6 Problèmes de conformité Que vous Ne saviez pas Que Vous aviez
Rester conforme peut ressembler à une bataille sans fin. À mesure que votre entreprise se développe, il y a plus de règles à suivre, plus de menaces à traiter et plus de failles de sécurité à corriger. Finalement, le simple fait de mettre en place une initiative de conformité peut sembler une tâche écrasante.
Naturellement, les problèmes de conformité peuvent apparaître partout — vous pourriez même ne pas en voir venir certains. Si vous voulez éviter que votre entreprise ne soit confrontée à de lourdes amendes, à des violations coûteuses ou à un scandale embarrassant, vous devez vous assurer que vous ne rencontrez aucun problème de conformité majeur. Vous ne savez pas par où commencer? Voici les 6 problèmes de conformité les plus courants — et comment les résoudre.
Difficulté à intégrer plusieurs régimes de conformité
Une grande organisation qui exerce ses activités dans plusieurs pays peut facilement être soumise à une demi—douzaine de régimes de conformité ou plus, sans compter les accords d’associés commerciaux HIPAA, les contrats types régissant la circulation transfrontalière des données et d’autres accords juridiques avec des partenaires, des fournisseurs et des clients. Même déterminer quel produit ou service est régi par quelle loi peut soulever de graves problèmes de conformité. Un processeur de données pourrait être obligé de jongler entre HIPAA et CJIS car il fonctionne avec des données de santé pour l’application de la loi.
En plus de cela, les lois changent constamment. Les villes, les États et les comtés proposent des normes locales. Les pays négocient de nouveaux traités commerciaux avec des accords sur la protection des données. Et le succès rend les choses plus difficiles ; plus votre entreprise se développe et se développe sur de nouveaux marchés, plus les problèmes de conformité deviennent épineux et complexes.
Mise en œuvre inadéquate
Le fait est que l’échec de la mise en œuvre complète de la conformité est beaucoup plus fréquent que le succès. Même les entreprises ayant une forte culture de la sécurité ont souvent de multiples problèmes de conformité. Selon le rapport de conformité PCI 2015 de Verizon, 4 entreprises sur 5 échouent aux tests PCI intérimaires. Bien que la conformité moyenne à la plupart des normes PCI soit forte, il y a tellement de normes que presque tout le monde échoue à quelque chose — et c’est juste PCI.
Selon Verizon, le problème est que de nombreuses organisations voient la conformité “comme un exercice ponctuel ou un exercice d’incendie que l’équipe de sécurité possède et que le reste de l’organisation regrette.” Avouons-le, la conformité est difficile, coûteuse et fastidieuse. Presque tout le monde y échoue, car les dirigeants ne veulent pas engager l’argent et le temps nécessaires pour le faire correctement.
La mauvaise communication et l’engagement nuisent également aux initiatives de conformité. Les entreprises prennent rarement le temps de former les travailleurs, de résoudre les problèmes de conformité ou les questions qui se posent et de les surveiller de manière continue. Ils ne font pas de la sécurité une partie de la culture du lieu de travail, alors les travailleurs reprennent leurs vieilles habitudes aussi souvent que non.
Conformité des partenaires
Les initiatives de conformité telles que HIPAA sont conçues pour protéger les données, et non pour répartir équitablement les blâmes; si un partenaire commercial ou un entrepreneur bouscule et donne des données protégées, vous pourriez également être pris au piège.
Les contrats, tels que les accords HIPAA Business Associate Agreements (BAAs) et les Accords de contrôle de gestion CJIS (MCAS), peuvent aider quelque peu. Ils mettent en place des règles pour l’accès à l’information, la sécurité et la réponse aux violations, aidant les deux partenaires à rester conformes, et fournissent une couverture juridique cruciale si votre partenaire perd le contrôle des données protégées.
Malheureusement, vous ne pouvez souvent pas faire grand-chose pour vous assurer que vos partenaires et entrepreneurs tiennent leur bout du marché. Les hôpitaux, par exemple, travaillent souvent avec des centaines de médecins qui ne sont pas des employés. Ils peuvent (et devraient) faire signer des BAAs à ces médecins, mais il n’y a aucun moyen réaliste de s’assurer qu’ils respectent réellement les règles.
Il en va de même pour les éditeurs de logiciels ou les fournisseurs d’hébergement cloud. Vous pouvez organiser des audits périodiques ou sélectionner une personne auditée par un tiers, mais pour la sécurité au jour le jour, vous devez la prendre au mot – même lorsque la réputation de votre entreprise est en jeu.
BYOD et télétravail
Les organisations peuvent protéger les ordinateurs de travail à l’aide d’outils tels que le cryptage, les pare-feu et les programmes anti-malware, mais bon nombre de ces fonctionnalités de sécurité sont régulièrement contournées dans les lieux de travail BYOD (Bring Your Own Device). Et pour chaque travailleur qui prend la sécurité BYOD au sérieux, il y en aura au moins quelques autres qui feront passer la commodité avant la conformité.
Les travailleurs peuvent stocker leurs mots de passe et oublier d’effacer le cache de leur navigateur, par exemple. Cela permet non seulement aux pirates informatiques d’accéder plus facilement à leurs données, mais si un voleur vole un appareil, cela pourrait leur donner un accès illimité aux données protégées. Si les employés n’installent pas de correctifs et n’exécutent pas de programmes antivirus, leurs ordinateurs pourraient être infectés par des logiciels malveillants pouvant voler des secrets d’entreprise.
Le télétravail lui-même peut interférer avec la sécurité et la conformité. Si vos employés utilisent des connexions Internet publiques non sécurisées, les pirates peuvent espionner leur trafic, volant potentiellement des informations de connexion ou des données. Et travailler à domicile ne résout pas nécessairement le problème; les régimes de conformité tels que les CJIS exigent un niveau élevé de sécurité du réseau, et il n’y a généralement aucun moyen de savoir si le Wi-Fi d’un télétravail particulier est conforme aux normes.
Pauvre DLP
De nombreuses entreprises abordent la vie privée comme si elles construisaient un fort. Ils utilisent des mots de passe forts, un cryptage, des pare-feu et d’autres outils de sécurité pour empêcher les envahisseurs d’entrer, mais ne considèrent pas ce qui se passerait si leurs défenses étaient violées.
Le problème est qu’un pirate informatique pourrait théoriquement voler tout ce à quoi un employé a accès. Si tous vos employés ont un accès illimité à une base de données de 80 000 noms de clients, une violation pourrait tous les exposer. Et cela peut arriver même sans pirate informatique; tout ce qu’un employé doit faire est d’envoyer une pièce jointe ou un e-mail contenant des informations de connexion ou des données protégées à la mauvaise personne, et vous pourriez avoir une violation majeure entre vos mains.
La prévention des pertes de données (DLP) peut vous aider à minimiser les pertes potentielles en limitant l’accès aux documents sensibles. Les entreprises doivent commencer à catégoriser les informations sensibles, telles que la propriété intellectuelle et les Informations personnelles identifiables (PII), et veiller à ce que chaque personne n’ait accès qu’aux informations dont elle a besoin. Si un pirate accède, DLP peut faire la différence entre exposer quelques enregistrements et une base de données entière.
Manque de cryptage adéquat
Le cryptage des données est l’un des outils de conformité les plus importants disponibles. Une fois les données cryptées, elles sont illisibles et pratiquement impossibles à déchiffrer sans la clé cryptographique. Même si un client peut accéder à la base de données d’une entreprise ou intercepter les courriels d’un employé, un cryptage fort protégera les données.
Malheureusement, les organisations qui devraient mieux savoir ne parviennent pas à chiffrer les données au repos et les données en mouvement, avec des résultats désastreux. Le hack d’Anthem, qui a révélé les données personnelles de dizaines de millions de personnes, n’est qu’un des nombreux hacks qui auraient pu être évités par le cryptage.
Les organisations choisissent souvent de ne pas chiffrer parce qu’elles considèrent le chiffrement comme moins pratique, car elles craignent qu’il ne rende leurs bases de données illisibles. En réalité, cependant, si les entreprises taguent leurs fichiers cryptés, elles peuvent accéder aux informations dont elles ont besoin sans compromettre la sécurité des données.
Tous les chiffrements ne sont pas aussi efficaces. Les clés plus longues rendent le cryptage beaucoup plus difficile à déchiffrer, de sorte que les entreprises doivent utiliser un cryptage 128 bits ou supérieur. En outre, ils doivent utiliser le cryptage côté client dans la mesure du possible. Le cryptage côté client est extrêmement sécurisé, car il crypte les données lorsqu’elles quittent votre ordinateur et ne les déchiffre qu’une fois qu’elles atteignent leur destination, ce qui signifie que vous pouvez garantir que vos données sont en sécurité lorsqu’elles se rendent là où elles doivent aller.
Le besoin de DLP et de cryptage Fort universel
Votre sécurité n’est aussi bonne que votre maillon le plus faible. Virtru aide les entreprises à résoudre un large éventail de problèmes de conformité avec des outils de sécurité puissants que tout le monde peut utiliser. Le cryptage Virtru protège les e-mails en un seul clic, en utilisant un cryptage côté client de qualité militaire. C’est le seul programme de cryptage des e-mails qui n’inhibe aucune fonctionnalité de messagerie ou rend les e-mails plus difficiles à utiliser. Contrairement à d’autres outils de chiffrement de courrier électronique tels que PGP, Virtru gère automatiquement les clés de courrier électronique et peut chiffrer:
- Pièces jointes
E-mails envoyés à plusieurs destinataires
- E-mails aux personnes qui n’ont pas installé le plug-in de Virtru
Virtru Pro ajoute des fonctionnalités puissantes qui facilitent la conformité et vous donnent un meilleur contrôle de votre communication. Vous pouvez révoquer les e-mails, définir des limites de temps et désactiver le transfert pour empêcher les destinataires de partager des informations sensibles.
Et contrairement à d’autres programmes de messagerie qui ont la révocation des e—mails, Virtru Pro fonctionne quel que soit le service de messagerie utilisé par le destinataire, même après l’ouverture de l’e-mail. Lorsqu’un employé entre accidentellement la mauvaise adresse et clique sur envoyer, cela peut faire la différence entre un appel à proximité et un grave problème de conformité.
Le DLP Virtru (disponible pour G Suite et Outlook) s’attaque au problème de sécurité et de conformité le plus difficile de tous : l’erreur humaine. Il a des règles personnalisables qui peuvent détecter si un e-mail contient des informations sensibles telles que des numéros de sécurité sociale, empêchant les employés d’envoyer accidentellement des informations sensibles dans un e-mail non sécurisé. Il est livré avec des paramètres de règles communes, telles que HIPAA et CJIS, ce qui facilite la résolution des problèmes de conformité auxquels votre organisation est confrontée. Nous venons également de proposer un module complémentaire qui facilite encore la conformité aux e-mails HIPAA avec le pack de règles HIPAA. Il peut également crypter automatiquement les e-mails, supprimer les pièces jointes pour empêcher la divulgation de documents internes, ou même les administrateurs CC pour permettre la surveillance des e-mails sensibles.
Enfin, Virtru pour Google Apps (maintenant connu sous le nom de Virtru pour G Suite) permet de sécuriser l’ensemble de votre espace de travail dans le cloud avec le même cryptage puissant côté client que celui utilisé dans nos autres produits. Vous pouvez contrôler les clés et gérer l’accès aux fichiers et aux e-mails via l’ensemble de votre domaine Google, en fournissant des outils d’administration simples qui empêchent les fuites de données sans nuire à la productivité. Pour résoudre les problèmes de conformité dans le cloud, il n’est tout simplement pas plus facile — ni plus sûr — que Google et Virtru.