L’impossibilité d’éviter le partage des données a suscité des inquiétudes quant aux violations de données. Les compagnies d’assurance, les gouvernements, etc. ont besoin de vos données privées pour vous offrir leurs services, et éviter de partager des données avec eux reviendrait à vivre une vie isolée, hermétique, voire illégale, sans aucun soutien social ni statut juridique. Si la confidentialité est votre préoccupation (il n’y a aucune raison pour qu’elle ne le soit pas), une option plus appropriée est d’être sur le qui-vive et d’adopter des pratiques sûres tout en surfant sur Internet.
Comprendre les violations de données
Avant de plonger dans les détails, qu’est-ce qu’une violation de données? Une violation de données n’est pas toujours le vol de données par le biais de techniques de piratage sophistiquées auprès d’organisations auxquelles vous avez directement confié vos données comme des détaillants ou de celles qui les ont acquises secondairement comme des sociétés de marketing. Une violation de données se produit lorsque vos données privées deviennent accessibles à un tiers sans votre consentement explicite. Dans de tels cas, il n’est pas nécessairement clair si quelqu’un l’a volé.
L’hypothèse courante est que tant qu’il n’y a pas de signes révélateurs comme l’ouverture de comptes numériques à son nom, la perte d’argent, etc. à la suite d’une prétendue violation, tout va bien. Malheureusement, rien ne pourrait être plus loin de la vérité. Les pirates ne se lancent pas dans une frénésie de vol après avoir acquis la mine d’informations d’identification des utilisateurs. Ils parviennent souvent à rester sous le radar pendant de très longues périodes et agissent comme une main de l’ombre qui se mêle de vos affaires pendant des années, parfois des décennies. Cela ressemble à une histoire d’horreur? Il est!
Violation de données pour les organisations
Bien que les entreprises deviennent plus intelligentes dans la sécurisation des informations, les hameçonneurs ont tendance à être très persistants dans leurs attaques, et bien que la technologie ne soit pas facile à tromper, la plupart des gens le sont. Le phénoménal augmentation des fuites de données au cours de la dernière décennie témoigne du fait que les entreprises pourraient ne pas en faire assez. Bien que la sécurisation des réseaux d’une entreprise soit une entreprise énorme et qu’il faille à la fois du temps et de l’argent pour ériger une infrastructure de sécurité appropriée, la plupart des entreprises n’ont même pas commencé dans la bonne direction. Au fur et à mesure que les cas de fuites de données se sont multipliés et que les réactions des utilisateurs qui en ont découlé sont devenues plus sévères, les entreprises commencent maintenant à prêter attention aux doctrines de sécurité classiques. Cependant, des décennies d’inaction collective ont entraîné un déficit de sécurité qu’il faudra beaucoup de temps et d’argent pour combler. Bien que cela puisse être une pilule difficile à avaler pour la plupart, la sécurité numérique est un domaine qui exige un investissement continu.
Exemples de fuites de données majeures
Suivre les principaux exemples de fuites de données de l’année en cours fait bien de communiquer l’impact généralisé d’une seule violation de données.
- UNE Violation de LinkedIn cette année a abouti à la publication de données extraites de 500 millions de profils LinkedIn sur un forum de hackers populaire à vendre
- Les données privées de 533 millions de personnes dans 106 pays de Facebook ont été publié sur un forum de piratage en avril de cette année
Faire face à une violation de données
Les experts établissent les mesures suivantes qui devraient être prises par les entreprises et les particuliers concernés à la suite d’une violation de données.
Communiquer
La pire chose qu’une entreprise puisse faire à la suite d’une violation de données est de la passer sous silence. La communication dans cet événement peut être difficile, mais c’est aussi la seule chose responsable à faire. Cela implique d’évaluer les employés et d’impliquer tous ceux qui peuvent s’avérer utiles, c’est-à-dire les spécialistes techniques, les responsables du service client, les équipes de relations publiques et de communication, les équipes de criminalistique, etc. expliquer comment l’événement s’est produit, accepter la responsabilité si c’est la faute de l’entreprise, établir des mesures d’atténuation, éduquer les gens sur la façon de se préparer et engager les clients, les analystes de l’industrie et le grand public dans une discussion productive pour arriver à la cause réelle de le problème afin qu’il puisse être sincèrement éliminé.
Comprendre la cause profonde
Une fois que vous avez communiqué l’événement en interne et en externe, la prochaine grande étape consiste à identifier et à comprendre ce qui s’est passé et à commencer à prendre des mesures pour l’empêcher à l’avenir. La médecine légale joue un grand rôle à cet égard, car elle peut analyser le trafic et déterminer instantanément la cause première d’un événement, éliminant ainsi le besoin de conjectures inefficaces. Des analyses judiciaires efficaces capturent des données, effectuent un enregistrement sur le réseau, parcourent le trafic historique à la recherche d’anomalies et signalent avec une précision raisonnable ce qui aurait pu mal tourner.
Passer à un modèle de sécurité proactif
C’est plus simple qu’il n’y paraît. De nombreuses organisations ne parviennent pas à respecter les protocoles de sécurité les plus élémentaires et les plus standard. Par exemple, les pare-feu peuvent empêcher de futures attaques mais ne peuvent pas bloquer les logiciels malveillants qui se sont infiltrés sur les points de terminaison au sein d’une organisation. Une stratégie à plusieurs niveaux offre la meilleure solution contre de telles menaces. Cependant, il est probable que des technologies proactives comme celle-ci coûteront cher à la productivité des travailleurs, à moins que des solutions telles que le sandboxing ne soient adoptées dans lesquelles les menaces de navigateur Web sont gérées au niveau du backend tandis que les employés peuvent travailler librement sans interruption.
Recherchez les lois de votre état
Vous devez vous renseigner sur les lois de votre état pour vous assurer que votre réponse est conforme aux lois pertinentes. Par exemple, certains États exigent la notification d’une violation aux victimes ou à un organisme gouvernemental. Vous voudrez peut-être vérifier si votre violation tombe sous le coup d’une telle loi. Si oui, informez les agences concernées et les victimes en conséquence.
Signalez le vol d’identité et obtenez un plan de récupération personnalisé
Si vous êtes victime d’une violation de données, rapport votre vol d’identité à la FTC qui personnalisera un plan de récupération pour vous et vous guidera ensuite à travers. Cela implique de suivre vos progrès et de préremplir les documents pour vous.
Conclusion
Personne ne veut se faire voler ses données privées, mais si un tel événement se produit, après tout, il faut être prêt à y faire face. Si vous oubliez de fermer la porte après que le cheval soit sorti et que vous vous concentrez plutôt sur les choses importantes énumérées ci-dessus, vous serez en mesure d’atténuer l’impact et d’atténuer un peu le coup pour vous-même.