Tout d’abord, il y a l’atteinte à la réputation qui découle de la fuite de données. Ensuite, il y a le coût du nettoyage, qui se situe généralement entre 3,86 et 8,64 millions de dollars. Enfin, il y a les répercussions réglementaires de la violation de l’ensemble des règles qui régissent les données financières, notamment la loi Gramm-Leach-Bliley (GLBA), la loi Sarbanes-Oxley (SOX), la loi californienne sur la protection des consommateurs (CCPA), etc.
Les données sensibles qui ne sont pas sécurisées sont celles qui empêchent les professionnels de la sécurité et de la conformité de dormir la nuit. Et ce qui est effrayant, c’est que cela arrive tout le temps. Selon une étude de Microsoft, environ 73 % des entreprises admettent avoir été confrontées à des fuites de données sensibles au cours de l’année écoulée.
En raison du coût élevé et des réglementations strictes qui entourent les données financières des clients, l’atténuation du risque d’exposition des données financières est une tâche essentielle pour les entreprises qui interagissent avec ces données.
En général, il existe cinq étapes clés pour s’assurer que les entreprises font tout ce qu’elles peuvent pour protéger ces données sensibles à une époque où l’informatique parallèle prolifère, où les employés travaillent de plus en plus à domicile sur des appareils personnels et où les nouvelles technologies ouvrent la voie à de nouvelles menaces d’exposition des données.
Étape 1 : Définir l’étendue des données à protéger
Les données financières des clients englobent de nombreux éléments de données possibles qui peuvent exister sur de nombreux systèmes différents et dans de nombreux formats différents.
Avant de pouvoir sécuriser les données financières des clients, il est important que les professionnels de la sécurité définissent tous les types de données financières qui doivent être sécurisées, y compris les détails des comptes, les dossiers financiers, les historiques financiers enregistrés, les informations d’identification personnelle (PII), etc. Les formats et les emplacements où ces données peuvent exister doivent également être définis, y compris l’univers des bases de données, feuilles de calcul, rapports et enregistrements d’appels où les données financières des clients peuvent se trouver.
Les données non définies ne peuvent pas être protégées.
Étape 2 : Catégoriser les données
Les systèmes et procédures de sécurité des données financières des clients varient en fonction de la catégorie de données. La manière dont les informations relatives aux transactions financières sont traitées et sécurisées sera probablement légèrement différente de la manière dont une entreprise traite les données qui donnent accès à un compte financier, par exemple.
Ainsi, une fois que le champ d’application des données financières des clients est établi, des catégories doivent être définies pour les différentes manières dont ces données doivent être traitées – et chaque type de données doit être mis en correspondance avec les catégories appropriées. Cette catégorisation doit tenir compte des diverses réglementations qui s’appliquent à l’organisation, de sorte que les données régies par une loi donnée soient étiquetées et traitées conformément aux exigences réglementaires.
Étape 3 : Découvrez où se trouvent les données
L’emplacement prévu des données financières des clients n’est pas toujours celui où elles se trouvent en pratique. Même s’il existe des protocoles stricts pour le traitement des données financières des clients, il arrive souvent que certaines données fuient vers d’autres systèmes ou migrent involontairement vers les appareils des employés dans le cours normal des affaires. Il peut même y avoir des magasins de données qui sont passés inaperçus et qui contiennent des données financières de clients, comme un serveur de sauvegarde qui abrite involontairement des rapports de clients.
Effectuez un scan de toutes les ressources de l’entreprise afin de connaître l’emplacement réel de toutes les données de l’entreprise. Cette analyse doit être complète afin que toutes les données puissent être découvertes et protégées.
Étape 4 : Marquer les données par catégorie
L’automatisation des processus de sécurité et de conformité est essentielle pour sécuriser les données de manière appropriée. Toutefois, pour que l’automatisation applique la sécurité et les processus appropriés, chaque élément de données doit être classé afin que les processus d’automatisation sachent quand et comment agir.
Ainsi, une fois que l’univers complet des données de l’entreprise a été découvert par la découverte des données, l’étape suivante consiste à étiqueter chaque élément de données avec les classifications appropriées telles que définies précédemment dans l’étape de catégorisation.
La plupart des entreprises voudront s’appuyer sur des plates-formes de découverte et de classification des données pour automatiser le processus de classification, associé à une révision manuelle de la classification pour s’assurer que toutes les données sont étiquetées correctement. Si une solution de classification moderne est utilisée pour le marquage, cet examen manuel consistera principalement à vérifier que les données ont été classées correctement.
Étape 5 : Sécuriser les données en fonction de la classification
Vient ensuite la sécurisation proprement dite des données financières des clients, étape critique qui ne peut intervenir qu’après la définition de la portée et de la catégorisation, ainsi que la découverte et le balisage des données.
Bien que les méthodes utilisées par une entreprise pour sécuriser les données financières de ses clients varient, elles incluent probablement des contrôles d’accès stricts, le cryptage des données en transit et au repos, des pare-feu et une analyse des menaces en temps réel, ainsi qu’un enregistrement automatique de tous les accès aux données, entre autres.
Les méthodes et processus de sécurité varieront probablement en fonction des classifications qui ont été établies précédemment.
Quelles que soient les méthodes de sécurité employées, l’essentiel est que la sécurisation des données financières des clients – ou de toute autre ressource de données d’entreprise sensible, d’ailleurs – repose sur la découverte et la classification. Plus de 90 % des violations de données sont dues à une erreur humaine, et l’absence de mesures préventives adéquates favorise ces erreurs. Lorsque les données sensibles sont connues et classées, des mesures de protection appropriées, telles que des contrôles d’accès et une surveillance, peuvent être mises en place.
Pour en savoir plus sur nos produits Qostodian et sur la manière dont ils peuvent simplifier la découverte et la classification des données, planifiez une démonstration dès aujourd’hui.
