Qu'est-ce qu'une IPI et comment votre organisation doit-elle la protéger ?

Qu'est-ce qu'une donnée sensible et où se situe-t-elle dans la collaboration ?

Toutes les organisations gèrent une certaine forme de données sensibles, telles que la propriété intellectuelle, les dossiers financiers, les documents juridiques et les informations réglementées comme les détails des cartes de paiement, les informations de santé protégées et les informations d'identification personnelle (PCI/PHI/PII).

L'objectif de la gestion des données sensibles est d'identifier et d'atténuer les risques associés à la manipulation de données réglementées et à la discussion de transactions commerciales confidentielles dans des outils de collaboration tels que Slack et Microsoft Teams. En cas de fuite ou d'exfiltration, ces informations pourraient nuire à la réputation de l'entreprise, lui faire perdre des parts de marché ou donner lieu à des poursuites judiciaires et à des mesures réglementaires.

Qu'est-ce qu'une information personnelle identifiable (IPI) ?

Les informations personnelles identifiables (IPI) sont toutes les informations qui, lorsqu'elles sont liées à une personne spécifique, peuvent être utilisées seules ou avec d'autres données pertinentes pour découvrir son identité.

Il existe deux types d'identifiants. La première concerne les identifiants directs, tels que les informations contenues dans les passeports ou un numéro de client unique, qui permettent d'identifier une personne de manière unique. La seconde concerne les identifiants indirects, ou quasi-identifiants, tels que la date de naissance. Combinées à d'autres quasi-identifiants tels que le code postal, ces informations pourraient permettre de révéler l'identité d'une personne.

Qu'est-ce qui est considéré comme une IPI ?

Toute information liée à une personne spécifique qui peut être utilisée pour découvrir son identité est considérée comme une information personnelle identifiable (IPI).

Voici quelques exemples d'IIP 

• Nom complet (légal)
• Adresse du domicile
• Adresse électronique
• Numéro de sécurité sociale
• Numéro de passeport
• Numéro de permis de conduire
• Numéros de cartes de crédit
• Date de naissance
• Numéro de téléphone
• Propriétés détenues, par exemple Numéro d'identification du véhicule (VIN)
• Détails de la connexion
• Numéro de série du processeur ou de l'appareil
• Contrôle d'accès aux médias (MAC)
• Adresse Internet (IP)
• ID de l'appareil
• Cookies

Elles sont considérées comme des IPI parce qu'il s'agit d'identifiants statiques qui se rapportent systématiquement à une personne ou à un groupe de personnes en particulier. Combinés à d'autres éléments d'information, ils permettent d'identifier, de retrouver ou de localiser une personne ou un groupe de personnes.

IIP sensibles et non sensibles

Toutes les informations personnelles identifiables (IPI) ne présentent pas le même niveau de risque.

Les IPI sensibles comprennent les informations qui, si elles sont divulguées, pourraient causer un préjudice important à une personne. Il peut s'agir de fraude financière, d'usurpation d'identité ou d'atteinte à la réputation. Les IPI sensibles sont souvent soumises à des contrôles réglementaires plus stricts et nécessitent des mesures de protection plus strictes.

D'autre part, les IPI non sensibles comprennent les données à caractère personnel qui sont moins susceptibles de causer un préjudice si elles sont exposées en tant que telles. Cependant, lorsqu'elles sont combinées à d'autres données, même les IPI non sensibles peuvent devenir identifiables et accroître les risques.

Si les IPI non sensibles ne nécessitent pas toujours d'être cryptées ou expurgées, elles méritent néanmoins d'être protégées. Surtout lorsqu'ils sont stockés avec des informations sensibles.

Lois sur la confidentialité des données et IPI

Avec l'augmentation des violations de données et des cybermenaces, les réglementations mondiales en matière de protection des données sont devenues plus rigoureuses. Les organisations qui collectent, traitent ou stockent des IPI doivent se conformer aux lois régionales et sectorielles sur la sécurité des données. Ceci afin d'éviter tout accès non autorisé et de protéger la vie privée des personnes.

Aux États-Unis, la loi sur la protection de la vie privée (Privacy Act) de 1974 régit la manière dont les agences fédérales traitent les données à caractère personnel. Les lois sectorielles telles que HIPAA (pour les soins de santé) et GLBA (pour les institutions financières) imposent des contrôles stricts sur les informations sensibles.

De même, le règlement général sur la protection des données (RGPD) de l'Union européenne et la loi californienne sur la protection de la vie privée des consommateurs (CCPA) exigent des organisations qu'elles respectent les principes de transparence, de responsabilité et de consentement lorsqu'elles gèrent des données à caractère personnel.

Les principales exigences de la plupart des règlements sont les suivantes

• Mise en place de contrôles de sécurité solides pour éviter les fuites de données ou les accès non autorisés
• Réduire au minimum la collecte d'informations nominatives inutiles
• Fournir aux individus des droits sur leurs données personnelles, y compris l'accès, la correction et la suppression.
• Signaler en temps utile les violations de données aux autorités et aux utilisateurs concernés

Le non-respect de ces lois peut entraîner des amendes substantielles, une atteinte à la réputation et une perte de confiance de la part des clients. Alors que les données continuent de circuler à travers les frontières et les plateformes, il est important d'aligner les politiques de votre organisation en matière d'informations nominatives sur les réglementations en vigueur en matière de protection des données.

Comment les IPI sont-elles volées ?

Les IPI peuvent être compromises de différentes manières, et avec seulement quelques informations personnelles, des acteurs malveillants peuvent faire de grands dégâts. Parmi les nombreux scénarios possibles, citons la création de faux comptes en votre nom, l'accumulation de dettes, la falsification d'un passeport en votre nom, le vol et la vente de votre identité.

Les affaires se faisant de plus en plus en ligne, les fichiers numériques peuvent être facilement piratés et accessibles par des cybercriminels. C'est particulièrement vrai si votre cyberprotection est trop lâche. En l'absence d'une protection solide et d'une politique de protection des IPI, les organisations et leurs clients sont exposés à de grands risques.

L'un des moyens les plus faciles pour les cybercriminels d'essayer de s'emparer d'informations confidentielles est le courrier électronique. Le courrier électronique étant le principal moyen de communication, beaucoup de choses peuvent être menacées si vous ne sécurisez pas suffisamment votre environnement. 

Comment protéger les informations d'identité personnelle (PII)

Le service d'abonnement SaaS de Mimecast répond à tous les défis auxquels les organisations de services financiers sont confrontées lorsqu'il s'agit de protéger les informations confidentielles et autres informations sensibles contenues dans les courriers électroniques. S'appuyant sur une véritable architecture en nuage, les solutions Mimecast permettent de réduire le coût et la complexité de la protection du courrier électronique tout en améliorant considérablement les performances et en renforçant la posture de sécurité et la conformité.

Les solutions de Mimecast pour la protection des informations confidentielles sont utiles :

• Protégez-vous contre les menaces de sécurité véhiculées par le courrier électronique. "Mimecast ne se contente pas d'arrêter les spam et les virus, il atténue également le spear-phishing, les attaques par usurpation d'identité, les ransomware, l'<a href=\"\">attaque de l'homme dans le navigateur et d'autres attaques sophistiquées. " 
• Améliorez la résilience de votre messagerie grâce à une disponibilité de 100%. Mimecast Mailbox Continuity offre un accès ininterrompu aux courriels et aux pièces jointes en temps réel et historiques, même en cas de panne ou d'attaque, à l'aide d'outils quotidiens tels qu'Outlook pour Windows, les applications mobiles et le Web.
• Simplifiez l'archivage et la conformité. Mimecast Cloud Archive sert de référentiel central hors site pour les courriels, les fichiers et les IM conversations, offrant aux utilisateurs des capacités de recherche ultra-rapides et aux administrateurs des outils pour simplifier les politiques de conservation des courriels, l'e-discovery et legal hold. Mimecast facilite également la gestion de la conformité PCI-DSS et FINRA ainsi que SEC email retention requirements.
• Responsabiliser les utilisateurs. Mimecast offre à vos utilisateurs des outils de sécurité, d'archivage et de continuité en libre-service, ainsi que des capacités d'envoi de messages et de partage de fichiers volumineux en toute sécurité.

Protéger les informations confidentielles avec Mimecast

La protection des IPI (informations personnelles identifiables) dans les communications par courrier électronique est un élément essentiel de la conformité des services financiers. Le courrier électronique est devenu le principal moyen de communication avec les collègues, les clients, les vendeurs et les partenaires. En tant que telles, les organisations de services financiers sont tenues de mettre en œuvre des solutions sûres et efficaces pour protéger les IIP.

Cette exigence est d'autant plus urgente que le courrier électronique est le premier vecteur d'attaque pour les pirates qui cherchent à voler des informations confidentielles et d'autres informations sensibles. Les entreprises de services financiers sont vulnérables à une grande variété d'attaques sophistiquées par courrier électronique. Ceux-ci peuvent tromper les utilisateurs et même les employés les plus exigeants. La protection des IPI est rendue plus complexe par des réglementations strictes et en constante évolution, une main-d'œuvre dispersée et des environnements informatiques complexes.

Mimecast peut vous aider. "Avec une approche tout-en-un de la sécurité, de l'archivage et de la continuité du courrier électronique, Mimecast fournit des services basés sur le cloud pour protéger les informations confidentielles, les systèmes de courrier électronique et les utilisateurs, tout en simplifiant la gestion du business email."

Avantages de la protection des informations confidentielles avec Mimecast

Avec Mimecast, vous pouvez :

• Déployez et développez rapidement des solutions de protection des informations confidentielles tout en réduisant les coûts d'exploitation et d'investissement, grâce à la solution SaaS en nuage de Mimecast (100% ).
• Améliorez la sécurité et la résilience pour Microsoft Office 365, Microsoft Exchange et Google G Suite.
• Simplifiez la gestion du courrier électronique grâce à une console single permettant de définir des règles, d'établir des rapports, de dépanner et de gérer la sécurité, l'archivage et la continuité du courrier électronique.

En savoir plus sur la protection des informations confidentielles avec Mimecast et sur les solutions de conformité de Mimecast dans le domaine de la santé.