Contactez-nous

Article

Le prix du risque lié à la vie privée : gérer l’étendue des expositions de données

L’adoption rapide de nouvelles technologies, associée à l’évolution des réglementations à l’échelle mondiale, redéfinit le paysage des risques liés à la vie privée. Les entreprises qui se croyaient prêtes et conformes aux normes existantes en matière de protection de la vie privée pourraient se retrouver à la traîne dans un environnement réglementaire dynamique et de plus en plus strict. La gestion des risques liés à la vie privée est un élément clé d’une stratégie efficace de gestion des cyberrisques. De nombreuses entreprises relèvent ces défis de manière proactive. Cependant, beaucoup d’organisations rencontrent des obstacles importants lorsqu’elles tentent de comprendre, de quantifier et d’atténuer les conséquences de ces risques.

L’adage bien connu « la connaissance est le pouvoir » prend tout son sens dans un monde de plus en plus axé sur les données et en concurrence pour celles-ci. Les informations et les analyses en temps réel offrent des possibilités précieuses pour la prise de décision stratégique et l’innovation, mais elles s’accompagnent également de risques liés à la collecte, à l’utilisation et à la diffusion appropriées des données sous-jacentes.

De nombreuses organisations nomment désormais des responsables de la protection des données ou de la vie privée qui relèvent en dehors des fonctions traditionnelles de gestion des risques, collaborant souvent avec les équipes de cybersécurité. Ces leaders sont généralement chargés de concevoir une stratégie de protection de la vie privée pour garantir une gestion adéquate des données, y compris le respect des réglementations existantes, changeantes ou émergentes, afin de protéger les informations de leurs entreprises et de leurs clients, et d’éviter les amendes ou les poursuites judiciaires potentielles.

Cependant, même les entreprises qui prennent des mesures pour contrer les risques liés à la vie privée peuvent avoir du travail à faire pour quantifier et atténuer les conséquences potentielles à l’échelle de l’entreprise.

Le risque lié à la vie privée va au-delà des atteintes à la protection des données

Les risques liés à la vie privée et les atteintes à la protection des données sont des concepts liés, mais leur portée et leur définition diffèrent. Historiquement, les risques liés à la vie privée étaient exclusivement associés aux atteintes à la protection des données, c’est-à-dire des incidents de sécurité particuliers dans lesquels un accès non autorisé à des données sensibles se produit, entraînant leur exposition, leur vol ou leur perte.

Cependant, dans un environnement juridique et réglementaire très strict, les risques liés à la vie privée englobent désormais une gamme plus large, incluant la collecte, l’utilisation, la divulgation ou la destruction non autorisée ou illégale d’informations confidentielles qui pourraient menacer la vie privée des personnes ou d’une organisation dans son ensemble.

Ces risques peuvent se matérialiser même en l’absence d’atteintes à la protection des données. Par exemple, si une organisation gère mal le processus de collecte de données, cela peut entraîner des pertes importantes dues aux répercussions réglementaires et juridiques. De nombreuses organisations gèrent involontairement les données de manière inadéquate ou ignorent les stipulations réglementaires qui pourraient menacer leurs activités.

Voici quelques exemples courants de risques liés à la vie privée :

Méthodes de collecte et de stockage de données obsolètes ou non structurées
Manque de consentement éclairé ou de transparence concernant l’utilisation ou la conservation des données
Utilisation abusive des données des employés, des clients ou des informations confidentielles par des tiers
Accès non autorisé aux données

Ces risques peuvent être exacerbés par l’utilisation de systèmes d’IA générative. Par exemple, à mesure que ces systèmes produisent des résultats de plus en plus réalistes, il peut devenir plus difficile pour les personnes et les entreprises de distinguer les demandes réelles des tentatives d’hameçonnage ou d’autres cyberattaques.

Qu’est-ce qu’une information sensible?

En général, les trois principales catégories d’informations sensibles incluent :

Les informations personnelles identifiables (IPI) : toute information permettant d’identifier une personne, comme son nom, son adresse, son numéro de sécurité sociale ou son adresse courriel. Cela peut également inclure des identifiants biométriques ou des données de géolocalisation. Il est important de noter que les réglementations sur la vie privée peuvent modifier la définition des IPI.
Les informations de santé protégées (ISP) : toute information liée à l’état de santé d’une personne, à la prestation de services de soins de santé ou au paiement des services de soins de santé.
Les informations relatives aux cartes de paiement (ICP) : toute information liée à la sécurité des transactions par carte de crédit, de débit ou de paiement, conformément aux normes établies pour protéger les informations financières sensibles lors des transactions, également connues sous le nom de normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

Un bon exemple de la complexité des risques liés à la vie privée concerne la technologie biométrique, qui mesure et analyse les caractéristiques physiques ou comportementales uniques d’une personne pour l’identification et l’authentification. La Biometric Information Privacy Act (BIPA, Loi sur la protection des renseignements biométriques), adoptée par l’État de l’Illinois, est l’une des lois biométriques les plus strictes aux États-Unis, régissant la collecte, l’utilisation et la gestion des données biométriques par les entités privées. De nombreux autres États ont également introduit ou adopté des lois similaires régissant la collecte, l’utilisation et le stockage des renseignements biométriques.

À mesure que cette technologie évolue et s’intègre de plus en plus dans la prestation de services et les fonctions commerciales, les réglementations continueront de changer, tout comme les expositions des organisations. De nombreux assureurs commencent à constater une augmentation des réclamations liées à l’utilisation des identifiants biométriques.

Les coûts sous-estimés des atteintes à la vie privée

Ces dernières années, les réclamations en matière de responsabilité ont augmenté, tout comme les valeurs des règlements. Bien que de nombreux litiges liés à la vie privée n’aient pas encore été tranchés, les dépenses juridiques, les frais et les règlements associés sont devenus plus fréquents, engendrant des coûts financiers pour les organisations.

Alors que les incidents de logiciel de rançon attirent souvent l’attention des médias, il est également important de noter que chaque fois qu’une atteinte à la protection des données se produit, des actions réglementaires et des coûts de litige s’appliquent presque toujours. Et dans les cas de logiciel de rançon, qu’une organisation paie ou non une rançon, le coût moyen de récupération est désormais 10 fois supérieur au montant de la rançon.

Une méthode courante pour quantifier une atteinte est le coût par enregistrement, c’est-à-dire le montant moyen que chaque élément violé coûte. Par exemple, si 100 enregistrements sont violés et que le coût total est de 1 000 $ US, cela revient à 10 $ US par enregistrement.

Cependant, le coût par enregistrement peut parfois être trompeur. Le Centre de renseignements sur les cyberrisques de Marsh McLennan (CICR) a découvert que les coûts directs d’un incident lié aux enregistrements ne sont pas une fonction linéaire du nombre d’enregistrements, mais ont plutôt des coûts initiaux élevés et des caractéristiques marginales décroissantes à mesure que le nombre d’enregistrements augmente.

Par exemple, prenons le cas d’une violation de 10 000 enregistrements. Le CRIC a constaté que cela entraînera presque toujours un coût d’au moins 10 000 $ US, soit 1 $ US ou plus par enregistrement. Si l’on extrapole, cela laisserait entendre qu’une violation de 10 millions d’enregistrements coûterait 10 millions de dollars US, voire plus. Cependant, l’analyse montre que les coûts n’atteindraient ce niveau que dans 1 % des cas, et seraient plus souvent de l’ordre de 100 000 $ US.

Une telle analyse devient cruciale pour décider où investir des ressources limitées dans la construction d’une stratégie de cyberrésilience.

La présence sur le Web caché augmente les risques de cybersécurité

Des recherches récentes du Centre de renseignements sur les cyberrisques de Marsh McLennan et de Searchlight Cyber se sont concentrées sur la corrélation entre le risque de cybersécurité d’une entreprise et son exposition sur le Web caché, une partie d’Internet largement utilisée comme canal de communication par les cybercriminels.

L’étude a révélé une corrélation statistiquement significative entre la fréquence à laquelle le nom d’une entreprise est mentionné sur le Web caché dans des forums et d’autres espaces, et une probabilité accrue de cyberattaque. « En clair : la présence de toute information liée à une organisation sur le Web caché (sans exception) était associée à une probabilité plus élevée d’atteinte. »

L’analyse a démontré que les facteurs de menace externes sont significativement corrélés à la fréquence des incidents de cybersécurité, y compris les atteintes à la vie privée.

Trois stratégies pour atténuer les risques liés à la vie privée

Il est important de ne pas laisser les risques liés à la vie privée être relégués au second plan dans le cadre d’une approche plus large de la cybersécurité. Voici trois stratégies pour aider les responsables des risques et les comités de direction à mettre ces risques en priorité et à les aborder selon un cadre comprendre, mesurer et gérer.

1. Comprendre : connaître votre environnement réglementaire

La collecte, l’utilisation, la divulgation et la destruction des informations sont régies différemment selon votre État, pays ou région.

Le Global Privacy Law and Data Protection Authority (DPA) Directory est une ressource en ligne qui compile des informations sur les lois relatives à la vie privée et les réglementations sur la protection des données dans le monde, y compris les cadres juridiques, les dispositions clés et les autorités responsables de l’application de ces lois. Par exemple, le Règlement général sur la protection des données (RGPD) est une loi exhaustive visant à unifier les réglementations sur la protection des données dans l’Union européenne.

Aux États-Unis, la Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale conçue pour protéger les informations de santé des personnes, bien que la protection des données en général soit réglementée par secteur, industrie et État. La Californie, par exemple, a mis en place la California Consumer Privacy Act (CCPA), qui présente de nombreuses similitudes avec le RGPD, mais qui s’applique uniquement aux résidents de l’État.

Dans les pays d’Amérique latine et des Caraïbes, les lois strictes sur la protection des données ont été relativement rares, mais cela est en train de changer. Par exemple, la Lei Geral de Proteção de Dados Pessoais (LGPD, Loi générale sur la protection des données) du Brésil lance de nouvelles réglementations sur la manière dont les internautes et les entreprises brésiliens collectent, traitent et utilisent les informations personnelles.

Au Moyen-Orient, les Émirats arabes unis, l’Arabie saoudite, Oman, la Jordanie et l’Égypte ont promulgué leurs propres lois sur la protection des données personnelles, à différents stades de mise en œuvre et d’application pratique. De nombreux territoires du Moyen-Orient prévoient de suivre cet exemple, en adoptant pour la première fois des lois autonomes sur la protection des données ou en mettant à jour les lois existantes pour les aligner sur les pratiques exemplaires internationales, soutenues par un engagement accru des gouvernements en faveur de la protection des données personnelles et des droits à la vie privée.

Loi sur la protection des informations personnelles (Chine)
Ordonnance sur la protection des données personnelles (Hong Kong)

Loi sur la protection des renseignements personnels

Règlement général sur la protection des données (Union européenne)
Loi fédérale révisée sur la protection des données (Suisse)

Digital Personal Data Protection Act (Inde)
Personal Data Protection Law (Arabie saoudite)
Protection of Personal Information Act (Afrique du Sud)

General Data Protection Law (Brésil)
Personal Data Protection Law (Mexique)
Personal Data Protection Law (Chili)
Personal Data Protection Law (Colombie)

Privacy Act 1988 (Australie)
Privacy Act 2020 (Nouvelle-Zélande)

Data Protection Act 2018

California Consumer Privacy Act
Health Insurance Portability and Accountability Act (HIPAA)

2. Mesurer : modéliser le risque et évaluer ses conséquences financières

Une autre étape pour atténuer les risques liés à la vie privée consiste à réaliser une évaluation des risques et des conséquences afin d’évaluer comment votre organisation collecte, utilise et diffuse les données. Les organisations doivent ensuite aller plus loin que simplement repérer leurs expositions et démontrer les retombées financières des incidents liés à la vie privée. La modélisation et la quantification des risques liés à la vie privée exigent généralement :

Faire l’inventaire de tous les processus de traitement des données, y compris la manière dont les informations sensibles sont collectées, utilisées et partagées.
Cartographier les flux de données pour comprendre comment les informations circulent à l’intérieur et à l’extérieur de l’organisation.
Développer des exercices de table pour tester plusieurs scénarios, y compris des événements isolés liés à la vie privée, des atteintes à la protection des données ou d’autres cyberattaques, ainsi qu’une gamme de facteurs, par exemple, le type d’informations sensibles concernées ou le nombre d’enregistrements compromis. Pour chaque scénario, estimer les coûts associés, y compris les coûts juridiques, opérationnels et de réputation.
Comparer les hypothèses avec les normes de l’industrie et les données historiques pour obtenir une image plus claire des amendes potentielles liées au non-respect des réglementations, des coûts de mise en œuvre des mesures de conformité nécessaires, ou des montants de garantie et des franchises passées qui pourraient influencer les dépenses directes.

L’évaluation doit également prendre en compte les risques liés aux tiers, surtout étant donné que 60 % des organisations travaillent avec plus de 1 000 d’entre eux.

Les questions suivantes constituent un point de départ utile pour examiner les risques liés aux tiers, en particulier pour les organisations qui s’appuient sur des fournisseurs pour la technologie, les biens et services, ou le partage d’informations concernant les clients ou les employés :

Quel est votre processus de sélection des tiers?
Comment vos tiers utilisent-ils les données que vous leur fournissez, qu’il s’agisse de données relatives à vos employés, clients, services ou autres domaines?
Quelle visibilité avez-vous sur leurs pratiques de gestion des données?

3. Gérer : mettre l’accent sur la gestion transversale et le transfert des risques

Les risques liés à la vie privée s’inscrivent dans un large spectre de préoccupations en matière de cybersécurité. Comme toujours, les progrès dans la gestion des risques résultent d’un effort cumulatif. Les responsables des risques et les leaders en cybersécurité doivent collaborer et s’aligner sur une stratégie commune.

De la réalisation de vérifications périodiques des risques liés à la vie privée à l’élaboration et à la formation des équipes sur les plans d’intervention en cas d’incident, la clé de l’alignement est de mettre en place une compréhension commune dans l’ensemble des entreprises. Les parties prenantes concernées doivent savoir quoi faire, à quel moment et pour quelle raison, si un risque lié à la vie privée s’intensifie.

Les exercices de table sont un moyen efficace de réaliser une coordination transversale en cas d’incident lié à la vie privée. Des exercices de table bien conçus doivent tester plusieurs scénarios, y compris des événements isolés liés à la vie privée, des atteintes à la protection des données et d’autres cyberattaques.

De nombreux incidents liés à la vie privée impliquent des informations sur les employés ou les clients, ce qui renforce la nécessité d’impliquer les responsables des ressources humaines et d’autres parties prenantes de l’organisation. Faire appel à un conseiller en risques tiers peut vous aider à mesurer les risques liés à la vie privée avec une plus grande précision et efficacité, tout en garantissant que cela reste une priorité continue. En démontrant un engagement envers la protection des données et la vie privée, vous pouvez également montrer aux employés et aux clients que vous faites preuve de diligence raisonnable pour maintenir un environnement de travail sûr et responsable.

Ces stratégies de gestion du risque doivent fonctionner en tandem avec une stratégie de transfert des risques réfléchie pour vous protégé de façon adéquate contre les pertes potentielles. L’exercice de quantification des risques peut éclairer votre approche de transfert des risques en évaluant minutieusement vos expositions liées à la vie privée et en vous aidant à obtenir une couverture d’assurance adaptée et complète.

De même, réduire la probabilité et l’impact d’une perte due à un risque lié à la vie privée devrait inclure la vérification que les tiers avec lesquels vous travaillez disposent d’une couverture adéquate et de pratiques de protection de la vie privée répondant aux besoins de votre organisation.

Une bonne pratique en cybersécurité commence par la cohérence

En mettant en priorité la collaboration transversale et une approche globale de la gestion des cyberrisques, les organisations peuvent protéger et gérer correctement les informations sensibles, tout en renforçant leur résilience organisationnelle.

Les leaders peuvent contribuer à établir une culture de bonnes pratiques en cybersécurité, notamment par des audits périodiques des processus de gestion des données, la formation des employés sur les politiques de confidentialité et la sensibilisation à l’échelle de l’entreprise aux réglementations en vigueur. Cette approche doit être revue régulièrement, avec des exercices de simulation réalisés au moins une fois par an, compte tenu de l’environnement dynamique de la protection de la vie privée.

La capacité à s’adapter, à rester responsable et à explorer de nouvelles possibilités d’amélioration constituera un avantage concurrentiel, aujourd’hui et à l’avenir.

Pour en savoir plus sur les retombées des risques liés à la vie privée et sur la meilleure façon de les gérer, contactez votre représentant Marsh.