Barracuda full logo

Le vocabulaire de la confidentialité des données : violations, fuites et pertes de données

Thèmes:
18 mai 2023
|
Christine Barry

Des milliards de comptes et d'utilisateurs individuels ont été compromis par des violations et des fuites de données. Les types de données exposés dans ces incidents présentent différents niveaux de danger pour les victimes. Les entreprises, les écoles, les gouvernements et les autres entités ont différents niveaux de responsabilité en fonction du type et de la quantité de données perdues, et de l'existence ou non d'une violation relative à la protection des données.

Il n'y a pas de loi fédérale sur la confidentialité aux États-Unis qui couvre tous les types de données. Nous disposons d'une mosaïque de réglementations fédérales, nationales, sectorielles et associatives, ce qui est regrettable car cela crée une incertitude quant aux droits et aux responsabilités en matière de confidentialité des données.

Classifications d'exposition des données

Toute réponse mandatée par la justice à un événement de violation de données définira les événements qui seront réglementés. Ces définitions peuvent varier, mais les événements d'exposition se classent souvent en violations de données, en fuites de données ou en pertes de données. Ce sont des termes couramment utilisés dont la compréhension est largement partagée.  

  • Le terme violation de données fait référence à une exposition causée par une attaque intentionnelle. Lorsqu'un pirate s'introduit dans votre système pour en extraire des données, il s'agit d'une violation. Peu importe la manière dont le pirate s'y introduit. Tout acte intentionnel consistant à pénétrer dans le système de données et à voler ce qu'il contient constitue une violation de données.
  • Une fuite de données n'implique pas de vol intentionnel de données. Pour qu'il y ait fuite, il suffit que les données soient visibles par des utilisateurs non autorisés. Les données peuvent être exposées à cause d'une application mal configurée, d'autorisations inappropriées ou de toute autre erreur commise par un employé qui entraîne le partage des données en dehors du groupe d'utilisateurs prévu.
  • La perte de données est un événement qui se produit lorsque des données précieuses ou sensibles sont détruites ou ne peuvent pas être récupérées autrement. La perte de données peut se produire en cas de dommages physiques du système, de corruption de fichiers et de suppression accidentelle. Le terme fait également référence aux données chiffrées ou volées par un acteur malveillant. Ce terme est probablement celui dont la définition est la moins convenue des trois. Pour certains, la perte de données décrit uniquement les incidents impliquant la destruction des données, tandis que d'autres considèrent qu'elle inclut tout incident qui vous empêche d'accéder à vos données sensibles.

La plupart du temps, plusieurs classifications entrent en jeu. Une fuite de données peut entraîner à la fois une perte et une violation. Une violation peut entraîner une perte de données (on vous voit, les ransomwares). Et le processus de restauration/récupération après une perte de données peut entraîner par inadvertance des fuites de données.

Utiliser la réglementation HIPAA pour illustrer les différences

La loi américaine sur la portabilité et la responsabilité de l'assurance maladie de 1996 (HIPAA) régit la manière dont les informations de santé et les informations de santé protégées (PHI) sont protégées. L'HIPAA vise à protéger la confidentialité des patients tout en permettant aux professionnels de la santé de coordonner leurs activités avec celles d'autres prestataires et de participer à la recherche médicale à l'aide de données dépersonnalisées. La loi HIPAA inclut les règles de confidentialité, de sécurité et de notification de violation .

Je ne suis pas expert sur l'HIPAA ni d'autres réglementations. Le langage utilisé dans l'HIPAA nous aide simplement à illustrer différents types d'événements d'exposition.

Violation de données vs fuite de données

La règle de notification d'une violation définit une violation comme « une utilisation ou une divulgation non autorisée en vertu de la règle de confidentialité, qui compromet la sécurité ou la confidentialité des informations de santé protégées. »  

La règle stipule que toute « utilisation ou divulgation non autorisée » est une violation, sauf si l'entité ou l'associé couvert par la loi HIPAA peut indiquer une faible probabilité que les données PHI aient été compromises. Quatre facteurs sont à prendre en compte dans cette évaluation de probabilité, notamment « si les informations de santé protégées ont été réellement acquises ou consultées ». La loi HIPAA ne fait pas la distinction, mais un tel incident pourrait être considéré comme une fuite de données. Une fuite de données n'exige pas la même réponse qu'une violation de données.

Violation de données vs perte de données

En vertu du règlement sur la protection de la vie privée, les notifications de violation ne sont requises que si la violation concerne des informations de santé protégées non sécurisées.

« Les informations de santé protégées non sécurisées sont des informations de santé protégées qui n'ont pas été rendues inutilisables, illisibles ou indéchiffrables pour les personnes non autorisées par l'utilisation d'une technologie ou d'une méthodologie spécifiée par le secrétaire dans des directives. …

Les directives… précisent que le chiffrement et la destruction sont deux technologies et méthodologies visant à rendre les informations de santé protégées inutilisables, illisibles ou indéchiffrables pour des personnes non autorisées. »

Il peut s'agir d'un exemple de perte de données plutôt que de violation de données. Le don d'un serveur de fichiers hors d'usage contenant des PHI sur le disque dur pourrait ne pas constituer une infraction si le type de fichier est illisible sans l'application d'origine.  Il ne s'agit peut-être pas d'une interprétation exacte de la règle de notification de violation HIPAA, mais elle illustre bien la manière dont des données protégées peuvent être transférées à du personnel non autorisé sans que cela soit considéré comme une violation de données.  

Pourquoi la distinction est importante

Des intérêts divergents sont en jeu lorsqu'il s'agit de la confidentialité des données. Ce n'est pas toujours l'intention, mais c'est ainsi que les choses se passent dans de nombreux cas. Quels que soient vos intérêts, vous devez comprendre comment ils s'intègrent dans l'ensemble.

Les chefs d'entreprise doivent comprendre leur environnement réglementaire et leurs responsabilités en matière de conformité. L'entreprise peut être en mesure de limiter les coûts liés à un incident d'exposition des données si elle bénéficie de conseils d'experts dans ce domaine. Il convient de consulter un conseiller juridique et d'autres experts en la matière. Les chambres de commerce et autres associations professionnelles organisent souvent des événements sur ces sujets et peuvent parfois mettre une entreprise en contact avec une personne de confiance.

Les consommateurs doivent savoir que l'exposition des données ne déclenche pas forcément une notification ou une réponse de la part de l'entité compromise. Il est également utile pour le public de comprendre qu'une fuite de données peut être détectée et corrigée, sans que les données n'aient été vues par un tiers. La confidentialité des données peut être un sujet agaçant pour les consommateurs, car elle est dissimulée dans des petits caractères et du jargon juridique qui ne peut être négocié. C'est en comprenant le vocabulaire de la confidentialité des données que les consommateurs peuvent comprendre et faire appliquer leurs droits.

Les chercheurs ont besoin d'une visibilité totale sur les incidents à l'origine des expositions de données. En début de semaine, nous avons évoqué le manque d'informations sur les attaques par ransomware dans le secteur de la santé. L'absence de rapports complets masque l'ampleur du problème et nous prive de toute information qui pourrait être utile. En outre, notre environnement législatif pourrait ne pas être suffisamment réactif pour s'adapter en cas de besoin. Des chercheurs du secteur de la santé ont émis l'hypothèse que des violations avaient été signalées tardivement ou n'avaient pas été signalées en raison de la confusion entourant les ransomwares et la règle de notification. Des chercheurs du secteur de la santé ont suggéré que la confusion autour des ransomwares et de la règle de notification des violations de données a conduit à ce que certaines violations de données soient mal classées et ne soient pas signalées.   

On attend des législateurs et des responsables politiques qu'ils prennent des décisions fondées sur des données. Il n'est pas possible de prendre les décisions les mieux éclairées si l'on ne dispose pas des meilleures données existantes. Les législateurs veulent généralement protéger les consommateurs sans créer de charges inutiles sur les entreprises. Ils sont mieux placés pour le faire lorsqu'ils ont accès à toutes les informations pertinentes.

Et ensuite ?

L'étape suivante consiste à vous assurer que vous disposez de mots de passe uniques partout. C'est toujours l'étape suivante et il faut toujours vérifier. Vous pouvez également vérifier la base de données des violations pour voir si votre e-mail ou votre mot de passe a été compromis.

Les informations sur la confidentialité des données sont disponibles auprès de la Cybersecurity & Infrastructure Security Agency (CISA), du National Institute of Standards and Technology (NIST), de la Federal Trade Commission (FTC) et de nombreuses autres institutions publiques, privées et éducatives.

Enfin, n'hésitez pas à revenir pour en savoir plus sur ce sujet. Nous publierons un autre article sur la confidentialité des données dans les semaines à venir.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Aligner la cybersécurité avec les besoins et exigences de l'entreprise
Aligner la cybersécurité avec les besoins et exigences de l'entreprise
 Dans le domaine de la cybersécurité, la nécessité reste mère de l’invention
Dans le domaine de la cybersécurité, la nécessité reste mère de l’invention
 Chiffrement vs. cryptographie : quelle est la différence (et pourquoi est-ce important ?)
Chiffrement vs. cryptographie : quelle est la différence (et pourquoi est-ce important ?)
 Le décret Trump pourrait créer de nouveaux défis en matière de sécurité
Le décret Trump pourrait créer de nouveaux défis en matière de sécurité
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.