Les réglementations mondiales sur la protection des données (nouvelles ou mises à jour) sont appliquées de manière agressive, ce qui entraîne une vague d’amendes et de pénalités importantes infligées aux contrevenants, par exemple avec la RGPD ou la plus récente Loi 25. La majorité de ces violations résultent du non-respect des évaluations régulières des risques, qui constituent une partie intégrante des « mesures appropriées » qu’une entreprise doit prendre pour garantir la sécurité des informations.
Par exemple, en 2017, l’agence de crédit Equifax a perdu les informations personnelles et financières de près de 150 millions de consommateurs en raison d’une vulnérabilité non corrigée dans le framework Apache Struts de l’une de ses bases de données. Les autorités de régulation ont jugé qu’Equifax était coupable de « ne pas avoir pris de mesures raisonnables pour sécuriser son réseau », et l’agence de crédit a été contrainte de payer une amende importante, estimée à 700 millions de dollars.
Si seulement Equifax avait mis en place une stratégie d’évaluation continue des risques, elle aurait pu éviter les conséquences financières ultérieures et les dommages à sa réputation. Une seule évaluation des risques aurait permis à Equifax de découvrir et de corriger rapidement la vulnérabilité liée au correctif.
Il faut comprendre que les agences de réglementation ne s’attendent pas à ce que vous puissiez protéger indéfiniment votre réseau contre les menaces. Elles s’efforcent simplement de vous tenir responsable des mesures que vous devez prendre pour garantir une protection et une confidentialité constantes des données. Par exemple, l’exigence d’audit HIPAA la plus appliquée parmi un total de 180, qui a été citée dans plus de 50 % des amendes récentes, est l’analyse des risques précise et approfondie. La Loi 25 suit également cette directive.
Des catastrophes que les entreprises auraient pu éviter
Voici quelques exemples d’entreprises qui ont été sanctionnées par les autorités de réglementation et frappées d’amendes importantes en raison du manque d’une évaluation et d’une gestion des risques. Cela vous aidera à comprendre comment l’évaluation des risques peut contribuer de manière significative à la construction d’une défense robuste en matière de cybersécurité et à la démonstration d’une conformité totale.
Marriott International débourse plus de 20 millions d’euros
Marriott International, Inc. a été condamnée à une amende phénoménale de 20 450 000 euros pour n’avoir pas mis en place des mesures techniques et organisationnelles suffisantes pour garantir la sécurité de l’information. La base de l’amende était l’article 32 du Règlement Général sur la Protection des Données (RGPD), qui précise clairement la nécessité d’un « processus qui teste, évalue et évalue régulièrement l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement ».
Capital One condamnée à 80 millions de dollars
En 2019, Capital One a été victime d’une violation qui a touché 100 millions de personnes aux États-Unis et 6 millions au Canada. En exploitant une vulnérabilité de configuration dans le pare-feu d’application web de l’entreprise, un « individu extérieur » a obtenu des informations personnelles des clients de cartes de crédit de Capital One ainsi que des personnes ayant demandé des cartes de crédit. Le Bureau du contrôleur de la monnaie a infligé à Capital One une amende de 80 millions de dollars pour sa « non-mise en place de processus efficaces d’évaluation des risques » lors de la migration des opérations vers un environnement de cloud public.
Il va de soi que si les deux entreprises avaient écouté les conseils d’experts en conformité et mis en place une stratégie d’évaluation et de gestion des risques méticuleuse, leurs bilans auraient été considérablement différents.
Mettez en place une évaluation des risques et évitez un revers financier
Plusieurs réglementations sur les données ont défini l’importance de l’évaluation des risques pour garantir la confidentialité et la protection des données. Par exemple, la Règle de sécurité de la Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) impose clairement aux entités couvertes et à leurs associés commerciaux de mener une évaluation des risques. En mettant simplement en œuvre cette meilleure pratique en matière de cybersécurité – l’évaluation continue des risques – vous pourrez réduire considérablement le risque de violation de sécurité et d’audit de conformité, les deux pouvant entraîner une perte de revenus considérable. Réfléchissez à toutes les implications financières que vous pourriez éviter. Cela devrait vous convaincre.
Faites appel à des experts pour la mise en œuvre
Mettre en place une stratégie globale d’évaluation des risques et de sécurité de l’information dans le cadre des procédures opérationnelles courantes n’est pas une tâche facile. Vous avez besoin d’outils spécialisés et d’un support expérimenté et dédié pour vous assurer d’obtenir des évaluations des risques complètes et précises régulièrement afin de respecter et de maintenir vos obligations en matière de conformité. La conformité est complexe et stressante, c’est pourquoi travailler avec un spécialiste de la sécurité des données et des technologies de l’information peut vous aider à simplifier le processus d’évaluation des risques et à éliminer la confusion et le chaos liés à la conformité.
