5 risques à surveiller en matière de conformité des données financières
Partager

Table of Contents

Les institutions financières sont confrontées à une longue liste d’obligations de conformité en matière de données commerciales. Cependant, le respect de ces obligations est loin d’être assuré à l’ère des services en nuage, des employés travaillant à domicile et des changements numériques rapides.

Une multitude de réglementations accroît les enjeux de la sécurité des données pour les institutions financières. Les réglementations spécifiques varient en fonction de la juridiction et du marché, mais de nombreuses entreprises doivent se conformer à la loi Gramm-Leach-Bliley (GLBA), à la loi Sarbanes-Oxley (SOX), à la loi californienne sur la protection des consommateurs (CCPA), au règlement général sur la protection des données ( RGPD) et aux réglementations sectorielles telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).

Pourtant, plus de 40 % des professionnels de la sécurité et des chefs d’entreprise ne sont pas convaincus d’avoir mis en place des contrôles adéquats pour sécuriser correctement leurs données, selon une étude récente de PricewaterhouseCoopers (PwC). Si vous lisez cet article, vous en faites probablement partie.

Il existe de nombreux risques de conformité des données contre lesquels les institutions financières doivent se protéger, mais cinq risques fondamentaux se distinguent en matière de conformité des données. Ces cinq risques sont les risques liés aux données qui nécessitent absolument une attention et des systèmes pour minimiser les problèmes de conformité.

Risque n° 1 : Classification incomplète des données

La conformité des données financières commence par une classification appropriée. Les procédures de conformité automatisées et les restrictions d’accès appropriées ne sont possibles que si les données qui relèvent de la compétence réglementaire sont correctement identifiées et étiquetées. Sans une classification des données solide et complète, les entreprises financières ne peuvent pas suivre et contrôler les données réglementées, permettre la mise en quarantaine, appliquer la mise en suspens légale ou archiver conformément aux mandats réglementaires.

Malgré l’importance de la classification des données, une étude récente a révélé que plus de 52 % des données d’une organisation type ne sont pas classifiées.

Cela s’explique par le fait qu’une grande partie des données sensibles dont les employés ont besoin pour leur travail est effectuée en dehors des services strictement contrôlés tels que les bases de données ou les applications SaaS. Les travailleurs du savoir passent beaucoup de temps à télécharger, manipuler et charger des données non structurées entre les applications. Ce pivotement du navigateur crée un risque de conformité et de sécurité involontaire mais dangereux pour une organisation.

Les entreprises financières disposent généralement d’une procédure de classification pour les données manifestement réglementées, telles que les informations sur les comptes bancaires et les informations personnelles identifiables (PII), mais il y a souvent un risque de fuite de données réglementées si ces procédures de classification n’englobent pas toutes les données au sein de l’organisation et ne les classent pas en temps réel.

Risque n° 2 : Shadow IT

Bien que le terme puisse paraître louche, la plupart des systèmes informatiques parallèles d’une entreprise sont le fait d’employés bien intentionnés qui complètent les systèmes informatiques ou créent des solutions de contournement afin de gagner en efficacité et d’accomplir davantage de tâches. Une feuille de calcul peut être téléchargée sur Google Drive pour y accéder plus facilement lorsqu’on travaille à domicile, ou un appareil mobile personnel peut être utilisé pour capturer des informations lors d’une réunion avec un client.

Même si les intentions derrière le shadow IT peuvent être bénignes, les effets ne le sont pas. Les logiciels et systèmes non autorisés présentent un risque important de violation de la conformité, car les données auxquelles on accède ou qui sont stockées dans ces systèmes échappent à la surveillance d’une institution financière. En outre, l’informatique parallèle n’est pas soumise à des contrôles de sécurité appropriés. Ces systèmes peuvent être sécurisés, mais ils peuvent aussi ne pas l’être.

En général, les institutions financières appliquent des politiques strictes contre l’utilisation de dispositifs et d’applications logicielles non autorisés. Néanmoins, ces technologies se frayent un chemin dans les entreprises, introduisant un risque de conformité et de sécurité.

Risque n° 3 : Mauvaise gouvernance numérique

Les habitudes numériques négligentes des employés constituent un risque de conformité connexe mais distinct pour les institutions financières.

Dans le cours normal des affaires, les employés créent ou entrent en contact avec des données d’entreprise sensibles, dont certaines sont réglementées. Bien que la majorité de ces données soient conservées dans des systèmes informatiques sécurisés, il arrive que les employés sauvegardent des données dans des endroits inappropriés ou contournent des protocoles de sécurité spécifiques par négligence ou par opportunisme. Une cellule d’une feuille de calcul est copiée en dehors des systèmes de l’entreprise, par exemple, ou un fichier est déplacé sur un disque dur local et n’est pas supprimé par la suite. Peut-être qu’un employé conserve une copie locale d’un document réglementé qu’il a créé avant de le télécharger sur un compte de l’entreprise.

Une mauvaise gouvernance numérique peut permettre aux employés de créer involontairement une violation de la conformité des données, d’autant plus que la grande majorité des employés travaillent à domicile pour la première fois à la suite de la pandémie de coronavirus Covid-19. La tendance au travail à domicile peut assurer la sécurité des employés, mais elle a l’effet inverse sur la conformité des données.

Risque n° 4 : Ingénierie sociale

À l’autre extrémité de l’échelle des intentions malveillantes se trouve l’ingénierie sociale, un risque de conformité des données où les employés sont amenés à révéler des identifiants de connexion ou à accorder un accès au système qui conduit à une violation des données. Il existe une grande variété de techniques d’ingénierie sociale, notamment les escroqueries par hameçonnage, les codes sur des sites Web dangereux et la compromission du courrier électronique professionnel, où un employé pense qu’il interagit avec une personne de l’entreprise alors que ce n’est pas le cas.

L’ingénierie sociale est une méthode tellement efficace pour les cybercriminels qu’elle est la principale cause de violation des données dans le monde, selon les données du fournisseur de télécommunications et de sécurité des données Verizon.

Si les entreprises financières savent déjà que l’ingénierie sociale est un problème, cela n’en fait pas moins un problème de conformité. La Bangladesh Bank a subi une attaque frauduleuse SWIFT de 81 millions de dollars à cause de ce problème il y a quelques années. Il est difficile de se protéger contre l’ingénierie sociale car elle s’appuie sur l’erreur humaine.

Risque n° 5 : Partage non autorisé de données

Enfin, un cinquième risque important de conformité des données pour les institutions financières est le partage non autorisé de données réglementées.

Les données réglementées peuvent échapper à une entreprise de plusieurs façons. Les employés peuvent les partager involontairement par le biais de transferts d’e-mails ou de données enfouies dans des fils de conversation. Les API peuvent exposer des données réglementées à des organisations partenaires ou au grand public. Des tiers autorisés peuvent se voir accorder l’accès à plus de données qu’ils ne le devraient, ou les appareils des employés peuvent contenir un logiciel qui expose des données réglementées à d’autres utilisateurs ou systèmes.

Il existe de nombreuses façons dont l’accès aux données réglementées d’une institution financière peut migrer en dehors de la liste des utilisateurs autorisés. Malheureusement, il suffit d’une seule exposition de ce type pour créer une violation de la conformité.

La gestion de ces risques de conformité peut prendre de nombreuses formes. Une solution efficace est Qostodian Recon™, une plateforme de découverte et de classification des données basée sur le cloud qui surveille les données sur les réseaux d’entreprise, les ressources de cloud public, et même les ordinateurs personnels des employés. Qostodian™ peut également aider à classer les données et fournir des prédictions assistées par l’IA sur les fils de conformité avant qu’ils ne se produisent.

A propos de l'auteur

A propos de l'auteur

Recommandé pour vous

Canada Fintech Forum Oct 27-29 2021 Virtual Meet
La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant...
Qohash Launches New Qostodian Recon™ Product to Help Organizations Discover and Secure Their Sensitive Data
La technologie de découverte de données de niveau entreprise de Qohash est désormais disponible pour les entreprises de taille moyenne qu...
Data classification and inventorying - The foundation of regulatory compliance
La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant...
Data classification and inventorying - The foundation of regulatory compliance
La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant...
The true cost of non-compliance - can you afford the risk
Un climat réglementaire plus strict La multiplication des données s’accompagne d’une intensification des règles relatives ...
5 best practices for rolling out your insider risk management program
La manière dont les entreprises exercent leurs activités évolue en permanence. Au cours des trois dernières années, les effectifs sont de...

Contactez-nous

Inventaire des données sensibles
Satisfaire aux audits PII et PCI
Assurer la conformité GDPR et NYDFS
Améliorer la gouvernance des données
Obtenir la certification SOC2
Surveillance des menaces internes
Verrouillage des terminaux
Détectez les abus de politique en temps réel
Accélérez les investigations
Quantifiez votre niveau de risque pour votre conseil d’administration
Défier les limites
Témoignages de nos clients