Le 7 septembre 2017, Equifax a publié un communiqué de presse annonçant une violation de données. « incident de cybersécurité ayant potentiellement un impact sur environ 143 millions de consommateurs américains ». Dans le langage de la cybersécurité et de la gestion de l’information, ils ont subi une violation de données.
Si les violations de données sont assez courantes, et se produisent sans doute plus souvent que le grand public ne le réalise, celle-ci était spectaculaire. Non seulement parce qu’environ 143 MILLIONS d’ Américains ont été touchés, mais aussi en raison de la nature sensible des données qui ont été divulguées. Selon le communiqué de presse, les données comprennent
« noms, numéros de sécurité sociale, dates de naissance, adresses et, dans certains cas, numéros de permis de conduire ».
– tout ce dont vous avez besoin pour perpétrer efficacement un vol d’identité.
Cela pourrait vous arriver
Une violation de données peut arriver à n’importe qui. Les gros utilisateurs de données comme Equifax, le gouvernement et d’innombrables autres organisations peuvent se permettre de mettre en œuvre des mesures de sécurité dont la plupart d’entre nous ne peuvent que rêver et ils se font régulièrement « pirater ». Comme on l’a vu à maintes reprises, elles sont souvent contrecarrées par une simple erreur humaine. Quelqu’un oublie de modifier un mot de passe par défaut ou ne définit pas les autorisations correctes sur un compte d’utilisateur légitime qui est ensuite compromis.
Mais je ne vais pas m’attarder sur la manière dont les malfaiteurs parviennent à déjouer les mesures de sécurité. Dans une certaine mesure, ce n’est pas pertinent. Je ne dis pas que vous devez laisser n’importe quel Tom, Dick ou Harry accéder à vos données. Mais il est peut-être temps d’adopter l’un des principes fondamentaux du plan de continuité des activités.
Planifier pour échouer, ne pas échouer à planifier
Vous devez absolument essayer d’empêcher tout accès non autorisé à vos données. Cela ne fait aucun doute. Mais vous ne devez pas vous contenter d’empêcher l’accès, car il y a de fortes chances que quelqu’un soit un peu plus malin que votre fournisseur de sécurité.
Vous devez penser à ce que vous pouvez faire si (ou quand) votre sécurité tombe en panne. Bien que les conseils suivants s’appliquent davantage si vous avez créé (ou êtes en train de créer) votre propre application, ils peuvent également être utilisés avec des logiciels « prêts à l’emploi » dans une plus ou moins large mesure.
C’est du charabia.
Le cryptage des données que vous stockez contribuera à les protéger en cas de violation des données. En supposant, bien sûr, que le cryptage soit suffisamment fort. Le problème est que peu d’applications « standard » prennent en charge le cryptage pour autre chose que les mots de passe. Bien sûr, vous pouvez crier sur votre fournisseur et lui demander d’intégrer le cryptage dans chaque domaine, mais cela aura un prix, et pas seulement un prix monétaire.
Tout d’abord, le chiffrement des données « à la volée » entraîne des frais généraux en termes de puissance de traitement, de mémoire et d’espace disque. Il faut également une solution « frontale » capable de décrypter les données stockées dans le « back-end ».
Diviser pour mieux régner
Stocker toutes vos données dans une seule base de données est mauvais. Pas aussi mauvais que de laisser quelqu’un se déchaîner avec, mais mauvais quand même. Et inutile.
Réfléchissez-y une minute. Si, dans certains cas, vous avez absolument besoin du numéro de sécurité sociale d’un client, vous n’en avez pas besoin pour l’appeler ou conclure une vente. Il faut donc retirer les numéros de sécurité sociale et les conserver séparément du nom, de l’adresse et du numéro de téléphone. Si vous en avez besoin, il suffit de chercher dans la base de données ou l’application qui le contient. Bien sûr, il s’agit d’une étape supplémentaire, mais elle permet de protéger votre client (et vous, des amendes coûteuses ou des poursuites judiciaires) si vos données principales sont compromises.
Il en va de même pour les dossiers de vente. Vous n’avez besoin de rien d’autre qu’un moyen d’identifier le client (voir le point suivant) et les produits ou services qu’il a achetés.
Qui a dit ça ?
Il est recommandé de rendre les données anonymes autant que possible. Vos données ont un identifiant unique – peut-être une adresse électronique, ou (très, très mauvaise idée) leur SSN – mais cela pourrait tout aussi bien être n’importe quoi tant que c’est unique. Quelque chose comme 24J6R6JPP0N.
Lorsque vous combinez cela avec la stratégie « diviser pour régner », vos données deviennent soudainement plus sûres. Au lieu de ça :
Vous obtenez plusieurs fichiers comme celui-ci :
À moins que quelqu’un ne vole à la fois votre fichier SSN et les autres fichiers qui contiennent les autres données personnelles, il ne peut pas en faire grand-chose. Si tout ce qu’ils ont est l’identifiant unique et le SSN, ils ne vont pas pouvoir accumuler une énorme dette avec le nom de 24J6R6JPP0N!
Avec DataMatch Enterprise, l’ajout d’un identifiant unique et la division des données en plusieurs fichiers sont un jeu d’enfant. Et lorsque vous devez à nouveau extraire des données de fichiers séparés pour les regrouper dans un seul fichier, DataMatch Enterprise peut relier les enregistrements sur la base de l’identifiant unique.
