Qu’est-ce que la conformité des données ?
La conformité des données consiste à s’assurer que les données sensibles et protégées sont organisées et gérées de telle manière que les entreprises et entités publiques respectent les réglementations légales et gouvernementales en vigueur. À bien des égards, on peut considérer la conformité des données comme un ensemble de règles détaillées (souvent appelées protocoles, normes ou exigences) conçues pour protéger les données et informations personnelles.
Les exigences en matière de conformité des données varient selon la réglementation, mais la plupart d’entre elles définissent généralement (1) la manière de collecter, d’utiliser et de stocker les données, et (2) les processus que les organisations sont censées adopter afin de garantir la protection des données contre la perte, le vol et les abus.
En quoi la conformité des données est-elle nécessaire aux entreprises ?
Entre l’envoi de messages instantanés ou d’e-mails et l’utilisation de traitement de texte, de feuilles de calcul et d’une multitude de types de données numériques, notre façon actuelle de travailler implique la création et l’utilisation constante d’informations numériques. La transition à grande échelle vers le stockage numérique des informations client, des numéros de cartes de crédit et autres renseignements financiers en parallèle de l’essor du e-commerce ont créé ce besoin de mieux surveiller comment les entreprises manipulent et protègent ces données.
En fin de compte, lorsqu’un client renseigne ses informations personnelles identifiables (IPI) dans le cadre d’une transaction, il incombe à l’organisation de protéger ces informations et de s’assurer qu’elles ne tombent pas entre de mauvaises mains, comme celles des cybercriminels. Le respect des exigences en matière de protection des données apporte aux entreprises plusieurs avantages :
Prévention des compromissions de données
La conformité des données garantit la mise en œuvre par les organisations de bonnes pratiques de sécurité pour préserver les données de l’entreprise et les protéger des compromissions. Il s’agit d’une pratique essentielle qui démontre la gestion saine d’une entreprise par son comportement responsable dans le cadre du traitement des données client et confidentielles.
Amélioration et rationalisation de la gestion des données
Le processus de gestion des données consiste à absorber, stocker, organiser et conserver les données créées et collectées par une organisation. Une gestion efficace des données est une composante cruciale du respect des exigences réglementaires liées aux données. Cela participe non seulement à l’effort de conformité, mais améliore également les processus de traitement des données de l’entreprise tout au long de leur cycle de vie, de la création à la destruction.
Fidélisation à une marque
Les organisations d’aujourd’hui opèrent sur des marchés ultra-concurrentiels, ce qui donne aux consommateurs un large choix de marques. Lorsque les organisations justifient de bonnes pratiques vis-à-vis des exigences de conformité des données auprès des clients, elles augmentent la confiance envers leur marque et bénéficient ainsi de meilleurs taux de fidélisation.
Capacité à attirer pour des employés qualifiés
Les attestations et certificats de conformité d’une entreprise témoignent du fait que cette organisation prend au sérieux la conformité des données. Ils indiquent également que l’entreprise met en œuvre des pratiques réfléchies pour sa gestion des données et pour ses autres opérations. Ces éléments peuvent devenir des facteurs décisifs pour attirer et garder des candidats performants au sein de l’entreprise.
Étude de cas : TUI Group
TUI Groupe possède une flotte de 16 navires de croisière. Les actifs de l’entreprise comprennent 400 hôtels et resorts, des voyagistes avec plus de 1 000 agences de voyage et cinq compagnies aériennes dotées de 100 avions. Chaque année, environ 21 millions de clients choisissent un séjour TUI.
Découvrez comment CrowdStrike a collaboré avec TUI Group dans le but de protéger des cyberattaques le plus grand navire de sa flotte, le Marella Explorer.
Réglementations et normes de conformité des données
Nous vivons dans une économie des données, il est donc plus important que jamais pour les entreprises de maîtriser parfaitement leur paradigme de données et de respecter les exigences de conformité de données qui s’appliquent à leur activité. Voici quelques exemples notables de lois et réglementations mises en place pour protéger des données :
Cadre de cybersécurité du NIST
Le cadre de cybersécurité du NIST est un ensemble de directives et de bonnes pratiques qui aident les organisations à établir et améliorer leur posture de cybersécurité afin de préserver leurs données et de prévenir une compromission de données. Publié par le National Institute of Standards and Technology (NIST), ce cadre fait l’unanimité en tant que référence de conception d’un programme de cybersécurité, qu’une organisation en soit à ses débuts ou plus avancée dans sa maturité dans le domaine de la sécurité. Le cadre NIST classe toutes les capacités de cybersécurité selon les cinq fonctions principales suivantes :
- Identification : détermine les processus et les actifs qui nécessitent une protection.
- Protection : mise en place des mesures de protection appropriées pour protéger les actifs de l’organisation.
- Détection : mise en place des mécanismes appropriés pour identifier un cyberincident.
- Réponse : adoption de techniques destinées à contenir l’impact d’un événement de cybersécurité.
- Récupération : mise en œuvre des activités appropriées pour exécuter les plans de résilience et restaurer toutes les capacités ou tous les services perturbés en raison d’un incident de cybersécurité.
ISO/IEC 27001
Publiée pour la première fois en 2005, ISO/IEC 27001 est une norme internationale qui fournit aux entreprises des directives d’établissement, de mise en œuvre et d’amélioration constante de gestion de la sécurité des systèmes d’information. La conformité avec ISO/IEC 27001 signifie qu’une organisation a mis en place un système de gestion des risques liés à la sécurité des données détenues ou traitées par l’entreprise, et que ce système applique l’ensemble des bonnes pratiques et principes cités dans la norme internationale.
PCI DSS
La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité constitué en 2004 pour mieux contrôler les données des titulaires de cartes et réduire la fraude à la carte de crédit. Toute entreprise qui traite, accepte, transmet ou stocke des informations de carte de paiement doit respecter les exigences PCI DSS.
RGPD
Initialement publié en 2016 et promulgué en 2018, le règlement général sur la protection des données (RGPD) vise à protéger tous les citoyens de l’Union européenne (UE) contre les fuites de données privées en harmonisant les lois sur la confidentialité des données dans tous les États-membres de l’UE. Si une entreprise (où qu’elle soit située dans le monde) traite les données personnelles de résidents de l’UE, elle est tenue de se conformer aux exigences du RGPD.
CCPA
La loi californienne sur la protection de la vie privée des consommateurs (CCPA, California Consumer Privacy Act) a été introduite en 2018. Elle permet à tout consommateur californien d’exiger de consulter toutes les informations qu’une entreprise a enregistrées à son sujet, ainsi que la liste complète des tierces parties avec lesquelles ces données sont partagées. Toute entreprise au chiffre d’affaires annuel minimum de 25 millions de dollars en relation avec des résidents californiens doit se conformer à la CCPA. En outre, les entreprises doivent avoir conscience que la CCPA autorise les consommateurs à les poursuivre en cas de violation des directives de vie privée, même en l’absence de toute compromission.
FedRAMP
Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est un programme du gouvernement fédéral des États-Unis. Il fournit aux agences une approche standardisée en matière d’évaluation de la sécurité, d’autorisation et de surveillance continue pour les produits et service cloud. Il aide le gouvernement à s’adapter rapidement afin de passer d’une ancienne infrastructure informatique non sécurisée à des solutions basées sur le cloud compatibles avec ses missions, sécurisées et faciles à déployer.
En savoir plus
Lisez notre article pour en savoir plus sur la conformité des données et les frameworks standards qui aident votre entreprise à conserver les données sensibles à l’abri des cyber adversaires. Lire l’article : Sécurité, conformité et frameworks
Assurer la conformité des données pour votre organisation
Afin de garantir la conformité des données, les organisations doivent tout d’abord comprendre quelles réglementations s’appliquent à leur activité afin de respecter celles qui les concernent. Après avoir compris quelles exigences réglementaires s’appliquent, les organisations doivent ensuite établir les mesures, politiques, protocoles et processus de protection des données pour répondre aux normes. Il s’agit d’un projet d’envergure, il est donc indispensable pour cette approche de s’assurer du soutien du département des finances et de la haute direction dans le cadre des activités de conformité des données.
Étant donné que la conformité des données constitue un effort au cœur des opérations quotidiennes de l’entreprise, il convient de nommer une personne dédiée à la gestion des différents paramètres qui rentrent en compte. Un des éléments essentiels de ce rôle consiste à établir des activités continues de conformité des données, planifier des tests, examens réguliers de la documentation et audits des opérations, ainsi qu’à tenir régulièrement à jour la haute direction des diverses initiatives de conformité.
Les réglementations en matière de conformité impliquent communément des audits périodiques au cours desquels les organisations doivent prouver qu’elles respectent les exigences les plus récentes. Un auditeur tiers indépendant met généralement en œuvre ce processus avec l’organisation pour valider la conformité des données. Pour mieux s’y retrouver dans ces audits, il est essentiel de répertorier toutes les mesures de protection des données mises en place par l’organisation. Ceci fournit à l’auditeur des preuves des efforts accomplis de bonne foi pour se conformer à chaque ensemble de réglementations.
En savoir plus
Lisez notre article pour découvrir ce qu’est la nomenclature logicielle (SBOM, software bill of materials) et pour quelles raisons le gouvernement des États-Unis exige de tous les fournisseurs qu’ils en fournissent une afin de s’assurer que les organisations se conforment aux exigences juridiques et réglementaires. Exigences de la nomenclature logicielle (SBOM)
Indicateurs de réussite de la conformité des données
La réussite d’un audit de conformité est assurément une preuve du bon fonctionnement du programme de conformité d’une entreprise. Toutefois, en dehors des cycles d’audit, comment les organisations peuvent-elles savoir si leur programme de conformité des données est efficace ? Voici quelques facteurs que vous retrouverez dans un programme réussi :
Gestion et ressources attribuées
Un programme de conformité des données aura de bien meilleures chances de succès si l’organisation a clairement désigné un responsable, établi les rôles et défini les responsabilités de toutes les personnes impliquées. La responsabilité du traitement des données doit revenir à des postes précis dans l’organisation. Il est donc souvent opportun de désigner des « détenteurs de données » (généralement issus des groupes commerciaux plutôt que des équipes techniques) dont le rôle est de contribuer à s’assurer qu’ils atteignent les exigences en termes de conformité.
Documentation tenue à jour
Les entreprises doivent tenir à jour la documentation de leur programme de conformité des données. Celle-ci couvre chaque étape des opérations de gestion des données, et par ailleurs les documents doivent être accessibles et leurs accès vérifiables à l’aide de rapports rigoureux. Puisque les entreprises et les réglementations évoluent sans cesse, le programme de conformité des données d’une entreprise doivent régulièrement faire l’objet d’évaluations afin d’apporter la moindre modification nécessaire dans les plus brefs délais.
Bonne gestion du cycle de vie des données
Des politiques saines de gestion du cycle de vie des données assurent qu’une entreprise sera en mesure de répondre favorablement à des questions importantes sur la réussite de leur programme de conformité des données. En voici quelques exemples :
- À partir de quand des données deviennent-elles inutiles ?
- À quel moment le coût de stockage des données dépasse-t-il les avantages qu’il procure ?
- À partir de quel seuil collectons-nous plus de données que nécessaire pour les exploiter ?
- Quels sont les facteurs qui déterminent la fin de vie des données et la pertinence de leur destruction ?
Des indicateurs de réussite éprouvés
Le fait qu’une organisation dispose d’indicateurs clé de performance (KPI) pour son programme de conformité est une boussole utile pour le suivi de la réussite de ce programme. Les indicateurs clé de performance aident également l’organisation en question à identifier les points forts et les points faibles de ce programme. Les KPI les plus importants sont ceux qui se rapportent directement aux objectifs du programme de l’organisation. Cela signifie en outre que les entreprises doivent tout d’abord définir des objectifs de base afin de mesurer l’efficacité de la conformité.
Principaux défis de la conformité des données
Cet environnement réglementaire en constante évolution a généré un dédale de conformité de plus en plus difficile à appréhender pour les organisations. Néanmoins, la non-conformité expose à des amendes exorbitantes et peut mener à des processus métiers inaptes à protéger les données ou à faire preuve d’agilité en cas d’incident.
En sus de ces multiples défis, les efforts de conformité des organisations doivent s’adapter à la nouvelle norme des environnements de travail hybride, à la croissance exponentielle des volumes de données, aux piles technologiques en expansion, aux limitations des ressources et aux contraintes budgétaires. Tout cela surcharge les équipes de gestion du risque et de conformité, souvent en sous-effectifs.
Pénurie de compétences et de ressources
Aujourd’hui encore, disposer de personnel compétent doté d’une expertise en sécurité et conformité des données présente de nombreux défis. La pénurie de ressources et de compétences complique la préparation à la conformité lorsque les organisations doivent s’y retrouver parmi les complexités opérationnelles induites par le besoin d’attirer des candidats pour occuper les postes vacants.
Croissance exponentielle des volumes de données
L’essor des activités numériques génère toujours plus de données à prendre en compte dans les efforts de conformité des données des organisations. Selon Statistica, le volume de données des entreprises est passé d’environ un pétaoctet (PB) à 2,02 pétaoctets entre 2020 et 2022. À ce rythme, le défi d’adaptation pourrait devenir insurmontable pour les équipes chargées de la conformité des données.
Travail hybride et expansion de la surface d’attaque
Alors que les organisations font face à l’expansion de la surface d’attaque en raison de l’adoption du cloud et de modèles de travail à distance, il devient toujours plus difficile de répertorier la nature et l’emplacement de toutes les données de l’organisation afin de les faire entrer dans le giron de la conformité.
Avancées technologiques
Les avancées des technologies destinées à booster la productivité ont créé un environnement numérique en constante évolution que les équipes chargées de la sécurité et de la conformité doivent gérer et protéger. Les entreprises ont adopté des plateformes de collaboration par visioconférence, rejoint la révolution des réseaux sociaux, accepté que tout se transforme en service et doté leur personnel de smartphones ; et ce n’est là qu’une partie des innombrables innovations que les organisations doivent intégrer à leur programme de conformité des données.
