Les données à caractère personnel désignent toute information détenue par une agence qui peut être utilisée pour identifier ou retracer un individu spécifique. En d’autres termes, elles incluent des éléments de données tels que le numéro de sécurité sociale, la date de naissance, le nom de jeune fille de la mère, les données biométriques, le numéro d’identification fiscale, la race, la religion, les données de localisation et d’autres informations pouvant être utilisées pour déanonymiser des données anonymes.
Si votre organisation gère certaines de ces données, vous devez prendre des mesures pour sécuriser les données de vos clients. Non seulement cela est essentiel d’un point de vue de la conformité, mais avec la hausse des violations de sécurité, vous devez vous assurer que celles de vos clients ne sont pas compromis. Risk Based Security a révélé qu’à la fin de 2020, un total de 36 milliards d’enregistrements avaient été exposés et compromis. Parmi ces violations de données, 60 % sont causées par des menaces internes ou des menaces à la sécurité provenant de l’intérieur d’une organisation. Pour aggraver les choses, les rapports indiquent que le nombre d’incidents liés aux menaces internes a augmenté de 47 % au cours des deux dernières années.
Plongeons plus en profondeur dans les risques potentiels que les menaces internes font peser sur ce type de données, en particulier pour les institutions de santé et financières, et comment vous pouvez protéger votre organisation contre de telles menaces.
Risques potentiels
Une menace interne est un risque de sécurité qui provient de l’intérieur de votre organisation et est généralement le fait de personnes ayant un accès autorisé utilisant les données (intentionnellement ou non) pour nuire à votre entreprise ou à vos clients. Le coupable peut être n’importe qui ayant un accès autorisé aux informations confidentielles et sensibles de l’entreprise, qu’il s’agisse d’employés actuels ou anciens, de consultants, de partenaires ou de contractuels.
Si vous ne sécurisez pas les données à caractère personnel de vos employés ou de vos clients, vous vous exposez à des violations de données, en particulier depuis le lancement de la phase 2 de la Loi 25. Les violations de données causées par des menaces internes sont courantes et peuvent se produire de plusieurs manières, depuis un employé négligent téléchargeant involontairement un logiciel malveillant jusqu’à un entrepreneur mécontent vendant des données de clients sur le Dark Web pour gagner de l’argent.
Les violations de données causées par des menaces internes sont difficiles à détecter car les acteurs des menaces disposent d’un accès légitime et sont probablement familiers avec vos outils de défense en matière de cybersécurité. Il leur est beaucoup plus facile de contourner vos défenses, d’accéder aux données sensibles des clients et de les exposer.
En tant qu’institution de santé ou financière, si les données de vos clients sont exposées, cela peut causer de nombreux problèmes, à la fois pour votre entreprise et pour vos clients. Examinons certains des risques potentiels :
Risques pour votre entreprise
Dommages à la réputation
Selon une étude de Ponemon, 44 % des entreprises estiment qu’il faut de 10 mois à plus de deux ans pour restaurer la réputation d’une entreprise après une violation. Cela risque d’être pire pour les institutions de santé ou financières, car les données collectées sont extrêmement personnelles et sensibles. Même si vous répondez rapidement et correctement à vos clients en cas de violation de données, cela pourrait encore entraîner un désastre en termes de relations publiques et une diminution de votre base de clients.
Pertes financières
Le coût moyen d’une violation de données aux États-Unis est de 8,19 millions de dollars. Certaines des coûts consécutifs que les entreprises se retrouvent à payer comprennent des compensations aux clients affectés, des amendes et des pénalités pour non-conformité à des réglementations telles que le RGPD ou la Loi 25, des frais pour des enquêtes forensiques, etc. De plus, la valorisation de votre entreprise pourrait également chuter.
Coûts de rançongiciel
Une menace interne malveillante qui accède à vos systèmes de données peut voler des données sensibles de vos réseaux. Une fois que vos systèmes ont été piratés, le cybercriminel peut bloquer l’accès à vos données, puis menacer de vendre les informations sur le Dark Web si vous ne payez pas la rançon. Les menaces internes malveillantes peuvent être des employés actuels ou anciens, voire un outsider qui utilise ou manipule un employé inattentif pour contourner votre périmètre de sécurité.
Arrêt des opérations
Les violations de données ont le potentiel de paralyser les opérations de votre entreprise. Vous devrez mener une enquête détaillée pour déterminer quelles données ont été compromises et la cause de la violation. En cas de perte de données, vous devrez prendre des mesures pour les récupérer. De plus, vous pourriez être confronté à des procès et à des règlements coûteux. À moins d’avoir des ressources d’urgence substantielles, vous devrez temporairement interrompre vos opérations commerciales.
Risques pour vos clients
Vol d’identité
Les cybercriminels peuvent acquérir des données sensibles de clients et les utiliser à leur avantage. Par exemple, ils pourraient utiliser les numéros de carte de crédit, les numéros de sécurité sociale, les numéros de bénéficiaire de l’assurance maladie ou les identifiants biométriques de vos clients pour les usurper afin de commettre des fraudes ou d’obtenir des avantages financiers.
Attaques d’ingénierie sociale
Les violations de données pourraient révéler les données de vos clients, en particulier des données sensibles telles que le nom, l’adresse, les coordonnées, la date de naissance, etc., qui pourraient se retrouver sur le Dark Web. Les cybercriminels pourraient utiliser ces données pour lancer des attaques d’ingénierie sociale sur vos clients. Les attaquants peuvent alors manipuler psychologiquement ou tromper les clients pour qu’ils partagent leurs informations confidentielles.
Campagnes de chantage
Les violations de données pourraient entraîner la divulgation d’informations médicales sensibles, telles que des rapports de psychothérapie ou des rapports de tests sanguins, en ligne. Les cybercriminels pourraient ensuite utiliser ce type d’informations pour mener des campagnes de chantage contre vos clients.
Comment sécuriser ces données ?
Avec l’évolution constante du paysage des menaces internes, les entreprises doivent renforcer la sécurité des données sensibles de manière plus efficace. En négligeant de le faire, vous pourriez mettre en danger l’avenir de vos clients, de vos employés et de votre entreprise. Voici quelques conseils pour vous aider à commencer :
- Utilisez l’analyse comportementale pour établir des profils comportementaux uniques pour tous les acteurs internes et détectez les acteurs internes qui accèdent aux données non liées à leurs fonctions.
- Mettez en place des contrôles d’accès et d’autorisation pour examiner, réviser et restreindre les privilèges, les autorisations et les droits d’accès inutiles.
- Passez en revue les données PII que vous avez déjà collectées, où elles sont stockées et qui y a accès, puis supprimez de manière sécurisée ce qui n’est pas nécessaire pour le fonctionnement de l’entreprise. • Mettez en place une politique d’utilisation acceptable des PII qui définit comment les données PII doivent être classifiées, stockées, consultées et protégées.
- Assurez-vous que votre politique PII est conforme aux différentes réglementations en matière de confidentialité et de données qui s’appliquent à votre entreprise.
- Mettez à jour vos ressources de stockage pour garantir que les données résident dans un centre de données protégé par SOC2.
- Réduisez les acteurs internes inattentifs en mettant en place des programmes de formation obligatoires en matière de cybersécurité et de sécurité des données.
- Utilisez des logiciels qui vous aideront à protéger les PII, tels que des solutions de gestion des risques tiers, des outils de prévention de la perte de données, des applications de surveillance du Dark Web et des solutions de documentation sécurisées, entre autres.
Prendre des mesures adéquates pour sécuriser les PII peut renforcer considérablement votre posture de cybersécurité contre les menaces internes. Vous avez des doutes sur la manière de protéger les informations personnellement identifiables ? Contactez-nous dès aujourd’hui !
Sources
- https://www.securitymagazine.com/articles/94076-the-top-10-data-breaches-of-2020#
- https://securityintelligence.com/posts/what-are-insider-threats-and-how-can-you-mitigate-them/
- https://techjury.net/blog/insider-threat-statistics/#gref
- https://www.databreachtoday.com/whitepapers/ponemon-institute-study-reputation-impact-data-breach-w-540
- https://www.csoonline.com/article/3434601/what-is-the-cost-of-a-data-breach.html
