5 risques à surveiller avec la conformité des données financières

5 risques à surveiller avec la conformité des données financières

Partager

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Les institutions financières sont confrontées à une longue liste d'obligations de conformité en matière de données commerciales. Le respect de ces obligations est loin d'être assuré à l'ère des services cloud, des salariés travaillant à domicile et du changement numérique rapide, cependant.

Une multitude de réglementations augmentent les enjeux de sécurité des données pour les institutions financières. Les réglementations spécifiques varient selon la juridiction et le marché, mais de nombreuses entreprises doivent composer avec les Loi Gramm-Leach-Bliley (GLBA)Sarbanes-Oxley (SOX)Loi californienne sur la protection des consommateurs (CCPA)Règlement général sur la protection des données (RGPD) et les réglementations dirigées par l'industrie, telles que la Norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS).

Pourtant, plus de 40 % des professionnels de la sécurité et des chefs d'entreprise ne sont pas convaincus d'avoir mis en place des contrôles adéquats pour sécuriser correctement leurs données, selon un étude récente par PricewaterhouseCoopers (PwC). Si vous lisez cet article, vous êtes probablement l'un d'entre eux.

Il existe de nombreux risques de conformité des données contre lesquels les institutions financières doivent se protéger, mais cinq risques principaux se distinguent en ce qui concerne la conformité des données. Ces cinq sont les risques liés aux données qui nécessitent absolument une attention et des systèmes pour minimiser les problèmes de conformité.

Risque #1 : Classification incomplète des données

La conformité des données financières commence par une classification appropriée. Des procédures de conformité automatisées et des restrictions d'accès appropriées ne sont possibles que si les données relevant de la juridiction réglementaire sont correctement identifiées et étiquetées. Sans une classification robuste et complète des données, les sociétés financières ne peuvent pas suivre et contrôler les données réglementées, permettre la mise en quarantaine, appliquer la conservation légale ou l'archivage conformément aux mandats réglementaires.

Malgré l'importance de la classification des données, un étude récente ont constaté que plus de 52 % des données au sein d'une organisation type ne sont pas classifiées.

En effet, la plupart des données sensibles dont les employés ont besoin pour leur travail sont effectuées en dehors de services strictement contrôlés tels que les bases de données ou les applications SaaS. Les travailleurs du savoir passent beaucoup de temps à télécharger, manipuler et charger des données non structurées entre les applications. Ce basculement du navigateur crée un risque de conformité et de sécurité involontaire mais dangereux pour une organisation.


Les sociétés financières ont généralement mis en place une procédure de classification pour les données manifestement réglementées telles que les informations de compte bancaire et les informations personnellement identifiables (PII), mais il y a souvent de la place pour des fuites de données réglementées si ces procédures de classification n'englobent pas toutes les données au sein de l'organisation et ne les classent pas dans temps réel.

Risque #2 : Shadow IT

Bien que le terme semble louche, la plupart des shadow IT au sein d'une organisation se produisent parce que des employés bien intentionnés augmentent les systèmes informatiques ou créent des solutions de contournement comme moyen d'améliorer l'efficacité et d'en faire plus. Une feuille de calcul peut être téléchargée sur Google Drive pour un accès plus facile tout en travaillant à domicile, ou un appareil mobile personnel peut être utilisé pour capturer des informations lors d'une réunion avec un client.

Même si les intentions derrière le shadow IT peuvent être bénignes, les effets ne le sont pas. Les logiciels et systèmes non autorisés présentent un risque important de violation de la conformité, car les données consultées ou stockées dans ces systèmes ne relèvent pas de la surveillance d'une institution financière. De plus, le shadow IT n'est pas contrôlé pour les contrôles de sécurité appropriés. Ces systèmes peuvent être sécurisés, mais ils peuvent aussi ne pas l'être.

En règle générale, les institutions financières appliquent des politiques strictes contre l'utilisation d'appareils et d'applications logicielles non autorisés. Néanmoins, ces technologies se retrouvent dans les organisations d'entreprise, introduisant des risques de conformité et de sécurité.

Risque #3 : Mauvaise hygiène numérique

Un risque de conformité connexe mais distinct pour les institutions financières réside dans les habitudes numériques négligentes des employés.

Dans le cours normal des affaires, les employés créent généralement ou entrent en contact avec des données d'entreprise sensibles, dont certaines sont réglementées. Bien que la majorité de ces données restent dans des systèmes informatiques sécurisés, les employés peuvent parfois enregistrer des données dans des endroits inappropriés ou contourner des protocoles de sécurité spécifiés par négligence ou par opportunisme. Une cellule d'une feuille de calcul est copiée en dehors des systèmes de l'entreprise, par exemple, ou un fichier est déplacé vers un disque dur local et n'est pas supprimé par la suite. Peut-être qu'un employé conserve une copie locale d'un document réglementé qu'il a créé avant de le télécharger sur un compte d'entreprise.

Une mauvaise hygiène numérique permet aux employés de créer involontairement une violation de la conformité des données, en particulier avec la grande majorité des employés travaillant à domicile pour la première fois à la suite de la pandémie de coronavirus Covid-19. La tendance au travail à domicile peut assurer la sécurité des employés, mais elle fait le contraire pour la conformité des données.

Risque #4 : Ingénierie sociale

À l'autre extrémité de l'échelle des intentions malveillantes se trouve l'ingénierie sociale, un risque de conformité des données où les employés sont amenés à révéler leurs identifiants de connexion ou à accorder un accès au système qui conduit à une violation de données. Il existe une variété de techniques d'ingénierie sociale, y compris les escroqueries par hameçonnage, le code sur des sites Web dangereux et la compromission des e-mails professionnels (BEC), où un employé pense qu'il interagit avec quelqu'un au sein de l'entreprise alors que ce n'est pas le cas.

L'ingénierie sociale est une méthode si efficace pour les cybercriminels - c'est la principale cause de violations de données dans le monde, selon les données du fournisseur de télécommunications et de sécurité des données, Verizon.

Alors que les sociétés financières savent déjà que l'ingénierie sociale est un problème, cela n'en fait pas moins un problème de conformité. La Banque du Bangladesh a subi une $81 millions d'attaques frauduleuses SWIFT à cause de cela il y a plusieurs années. Il est difficile de se protéger contre l'ingénierie sociale car elle s'attaque à l'erreur humaine.

Risque #5 : Partage de données non autorisé

Enfin, un cinquième risque important de conformité des données pour les institutions financières est le partage non autorisé de données réglementées.

Les données réglementées peuvent échapper à une entreprise de plusieurs manières. Les employés peuvent le partager involontairement par le biais de transferts d'e-mails ou de données enfouies dans des fils de conversation. Les API peuvent exposer des données réglementées à des organisations partenaires ou au grand public. Les tiers autorisés peuvent avoir accès à plus de données qu'ils ne le devraient, ou les appareils des employés peuvent contenir des logiciels qui exposent des données réglementées à d'autres utilisateurs ou systèmes.

L'accès aux données réglementées d'une institution financière peut migrer de plusieurs manières en dehors de la liste des utilisateurs autorisés. Malheureusement, il suffit d'une seule de ces expositions pour créer une violation de conformité.

La gestion de ces risques de non-conformité peut prendre plusieurs formes. Une solution efficace est Qostodian Recon™, une plate-forme de découverte et de classification de données basée sur le cloud qui surveille les données sur les réseaux d'entreprise, les ressources de cloud public et même les ordinateurs personnels des employés. Qostodian™ peut également aider à classer les données et fournir des prédictions assistées par l'IA sur les threads de conformité avant qu'ils n'aient lieu. 

Langue

Contactez-nous