La cybersécurité et la confidentialité des données sont constamment dans l’actualité. Les gouvernements adoptent de nouvelles lois sur la cybersécurité. Les entreprises investissent dans des contrôles de cybersécurité tels que les pare-feu, le chiffrement et la formation à la sensibilisation aux niveaux record.
Et pourtant, les gens perdent du terrain sur la confidentialité des données.
En 2024, le Centre de ressources d’identité de vol a indiqué que les entreprises avaient envoyé 1,3 milliard de notifications aux victimes de violations de données. C’est plus que le triple des avis envoyés l’année précédente. Il est clair qu’en dépit des efforts croissants, les violations de données personnelles continuent non seulement, mais accélèrent.
Que pouvez-vous faire de cette situation? Beaucoup de gens considèrent le problème de la cybersécurité comme un problème technique. Ils ont raison: les contrôles techniques sont un élément important de la protection des informations personnelles, mais ils ne suffisent pas.
En tant que professeur de technologies de l’information, d’analyse et d’opérations à l’Université de Notre Dame, j’étudie les moyens de protéger la vie privée.
Une solide protection de la confidentialité personnelle est composée de trois piliers: contrôles techniques accessibles, sensibilisation du public à la nécessité de la vie privée et des politiques publiques qui priorisent la confidentialité personnelle. Chacun joue un rôle crucial dans la protection de l’intimité personnelle. Une faiblesse de quiconque met l’ensemble du système en danger.
La première ligne de défense
La technologie est la première ligne de défense, gardant l’accès aux ordinateurs qui stockent les données et cryptent des informations lorsqu’ils se déplacent entre les ordinateurs pour empêcher les intrus de gagner un accès. Mais même les meilleurs outils de sécurité peuvent échouer lorsque mal utilisé, erroné ou ignoré.
Deux contrôles techniques sont particulièrement importants: cryptage et Authentification multifactrice. Ce sont l’épine dorsale de la confidentialité numérique – et ils fonctionnent mieux lorsqu’ils sont largement adoptés et correctement mis en œuvre.
Le chiffrement utilise des mathématiques complexes pour mettre des données sensibles dans un format illisible qui ne peut être déverrouillé qu’avec la bonne clé. Par exemple, votre navigateur Web utilise le chiffrement HTTPS pour protéger vos informations lorsque vous visitez une page Web sécurisée. Cela empêche toute personne sur votre réseau – ou tout réseau entre vous et le site Web – de écouter vos communications. Aujourd’hui, Presque tout le trafic Web est chiffré de cette façon.
Mais si nous sommes si doués pour chiffrer les données sur les réseaux, pourquoi souffrons-nous toujours de toutes ces violations de données? La réalité est que le chiffrement des données en transit n’est qu’une partie du défi.
Sécuriser les données stockées
Nous devons également protéger les données partout où elles sont stockées – sur les téléphones, les ordinateurs portables et les serveurs qui composent le stockage cloud. Malheureusement, c’est là que la sécurité est souvent absente. Le chiffrement des données stockées ou des données au repos n’est pas aussi répandue que de crypter des données qui se déplacent d’un endroit à un autre.
Bien que les smartphones modernes cryptent généralement les fichiers par défaut, il en va de même pour le stockage cloud ou les bases de données d’entreprise. Seulement 10% des organisations signalent Selon une enquête de l’industrie en 2024, au moins 80% des informations qu’ils ont stockées dans le cloud. Cela laisse une énorme quantité d’informations personnelles non cryptées potentiellement exposées si les attaquants parviennent à pénétrer. Sans cryptage, pénétrer dans une base de données, c’est comme ouvrir un classeur déverrouillé – tout ce qui est à l’intérieur est accessible à l’attaquant.
Surveiller
L’authentification multifactrice est une mesure de sécurité qui vous oblige à fournir plus d’une forme de vérification avant d’accéder à des informations sensibles. Ce type d’authentification est plus difficile à casser qu’un mot de passe seul car il nécessite une combinaison de différents types d’informations. Il combine souvent quelque chose que vous savez, comme un mot de passe, avec quelque chose que vous avez, comme une application pour smartphone qui peut générer un code de vérification ou avec quelque chose qui fait partie de ce que vous êtes, comme une empreinte digitale. Utilisation appropriée de l’authentification multifactrice réduit le risque de compromis de 99,22%.
Alors que 83% des organisations exigent Le fait que leurs employés utilisent l’authentification multifactorielle, selon une autre enquête de l’industrie, cela laisse encore des millions de comptes protégés par rien de plus qu’un mot de passe. Alors que les attaquants deviennent plus sophistiqués et que le vol d’identification reste répandu, combler cet écart de 17% n’est pas seulement une meilleure pratique – c’est une nécessité.
L’authentification multifactrice est l’une des étapes les plus simples et les plus efficaces que les organisations peuvent prendre pour prévenir les violations de données, mais elle Reste sous-utilisé. L’élargissement de son adoption pourrait réduire considérablement le nombre d’attaques réussies chaque année.
La sensibilisation donne aux gens les connaissances dont ils ont besoin
Même la meilleure technologie ne fait plus que des erreurs. L’erreur humaine a joué un rôle dans 68% des violations de données 2024selon un rapport Verizon. Les organisations peuvent atténuer ce risque par la formation des employés, la minimisation des données – ce qui signifie ne collecter que les informations nécessaires à une tâche, puis la supprimer lorsqu’elle n’est plus nécessaire – et des contrôles d’accès stricts.
Les politiques, les audits et les plans de réponse aux incidents peuvent aider les organisations à se préparer à une éventuelle violation de données afin qu’elles puissent endiguer les dommages, voir qui est responsable et apprendre de l’expérience. Il est également important de se prémunir contre les menaces d’initiés et les intrusions physiques à l’aide de garanties physiques telles que le verrouillage des salles de serveur.
La politique publique tient les organisations responsables
Les protections juridiques aident à tenir les organisations responsables pour garder les données protégées et donner aux gens le contrôle de leurs données. L’Union européenne Règlement général sur la protection des données est l’une des lois sur la confidentialité les plus complètes au monde. Il impose de solides pratiques de protection des données et donne aux gens le droit d’accéder, de corriger et de supprimer leurs données personnelles. Et le règlement général sur la protection des données a des dents: en 2023, Meta a été condamné à une amende de 1,2 milliard d’euros (1,4 milliard de dollars américains) lorsque Facebook a été trouvé en violation.
Malgré des années de discussion, les États-Unis n’ont toujours pas de loi fédérale en matière de vie privée. Plusieurs propositions ont été introduit au Congrèsmais aucun n’a traversé la ligne d’arrivée. À sa place, un mélange de réglementations de l’État et de règles spécifiques à l’industrie – telles que la loi sur l’assurance maladie et la loi sur la responsabilité pour les données de santé Et l’acte de gramm-lieach-bliley pour les institutions financières – combler les lacunes.
Certains États ont adopté leurs propres lois sur la vie privéemais ce patchwork laisse aux Américains des protections inégales et crée des maux de tête de conformité pour les entreprises opérant à travers les juridictions.
Les outils, les politiques et les connaissances nécessaires pour protéger les données personnelles existent – mais l’utilisation des personnes et des institutions est toujours absente. Un cryptage plus fort, une utilisation plus répandue de l’authentification multifactorielle, une meilleure formation et des normes juridiques plus claires pourraient empêcher de nombreuses violations. Il est clair que ces outils fonctionnent. Ce qui est nécessaire maintenant, c’est la volonté collective – et un mandat fédéral unifié – de mettre ces protections en place.
Cet article fait partie d’un Série sur la confidentialité des données Cela explore qui recueille vos données, quoi et comment ils collectent, qui vend et achète vos données, ce qu’ils en font tous et ce que vous pouvez faire à ce sujet.
Cet article édité est republié à partir de La conversation sous une licence créative Commons. Lire le article original.
