L’inventaire des données sensibles – la base de la conformité réglementaire

La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant libre, des contrôles appropriés doivent être mis en place pour protéger les données personnelles des employés et des clients. 

Les analystes de Gartner ont prédit que d’ici 2023, 65 % de la population mondiale « verra ses données personnelles couvertes par des réglementations modernes en matière de confidentialité. » Si les lois protégeant les données varient dans leurs exigences, la classification et l’inventaire des données sont deux étapes fondamentales pour les respecter toutes.

La classification des données est le processus qui consiste à séparer les informations d’une organisation en catégories définies. L’inventaire, quant à lui, marque et compile ces données, y compris leurs relations et leurs mouvements, en une source unique de vérité. Ces deux pratiques présentent de nombreux avantages en dehors des réglementations, mais la classification et l’inventaire des données sont devenus encore plus essentiels pour assurer la conformité, car les réglementations en matière de données sont de plus en plus nombreuses et strictes.

L’impact de la classification et de l’inventaire sur la conformité

On demande aujourd’hui aux entreprises de respecter des normes de gestion des données plus strictes, et il est presque impossible d’y parvenir sans avoir une compréhension fondamentale de la quantité et du type de données sensibles présentes sur leurs systèmes d’entreprise. 

RGPD, par exemple, exige des accords de traitement des données dans certaines relations commerciales. En vertu de cette partie du RGPD, les registres des organisations doivent inclure les catégories de données, les groupes de sujets, les raisons pour lesquelles elles traitent ces informations et qui les reçoit. Les entreprises doivent également mettre ces inventaires à la disposition des autorités sur demande. Cela nécessite des pratiques de classification et d’inventaire étendues, et le non-respect de ces exigences entraîne de lourdes amendes.

D’autres réglementations, telles que la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA), ne prévoient pas spécifiquement de classification et d’inventaire, mais les exigent de manière fonctionnelle. La CCPA donne aux résidents de Californie le droit de savoir quelles données les entreprises collectent sur eux et comment elles les partagent et les utilisent. Fournir ces informations sur demande nécessite un inventaire des données facilement accessible.

Même lorsque la réglementation applicable n’exige pas la classification et l’inventaire des données, ces pratiques jouent un rôle crucial dans la conformité, et voici comment :

1. Elles fournissent de la visibilité. L’un des rôles les plus importants de la classification dans la mise en conformité est de fournir aux entreprises un point de départ essentiel sous la forme d’une visibilité sur tous les systèmes commerciaux critiques. Afin de protéger les données sensibles, l’entreprise doit avoir accès à des rapports simples et faciles à comprendre détaillant les types de données en sa possession, la quantité de chaque type de données, la réglementation à laquelle elles correspondent et les personnes qui y ont accès. 

Avant de mettre leur nom et leur réputation en jeu auprès des organismes de réglementation, la plupart des entreprises effectuent des audits internes. Elles le font pour s’assurer qu’elles sont pleinement conscientes de tout ce qu’elles possèdent, ce qui inclut la prise de conscience des « données sombres ». Il s’agit de données stockées à divers endroits et qui n’ont pas encore été classées, étiquetées ou comptabilisées, et qui sont donc inconnues de l’organisation. 

La mise en place d’un système permettant de trouver, d’étiqueter et de rendre visibles les données inconnues dans tous les emplacements permet de mettre en place une stratégie de protection des données plus complète. Il protège également l’entreprise contre le vol et les violations de données, qui font partie des attentes réglementaires et qui, lorsqu’ils ne sont pas correctement sécurisés, peuvent entraîner des amendes. Par exemple, les données du titulaire d’une carte de crédit qui sont conservées après une transaction constituent une violation des règles PCI et de protection des données. Les données inconnues ne peuvent pas être supprimées pour répondre aux exigences du droit à l’oubli.

2. Elles permettent de mettre en place des contrôles appropriés. Le fait de disposer d’un inventaire des données sensibles offre un autre avantage essentiel pour répondre à une exigence réglementaire universelle : la mise en place de mesures de sécurité proactives. La classification et l’inventaire des données peuvent révéler où se trouvent les informations privées des clients et qui y a accès, rendant visibles les contrôles à mettre en place pour les protéger. Compte tenu du fait que de nombreuses réglementations exigent des preuves des mesures prises pour sécuriser les données, cet aperçu est crucial.

Une fois que les données sont découvertes et classées, elles révèlent les lacunes critiques dans les contrôles qui doivent être mis en place pour les protéger. Ce processus révèle également si les processus de collecte ou de stockage d’une organisation créent des points d’exposition critiques. Par exemple, les DPI des clients se trouvent-elles dans un dossier accessible au public ? Des données privées sont-elles accumulées par des employés, à leur insu ou involontairement ? Les données peuvent avoir besoin d’être nettoyées, organisées ou migrées, mais il faut d’abord les identifier. 

De nombreuses réglementations imposent également aux entreprises d’informer les utilisateurs après une violation dans un certain délai. Il est beaucoup plus facile de respecter ce délai lorsque l’entreprise peut localiser l’origine du problème et consulter un dossier complet sur la façon dont les données sensibles ont circulé entre les employés.

3. Elles permettent l’agilité. Lorsqu’il s’agit du domaine relativement jeune de la confidentialité des données, le contexte réglementaire est en constante évolution, ce qui nécessite une adaptation fréquente. 

Les certifications de sécurité aujourd’hui facultatives dans l’UE, par exemple, pourraient devenir obligatoires d’ici 2023 en vertu de la loi européenne sur la cybersécurité. De même, de nombreux États suggèrent et adoptent de nouvelles réglementations inspirées du RGPD et de la CCPA de Californie. 

Les organisations qui espèrent rester conformes dans cet environnement changeant doivent avoir une vision complète de leurs données et des processus qui les affectent et les utilisent. L’inventaire permet de voir plus facilement si des processus autrefois autorisés doivent être modifiés pour permettre une conformité continue. S’adapter à de nouvelles exigences sans ces mesures pourrait prendre du temps, poser des problèmes et coûter cher. 

Tirer parti de la technologie pour favoriser la conformité

Afin d’éviter le piège des travailleurs qui passent des heures à rechercher et organiser manuellement des informations, les organisations tirent parti de la technologie. Plutôt que d’utiliser des outils traditionnels qui compliquent encore la tâche, les entreprises se tournent vers la plateforme Qostodian pour dresser des inventaires de données sensibles 60 fois plus vite que les autres solutions.

Qostodian détecte automatiquement chaque élément de données sensibles sur site ou dans le nuage, et le met en correspondance avec la réglementation correspondante. Une fois que les données non structurées existantes ont été cataloguées, les équipes peuvent rechercher uniquement les nouvelles données sensibles qui ont été ajoutées aux systèmes de l’entreprise.

Voici les six principales raisons pour lesquelles des institutions financières telles que CAA et Kaleido ont choisi Qostodian pour assurer la conformité : 

1. Prix prévisibles : Qostodian propose un tarif unique pour l’utilisation, basé sur le nombre d’employés, tout en offrant des fonctionnalités comparables aux autres solutions. Le coût n’augmente pas pour chaque nouvel environnement analysé, pour la quantité de données ingérées ou lorsque de nouvelles fonctionnalités sont ajoutées.
2. Recherche par mot-clé : La recherche d’éléments de données spécifiques est incluse dans le prix forfaitaire, plutôt que vendue comme un module supplémentaire. Cette fonctionnalité permet aux utilisateurs de voir le point d’origine d’une fuite de données spécifique et de savoir qui a été touché par la fuite. Certains clients l’utilisent également pour s’assurer que les données ne se trouvent pas sur le dark web.
3. Aucun angle mort : Des résultats d’une précision chirurgicale sont fournis à la vitesse de l’éclair, dans tous les emplacements et types de fichiers, y compris les emplacements sur site et les disques en nuage, OneDrive et WorkStations.
4. Des résultats d’une précision chirurgicale, fournis 60 fois plus vite : Pour montrer que des mesures adéquates ont été prises pour protéger les données, Qostodian classe, quantifie et contextualise les risques, montrant aux équipes de sécurité de l’information exactement où se concentrer pour avoir un impact maximal.
5. La possibilité de voir dans les fichiers : Le suivi se fait au niveau de l’élément de données (plutôt qu’au niveau du fichier, car les fichiers, ou le conteneur, changent tout le temps). Cela permet :
   1. des notifications proactives de l’accumulation, de l’exfiltration et de la suppression de données par les employés
   2. un enregistrement historique des mouvements de données entre les employés pour éliminer les enquêtes manuelles et garantir des notifications en temps opportun.
6. Des données anonymisées : Les données sensibles sont cryptées et ne quittent jamais l’environnement du client. 

Vous voulez en savoir plus sur la façon dont vous pouvez assurer la conformité avec la plateforme Qostodian ? Posez-nous une question ici.