Le RGPD s’applique-t-il aux sociétés américaines ?

Le RGPD s’applique-t-il aux sociétés américaines ?

Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi sur la confidentialité et la sécurité des données en Europe. Elle entrera en vigueur l’année prochaine. Mais le RGPD s’applique-t-il aux entreprises américaines ?

Comme de nombreuses entreprises américaines l’ont récemment découvert, non seulement le RGPD s’applique aux entreprises américaines, mais si celles-ci font des affaires dans l’Union européenne (UE), cela pourrait leur coûter cher au cas où elles ne s’y conformeraient pas.

Toute organisation (ou personne) qui fait des affaires dans l’un des 28 États membres de l’UE (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Suède et République Tchèque) doit respecter cette règlementation, sous peine de sanctions sévères.

La pénalité pour non-conformité au RGPD pour les entreprises est de 20 000 000 euros (23 138 200 dollars) ou 4 % du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent (le plus élevé des deux montants étant retenu). S’il est avéré qu’une entreprise ne s’est pas conformée au RGPD, elle sera également soumise à des vérifications régulières et périodiques de la protection des données pour s’assurer que ses politiques et procédures sont mises à jour et que l’entreprise continue à se conformer au RGPD.

Alors, en quoi consiste cette réglementation et comment s’applique-t-elle pour les entreprises américaines ? Que doivent-elles faire pour s’y conformer ?

Comment le RGPD s’applique-t-il aux sociétés américaines ?

L’objectif principal du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur la manière avec laquelle leurs données personnelles sont collectées, protégées et utilisées. Si la législation s’applique aux entreprises de l’UE, elle s’applique également à toute entreprise qui choisit de faire des affaires dans le territoire européen. Cela inclut toute entreprise en ligne qui possède un site web accessible aux citoyens de l’UE, au cas où ce site collecterait des données sur les utilisateurs.

Comme la définition des renseignements personnels comprend les identificateurs en ligne comme les cookies, le RGPD a donc des répercussions sur un grand nombre d’entreprises américaines.

Ce texte s’applique à toutes les entreprises qui font des affaires avec des personnes basées dans les États membres de l’UE, à l’exception des forces de l’ordre, ou lorsque des données sont collectées pour des activités de sécurité nationale.

Pour continuer à exercer des activités commerciales dans l’UE, la plupart des entreprises devront mettre en œuvre des mesures supplémentaires de protection de la vie privée et adopter des stratégies de protection des données de bout en bout.

L’UE définit les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable ». Celles-ci comprennent un large éventail d’informations allant des noms, adresses, numéros de téléphone et adresses électroniques aux informations bancaires ; aux détails de carte de crédit, aux photos, aux messages sur les sites de médias sociaux, aux informations médicales, voire aux adresses IP individuelles.

Même si des contrôles ont été mis en place pour assurer la sécurité des données, il peut s’avérer nécessaire de réviser les systèmes afin de s’assurer que des protections suffisantes sont en place. Les entreprises doivent savoir où les données sont stockées et les employés doivent être formés pour s’assurer qu’ils sont conscients de leurs responsabilités quant à l’utilisation de ces données.

Les organisations devront fournir aux clients ainsi qu’aux visiteurs de site Web des renseignements détaillés sur la façon de collecter et d’utiliser les données. Le consentement doit être obtenu de l’utilisateur (ou bien du parent ou du gardien d’un mineur) avant la collecte des données.

Les entreprises doivent avoir une raison légitime et légale et se limiter au minimum d’informations nécessaires lorsqu’elles recueillent les données. Celles-ci doivent également être effacées lorsque l’objectif a été atteint.

Si leurs activités principales sont la collecte, le stockage ou le traitement des données, les organisations doivent nommer un délégué à la protection des données qui connaît bien le RGPD et qui en surveillera la conformité. Cette personne doit également avoir une connaissance approfondie de l’infrastructure organisationnelle et technique de l’entreprise.

Par ailleurs, les organisations doivent mettre en œuvre des politiques, procédures et technologies appropriées pour garantir que les données des citoyens de l’UE puissent être effacées définitivement. Le droit à l’oubli (appelé « droit à l’effacement ») fait partie du droit à la liberté d’expression.

La législation que le RGPD a remplacée n’exigeait pas l’effacement des données que lorsqu’elles causaient des dommages importants. Toutefois, à partir de l’année prochaine, un citoyen de l’UE peut demander que toutes les données collectées à son sujet soient effacées définitivement si les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement collectées. Les données doivent également être effacées si le consentement concernant leur utilisation est retiré, ou encore si le traitement des données est considéré comme illicite et contreviennent au RGPD.

De nombreuses entreprises américaines ont déjà mis en place des technologies qui respecteront les exigences du RGPD, mais l’exigence relative au droit d’effacement pourrait poser problème.

Symantec a récemment mené une enquête qui a révélé que 9 entreprises sur 10 craignaient de ne pas être en mesure de se conformer à l’exigence du droit à effacement comme stipulé par le RGPD. Seulement 4 entreprises sur 10 disposent d’un système en place qui pourrait permettre de supprimer toutes les données collectées.

Conformité avec le RGPD aux États-Unis

Une récente enquête menée par PricewaterhouseCoopers auprès de grandes multinationales américaines a montré que des efforts sont déjà en cours pour assurer le respect de cette réglementation européenne. Plus de la moitié des entreprises interrogées ont déclaré que la protection des données est désormais leur principale priorité, et 92 % d’entre elles ont déclaré que le respect de cette obligation est une priorité absolue cette année.

Le coût de la conformité est toutefois considérable. 77 % des entreprises sondées ont indiqué qu’elles prévoyaient dépenser plus d’un million de dollars pour se conformer à cette réglementation. L’un de leurs principaux postes de dépenses étant l’amélioration de leurs mesures de sécurité de l’information.

De nombreuses entreprises commencent à se demander comment le RGPD pourrait s’appliquer aux entreprises américaines. Une étude menée par NTT Security a révélé que trois quarts des entreprises américaines ignorent cette règlementation, car elles ne croient pas être concernées. L’ignorance pourrait s’avérer toutefois très coûteuse et, de surcroît, le temps presse.

Le RGPD pourrait entraîner une augmentation des cyberattaques

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis un mois maintenant et de nombreuses entreprises s’efforcent de se conformer à cette nouvelle réglementation, même si elles disposent encore de cinq ans pour se préparer et s’y conformer.

Les nouveaux règlements législatifs entraînent toujours des coûts supplémentaires et beaucoup d’initiatives de gestion. Cependant, ils offrent également de nouvelles opportunités pour les professionnels avertis, les entrepreneurs et les pirates informatiques.

Au fur et à mesure que les gestionnaires de dossiers de Niveau C discutent de l’impact du RGPD sur leur organisation, tandis que d’autres personnes évaluent les moyens d’en tirer des avantages financiers.

Le Délégué à la Protection des Données (DPD)

Si vous allez sur Indeed.co.uk et cherchez « Data Protection Officer », vous trouverez plus de 3 000 offres d’emploi, rien qu’en Angleterre.

En effet, les offres d’emploi de DPD sur le site de recherche d’emploi Indeed ont augmenté de plus de 700 % au cours des 18 derniers mois. Si vous avez la base de connaissances requise et les compétences décrites pour ce poste, alors le moment est propice pour vous y lancer.

L’article 37 du RGPD exige que les entreprises qui collectent ou traitent les données des citoyens de l’UE disposent d’un DPD. Selon l’Association internationale des professionnels de la protection de la vie (IAPP), plus de 28 000 DPD seront nécessaires en Europe et aux États-Unis et jusqu’à 75 000 dans le monde. La demande est particulièrement forte dans certains secteurs comme le marketing numérique, la finance, les soins de santé et la vente au détail.

De grandes sociétés technologiques comme Microsoft, Twitter, Facebook et Airbnb recrutent des DPD. Selon ITJobsWatch, le salaire moyen des professionnels intervenant dans le domaine du RGPD, y compris les DPD, s’élève à 71 584 euros par an. Le poste de DPD bénéficie d’un salaire médian de 106 500$. Aux États-Unis, un DPD peut toucher des salaires allant jusqu’à 150 000$.

L’article 37 du RGPD précise les pouvoirs exacts qu’un Délégué à la Protection des Données à caractère personnel doit détenir. Parmi tant d’autres, le niveau d’expertise du DPD « doit être déterminé notamment en fonction des traitements de données effectués et de la protection requise pour les données à caractère personnel traitées par le responsable ou le sous-traitant ». Cet article donne également un aperçu de certaines des responsabilités du DPD, à savoir :

  • Sensibiliser le responsable du traitement ou le sous-traitant et ses employés aux obligations qui leur incombent en matière de respect des règles du RGPD
  • Former le personnel chargé du traitement des données à une bonne hygiène en matière de cybersécurité
  • Surveiller la conformité au RGPD
  • Effectuer des vérifications et régler les problèmes éventuels de façon proactive
  • Servir de point de contact entre l’organisation et l’autorité de contrôle du RGPD
  • Servir de point de contact pour les demandes de renseignements des personnes concernant leurs données à caractère personnel et la manière dont elles sont utilisées, les pratiques en matière de protection des données et leurs droits personnels.
  • Tenir des registres complets de toutes les activités de traitement de données.

Le RGPD, une opportunité de piratage et d’augmentation des cyberattaques

Il existe un autre aspect du RGPD qui préoccupe les gestionnaires de fichiers de niveau C. Il s’agit de l’imposition éventuelle d’amendes en raison du manque de diligence raisonnable de la part d’une entreprise en matière de prévention ou de réaction contre l’atteinte à la protection des données personnelles d’un tiers.

Dans le cadre du RGPD, les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de leur chiffre d’affaires annuel global pour les infractions les plus graves, le montant le plus élevé étant retenu.

Un palier inférieur impose une amende de 2% pour les infractions moins graves. Cependant, le grand public estime que de telles amendes devraient être substantielles afin de motiver les entreprises à prendre au sérieux leurs obligations en matière de protection des données personnelles. Cependant, l’ampleur colossale de ces amendes constitue une opportunité pour la communauté des pirates informatiques.

Les entreprises seront encouragées à effectuer régulièrement des tests d’intrusion par des pirates expérimentés, ou pirates white hat, qui peuvent fournir des informations sur la manière dont une personne malveillante pourrait violer leur infrastructure de stockage de données. À l’autre bout du spectre, les pirates informatiques aux intentions malveillantes reconnaîtront l’opportunité de cibler les entreprises conformes au RGPD.

Les pirates pourraient attaquer les entreprises dans le but de confisquer des données et imposer à la direction des frais d’extorsion afin de dissimuler l’infraction plutôt que de se voir infliger des amendes punitives qui pourraient se chiffrer en dizaines de millions de dollars. Comme avec les ransomwares, les cybercriminels essayeront de trouver l’endroit idéal où les entreprises seraient les plus susceptibles de payer volontiers la rançon pour éviter les amendes.

Les amendes potentielles liées aux infractions dont nous avons été témoins ces dernières années concernaient Equifax et Yahoo. Nous avons également vu des entreprises comme Uber travailler en coopération avec des pirates informatiques pour dissimuler les failles et les faire disparaître.

Le piratage d’Uber est l’exemple parfait de la façon dont les pirates pourraient tirer profit du RGPD. Suite au vol de données de plus de 57 millions de clients, les pirates ont fait chanter Uber, lequel a choisi de payer 750 000£ pour garder l’infraction secrète. Au regard du RGPD, Uber aurait enfreint la réglementation.

Une grande partie de l’attention médiatique autour du RGPD s’est concentrée sur les amendes potentielles, à savoir de 2 jusqu’à 4% du chiffre d’affaires global, mais moins sur les exigences de déclaration strictes définies par l’Organisation internationale du commerce ou (OIC). Les pirates pourront profiter de cette opportunité potentielle pour réaliser des gains rapides et substantiels.

La sécurité multicouche est la réponse

Aucune entreprise ne peut protéger ses données contre toutes les attaques possibles et garantir la sécurité des données qu’elle héberge. Ce que vous pouvez faire, c’est faire preuve de diligence raisonnable pour mettre en œuvre un plan de sécurité à plusieurs niveaux — y compris la couche vitale de protection DNS — pour combattre les attaques probables.

Deux des outils les plus efficaces dans l’arsenal de sécurité d’une entreprise sont les solutions de filtrage du courrier électronique et du contenu web. L’email continue d’être la principale méthode utilisée par les pirates informatiques pour lancer leurs sinistres attaques contre l’entreprise ciblée.

Le web occupe la deuxième place, derrière les pirates informatiques qui hébergent leurs propres sites de déploiement de malwares ou endommagent des sites légitimes avec des codes malveillants. Un pare-feu entreprise robuste est essentiel, ainsi que des pare-feu locaux activés sur tous vos périphériques, lesquels sont protégés avec une solution sécurité des nœuds d’extrémité.

Les opportunités se présentent sous de nombreuses formes. Non seulement les professionnels de la cybersécurité, mais aussi les pirates informatiques trouveront donc des récompenses potentielles avec le RGPD.

Sécurité des emails et conformité HIPAA

Les organisations de soins de santé sont la cible de hackers et des escrocs, et l’email est le vecteur d’attaque n° 1. 91% de toutes les cyberattaques commencent par un email de phishing.

Les chiffres du groupe de travail antiphishing indiquent que les utilisateurs finaux ouvrent 30% des emails de phishing qui arrivent dans leurs boîtes de réception.

Il est donc essentiel d’empêcher ces emails d’atteindre les boîtes de réception, tout comme il est essentiel de former les employés du secteur de la santé pour qu’ils soient davantage sensibilisés à la sécurité informatique.

Étant donné qu’un grand nombre d’atteintes à la protection des données dans les organismes de soins et de santé sont attribuables aux emails de phishing, ces établissements doivent donc mettre en place des moyens de défense robustes pour prévenir les attaques.

De plus, la sécurité des emails est un élément important de la conformité à la loi HIPAA. Le non-respect des règles de l’HIPAA sur la sécurité des emails est passible d’une sanction pécuniaire en cas d’atteinte à la protection des données.

La sécurité des emails est un élément important de la conformité à la HIPAA

Les règles de la HIPAA exigent que les organismes de soins et de santé mettent en œuvre des mesures de protection pour sécuriser les renseignements médicaux électroniques protégés afin d’assurer leur confidentialité, leur intégrité et leur disponibilité.

La sécurité des emails est un élément important de la conformité à l’HIPAA. Avec autant d’attaques sur les réseaux, à commencer par les emails de phishing, il est essentiel pour les organismes de soins et de santé de mettre en œuvre des mesures de protection contre l’hameçonnage afin de protéger leurs réseaux.

Le Bureau des droits civils du ministère de la Santé et des Services sociaux a déjà imposé des amendes aux organismes de soins de santé qui ont été victimes d’atteintes à la protection des données lorsque des employés ont été victimes d’emails de phishing. UW medicine a par exemple versé 750 000$ à l’Office for Civil Rights (OCR) à la suite d’une attaque liée à un malware lorsqu’un employé a répondu à un email de phishing. Le Metro Community Provider Network a également réglé une affaire de phishing pour 400 000$.

L’évaluation des risques est l’un des aspects de la conformité à la HIPAA en ce qui concerne la messagerie électronique. Elle devrait couvrir tous les systèmes, y compris les emails. Les risques doivent être évalués, puis gérés et réduits à un niveau approprié et acceptable.

Pour assurer la gestion du risque de phishing, il faut faire appel à la technologie et à la formation. Tous les emails devraient être acheminés par une passerelle email sécurisée, et il est essentiel que les employés reçoivent une formation pour les sensibiliser au risque de phishing et quant aux mesures à prendre au cas où ils recevraient un email suspect.

Comment sécuriser les emails, prévenir et identifier les attaques de phishing ?

De nos jours, les emails de phishing sont sophistiqués, bien écrits et très convaincants. Il est souvent difficile de les distinguer d’une communication légitime.

Cependant, il existe des mesures simples que tous les organismes de soins et de santé peuvent prendre pour améliorer la sécurité des emails.

Le simple fait d’adopter les mesures ci-dessous peut réduire considérablement le risque de phishing et la probabilité de subir une atteinte par courriel.

Bien que la désinstallation de tous les services de messagerie soit le seul moyen le plus sûr de prévenir les attaques de phishing, c’est loin d’être une solution pratique. La messagerie électronique est essentielle pour communiquer avec les membres du personnel, les intervenants, les associés d’affaires et même les patients.

Étant donné que les emails sont incontournables, les organismes de soin et de santé devraient prendre deux mesures pour mieux les sécuriser :

Implémentez une solution antispam tierce dans votre infrastructure de messagerie électronique

Sécuriser votre passerelle email est la mesure la plus importante à prendre pour prévenir les attaques de phishing qui ciblent votre entreprise. De nombreuses organisations de soins et de santé ont déjà ajouté une solution antispam pour empêcher les courriels non sollicités d’être livrés dans les boîtes de réception des utilisateurs finaux. Mais qu’en est-il des services de messagerie dans le cloud ?

Avez-vous déjà sécurisé votre passerelle de messagerie électronique Office 365 avec une solution tierce ? Vous devriez donc être protégé par le filtre antispam de Microsoft. Mais pour qu’un email malveillant n’atteigne pas les boîtes de réception des utilisateurs finaux, vous avez besoin de défenses plus solides.

SpamTitan s’intègre parfaitement à Office 365 et offre une couche de sécurité supplémentaire qui bloque les malwares connus et plus de 99,9% des spams.

Formez continuellement vos employés et ils deviendront des actifs de sécurité

Les utilisateurs finaux — la cause d’innombrables violations de données — représentent une épine dans le pied pour le personnel de sécurité informatique.

Ils sont un maillon faible et peuvent facilement défaire les meilleures défenses de sécurité. Toutefois, ils peuvent être transformés en actifs de sécurité et en une impressionnante dernière ligne de défense. C’est possible, mais il faut les former, et une seule séance de formation par an ne suffit pas.

La formation de l’utilisateur final est un élément important de la conformité HIPAA. Bien que ce texte ne précise pas sa fréquence, la formation devrait être un processus continu.

Le Bureau des droits civils du ministère de la Santé et des Services sociaux a récemment mis l’accent sur certaines pratiques exemplaires en matière de formation à la sécurité des emails dans son bulletin de juillet sur la cybersécurité. Il suggère que « le programme de formation d’une organisation devrait être un processus continu, évolutif et suffisamment souple pour informer les membres du personnel des nouvelles menaces à la cybersécurité et des mesures à prendre pour y faire face ».

La fréquence de la formation devrait être dictée par le niveau de risque auquel fait face une organisation. De nombreuses entités ont opté pour des sessions de formation semestrielles pour leur personnel, avec des bulletins d’information mensuels. Des mises à jour de sécurité ont également été envoyées par email, incluant des informations sur les dernières menaces telles que les nouvelles escroqueries par phishing et les techniques d’ingénierie sociale.

Par ailleurs, l’OCR a rappelé aux entités visées par la HIPAA qu’il n’y a aucune méthode de formation qui correspond à tous les employés.

Il est préférable de mélanger les méthodes et d’utiliser une variété d’outils de formation, comme la formation sur la TCC, les séances en classe, les bulletins d’information, les affiches, les alertes par courriel, les discussions d’équipe et les exercices de simulation d’attaques par emails de phishing.

Étapes simples pour vérifier les emails et identifier les escroqueries de phishing

Les employés du secteur de la santé peuvent réduire considérablement le risque de tomber dans une escroquerie par phishing en effectuant quelques vérifications. Avec la pratique, ces vérifications deviennent une seconde nature.

  • Passez la souris sur l’hyperlien dans l’email pour faire afficher et vérifier le vrai nom de domaine. Tout texte d’ancre, c’est-à-dire un texte pointant vers un autre URL que l’URL réel, doit être traité comme suspect jusqu’à ce que le nom de domaine réel soit identifié. Vérifiez également que l’URL de destination commence par HTTPS.
  • Ne répondez jamais directement à un email — cliquez toujours sur transférer. C’est un peu plus lent, mais vous verrez l’adresse email complète de la personne qui a envoyé le message. Vous pouvez ensuite comparer ce nom de domaine à celui utilisé par l’entreprise.
  • Portez une attention particulière à la signature de l’email — tout email légitime doit contenir des informations de contact. Cela peut être falsifié, ou de vraies informations de contact peuvent être utilisées dans un email spam, mais les cybercriminels font souvent des erreurs dans les signatures qui sont faciles à identifier.
  • N’ouvrez jamais une pièce jointe d’un expéditeur inconnu — Si vous avez besoin d’ouvrir la pièce jointe, ne cliquez jamais sur un lien dans le document ou sur un objet intégré, ou cliquez pour activer le contenu ou exécuter des macros. Si vous n’êtes pas sûr de vous, envoyez l’email à votre service informatique et demandez une vérification.
  • N’effectuez jamais un virement bancaire demandé par email sans vérifier la légitimité de la demande.
  • Les organisations légitimes ne demanderont pas d’informations d’identification par email.

Si on vous demande de prendre des mesures urgentes pour sécuriser votre compte, n’utilisez aucun des liens contenus dans cet email. Visitez plutôt le site officiel en tapant directement l’URL dans votre navigateur. Si vous n’êtes pas 100% de l’URL, vérifiez sur Google.

Comment protéger les renseignements personnels identifiables dans le cadre du RGPD ?

À partir du 25 mai 2018, toutes les entreprises faisant affaire avec des résidents de l’Union européenne (UE) doivent se conformer au Règlement Général sur la Protection des Données (RGPD).

Comment les entreprises peuvent-elles protéger les renseignements personnels identifiables en vertu du RGPD et éviter une pénalité en cas de non-respect ?

Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)

Le RGPD est un nouveau règlement de l’UE qui obligera les entreprises à mettre en œuvre des politiques, procédures et technologies visant à améliorer la protection de la vie privée des consommateurs. Cette loi donne également aux citoyens de l’UE davantage de droits sur les données enregistrées et stockées par les entreprises.

Le RGPD s’applique à toutes les entreprises qui font des affaires avec des citoyens de l’UE, qu’elles soient basées ou non dans l’UE. Cela signifie qu’une entreprise disposant d’un site web accessible aux résidents de l’UE serait tenue de s’y conformer.

Les renseignements personnels identifiables comprennent un large éventail d’éléments d’information concernant les consommateurs. En plus des noms, adresses, numéros de téléphone, informations financières et médicales, ces renseignements incluent les adresses IP, les identifiants de connexion, les vidéos, les photos, les messages sur les médias sociaux et les données de localisation, notamment les informations permettant d’identifier une personne spécifique.

Des politiques doivent être élaborées concernant les personnes dont les données sont collectées, les responsables du traitement (organisations qui collectent les données) et les sous-traitants (entreprises qui traitent les données). Des registres doivent être tenus sur la façon dont les données sont recueillies, stockées, utilisées et supprimées lorsqu’elles ne sont plus nécessaires.

Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPD) dont le rôle est de veiller au respect du RGPD. Cette personne doit avoir une compréhension approfondie concernant le RGPD et une connaissance technique des processus, des procédures et de la structure de l’organisation.

D’une part, les entreprises doivent s’assurer que les données sont stockées en toute sécurité et que les consommateurs ont le droit de voir leurs données stockées effacées. D’autre part, le RGPD les oblige à divulguer rapidement les atteintes à la protection des données, à savoir dans les 72 heures suivant leur découverte.

Le non-respect du RGPD pourrait entraîner de lourdes amendes, allant jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée, le montant le plus élevé étant retenu.

Beaucoup d’entreprises ne sont pas encore préparées au RGPD ou pensent que ce règlement ne les concerne pas. D’autres se sont rendu compte de l’ampleur du travail à accomplir et se sont efforcés de mettre leur entreprise en conformité avant l’échéance. Pour de nombreuses entreprises, le coût de la conformité a été considérable.

Comment puis-je protéger les renseignements personnels identifiables dans le cadre du RGPD ?

Le RGPD impose un certain nombre de restrictions sur ce que les entreprises peuvent et ne peuvent pas faire avec les données et la manière dont celles-ci doivent être protégées, bien qu’aucun contrôle spécifique ne leur soit exigé pour protéger les renseignements personnels identifiables en vertu de la réglementation. Quant à la technologie utilisée pour protéger les données, elle est laissée à la discrétion de chaque entreprise. En réalité, il n’existe pas de modèle normalisé pour protéger les renseignements personnels identifiables dans le cadre du RGPD.

Un bon point de départ consiste à examiner les processus et les systèmes qui recueillent et stockent les données. Elles doivent être localisées avant de pouvoir être protégées. Les systèmes et processus doivent également être identifiés pour assurer l’application de contrôles appropriés.

Le RGPD est rattaché au droit à l’oubli (ou droit à l’effacement), de sorte que toutes les données relatives à une personne doivent être effacées lorsqu’une personne le demande. Il est donc essentiel qu’une entreprise sache où se trouvent toutes les données relatives aux personnes pour lesquelles les données ont été collectées. Par ailleurs, des contrôles doivent être mis en place pour restreindre l’accès des personnes ayant accès aux données des consommateurs et une formation doit être dispensée pour que tous les employés connaissent le RGPD et la façon dont il s’applique à eux.

Les entreprises devraient procéder à une évaluation des risques pour déterminer le niveau pertinence et de gravité des dangers. Cette évaluation peut être utilisée pour déterminer les technologies les plus appropriées à mettre en œuvre.

Des technologies permettant la pseudonymisation et le chiffrement des données devraient être envisagées. Si les données sont stockées sous forme chiffrée, elles ne sont plus considérées comme des données personnelles.

Les entreprises doivent envisager de mettre en œuvre une technologie qui améliore la sécurité des systèmes et des services de traitement des données ; des mécanismes qui permettent de restaurer les données en cas de violation, ainsi que des politiques qui testent régulièrement les contrôles de sécurité.

Pour protéger les renseignements personnels identifiables dans le cadre de RGPD, les organisations doivent sécuriser tous les systèmes et applications utilisés pour stocker ou traiter des données personnelles et mettre en place des contrôles pour protéger leurs infrastructures informatiques. Il faudrait également mettre en place des systèmes permettant aux entreprises de détecter les atteintes à la protection des données en temps réel.

Conformité HIPAA et phishing : les attaques entraînent d’énormes amendes HIPAA

Les organisations de soins de santé traversent une période difficile en matière de cybersécurité.

En effet, le fait de ne pas prévenir les attaques par phishing ne justifie pas nécessairement le paiement d’une amende de conformité HIPAA. Mais le fait de ne pas mettre en œuvre des mesures de protection suffisantes pour prévenir de telles attaques pourrait causer des problèmes aux entités couvertes par cette loi sur l’accès à l’information et la protection de la vie privée.

Les pirates informatiques et les cybercriminels continuent de cibler l’industrie des soins de santé. Selon le rapport « Internet Security Threat Report 2017 » de Symantec sur les menaces de sécurité Internet, le nombre de brèches a augmenté de 22% en 2016. Avec une telle augmentation, l’industrie des soins de santé a donc enregistré le deuxième plus grand nombre d’incidents de sécurité dans le secteur des services l’an dernier.

D’autre part, les organismes de soins de santé doivent se conformer à une longue liste de règlements imposés par la loi HIPAA et faire face aux conséquences des amendes élevées pour non-conformité.

Au cours des trente derniers jours, deux règlements importants concernant les atteintes à la vie privée résultant de « petits » incidents illustrent à quel point les tâches nécessaires pour protéger les cyberenvironnements des organisations de soins de santé sont vastes. Pour ceux qui ont la responsabilité de soutenir les infrastructures informatiques dans le domaine de la santé, tout cela représente une nuit blanche.

2,5 millions de dollars d’amendes en vertu de la LPVPH

Le mois dernier, le Département de la Santé et des Services sociaux des États-Unis et l’« Office for Civil Rights » (OCR) ont annoncé le règlement d’une amende de 2,5 millions de dollars par la société CardioNet, basée en Pennsylvanie, en vertu de la loi HIPAA. La raison est la divulgation non autorisée de renseignements médicaux électroniques protégés et non sécurisés le mois dernier. Cela fait suite à une enquête de cinq ans concernant le vol de l’ordinateur portable d’un employé dans un véhicule contenant 1391 dossiers de patients.

En bref, CardioNet ne disposait pas d’un système d’analyse des risques ni de processus de gestion des risques suffisants au moment du vol. En plus du règlement financier, CardioNet doit également mettre en œuvre un plan de mesures correctives. Il s’agit de la première amende de ce genre et qui implique un fournisseur de services de santé sans fil. À noter que CardioNet est l’un des principaux fournisseurs de services mobiles de télémétrie cardiaque ambulatoire.

Ce cas est un exemple des défis de sécurité auxquels sont confrontées les organisations de soins de santé dans le monde mobile d’aujourd’hui.

Dans un autre règlement annoncé le mois dernier, le Metro Community Provider Network (MCPN) du Colorado est contraint de verser 400 000 dollars et de mettre en œuvre un plan de mesures correctives. L’enquête menée par l’OCR a révélé que le MCPN n’a pas effectué une analyse des risques en temps opportun, ni effectué une évaluation complète des risques et des vulnérabilités de son environnement ePHI (Environmental Public Health Indicators).

Cette affaire concerne également un incident qui remontait à 2012, année à laquelle le MCPN avait déposé un rapport d’atteinte à la sécurité des renseignements personnels. En effet, 3 200 dossiers de RPS (prévention des risques psychosociaux) ont été compromis et volés par un pirate informatique. La brèche a été commise parce que le pirate avait accédé aux comptes de courriel des employés à la suite d’une attaque de phishing.

Pour ce cas précis, un employé avait cliqué sur un lien qui a ensuite impliqué le déploiement de logiciels malwares sur son ordinateur, ce qui a permis au pirate de lancer l’attaque à distance. Ce clic a coûté 400 000 dollars à MCPN.

Le phishing et les keyloggers sont les véhicules de distribution les plus populaires

Aussi élevées qu’elles puissent paraître, ces amendes ne sont pas les plus importantes. Au début de février, Memorial Healthcare System (MHS) a dû débourser 5,5 millions de dollars pour régler des infractions plus importantes, car les dossiers ePHI ont été consultés par quelqu’un qui utilisait les identifiants de connexion d’un ancien employé. Cette action n’a pas été détectée pendant au moins un an.

Malheureusement, l’acquisition et l’utilisation de comptes d’employés dans le secteur de la santé sont maintenant courantes dans l’ensemble de l’industrie, comme l’indiquait récemment un article paru dans HealthcareITNews le 10 mars 2017.

L’article résume les résultats d’une étude récente selon laquelle 68% des organisations de soins de santé avaient des identifiants de courrier électronique compromis. Parmi ces comptes compromis, 76% étaient à vendre sur le dark web, et les deux moyens les plus populaires utilisés pour accéder à ces comptes étaient le phishing et les keyloggers.

Ces trois violations étaient toutes le résultat d’incidents simples et évitables, soit d’un compte de connexion compromis, soit d’un ordinateur portable volé ou encore d’un simple clic sur un e-mail de phishing.

  • Selon un rapport Verizon, 43 % de toutes les atteintes à la protection des données ont eu recours au phishing.
  • Le même rapport a montré que 32% des incidents de sécurité signalés étaient le résultat de vols de biens. Le fait est que la plupart des infractions impliquent les tentatives les plus simples, en particulier le phishing.
  • Cette année, la plus grande brèche s’est produite à l’École de médecine de l’Université de Washington, où plus de 80 000 dossiers de patients ont été compromis, tout cela parce qu’un employé a répondu à un e-mail de phishing, conçu pour ressembler à une demande de traitement légitime.
  • Ce degré de personnalisation fait partie d’une tendance croissante dans les attaques contre les soins de santé, y compris celles de ransomware dans lesquelles les souches de Ransomware as a Service (RaaS), Philadelphia, sont maintenant personnalisées spécifiquement pour l’industrie de la santé.

Tout cela montre clairement que ce n’est pas la pénétration complexe des périmètres de sécurité réseau, par des pirates informatiques insaisissables et très talentueux, qui doit préoccuper les équipes informatiques du secteur de la santé. Il s’agit plutôt se focaliser sur les éléments de base, à savoir s’assurer que tous les comptes de messagerie soient protégés par le dernier filtrage antispam, que des politiques strictes en matière de mots de passe soient appliquées, ou encore que des inventaires de localisation des données soient effectués régulièrement pour s’assurer que tous les silos de données puissent être entièrement protégés.

L’application de ces mesures de sécurité peut non seulement protéger les dossiers des patients, mais aussi permettre à votre entreprise d’économiser des millions de dollars, plutôt que d’être contraint de régler les potentiels dommages en raison d’une faille au niveau de la sécurité informatique.

Vous êtes un professionnel de l’informatique qui travaille dans le secteur de la santé et vous souhaitez assurer la protection de vos données et de vos appareils sensibles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.

La conformité à HIPAA ne suffit pas à empêcher les fuites de données médicales

Le mois dernier, le nombre de fuites de données dans le domaine de la santé a considérablement augmenté, ce qui démontre clairement que les fournisseurs de soins de santé, les mutuelles et les partenaires commerciaux ont du mal à prévenir les fuites de données de santé.

La règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) a été introduite pour s’assurer que les organisations de soins de santé mettent en œuvre une série de mesures de protection pour assurer la confidentialité, l’intégrité et la disponibilité des données sur les soins de santé.

Cela fait maintenant plus de dix ans que la Règle de sécurité a été introduite et les fuites de données continuent de se produire à une fréquence alarmante. En fait, il y a plus d’fuites de données que jamais auparavant.

Les fuites de données données en chiffres

Le rapport du Baromètre des atteintes à la sécurité des données de Protenus pour le mois de septembre, qui fait le suivi de toutes les fuites de données sur les soins de santé signalées, a révélé 46 atteintes à la protection des renseignements médicaux en septembre, ces atteintes ayant entraîné l’exposition de 499 144 informations sensibles de particuliers.

Les incidents de piratage informatique et de piratage informatique ont été cités comme étant la cause de 50% de ces infractions, les initiés ayant causé 32,6% des incidents. La perte et le vol d’appareils sont à l’origine de près de 11% des brèches du mois. Les rapports mensuels précédents en 2017 ont montré que les initiés sont souvent la principale cause des fuites de données dans le domaine de la santé.

La conformité à la HIPAA n’empêchera pas les fuites de données dans le domaine de la santé

La conformité à la HIPAA peut contribuer dans une certaine mesure à rendre les organisations de soins de santé plus résistantes aux cyberattaques, aux logiciels malveillants et aux infections par rançon, mais le simple respect des règles de sécurité de la HIPAA ne signifie pas nécessairement que les organisations seront insensibles aux attaques.

La conformité à la HIPAA vise à relever la barre en matière de cybersécurité et à garantir le maintien d’une norme minimale. Bien que de nombreuses organisations de soins de santé considèrent la conformité à la HIPAA comme un objectif pour obtenir une bonne posture de sécurité, la réalité est que ce n’est qu’une référence.

Pour prévenir les fuites de données, les organismes de soins de santé doivent aller au-delà des exigences de la HIPAA.

Détectez rapidement les fuites internes

La prévention des fuites de données des initiés peut s’avérer difficile pour les organismes de soins de santé. Les employés du secteur de la santé doivent avoir accès aux dossiers des patients afin de fournir des soins médicaux, et il y aura toujours un employé peu consciencieux qui fouine dans les dossiers des patients qu’il ne traitent pas, et des individus qui volent des données pour les vendre à des voleurs d’identité.

La HIPAA exige que les organisations de soins de santé tiennent des registres d’accès et vérifient régulièrement ces registres pour détecter tout signe d’accès non autorisé. Le terme « régulièrement » est sujet à interprétation. Un contrôle tous les six mois ou une fois par an pourrait être considéré comme régulier et conforme à la réglementation HIPAA.

Cependant, au cours de ces 6 ou 12 mois, les dossiers de milliers de patients ont pu être consultés. Les organisations de soins de santé devraient aller au-delà des exigences de la HIPAA et devraient idéalement mettre en œuvre un système qui surveille constamment l’accès non autorisé ou au moins effectuer des examens trimestriels du registre d’accès au minimum. Cela n’empêchera pas les fuites de données relatives aux soins de santé, mais réduira leur gravité.

Fermez la porte aux pirates informatiques

50% des fuites en septembre étaient dues à des actes de piratage et à des incidents informatiques.

Les pirates informatiques sont opportunistes et, bien qu’il y ait des attaques ciblées contre de grandes organisations de soins de santé, la plupart du temps, les pirates informatiques tirent profit de vulnérabilités de longue date qui n’ont pas été traitées. Afin de corriger ces vulnérabilités, elles doivent d’abord être identifiées, d’où la nécessité d’analyses de risque régulières, comme l’exige la règle de sécurité HIPAA. Une analyse des risques à l’échelle de l’organisation devrait avoir lieu au moins une fois par an pour rester conforme à la HIPAA, mais plus fréquemment pour s’assurer que les vulnérabilités ne sont pas apparues.

De plus, une vérification devrait être effectuée au moins une fois par mois pour s’assurer que tous les logiciels sont à jour et que tous les correctifs ont été appliqués. Il y a eu récemment de nombreux exemples d’instances de stockage dans le cloud qui n’ont pas été protégées et étaient accessibles par le public. Il existe des outils gratuits qui peuvent être utilisés pour vérifier, par exemple, la présence de seaux AWS exposés. Des scanners devraient être effectués régulièrement. Les cybercriminels feront de même.

Empêchez les divulgations de renseignements médicaux

L’une des principales causes des divulgations de renseignements médicaux personnels est la perte ou le vol d’ordinateurs portables, de clés USB et d’autres dispositifs mobiles. Bien que les employés puissent être formés pour prendre soin de leurs appareils, les voleurs saisiront toutes les occasions qui se présenteront si les appareils ne sont pas protégés.

La HIPAA n’exige pas l’utilisation du chiffrement, et d’autres mesures peuvent être utilisées pour sécuriser les dispositifs, mais les entités couvertes par la HIPAA et leurs partenaires commerciaux devraient utiliser le chiffrement sur les dispositifs portables pour s’assurer qu’en cas de perte ou de vol, les données ne peuvent être accessibles.

Si un appareil chiffré est volé ou perdu, il ne s’agit pas d’une violation de la HIPAA. L’utilisation du chiffrement sur les appareils mobiles est un bon moyen de prévenir les fuites de données médicales.

Les petits dispositifs de stockage portables tels que les clés USB sont pratiques, mais ils ne devraient jamais être utilisés pour transporter des renseignements médicaux – Ils sont beaucoup trop faciles à perdre ou à égarer. Utilisez des services de stockage en nuage conformes à la norme HIPAA, tels que Dropbox ou Google Drive, car ils sont plus sûrs.

Bloquez les attaques de malwares et de ransomwares

Les attaques de logiciels malveillants et de ransomwares sont des violations à signaler en vertu de la HIPAA et peuvent entraîner des violations majeures des données. Le courrier électronique est le principal vecteur de diffusion des logiciels malveillants ; il est donc essentiel de mettre en œuvre une solution efficace de filtrage des spams.

L’HIPAA exige qu’une formation soit dispensée régulièrement aux employés, mais une séance de formation annuelle ne suffit plus. Des séances de formation devraient avoir lieu au moins tous les six mois, avec des alertes de sécurité régulières sur les dernières menaces de phishing communiquées aux employés, au besoin. Idéalement, la formation devrait être un processus continu, comprenant des exercices de simulation d’hameçonnage.

Les logiciels malveillants et les ransomwares peuvent également être téléchargés lors d’attaques par drive-by lorsque vous naviguez sur Internet. Une solution de filtrage web devrait être utilisée pour empêcher les employés du secteur de la santé de visiter des sites malveillants, pour bloquer les sites web de phishing et pour empêcher le téléchargement de logiciels malveillants par drive-by.

Un filtre web n’est pas une exigence de la HIPAA, mais il s’agit d’une couche de sécurité supplémentaire importante qui peut prévenir les fuites de données médicales.