Risques à surveiller en matière de conformité des données financières

Risques à surveiller en matière de conformité des données financières

Risques à surveiller en matière de conformité des données financières

Les institutions financières sont confrontées à une longue liste d’obligations de conformité en matière de données commerciales. Cependant, le respect de ces obligations est loin d’être assuré à l’ère des services en nuage, des employés travaillant à domicile et des changements numériques rapides.

Une multitude de réglementations accroît les enjeux de la sécurité des données pour les institutions financières. Les réglementations spécifiques varient en fonction de la juridiction et du marché, mais de nombreuses entreprises doivent se conformer à la loi Gramm-Leach-Bliley (GLBA), à la loi Sarbanes-Oxley (SOX), à la loi californienne sur la protection des consommateurs (CCPA), au règlement général sur la protection des données ( RGPD) et aux réglementations sectorielles telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).

Pourtant, plus de 40 % des professionnels de la sécurité et des chefs d’entreprise ne sont pas convaincus d’avoir mis en place des contrôles adéquats pour sécuriser correctement leurs données, selon une étude récente de PricewaterhouseCoopers (PwC). Si vous lisez cet article, vous en faites probablement partie.

Il existe de nombreux risques de conformité des données contre lesquels les institutions financières doivent se protéger, mais cinq risques fondamentaux se distinguent en matière de conformité des données. Ces cinq risques sont les risques liés aux données qui nécessitent absolument une attention et des systèmes pour minimiser les problèmes de conformité.

Risque n° 1 : Classification incomplète des données

La conformité des données financières commence par une classification appropriée. Les procédures de conformité automatisées et les restrictions d’accès appropriées ne sont possibles que si les données qui relèvent de la compétence réglementaire sont correctement identifiées et étiquetées. Sans une classification des données solide et complète, les entreprises financières ne peuvent pas suivre et contrôler les données réglementées, permettre la mise en quarantaine, appliquer la mise en suspens légale ou archiver conformément aux mandats réglementaires.

Malgré l’importance de la classification des données, une étude récente a révélé que plus de 52 % des données d’une organisation type ne sont pas classifiées.

Cela s’explique par le fait qu’une grande partie des données sensibles dont les employés ont besoin pour leur travail est effectuée en dehors des services strictement contrôlés tels que les bases de données ou les applications SaaS. Les travailleurs du savoir passent beaucoup de temps à télécharger, manipuler et charger des données non structurées entre les applications. Ce pivotement du navigateur crée un risque de conformité et de sécurité involontaire mais dangereux pour une organisation.

Les entreprises financières disposent généralement d’une procédure de classification pour les données manifestement réglementées, telles que les informations sur les comptes bancaires et les informations personnelles identifiables (PII), mais il y a souvent un risque de fuite de données réglementées si ces procédures de classification n’englobent pas toutes les données au sein de l’organisation et ne les classent pas en temps réel.

Risque n° 2 : Shadow IT

Bien que le terme puisse paraître louche, la plupart des systèmes informatiques parallèles d’une entreprise sont le fait d’employés bien intentionnés qui complètent les systèmes informatiques ou créent des solutions de contournement afin de gagner en efficacité et d’accomplir davantage de tâches. Une feuille de calcul peut être téléchargée sur Google Drive pour y accéder plus facilement lorsqu’on travaille à domicile, ou un appareil mobile personnel peut être utilisé pour capturer des informations lors d’une réunion avec un client.

Même si les intentions derrière le shadow IT peuvent être bénignes, les effets ne le sont pas. Les logiciels et systèmes non autorisés présentent un risque important de violation de la conformité, car les données auxquelles on accède ou qui sont stockées dans ces systèmes échappent à la surveillance d’une institution financière. En outre, l’informatique parallèle n’est pas soumise à des contrôles de sécurité appropriés. Ces systèmes peuvent être sécurisés, mais ils peuvent aussi ne pas l’être.

En général, les institutions financières appliquent des politiques strictes contre l’utilisation de dispositifs et d’applications logicielles non autorisés. Néanmoins, ces technologies se frayent un chemin dans les entreprises, introduisant un risque de conformité et de sécurité.

Risque n° 3 : Mauvaise gouvernance numérique

Les habitudes numériques négligentes des employés constituent un risque de conformité connexe mais distinct pour les institutions financières.

Dans le cours normal des affaires, les employés créent ou entrent en contact avec des données d’entreprise sensibles, dont certaines sont réglementées. Bien que la majorité de ces données soient conservées dans des systèmes informatiques sécurisés, il arrive que les employés sauvegardent des données dans des endroits inappropriés ou contournent des protocoles de sécurité spécifiques par négligence ou par opportunisme. Une cellule d’une feuille de calcul est copiée en dehors des systèmes de l’entreprise, par exemple, ou un fichier est déplacé sur un disque dur local et n’est pas supprimé par la suite. Peut-être qu’un employé conserve une copie locale d’un document réglementé qu’il a créé avant de le télécharger sur un compte de l’entreprise.

Une mauvaise gouvernance numérique peut permettre aux employés de créer involontairement une violation de la conformité des données, d’autant plus que la grande majorité des employés travaillent à domicile pour la première fois à la suite de la pandémie de coronavirus Covid-19. La tendance au travail à domicile peut assurer la sécurité des employés, mais elle a l’effet inverse sur la conformité des données.

Risque n° 4 : Ingénierie sociale

À l’autre extrémité de l’échelle des intentions malveillantes se trouve l’ingénierie sociale, un risque de conformité des données où les employés sont amenés à révéler des identifiants de connexion ou à accorder un accès au système qui conduit à une violation des données. Il existe une grande variété de techniques d’ingénierie sociale, notamment les escroqueries par hameçonnage, les codes sur des sites Web dangereux et la compromission du courrier électronique professionnel, où un employé pense qu’il interagit avec une personne de l’entreprise alors que ce n’est pas le cas.

L’ingénierie sociale est une méthode tellement efficace pour les cybercriminels qu’elle est la principale cause de violation des données dans le monde, selon les données du fournisseur de télécommunications et de sécurité des données Verizon.

Si les entreprises financières savent déjà que l’ingénierie sociale est un problème, cela n’en fait pas moins un problème de conformité. La Bangladesh Bank a subi une attaque frauduleuse SWIFT de 81 millions de dollars à cause de ce problème il y a quelques années. Il est difficile de se protéger contre l’ingénierie sociale car elle s’appuie sur l’erreur humaine.

Risque n° 5 : Partage non autorisé de données

Enfin, un cinquième risque important de conformité des données pour les institutions financières est le partage non autorisé de données réglementées.

Les données réglementées peuvent échapper à une entreprise de plusieurs façons. Les employés peuvent les partager involontairement par le biais de transferts d’e-mails ou de données enfouies dans des fils de conversation. Les API peuvent exposer des données réglementées à des organisations partenaires ou au grand public. Des tiers autorisés peuvent se voir accorder l’accès à plus de données qu’ils ne le devraient, ou les appareils des employés peuvent contenir un logiciel qui expose des données réglementées à d’autres utilisateurs ou systèmes.

Il existe de nombreuses façons dont l’accès aux données réglementées d’une institution financière peut migrer en dehors de la liste des utilisateurs autorisés. Malheureusement, il suffit d’une seule exposition de ce type pour créer une violation de la conformité.

La gestion de ces risques de conformité peut prendre de nombreuses formes. Une solution efficace est Qostodian Recon™, une plateforme de découverte et de classification des données basée sur le cloud qui surveille les données sur les réseaux d’entreprise, les ressources de cloud public, et même les ordinateurs personnels des employés. Qostodian™ peut également aider à classer les données et fournir des prédictions assistées par l’IA sur les fils de conformité avant qu’ils ne se produisent.

Latest posts

Qohash annonce une mise à jour majeure
Nouvelles

Qohash annonce une mise à jour majeure

Read the blog →