Étude de cas

Kaleido

Industrie: Services Financiers

Région: QC, Canada

Kaleido accélère sa conformité à la loi 25 à l'aide de Recon

Kaleido est un leader des programmes modernes d’épargne-études. Ses produits offrent aux familles un ensemble différencié d’options d’investissement à risques variables qui répondent précisément aux objectifs tout en étant conformes aux strictes réglementations gouvernementales.

Défi

La confiance est au coeur de la mission de Kaleido. Les clients confient à Kaleido leur argent durement gagné, ainsi que toutes les données personnelles et financières sensibles requises pour effectuer et gérer les investissements dans les REEE. Cela comprend les renseignements bancaires et les numéros d’assurance sociale des clients. Les organismes de réglementation s’attendent également à ce que Kaleido protège les données personnelles, et ces exigences ne font que se renforcer. La loi 25, adoptée en 2021 par le gouvernement du Québec, exige un audit annuel et un inventaire centralisé des données sensibles. Cette loi a rendu la protection des renseignement personnels plus importante que jamais sur le plan financier.

Les défis croissants de Kaleido en matière de confidentialité des données sont également motivés par d’autres dynamiques.

En interne, l’augmentation de la clientèle a accru l’ampleur et la profondeur des données collectées, et les demandes de rapports et de documentation spécifiques à chaque service ont augmenté la complexité tout au long du cycle de vie. Auparavant, la recherche de ces données était un exercice essentiellement manuel, impliquant des scripts shell fastidieux et des CSV dont la lecture était un casse-tête pour les destinataires.

 

« Nous avions l’habitude d’effectuer des tâches manuelles par lots pour cibler des fichiers spécifiques sur des serveurs spécifiques. Mais à mesure que les données ont augmenté, nous avons eu besoin d’un moyen plus précis de trouver des fichiers, même si nous n’avions pas de noms de fichiers, en ciblant parfois des types de motifs spécifiques comme les numéros d’assurance sociale. Le gouvernement a également fixé de nouvelles exigences, et nous devons les respecter. »

En externe, Kaleido et d’autres fournisseurs de services financiers se sont inquiétés de l’augmentation de la cybercriminalité liée au COVID, ainsi que des nouveaux risques introduits par le travail à distance et d’autres incertitudes. La chasse et l’atténuation des menaces devenant plus difficiles, les dirigeants se sont engagés à être proactifs et à ne pas faire la une des journaux. Ils ont demandé à François Lamontagne, directeur de l’informatique, et au reste de l’informatique : Nous ne voulons pas que cela nous arrive. Que pouvons-nous faire de plus?

Les dirigeants ont réalisé que tout cela pouvait mettre à l’épreuve les systèmes et stratégies de sécurité et de conformité actuels. Pour que Kaleido puisse—se conformer aux exigences de sécurité et de conformité—qui évoluent rapidement, une approche plus intelligente était nécessaire.

 

 

Solution

Alors que l’équipe réfléchissait à la meilleure façon de transformer sa gouvernance des données, elle avait deux objectifs. Kaleido souhaitait moderniser de manière significative la gestion des données sensibles dans l’ensemble de l’entreprise, mais devait également se mettre rapidement en conformité avec les règles et exigences spécifiques de la loi 25. Cela signifiait qu’ils avaient besoin de:

  • un système d’inventaire des données intégré et évolutif qui trouve, identifie et trie les données sensibles.
  • une vue centralisée et contextualisée des données sur les réseaux, les applications, les nuages et les postes de travail connectés.
  • un moyen automatisé de trouver et de détruire les données personnelles identifiables après la signature d’un contrat.
  • les données doivent rester chiffrées et anonymes, et les informations ne doivent jamais quitter l’environnement Kaleido ou être vues par des outils tiers.
  • des rapports automatisés qui pourraient être fournis directement aux auditeurs

 

Une première discussion avec un directeur d’entreprise a amené Qohash dans la conversation. Dès que l’équipe s’est familiarisée avec le produit, un déclic s’est produit. La combinaison d’une découverte puissante et rapide et de rapports robustes et riches en contexte constituait la plateforme idéale pour la modernisation.

Grâce à l’installation de Recon, l’automatisation de la numérisation et de la production de rapports a permis aux équipes de gagner immédiatement du temps et d’améliorer la réactivité aux demandes d’information des parties prenantes. François Lamontagne a partagé :

« Nous recevions une demande pour toutes les données sensibles créées dans un délai spécifique. auparavant, j’exécutais un script, le mettais en forme dans le Bloc-note et utilisait la ligne de commande avec cette gross masse de texte. Maintenant, avec Recon, nous ciblons un emplacement que nous voulons scanner et c’est parti. »

 

La rapidité et la simplicité accrues de l’analyse, ainsi que la granularité précise des résultats de recherche, contribuent à garantir que les parties prenantes de la gouvernance des données – et les régulateurs – bénéficient d’une visibilité à la minute près des données sensibles et de leur mouvement. 

 

 

Résultats

Recon a permis à Kaleido de simplifier considérablement les fondamentaux de PII en remplaçant les processus manuels fastidieux par un outil de recherche et de reporting unifié et automatisé, facile à configurer, à personnaliser et à faire évoluer. Deux fonctionnalités uniques de Recon continuent de retenir l’attention de l’équipe.

Tout d’abord, l’interface utilisateur graphique puissante et intuitive de Recon permet non seulement d’accélérer les recherches, mais aussi d’obtenir des résultats utiles et riches en contexte. En outre, la possibilité d’analyser des éléments de données spécifiques, plutôt que de simplement rechercher dans les fichiers, a également changé la donne. L’équipe peut, par exemple, rechercher des modèles correspondant à des numéros de cartes VISA potentiels, en ayant accès à la fois au numéro, à la chaîne de caractères associée et à un score de “Likelihood” qui indique le niveau de confiance des résultats de Recon.

 

Comme l’explique François Lamontagne,

“Nous avons essayé de trouver un autre outil et n’avons rien trouvé qui  fasse ce que Qohash fait.”

Les avantages du passage à Recon ont été facilement—et considérablement—mesurables. “Une tâche qui me prenait une heure et demie me prend maintenant 15 minutes”.

 

L’efficacité et la commodité accrues n’ont pas seulement permis de réduire le temps nécessaire à l’accomplissement d’importantes tâches de conformité. Elles ont également amélioré la sécurité des données et la conformité en augmentant la visibilité. François Lamontagne explique:

“Avant, j’effectuais des analyses tous les trimestres. Maintenant, grâce aux options d’analyses récurrentes faciles à programmer, nous effectuons des analyses hebdomadaires et nous sommes plus confiants en matière de sécurité.”

 

Cela se traduit également par une plus grande réactivité vis-à-vis de toutes les parties prenantes aux données, y compris les clients et les régulateurs.

Au fur et à mesure de la croissance de l’entreprise et de l’évolution de l’environnement réglementaire, Kaleido sera continuellement confronté à de nouveaux défis quant à la manière de stocker, gérer et sécuriser les données sensibles des clients et des finances. Les gains fondamentaux réalisés grâce à l’adoption de Recon continueront à se multiplier au fil du temps, quelle que soit l’évolution des exigences du marché ou de la réglementation.

“La protection des renseignements personnelles de nos clients est au cœur de notre organisation. Nous mettrons tout en place pour en assurer la sécurité.”

 

Consultez les dernières informations sur la gestion des risques liés aux données sensibles

Data Security Harnessing the Power of Data Classification in Management Strategies
Sécurité des données: exploiter la puissance de la classification des données dans les stratégies de gestion
Data Security Posture Management in 2024
Gestion de la sécurité des données en 2024
ISO27001 Certification
Qohash obtient la certification ISO/IEC 27001:2022
Logo Qohash
À l’initiative
Conformité réglementaire:
Trouvez, classez et inventoriez toutes les données sensibles, dans toutes les sources de données
Prévention des violations de données:
Surveillez les données sensibles 24 heures sur 24, 7 jours sur 7, suivez la traçabilité des données et appliquez les politiques aux terminaux
Microsoft 365
Une plateforme facile à utiliser pour sécuriser les données sensibles sur les postes de travail Windows et M365 
Par réglementations​
RGPD
CCPA
GLBA
VCDPA
NYCRR
UCPA
PCI-DSS
CPA
Loi 25
L’effet Qohash
Défier les limites
Témoignages de nos clients

Contact us​

Contactez-nous