Les informations sensibles sont des données dont l'exposition peut poser de graves dangers pour une organisation ou un individu. Face aux risques de fuites et aux menaces de cybersécurité, la protection des données est plus importante que jamais. Mais en fait, qu'est-ce qu'une information sensible ?
Qu'est-ce qu'une information sensible ?
Une information sensible est une donnée nécessitant une protection contre l'accès non autorisé, afin de préserver la sécurité d'un individu ou d'une organisation.
Les informations sensibles se distinguent des informations publiques, car elles ne peuvent pas être consultées à partir d'un dossier sans restriction. Il ne s'agit en aucun cas d'informations mises à la disposition du public, en provenance d'archives gouvernementales. Ainsi, l'exposition de ces données sensibles peut avoir des conséquences néfastes pour la confidentialité d'une personne ou les finances d'une organisation.
Quels sont les différents types d'informations sensibles ?
On dénombre trois principaux types d'informations sensibles. Chacune de ces catégories est considérée comme sensible pour différentes raisons.
Les données personnelles
Tout d'abord, les informations personnelles ou "PII" (Personnaly Identifiable Information). Ce terme désigne toute donnée pouvant être liée à un individu et pouvant être exploitée à des fins d'usurpation d'identité.
Il peut s'agir par exemple du numéro de sécurité sociale ou du nom de jeune fille d'une personne. En possession de ces données, un criminel peut par exemple faire une demande de carte de crédit au nom de la victime. Les informations comme le numéro de passeport d'un individu permettent de créer facilement de faux documents.
De nos jours, de nombreuses entreprises et organisations détiennent les données personnelles de particuliers. C'est le cas des données de santé, comme les enregistrements médicaux, les tests réalisés en laboratoire ou les informations d'assurance. Les coordonnées bancaires sont elles aussi détenues par de nombreux tiers. En cas de fuite, l'exposition de ces données peut avoir des conséquences catastrophiques.
Selon le RGPD, la notion de données personnelles regroupe toute donnée pouvant révéler l'origine ethnique ou raciale d'un individu, ses opinions politiques, ses croyances philosophiques ou religieuses, son code génétique, ses informations biométriques, son état de santé, son orientation ou ses pratiques sexuelles ou ses informations financières.
Les données liées aux entreprises
La seconde catégorie d'informations sensibles concerne les données liées à une entreprise, pouvant représenter un risque en cas d'exposition auprès d'un concurrent ou du grand public. Ceci englobe la propriété intellectuelle, les secrets commerciaux, ou encore les projets d'acquisition et de fusion. Si un rival met la main sur de telles informations, il profitera d'un avantage déloyal.
De plus, la fuite de données sensibles d'entreprise liées à un client ou à un fournisseur peut avoir un lourd impact financier. Après un tel incident, l'entreprise doit dépenser des sommes importantes pour réparer les dégâts. Sa réputation auprès des actionnaires et des clients peut aussi être entachée de manière irréversible.
Les informations "Top Secret" ou gouvernementales
Le troisième et dernier type majeur d'informations sensibles concerne les données classées " top secret ". Il s'agit d'informations gardées confidentielles par un gouvernement, généralement classées selon leur niveau de sensibilité pour limiter le nombre de personnes y ayant accès. L'exposition de telles données peut mettre en danger la sécurité nationale ou les intérêts d'un gouvernement.
Comment déterminer la sensibilité des données ?
Afin de déterminer comment traiter les données, il est important de pouvoir mesurer leur sensibilité. Pour ce faire, on peut se baser sur la confidentialité, l'intégrité et la disponibilité des données. Il faut aussi considérer l'impact qu'aurait l'exposition de ces informations sur l'entreprise.
Cette façon de mesurer la sensibilité des données est recommandée dans le guide du Federal Information Processing Stanrdards (FIPS) élaboré par le National Institute of Standards and Technology (NIST).
Garantir une confidentialité des données
La confidentialité est liée à la vie privée. Les entreprises peuvent mettre en place des mesures pour empêcher l'accès non autorisé aux données sensibles, tout en y permettant l'accès pour les personnes autorisées. Il peut s'agir par exemple d'une simple formation fondamentale, permettant à tous les employés de saisir les risques de sécurité liés au traitement d'informations et de découvrir les techniques permettant de les protéger.
Toutefois, les entreprises peuvent aussi adopter des logiciels de cybersécurité avancés afin de maximiser la protection des données. Parmi les méthodes permettant de renforcer la confidentialité, on peut citer le chiffrement de données, les mots de passe, l'authentification à deux facteurs, la vérification biométrique ou les jetons de sécurité.
Il est préférable de limiter l'exposition et les transferts des données au strict minimum. Une autre pratique efficace consiste à stocker les informations sur des supports déconnectés d'internet.
Préserver l'intégrité des données
L'intégrité des données désigne leur cohérence, leur exactitude et leur fiabilité tout au long du cycle de vie. Les données sensibles ne doivent pas pouvoir être modifiées pendant un transfert, et ne devraient pas pouvoir être altérées par des personnes non autorisées en cas de fuite de données.
Plusieurs mesures permettent de protéger l'intégrité des données. C'est le cas des permissions de fichiers, des contrôles d'accès, des logs d'audit, des sauvegardes backups et de la redondance. En stockant les données sur plusieurs serveurs différents, on peut s'assurer qu'au moins une copie ne soit pas altérée.
Assurer la disponibilité des données stockées
Enfin, la disponibilité consiste à s'assurer que toutes les informations sensibles et systèmes informatiques restent accessibles au besoin. Pour maintenir cette disponibilité, il convient tout d'abord d'entretenir le matériel et de le réparer immédiatement en cas de problème. Les logiciels doivent aussi être mis à jour dès que possible.
L'entreprise doit aussi s'assurer d'avoir assez de bande passante à disposition pour répondre à ses besoins. De même, une stratégie de récupération en cas de désastre doit être élaborée. En cas de catastrophe naturelle ou d'incendie, des barrières de protection contre la perte de données ou l'interruption doivent être mises en place.
Les logiciels et équipements de sécurité, comme les firewalls et les serveurs additionnels permettent aussi de maintenir l'intégrité en protégeant contre les temps de panne ou les cyberattaques de type DDoS.
Quelles sont les conséquences d'une fuite d'informations sensible?
En fonction de sa nature et de l'identité de la victime, une fuite de données peut avoir diverses conséquences. Pour une entreprise, l'impact peut être mineur ou au contraire désastreux. En guise d'exemple, on peut citer la fuite subie par la chaîne Home Depot en 2014. Suite à cet incident, les entreprises ont dû débourser plusieurs dizaines de millions de dollars pour dédommager les clients et les institutions financières.
Si un cybercriminel accède à des informations personnelles de type PII, il peut les utiliser de différentes manières. Il est par exemple possible d'usurper l'identité de la victime pour créer une carte de crédit à son nom, accéder à son compte bancaire ou à ses comptes sur différents sites web.
De même, les PII peuvent être utilisées pour orchestrer des campagnes de hameçonnage (phishing) visant des particuliers. Par exemple, un escroc pourra se faire passer pour une entreprise ou un proche de sa cible en s'appuyant sur les données qu'il a dérobées. Ceci lui permettra de réclamer une somme d'argent ou encore plus de données.
Malheureusement, les fuites de données ne cessent d'augmenter. Les cybercriminels redoublent d'inventivité, et leurs techniques sont toujours plus sophistiquées.
Les lois de protection des données sensibles
Afin de protéger les informations sensibles, les différents gouvernements adoptent des mesures appropriées. Plus de 80 pays dans le monde ont adopté des lois limitant la collecte et l'utilisation des informations sensibles par les organisations publiques et privées.
Dans l'Union européenne, le RGPD (Règlement Général pour la Protection des Données) force les entreprises qui traitent des données à adopter des mesures adéquates de protection et à notifier immédiatement les victimes en cas de fuite. Elles doivent aussi avertir les individus de façon explicite sur la nature des données collectées, la raison de leur collecte et les usages prévus.
Recueillir le consentement d'un citoyen européen est obligatoire avant toute exploitation de ses données. Ce règlement ne s'applique pas uniquement aux entreprises européennes, mais à toute entreprise traitant les données de résidents de l'UE.
Les organisations doivent aussi recruter un DPO (délégué à la protection des données ou Data Protection Officer). Elles sont aussi dans l'obligation d'anonymiser les données pour préserver leur confidentialité.
Aux États-Unis, plusieurs lois régissent l'exploitation des données. Chacun des 50 états américains a au moins une loi de protection des données, même si les règles peuvent fortement varier.
Les organisations doivent prévenir immédiatement les victimes de fuites de données, avertir le gouvernement, et payer une amende. Le Gramm-Leach-Bliley Act (GLBA) contraint les institutions financières à indiquer de quelle façon elles partagent les informations de leurs clients.
Le Health Insurance Portability and Accountability Act (HIPAA) oblige les fournisseurs de santé à protéger les données des patients, et le Family Educational Rights and Privacy Act (FERPA) impose aux institutions financières de recueillir le consentement des étudiants de plus de 18 ans avant tout partage de données.
Il existe aussi des normes et standards pour les différentes industries. La HITECH (Health Information Technology for Economic and Clinical Health) oblige les organisations régies par la loi HIPAA à rapporter toute fuite de données affectant plus de 500 personnes aux individus impactés, au Department of Health and Human Services, et aux médias. De même, les entreprises traitant des informations de cartes de crédit sont soumises au PCI DSS (Payment Card Industry Data Security Standard) à protéger les données et à effectuer les transactions via un réseau sécurisé.
Comment protéger les données ?
Les technologies du numérique génèrent des volumes massifs de données. Il est devenu impératif pour les entreprises d'assurer la sécurité et la confidentialité de ces informations. Il s'agit d'un véritable défi, notamment à cause de la diversité des sources et formats de données.
Il existe plusieurs techniques de protection des données. L'une des mesures les plus importantes est la classification des données.
En effet, les données requièrent différents niveaux de protection en fonction de leur sensibilité. Il est primordial de focaliser les efforts sur les données les plus sensibles.
Les informations publiques, déjà accessibles à n'importe qui, ne sont pas considérées comme sensibles et ne nécessitent pas de mesures de protection spécifiques. Il en va de même pour les informations sur une entreprise ayant déjà été partagées en interne ou en externe.
Il convient donc de passer en revue les informations à disposition de l'entreprise et d'identifier qui y a accès. Comprendre de quelle manière les données sensibles circulent au sein de l'organisation et à l'extérieur est essentiel pour saisir les vulnérabilités potentielles et les risques de sécurité.
Ce processus permet de comprendre qui consulte et partage des informations personnelles ou sensibles dans l'entreprise, qui en reçoit, quelles informations sont collectées, qui les conserve et qui y a accès.
Après avoir identifié les données sensibles, il est important de mesurer les risques liés aux coûts, à l'emplacement, aux mouvements des données entre les sources, ou encore à leur taille.
Des mesures de protection doivent ensuite être mises en place pour empêcher le vol ou la perte des données les plus sensibles et les plus à risque. Ces mesures doivent ensuite être continuellement surveillées afin de vérifier qu'elles soient respectées et d'identifier immédiatement la moindre vulnérabilité.
Une formation à la cybersécurité permet de mieux comprendre les risques et d'acquérir des compétences et des techniques permettant d'assurer la protection des données sensibles. Pour vous former ou pour former vos employés, vous pouvez choisir la formation en ligne de CyberUniversity.