Article
Cas d'usage
Livre blanc
Vidéo
Webinaire
Évènement
Cela arrive trop souvent : les employés exposent leur entreprise à un risque d'atteinte à la sécurité en plaçant des renseignements confidentiels là où ils ne devraient pas se trouver.
En 2015, l'Open Security Foundation estime que 1 472 incidents impliquant le vol ou la divulgation de données personnelles, confidentielles ou propriétaires aux États-Unis uniquement. Bon nombre de ces incidents ont entraîné la fuite de informations personnellement identifiables, y compris les noms, les dates de naissance, les adresses e-mail, les numéros de sécurité sociale, les informations sur les comptes bancaires, les adresses personnelles, les relevés d'emploi et même les données sur les revenus. Des millions de clients, de patients et d'employés ont été touchés par ces fuites.
Malgré la diligence de l'informatique dans la protection des données, ce sont souvent les employés qui mettent les données en danger. Selon une étude publiée par le Identity Theft Resource Centre, environ 15 % des atteintes à la protection des données en 2015 ont été causées par une erreur ou une négligence des employés.
Quand les employés se tournent vers le nuage
Nous avons récemment entendu une histoire qui a validé ces données :
Le directeur des TI d'une entreprise du secteur des soins de santé a remarqué qu'un grand nombre de demandes étaient faites à Google Translate à partir du système de son entreprise. Lorsqu'il s'est penché sur la question, il a découvert que des employés utilisaient Google Translate pour traduire des données confidentielles de patients. Il estime qu'au fil du temps les employés ont utilisé Google des centaines de milliers de fois pour traduire des données ? et pire encore, il n'a absolument aucun moyen de savoir quelles données ont été utilisées ou de qui.
Nous avons également entendu le témoignage du directeur de la technologie d'une société d'assurance du Fortune 100. Il a découvert que ses employés internes utilisaient également des données sur les clients par l'intermédiaire de Google Translate pour les aider dans leur travail.
Voici le problème avec des scénarios comme celui-ci : lorsque les employés utilisent Google Translate et d'autres outils de traduction en ligne gratuits pour faire des demandes de traduction, les données sont distribuées dans le nuage. Au cours de ce processus, Google pourrait avoir besoin de faire appel à un fournisseur tiers pour fournir certains aspects des services [Google?s], tels que le stockage ou la transmission de données. Cela signifie qu'il n'y a aucun moyen de savoir ou de contrôler où vos informations peuvent aller ou où elles peuvent être stockées.
Violation de la loi HIPAA, des accords de confidentialité et des lois sur la confidentialité
Le danger de mettre des données dans le nuage, cependant, n'est pas nécessairement qu'elles vont être volées. La véritable menace réside dans la violation accidentelle de nombreux contrats et réglementations de l'industrie lorsqu'il s'agit de traiter des données personnelles ou confidentielles. Voici quelques-uns des divers règlements et lois régissant l'utilisation et le stockage des données personnelles aux États-Unis :
- HIPAA : Le Règle omnibus HIPAA est entré en vigueur en 2013. Parmi les modifications apportées aux directives HIPAA figure l'inclusion du fait que tout fournisseur de services cloud est considéré comme un partenaire commercial et que tous les partenaires commerciaux doivent être conformes à la loi HIPAA :
«... les sociétés de stockage de documents qui conservent des informations de santé protégées pour le compte d'entités couvertes sont considérées comme des entreprises associées, qu'elles consultent ou non les informations qu'elles détiennent.»
Cela signifie que les entreprises de soins de santé doivent utiliser un service cloud conforme à la loi HIPAA pour stocker les données des patients. Les services de Cloud public et les outils de traduction en ligne, tels que Google Translate, ne répondent généralement pas aux exigences de conformité HIPAA. L'utilisation de ces services en association avec des données confidentielles de patients peut exposer la société à un risque de violation de la loi HIPAA.
Si une entité couverte par la loi HIPAA enfreint ces règles, le département américain de la Santé et des Services sociaux peut imposer des sanctions civiles pécuniaires allant jusqu'à $1,5 millions. De plus, cette pénalité peut être imposée pour chaque infraction, ce qui peut augmenter considérablement le montant total des pénalités.
Anthem Inc. a subi une importante atteinte à la protection des données en 2015 divulgué les renseignements personnels de 80 millions de personnes. Cet incident devrait coûter plus de $100 millions, mais pourrait atteindre $8 milliards en raison d'un recours collectif en cours.
- Accords de confidentialité : L'entente type de non-divulgation (EDN) stipule que les destinataires sont tenus de maintenir la confidentialité des renseignements qui leur sont fournis. Placer des informations confidentielles ou propriétaires dans le cloud constitue une violation directe de la plupart des accords de confidentialité. Si votre entreprise gère des informations client dans le cadre d'un accord de confidentialité, l'utilisation d'un logiciel de traduction en ligne qui n'est pas chiffré ou protégé par un pare-feu peut être considérée comme une violation de contrat. Toute violation de ce contrat pourrait entraîner des actions en justice, y compris une action en dommages et intérêts.
En outre, la perte de propriété intellectuelle ou de secrets commerciaux en raison d'une violation de données peut également entraîner des poursuites judiciaires ou des enquêtes de la SEC, selon la situation.
- Loi de 1974 sur la protection des renseignements personnels : Le Loi de 1974 sur la protection des renseignements personnels a été créé en réponse aux préoccupations concernant la façon dont les bases de données informatisées pourraient avoir une incidence sur les droits à la vie privée d'une personne. L'une des quatre règles de la loi impose des restrictions quant à la façon dont les organismes gouvernementaux peuvent partager les données d'une personne avec d'autres personnes et organismes.
En raison de cette règle, les organismes fédéraux qui utilisent un service infonuagique pour stocker des données personnelles peuvent contrevenir à la Loi sur la protection des renseignements personnels de 1974. En raison de la sécurité douteuse du cloud, certains experts en données J'ai même fait valoir que des dispositions comme celle-ci, ainsi que des lois sur la gestion des documents, peuvent limiter le stockage des documents dans le nuage par les organismes fédéraux. Cela comprend également l'utilisation d'outils de traduction en nuage.
L’American Federation of Government Employees, le plus grand syndicat du gouvernement fédéral, a intenté un recours collectif contre l’Office of Personnel Management (OPM) des États-Unis à la suite d’un important Juin 2015 cyberattaque sur les systèmes OPM. L'atteinte concernait environ 18 millions d'employés fédéraux dans des dossiers personnels et de sécurité. La Loi sur la protection des renseignements personnels de 1974 prévoit des sanctions pouvant atteindre $5 000 par divulgation non autorisée. Ce procès est également en cours.
Trouver des alternatives sûres pour prévenir les violations
Pour éviter que des violations ne se produisent simplement parce que les employés se tournent vers les services de Cloud public pour effectuer des traductions, la solution consiste à modifier le comportement des employés et à communiquer les conséquences de ne pas le faire.
Premièrement, donnez aux employés un outil sûr à utiliser. De nombreuses solutions logicielles de traduction sont basées sur le cloud, ce qui pourrait rendre votre entreprise vulnérable. Utilisez plutôt une solution logicielle de traduction interne qui peut être installée sur les serveurs de votre entreprise derrière un pare-feu, comme SYSTRAN.
Assurez-vous que les employés utilisent réellement l'outil en incorporant son utilisation dans vos politiques de gouvernance des informations, puis en communiquant les avantages de l'utilisation du logiciel de traduction aux employés. Outre la prévention évidente d'une violation de conformité ou d'une violation de données, les logiciels de traduction permettent également de traduire les données plus rapidement et d'augmenter la productivité. Il est également important que les employés comprennent les conséquences de non utiliser un tel logiciel pour les dissuader de continuer à utiliser des outils en ligne.
Bien qu'il puisse sembler peu probable que votre équipe enfreigne les lois sur les données, des études montrent qu'elle peut et est en cours. Protégez votre entreprise contre les violations de conformité en dotant vos employés d'un outil interne plutôt que d'utiliser un service dans le nuage. Quelque chose d'aussi simple que de traduire des documents à l'aide d'un logiciel de langue sécurisée plutôt que des services de traduction en ligne gratuits pourrait faire économiser des millions de dollars à votre entreprise en sanctions futures.
