Selon ForgeRock, en 2018, les violations de données ont valu plus de 654 milliards de dollars aux entreprises américaines et dévoilé plus de 2,8 milliards d’informations personnelles. Les informations personnelles étaient les données les plus ciblées en 2018, représentant 97 % de toutes les violations, avec des accès non autorisés couvrant 34 % de toutes les attaques. En dépit des mesures prises pour définir non seulement la portée et les paramètres de sécurité d'une organisation, mais également la responsabilité des organisations qui ne se conforment pas, force est de constater que les violations portant sur les informations personnelles ne cessent de s’accroître. Les soins de santé, les services financiers et les administrations publiques sont les secteurs les plus touchés par les cyberattaques. 48 % de toutes les violations de données se sont produites dans le secteur de la santé, quatre fois plus que dans tout autre secteur. Les services financiers et les administrations publiques sont les deuxièmes et troisièmes industries les plus ciblées, représentant ensemble 20 % des infractions.
De nombreuses parties tiers contrôlent ou ont accès à des informations personnelles, y compris les agences gouvernementales, les employeurs, les prestataires de services médicaux, les prestataires de services financiers, etc. Étant donné que de nombreux tiers ont accès aux informations personnelles, la confidentialité des données dépend uniquement des politiques et procédures de sécurité des organisations qui les détiennent. Malheureusement, les titres de la dernière décennie indiquent que ces mêmes organisations ne parviennent généralement pas à protéger leurs données personnelles. Le rapport d'enquête sur la violation des données de Verizon 2015 a montré qu'il suffisait de quelques minutes pour violer 60 % des organismes. En outre, les violations ont tendance à se produire très rapidement et, en moyenne, mettent beaucoup de temps avant d’être détectées par l'organisation ciblée. Ces chiffres démontrent l'importance d'avoir en plus des réglementations des centres d’opérations en sécurité très efficace.
« Les résultats de nos recherches montrent clairement que les données sur les consommateurs sont précieuses et très recherchées par les cybercriminels, mais qu'il est également très difficile pour les entreprises de les protéger », déclare Eve Maler, vice-présidente de l'innovation et des technologies émergentes chez ForgeRock. « Les organisations peuvent protéger les données des consommateurs en mettant en œuvre un programme solide de gestion de l'identité des clients. Chaque secteur est incité à éviter les dommages et les violations coûteuses. Les entreprises doivent donc utiliser des normes et des pratiques modernes pour sécuriser leur infrastructure ». La liste suivante décrit plusieurs exemples de réglementations de conformité. D'autres juridictions peuvent avoir des réglementations similaires, et la liste est loin d'être exhaustive.
- La norme de sécurité des données de l'industrie des cartes de paiement : la norme PCI DSS est une norme de sécurité des informations exclusivement destinée aux organisations qui gèrent des cartes de crédit de grandes marques, notamment Visa, MasterCard, American Express, Discover et JCB. Les cartes de marque privée, qui ne portent pas le logo d'une grande marque, ne sont pas incluses dans le champ d'application de la norme PCI DSS;
- Le Règlement général sur la protection des données (RGPD) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
Chaque organisme qui met en œuvre un traitement de données à caractère personnel a pour obligation la mise en place de procédures appropriées afin de prévenir toute violation de données et d’éviter ainsi tout préjudice à l’organisme et aux personnes concernées par le traitement. Quelles sont ces procédures ? Que faire en cas de violation de données ? La video ci-dessous vous en dit plus.
Source : ForgeRock
Et vous ?
Les réglementations en matière de conformité, ne sont-elles pas assez puissantes ?
Pensez-vous que les entreprises ne font pas assez pour la protection de vos données ?
Etes-vous à jour sur le RGPD ?
Voir aussi :
À l'heure actuelle, 59 % seulement des entreprises répondent aux exigences du RGPD, selon une enquête de Cisco
NY : un projet de loi veut obliger les entreprises à divulguer leur utilisation des données personnelles, aux particuliers qui en font la demande
Lancement bâclé pour le site du Grand Débat avec des ratés au niveau du RGPD, et déjà des détournements désopilants avec des sites parodiques