8 types de données qu’il faut absolument chiffrer
Compte tenu de la quantité croissante d’informations personnelles identifiables (PII) et d’informations médicales protégées (PHI) recueillies par les entreprises et les organisations, le chiffrement devient plus qu’une bonne pratique. Il doit faire partie de la stratégie globale en matière de cybersécurité.
Fini le temps où l’on considérait le chiffrement des données comme une dépense supplémentaire. En 2022, les malfaiteurs peuvent vendre à prix d’or des données PII et PHI, si bien qu’une violation de données coûte en moyenne 4,35 millions de dollars. Autant dire que le coût de la non-protection est devenu bien supérieur à celui du chiffrement.
Comprendre le chiffrement de haut niveau
À haut niveau, le chiffrement vise à protéger les informations des personnes indésirables. Cela consiste à transformer des données claires en un code illisible qui ne peut être décodé que par un processus inverse spécifique. Il faut alors une « clé » pour le déchiffrement qui sert de moyen d’authentification.
Pour garantir la sécurité des données codées, les méthodes de chiffrement utilisent des mécanismes très pointus qui rendent quasi impossible leur inversion et l’accès aux données d’origine.
En matière de protection des informations personnelles, c’est l’un des moyens les plus efficaces actuellement à disposition. En encodant les données, les entreprises s’assurent que les pirates ne seront pas en mesure de les lire après avoir réussi à y accéder. Il est donc beaucoup plus difficile pour eux de les utiliser à des fins d’usurpation d’identité ou autres intentions criminelles. Toutefois, des données chiffrées restent exploitables à des fins commerciales, quand bien même leur contenu est masqué.
Si vous cherchez à chiffrer vos données PII, voici quelques conseils pour vous aider à démarrer. Tout d’abord, réfléchissez au type de codage dont vous avez besoin. Il existe deux grands types de systèmes : symétrique et asymétrique.
Le chiffrement symétrique est plus rapide et facile à mettre en œuvre, mais il utilise la même clé pour le chiffrement et le déchiffrement des données. Le chiffrement asymétrique, quant à lui, utilise une clé différente pour chaque processus, ce qui le rend plus sûr. Néanmoins, il est plus compliqué à mettre en place et à bien utiliser.
Pourquoi chiffrer les données ?
Vous ne devez pas chiffrer vos données uniquement pour réduire les risques de violation de données, mais aussi pour des raisons de conformité réglementaire. Certaines normes imposent spécifiquement le chiffrement, telles que le Health Insurance Portability and Accountability Act (HIPAA), le Health Information Technology for Economic and Clinical Health (HITECH) Act, le Règlement général sur la protection des Données (RGPD). Tandis que d’autres, comme le Gramm-Leach-Bliley Act (GLBA), ne le rendent pas obligatoire, mais le recommandent fortement.
Questions/réponses sur le chiffrement des données
Le tableau suivant apporte quelques réponses à certaines des questions les plus fréquemment posées sur le chiffrement des données (tableau 1).
Question | Réponse |
Quels outils utiliser pour chiffrer des informations sensibles ? | Les outils de chiffrement utilisent des algorithmes qui diffèrent en fonction des clés, de leur longueur et de la taille des blocs de données. Les algorithmes les plus courants sont les AES, RSA, TripleDES, Blowfish et Twofish. |
Qu’est-ce que le chiffrement de bout en bout ? | Le chiffrement de bout en bout (E2EE) est une méthode de communication sécurisée qui garantit que seuls l’expéditeur et le destinataire ont accès aux données partagées d’un système/appareil à un autre. Le dispositif d’envoi chiffre les données, et le dispositif de réception est le seul à pouvoir les décoder. Personne d’autre, pas même un pirate informatique, ne peut y accéder. |
Qu’est-ce que le chiffrement au repos ? | Le chiffrement au repos est une stratégie de cybersécurité qui se généralise. Les données sont protégées même pendant leur stockage. Si les pirates parvenaient à franchir vos autres cyberdéfenses, ils ne pourraient quand même pas accès aux fichiers chiffrés au repos. Toute entreprise qui gère des données très sensibles, telles que des informations nominatives, des renseignements personnels et des données bancaires, devrait envisager de chiffrer ses données au repos. |
Tableau 1. Questions fréquentes sur le chiffrement des données.
8 différents types de données confidentielles qu’il faut chiffrer
Voici les huit catégories d’informations personnelles que les entreprises doivent chiffrer pour rester conformes aux réglementations, sécuriser leurs transactions commerciales et leur supply chain.
Les informations d’identification personnelle (PII)
La plupart des organisations détiennent des informations personnelles identifiables (PII) qu’elles doivent protéger des cybercriminels et des États voyous. La législation concernant la confidentialité des données telles que le RGPD dans l’Union européenne, la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) au Canada et le California Consumer Privacy Act (CCPA), exigent de tracer, contrôler et protéger les PII en transit et au repos.
Les informations médicales protégées (PHI)
Les organismes de santé sont une des principales cibles des cybercriminels puisqu’ils détiennent des informations médicales protégées (PHI), mais ce ne sont pas les seuls concernés. De nombreux services de santé ont à gérer la confidentialité des PHI et doivent se conformer aux réglementations en vigueur dans chaque secteur d’activité. Les systèmes utilisés par les prestataires de santé échangent régulièrement des informations pour traiter les patients. Les PHI peuvent être recueillies sur une application mobile et envoyées ou partagées vers les appareils des patients. Et une fois reçues, elles sont stockées sur différents supports, en local ou dans le Cloud, dans leur format initial.
Qu’il s’agisse de mails, de partage de fichiers, de transferts gérés de fichiers, de formulaires web ou d’interfaces de programmation d’applications (API), le chiffrement est indispensable. Les réglementations en vigueur, telles que l’HIPAA, exigent que les données PHI soient chiffrées même au repos. Par ailleurs, les organisations doivent utiliser le chiffrement ou tout autre protocole de sécurité de la couche de transport (TLS) pour l’envoi et le partage des PHI, et cela inclut le chiffrement des emails.
Les données bancaires
Le GLBA veille à ce que les établissements financiers ne divulguent pas les données bancaires personnelles identifiables (PIFI). Cela inclut les adresses, les numéros de sécurité sociale et les revenus, mais également les sommes déposées, les prêts et l’historique des paiements.
Même si le chiffrement n’est pas une condition explicite du GLBA, il est vivement recommandé pour protéger les données en transit et au repos. En vertu de la Safeguards Rule, publiée par la FTC dans le cadre de la mise en œuvre de la loi GLBA, les entreprises sont responsables de la sécurité des informations sur leurs clients. Et la « Pretexting Rule » stipule que les entreprises doivent se prémunir contre des arnaques cherchant à accéder aux informations personnelles.
Le chiffrement permet aux établissements financiers de préserver l’intégrité et la confidentialité des données bancaires de leurs clients.
Les données RH
À moins que vous ne soyez autoentrepreneur, chaque entreprise a des employés, et se doit de protéger leurs données personnelles. Les données liées aux RH comprennent les PII, les données bancaires, les contrats, les pointages, les arrêts maladie, etc.
Ces informations intéressent les pirates informatiques, car elles peuvent se vendre sur le darknet, faire l’objet d’une demande de rançon ou être utilisées à d’autres fins frauduleuses. La plupart de ces informations numériques sont envoyées et partagées au sein des organisations et avec des tiers. Par exemple, lorsqu’un contrat se termine avec un consultant, du contenu sensible lié à la résiliation est envoyé, partagé, reçu et stocké. Cet échange numérique est l’occasion pour les pirates de subtiliser ces informations confidentielles pour les exploiter. Dans certaines organisations, les RH transfèrent les feuilles de paie, les pointages et les arrêts maladie vers et depuis des applications, telles que les logiciels RH, de paie, de comptabilité et autres, via le transfert géré de fichiers (MFT).
Les données commerciales
Les informations sur les clients, les détails des contrats avec les fournisseurs et les appels d’offres ne sont que quelques exemples de données commerciales détenues par toute entreprise. Certaines de ces données peuvent être qualifiées de PII ou de données bancaires. D’autres sont des contrats confidentiels, des propositions tarifaires et autres renseignements liés à la vente.
La diffusion de ces informations commerciales peut avoir des conséquences désastreuses, tant sur le plan de la concurrence que d’éventuelles poursuites judiciaires potentielles pour non-conformité. Ces données sont souvent envoyées par mail ou par le partage de fichiers, et stockées dans des systèmes ERP, CRM et autres par MFT. Dans tous les cas, il vaut mieux avoir mis en place de bonnes pratiques de gouvernance et un chiffrement systématique.
Les informations juridiques
La quantité d’informations juridiques à chiffrer est considérable. Des discussions par e-mail entre les membres d’un conseil d’administration, révélant les stratégies de développement, les projets d’investissement et de fusion et d’acquisition, sont critiques. Les communications relatives à des affaires juridiques entre avocats sont très sensibles. Chaque organisation doit donc s’assurer que tous les échanges soient chiffrés et protégés. La liste des utilisations potentielles des informations juridiques est longue.
Les informations sensibles non classées et contrôlées (CUI)
Les informations « Controlled unclassified information » (CUI) sont un terme utilisé par le gouvernement américain pour décrire des informations sensibles, mais non classées. Elles nécessitent une attention particulière et une protection bien qu’elles ne soient pas classées. En cas de fuite, les CUI pourraient porter atteinte à la sécurité nationale ou compromettre la sécurité publique. Leur sécurisation est donc essentielle.
Bien que certains types de CUI sous soumises à la loi et doivent être chiffrées, elles devraient toutes être chiffrées pour éviter toute diffusion non autorisée. Le U.S. Department of Defense (DoD) recommande de chiffrer toute information non approuvée pour diffusion publique et stockée au repos dans des systèmes amovibles ou sur des appareils mobiles. La Certification Cybersecurity Maturity Model (CMMC) 2.0 par exemple, qui régit les relations avec les prestataires pour la sécurité et la protection de l’environnement, est soumise au chiffrement. Elle conditionne les entreprises à pouvoir travailler ou non avec le DoD.
Les informations sur les fusions et acquisitions (F&A)
On ne répétera jamais assez combien le chiffrement des données est crucial dans les fusions-acquisitions. Dans le monde des affaires d’aujourd’hui, les données numériques sont l’un des biens les plus précieux des entreprises. Lorsque deux sociétés fusionnent, une immense quantité de données change de mains : données bancaires, de listes de clients, propriété intellectuelle et secrets commerciaux. Si ces informations tombaient entre de mauvaises mains, les conséquences seraient dramatiques. C’est pourquoi les entreprises doivent chiffrer toutes les données avant de les transférer, en interne et en externe, lors d’une fusion-acquisition. Elles assurent ainsi la confidentialité des données tout en respectant les réglementations gouvernementales et industrielles.
Protéger les informations sensibles est d’autant plus important que nous avons connu ces dernières années des cas très médiatisés de fuite de données. Ces incidents ont entraîné l’annulation des opérations de fusion et acquisition ou des amendes conséquentes.
Le réseau de contenu privé Kiteworks pour la confidentialité et la conformité des données
Le chiffrement des données est un moyen d’améliorer la sécurité des données, de se conformer aux règles de conformité, et de gagner la confiance de vos clients. Les entreprises doivent choisir la plateforme adaptée à leur activité, qui protège leurs données, en transit ou au repos, grâce au chiffrement et à d’autres technologies et bonnes pratiques de cybersécurité.
Le réseau de contenu privé Kiteworks chiffre chaque information sensible envoyée ou partagée. Pour ce faire, la plateforme utilise une clé unique pour le fichier et une autre clé pour le disque. Cela garantit que chaque fichier est doublement chiffré. De plus, les clés de fichier, les clés de volume et les autres clés intermédiaires sont elles aussi chiffrées lors de leur stockage.
Avec Kiteworks, les entreprises peuvent définir des politiques de gouvernance et de sécurité, et ce de façon centralisée pour tous leurs canaux de communication. De cette façon, les contenus sensibles qui sont envoyés et partagés, en interne ou en externe, demeurent confidentiels. Et la conformité réglementaire est assurée.
Réservez votre créneau de présentation pour voir comment fonctionne le réseau de contenu privé de Kiteworks et comment la plateforme assure la confidentialité de tous vos canaux de communication.