Conseils pour la prévention des pertes de données (DLP) pour les institutions financières

L’importance et la sensibilité des renseignements que les institutions financières recueillent, qu’il s’agisse de banques, de compagnies d’assurance ou d’organisations qui offrent d’autres services financiers, ont été reconnues avant même l’avènement des documents numériques. L’incitation à la responsabilité et à la transparence a donné naissance à des lois comme la loi Sarbanes-Oxley et la loi Gramm-Leach-Bliley aux États-Unis, qui régissent le stockage et le traitement des informations financières. D’un bout à l’autre de l’Europe, le règlement général de l’UE sur la protection des données a une application étendue qui inclut l’information financière.

En matière de protection des données, le secteur financier est l’un des plus fortement réglementés. Cela est dû non seulement à la quantité de données qu’elle traite ou aux menaces externes, mais aussi à sa prédisposition à des scandales internes comme ceux qui impliquaient des entreprises comme Enron et Worldcom dans les années 2000. Il en résulte un ensemble d’exigences parfois rigides que les entreprises doivent respecter ou risquent d’encourir des sanctions pécuniaires et pénales.

Comment les institutions financières peuvent-elles alors protéger au mieux leurs données ? Ils doivent, bien sûr, respecter la législation locale en matière de protection des données, mais aussi les normes internationales telles que PCI-DSS. Leur réponse est souvent d’adopter des politiques de sécurité strictes en interne, en mettant en place des cadres complexes pour protéger leurs réseaux d’entreprise. Bien qu’il s’agisse de mesures adéquates de protection contre les menaces extérieures, elles négligent souvent un risque beaucoup plus important pour la protection des données: la perte de données qui est souvent due à des acteurs internes plutôt qu’externes.

Lorsque nous imaginons les menaces qui pèsent sur les données, nous sommes tentés de nous souvenir immédiatement des cyberattaques qui ont fait la une des journaux et des personnes malveillantes de l’extérieur, mais la réalité est bien plus banale: en 2018, l’IAPP a révélé que pas moins de 84% de toutes les atteintes aux données étaient non intentionnelles et le résultat du manque de soin des employés. La tristement célèbre atteinte à la protection des données d’Equifax, qui a révélé les dossiers de près de 146 millions d’Américains, serait attribuable au fait que les employés n’ont pas répondu aux avertissements de sécurité.

Que peuvent faire les entreprises pour faire face à cette menace sur les données sensibles et leur conformité aux réglementations de protection des données? Voici quelques conseils!

Former vos employés

Souvent, la négligence des employés est le résultat d’une mauvaise compréhension de l’importance de la protection des données. Les employés favorisent leur propre commodité dans l’exécution des tâches de travail et ignorent les conséquences d’une exposition négligente des données. Les programmes de sensibilisation à la sécurité peuvent les aider à prendre conscience de l’importance de la protection des données en milieu de travail et des conséquences négatives que peut entraîner une mauvaise manipulation des données.

Pour que ce type de formation soit efficace, les programmes doivent être adaptés aux besoins de l’entreprise et au public visé. Il ne suffit pas qu’ils soient informatifs, mais ils doivent également inclure des éléments clés à retenir que les employés peuvent ensuite facilement mettre en pratique.

Outils de prévention des pertes de données

Une autre façon d’éviter les risques de négligence des employés est de mettre en œuvre des solutions de prévention des pertes de données (Data Loss Prevention / DLP) comme Endpoint Protector qui permettent aux administrateurs de définir, surveiller et contrôler les données sensibles. Grâce à un contenu puissant et à des capacités d’analyse contextuelle pour un niveau élevé de précision dans la détection, ils peuvent s’assurer que les données sensibles ne peuvent pas être transférées en dehors du réseau de l’entreprise sur Internet ou sur des appareils non autorisés des employés.

Les outils DLP peuvent également analyser les terminaux de l’entreprise à la recherche de données sensibles et prendre des mesures correctives telles que la suppression ou le chiffrement lorsqu’ils sont trouvés sur les ordinateurs d’utilisateurs non autorisés.

Transparence accrue

Savoir où se trouvent vos données et qui y a accès est l’un des fondements de toute stratégie de protection des données réussie et constitue un élément important de tout effort de conformité. L’enregistrement des mouvements de données sensibles peut également offrir un avantage significatif en cas d’audit ou lorsqu’une entreprise doit fournir la preuve de ses efforts en matière de protection des données aux organismes de réglementation.

Le DLP et les outils de classification des données peuvent être utilisés pour définir et identifier les données sensibles sur les réseaux d’entreprise. Ses mouvements peuvent ensuite être surveillés et signalés, ce qui aide les organisations à mieux comprendre comment les données sensibles circulent dans leurs systèmes et où elles sont les plus vulnérables.

Des données sécurisées hors bureau

Un autre point noir dans les stratégies de protection des données, peut être, les données hors de l’entreprise. De nos jours, les employés sont de plus en plus mobiles: en voyage d’affaires ou à domicile, ils utilisent des appareils portables et emportent avec eux des données sensibles. Les incidents sont fréquents : des clés USB oubliées, des appareils volés ou égarés peuvent entraîner des atteintes à la protection des données en un instant.

Une solution facile pour les données en mouvement est le cryptage. Si toutes les données copiées sur des périphériques USB, par exemple, sont cryptées, personne ne peut y accéder sans mot de passe. En cas de perte ou de vol de l’appareil, l’entreprise peut être assurée que les données qu’il contient sont inutilisables pour quiconque les trouve ou les prend.

Solutions multiplateformes

Windows, en tant que système d’exploitation le plus répandu sur le lieu de travail, tend à être au cœur de la plupart des solutions de sécurité. Cependant, avec la montée des Macs dans l’entreprise et la préférence donnée à Linux dans certains secteurs, il est à noter que, puisqu’il s’agit d’un phénomène centré sur l’employé, la perte de données survient quel que soit le système d’exploitation.

Les entreprises doivent donc rechercher des solutions multiplateformes. Il est également important de s’assurer qu’ils offrent la parité des fonctionnalités pour tous les systèmes d’exploitation car de nombreux produits prétendent être multiplateformes, mais en fait, se concentrent sur un OS, le plus souvent Windows, tout en offrant des fonctionnalités plus faibles et moins efficaces pour les autres systèmes d’exploitation.

In this article:

    DEMANDEZ UNE DÉMO
    * Nous ne partageons pas vos informations personnelles avec d'autres. Consultez notre politique de confidentialité pour plus d'informations.