Identification et sauvegarde des IPI (informations personnellement identifiables)

Qui voudrait que ses informations personnelles identifiables et ses données sensibles soient compromises et utilisées par quelqu'un pour des activités frauduleuses ? Mais la triste réalité, c'est que c'est devenu une pratique courante.

Il a été récemment révélé que près de 50 % des violations de données entre 2021 et 2023 concernaient des informations personnelles identifiables (IPI) de clients, et que 40 % de ces données provenaient d'employés. Ces données ont été enregistrées lors a enquête en octobre 2023.

Les informations d'ordre privé ne sont pas très compliquées, mais il est tout de même important de comprendre ce qu'elles sont et l'importance de les sécuriser. Ce guide contient toutes les réponses pour vous aider à protéger vos IIP et vous-même. 

Qu'est-ce qu'une IPI (information personnelle identifiable) ?

Les IPI, ou informations personnelles identifiables, sont des informations qui constituent une part importante de votre identité et qui peuvent vous désigner directement. 

Imaginez qu'il s'agit d'un code secret qui, seul ou associé à d'autres informations, peut révéler votre identité. Il ne s'agit donc pas seulement de votre nom et de votre adresse ; c'est comme les pièces d'un puzzle qui, une fois assemblées, créent l'image complète de "vous". 

Par exemple, supposons que vous vous appeliez John. Il y a beaucoup d'autres personnes dans le monde qui portent le même nom, c'est pourquoi il ne peut pas être considéré comme une IPI. Mais que se passe-t-il si vous vous appelez John Doe, que vous vivez à Manhattan et que vous avez un numéro de sécurité sociale AXY123 ? Ce numéro devient alors une IIP et peut vous identifier de manière unique par rapport à d'autres Jean vivant dans d'autres quartiers.

Les IIP peuvent être divisées en deux catégories : les IIP non sensibles et les IIP sensibles. Nous aborderons ce dernier point dans un instant.

Informations PII non sensibles et sensibles

Le ministère américain de la défense fournit une liste d'exemples en ce qui concerne les IPI. Des numéros de sécurité sociale aux adresses personnelles, tous ces éléments peuvent être considérés comme des informations personnelles identifiables.

Examinons les deux catégories distinctes d'IIP : 

IIP sensibles

Les IPI sensibles sont des informations qui permettent d'identifier très facilement une personne. Ce type d'IPI peut être préjudiciable à la personne à laquelle elles appartiennent si elles sont récupérées par un cybercriminel. 

Exemples d'informations sensibles permettant l'identification personnelle

• Numéro de sécurité sociale (SSN)
• Permis de conduire
• Adresse postale
• Informations sur la carte de crédit
• Informations sur le passeport
• Informations financières
• Dossiers médicaux

IIP non sensibles

Toute information, telle que le nom de jeune fille, qui permet d'identifier une personne mais ne peut être utilisée pour lui nuire est définie comme une IPI non sensible. 

Exemples d'informations personnelles identifiables non sensibles

• Prénom
• Code postal
• Course
• Genre
• Date de naissance
• Lieu de naissance
• Religion

Si vous ou une entreprise souhaitez collecter des IPI, ils devront utiliser des formulaires en ligne, des enquêtes et des médias sociaux, de préférence accompagnés d'un accord de non-divulgation. Lorsque vous fournissez vos IIP à quelqu'un, assurez-vous que cette personne dispose d'un plan adéquat pour l'utilisation, le stockage et la protection des informations.

Pourquoi les IPI sont-elles importantes ?

Les IPI sont essentielles car elles protègent vos données. Toute entreprise ou organisation qui détient vos IIP est légalement tenue de les protéger à tout prix. Elles garantissent la sûreté et la sécurité de vos informations personnelles.

Les entreprises peuvent utiliser vos informations à des fins multiples, par exemple :

• Publicité ciblée
• Prévention de la fraude
• Application de la loi
• Evaluation du crédit
• Contrôle de l'emploi

Comment les IPI peuvent-elles être volées ?

Les attaques telles que l'ingénierie sociale à l'aide d'un nom de domaine ou d'une adresse électronique usurpés, peuvent inciter les gens à révéler des IPI. Il est également possible que des informations privées soient divulguées par le biais d'un compte de messagerie piraté, d'une atteinte à la protection des données, etc.

Voici quelques moyens courants par lesquels les IPI peuvent être volées : 

1. Courriels d'hameçonnage: Faux courriels incitant les victimes à divulguer leurs informations personnelles
2. Violations de données: Des attaquants exploitent les vulnérabilités des systèmes pour violer des bases de données sensibles
3. Plongée dans la benne à ordures: Récupérer les documents supprimés de la poubelle qui contiennent des informations confidentielles.
4. Ingénierie sociale: Manipuler des victimes peu méfiantes pour qu'elles communiquent des informations personnelles.
5. Logiciels malveillants: Logiciel malveillant qui s'infiltre dans les fichiers contenant des informations confidentielles sur votre ordinateur.
6. Menaces d'initiés : Vos propres employés divulguent des informations confidentielles à des fins malveillantes ou pour gagner de l'argent.
7. Cyber-écoute: écoute des communications en ligne pour voler des informations confidentielles.
8. Comptes e-mail piratés: Accès à des comptes de messagerie pour lire des messages contenant des informations confidentielles.
9. Attaques de l'homme du milieu: Un attaquant intercepte les communications en ligne pour voler des informations personnelles.
10. Attaques brutales: Obtenir un accès non autorisé à des comptes en recourant à la force brute, par exemple en effectuant des rappels constants, et voler ensuite des informations personnelles.

Méthodes de protection des IPI

Plusieurs pays ont adopté des lois sur la protection des données afin d'établir des lignes directrices pour les entreprises qui collectent, stockent et partagent les informations personnelles de leurs clients. Voyons comment vous pouvez protéger vos IPI.

• Utilisez des mots de passe robustes chaque fois que cela est nécessaire.
• Soyez prudent quant aux informations que vous partagez en ligne.
• Surveillez régulièrement vos rapports de crédit pour y déceler des signes de fraude.

Si vous êtes propriétaire d'une entreprise, vous devriez prendre en compte les mesures mentionnées ci-dessous :

• Ne collecter que les IIP nécessaires à la fourniture d'un service spécifique.
• Le cryptage utilisé par les entreprises doit être solide pour empêcher l'accès non autorisé aux informations personnelles de leurs employés et de leurs clients.
• L'accès aux IPI doit être limité aux seuls employés qui en ont besoin dans l'exercice de leurs fonctions.
• Une session de formation devrait être organisée pour former les employés à la protection des IPI.
• Gardez toujours un œil sur les failles de sécurité qui pourraient survenir soudainement.
• Un plan d'intervention en cas de violation de données doit être mis en place afin de pouvoir être utilisé rapidement pour répondre à une violation de données et minimiser les dommages.

Le ministère américain de la sécurité intérieure a également publié un document perspicace document qui explique comment protéger et partager vos IPI en toute sécurité.

Importance de la protection des informations nominatives contre les violations de données

Une violation de données se produit lorsqu'une personne non autorisée par l'entreprise accède aux systèmes informatiques, ce qui peut conduire à l'acquisition d'informations sensibles. 

Au cours de nos recherches, nous avons trouvé une étude montrant que plus de 6 millions d'enregistrements ont été violés dans le monde en 2023. C'est l'un des facteurs les plus préoccupants pour les chefs d'entreprise.

Ces violations de données peuvent survenir pour diverses raisons, comme par exemple :

• Logiciel malveillant
• Piratage
• Erreurs humaines

Les entreprises peuvent suivre les pratiques mentionnées ci-dessous pour protéger leurs données contre les violations :

• Mettre en œuvre des mesures de sécurité appropriées.
• Sensibiliser leurs employés aux meilleures pratiques dans le domaine de la cybersécurité de la cybersécurité.
• Disposer d'un plan de réponse et de remédiation en cas de violation soudaine des données.

Lois et règlements sur les IPI

Les IIP sont régies par de nombreuses lois et réglementations. Celles-ci garantissent la protection de la vie privée des personnes et leur évitent d'avoir à s'inquiéter de menaces telles que l'usurpation d'identité. Voici quelques-unes de ces lois fédérales :

1. Loi sur la protection de la vie privée de 1974

La loi sur la protection de la vie privée loi sur la protection de la vie privée de 1974 fixe les règles applicables aux agents fédéraux en matière de collecte, d'utilisation et de divulgation des IPI. Cette loi impose également aux agences fédérales de faire savoir aux personnes si elles peuvent divulguer leurs IPI, et des sanctions sont prévues en cas de non-respect de cette obligation. Il existe toutefois des cas particuliers et des exceptions.

2. Loi sur la portabilité et la responsabilité en matière d'assurance maladie

Il y a ensuite l'HIPAA, la loi sur la portabilité et la responsabilité en matière d'assurance maladie. Health Insurance Portability and Accountability Act (loi sur la portabilité et la responsabilité de l'assurance maladie)le super-héros des dossiers médicaux. Elle exige que les institutions et les prestataires de soins de santé gardent secrètes les informations relatives aux patients et ne divulguent pas leurs dossiers médicaux sans leur consentement.

3. Loi sur la liberté de l'information

Et n'oubliez pas la FOIA, la loi sur la liberté d'information. Freedom of Information Act (loi sur la liberté d'information). C'est le ticket d'or pour ceux qui veulent fouiller dans les dossiers gouvernementaux. Elle dit aux agences fédérales : "Montrez vos cartes, sauf si elles sont très secrètes". En gros, c'est le laissez-passer du public pour les coulisses de l'information gouvernementale ! Toutefois, la FOIA joue également le rôle de protecteur des IIP en demandant aux organismes chargés de l'application de la loi de ne pas divulguer les informations susceptibles de permettre l'identification d'une personne ou de lui porter préjudice.

4. Règlement général sur la protection des données (RGPD) 

En 1995, il y a eu une directive sur la protection des données, mais plus tard, GDPR a pris le relais pour protéger les informations personnelles. Désormais, toute entreprise traitant des données personnelles de citoyens de l'UE, qu'elle soit basée dans l'UE ou ailleurs (oui, même aux États-Unis !), doit suivre le même ensemble de règles.

La non-conformité peut entraîner de lourdes amendes - 4 % de votre chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé - en cas de violation de certaines dispositions. De plus, les individus ont le droit de se plaindre s'ils pensent que leurs droits en vertu du GDPR ont été violés. 

N'oubliez pas que le GDPR est le shérif mondial de la confidentialité des données, qui veille à ce que les entreprises ne fassent pas n'importe quoi avec les informations personnelles des gens. C'est le gardien de vos données, qui veille sur le monde numérique.

Comment les entreprises peuvent-elles protéger les données de leurs clients ?

Les entreprises qui cherchent à améliorer leur sécurité peuvent s'inspirer de ces conseils pratiques :

• Mettre en œuvre la segmentation du réseau : C'est un peu comme si vous érigiez des murs dans votre royaume numérique. Si l'une des zones est violée, les autres peuvent rester solides. C'est comme si vous aviez des compartiments secrets dans votre coffre-fort.
• Appliquer les politiques et les procédures de sécurité : Fixez les règles et veillez à ce que tout le monde les respecte. C'est comme avoir un manuel de sécurité - tout le monde sait ce qui est autorisé et ce qui est interdit.
• Sauvegarder fréquemment les données : Imaginez vos données comme un trésor et vos sauvegardes comme une cachette secrète. Si les pirates arrivent (c'est-à-dire en cas de violation des données), vous pourrez toujours compter sur votre réserve secrète. 
• Établir un plan d'intervention complet en cas d'atteinte à la protection des données : Planifiez chaque action, de la détection des problèmes à leur résolution. 

Impact de l'usurpation d'identité et de l'utilisation abusive d'informations nominatives

L'usurpation d'identité n'est pas une plaisanterie - elle peut entraîner de sérieux maux de tête financiers. Imaginez que quelqu'un se fasse passer pour vous et se lance dans des achats frénétiques ou contracte des prêts en votre nom sans vous demander votre avis - ou pire, se livre à des activités illégales ! 

L'usurpation d'identité et le vol d'informations personnelles peuvent conduire à : 

1. Dommages financiers graves 
2. Détresse émotionnelle et anxiété 
3. Troubles juridiques pour les délits commis en votre nom
4. Perte de crédibilité et de réputation dans l'industrie 
5. Perte de confiance des clients

Le mot de la fin

Les courriels d'hameçonnage qui usurpent l'identité de votre nom de domaine constituent un vecteur courant de récupération des informations personnelles. Nous recommandons la mise en place d'un serveur DMARC pour vos emails et vos domaines afin de rester à l'abri de ce genre d'attaques. Et il n'y a pas de meilleure façon de configurer et de surveiller votre mise en œuvre en toute sécurité que PowerDMARC ! Nous sommes une équipe d'experts en sécurité de domaine qui se spécialise dans l'aide à la réduction de la fraude par courriel grâce à l'authentification. Contactez-nous dès aujourd'hui pour un essai DMARC gratuit!

N'oubliez pas de partager le moins possible d'informations personnelles sur l'internet ! Restez prudent et vigilant en ligne.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• La blockchain peut-elle contribuer à améliorer la sécurité des courriels ? - 9 mai 2024
• Proxy pour centres de données : Dévoiler le cheval de bataille du monde des proxys - 7 mai 2024
• Kimsuky exploite les politiques DMARC "None" dans de récentes attaques de phishing - 6 mai 2024