujourd’hui grandit numériquement, se connecte à plusieurs appareils et accède à un vaste écosystème de services en ligne. Cependant, les enfants ne sont pas capables de vraiment consentir à l’utilisation de leurs données, ce qui rend la norme”opt-in”, Les organisations doivent trouver le juste milieu entre connaître suffisamment d’informations sur ces utilisateurs, sans en savoir trop, et s’assurer que les parents et les tuteurs ont la capacité de consentir au bon niveau de partage des données. En 2023, nous pouvons nous attendre à voir des changements significatifs autour de la législation dans ce domaine.”
“Les organisations qui cherchent à mieux protéger les données des clients doivent examiner dans quelle mesure elles peuvent valider leurs politiques de sécurité, leurs contrôles et leurs configurations”, déclare Song Peng, SVP d’ingénierie chez NetBrain.”Même les meilleurs matériels et logiciels de sécurité développent des vulnérabilités au fil du temps, généralement en tant que conséquence involontaire d’autres activités informatiques. Et avec les plus grandes surfaces d’attaque créées par les services basés sur le cloud, la nécessité de vérifier en permanence que les profils de sécurité sont intacts est essentielle.”
Crédit photo : Rawpixel.com/Shutterstock