Accueil Cyber Sécurité Qui paie la facture d’une violation de données ?

Qui paie la facture d’une violation de données ?

96
0

La violation de est presque inévitable – ce qui signifie qu’il est vital que les entreprises et leurs fournisseurs de services gérés (MSP) comprennent exactement qui est responsable et qui porte le poids financier.

Mais des recherches récentes révèlent que les entreprises et les MSP manquent étonnamment de clarté quant à leurs obligations légales et financières. Les contrats sont ambigus et les risques de querelles juridiques graves. La vérité est que lorsqu’une violation se produit et que des données sont exposées, aucune des parties ne gagne.

Plutôt que de jouer au jeu des reproches, la priorité doit être de protéger les données afin de s’assurer que même lorsqu’un attaquant perce, il n’y a rien à voir et rien à gagner.

Fardeau financier

Ces dernières années, la est devenue un enjeu au niveau du conseil d’administration – notamment depuis l’introduction d’amendes toujours plus punitives et de la responsabilité personnelle pour la protection des données sensibles. Pourtant, une récente recherche entreprise par Sapio Research pour le compte de Certes Networks confirme que beaucoup trop d’entreprises sont confient simplement la responsabilité à un fournisseur de services informatiques (ITSP) ou à un fournisseur de services gérés (MSP). – et s’attendre à ce que le fournisseur prenne en charge le coût financier en cas de violation des données.

Les entreprises qui emploient des organisations tierces pour appliquer des politiques de sécurité s’attendent à ce que les ITSP couvrent 48% des coûts en cas de violation des données. Étonnamment, 73% des ITSP se considèrent également responsables du paiement des amendes et des dommages et intérêts et pensent qu’ils devraient payer 51% des coûts.

La question de savoir si ces attentes peuvent être satisfaites au fur et à mesure qu’une violation se produit reste un champ de mines juridique. Plus critique encore, pour les cadres supérieurs personnellement responsables de la conformité en matière de sécurité et de protection de l’information, cette abdication de la responsabilité au profit d’un tiers résiste-t-elle à l’examen réglementaire ?

Perception erronée endémique

Comment le fait de s’appuyer sur un MSP ou un ITSP soutient-il l’approche de confiance zéro visant à séparer la responsabilité des politiques de l’administration du système ? Toute posture de sécurité doit être définie d’un point de vue commercial pour refléter la sensibilité de certains ensembles de données. Mais si la responsabilité est placée sur le MSP, l’ensemble de la posture de sécurité est à la fois définie et fournie par une équipe de sécurité réseau. Les accords contractuels n’auront aucun sens si un régulateur s’en prend durement à ce manque évident de séparation des tâches.

Lire aussi :  Scattered Spider exploite les failles de sécurité de Windows pour contourner la sécurité » TechWorm

De plus, d’un point de vue juridique, le propriétaire des données est responsable de toute violation de données – donc toute entreprise qui pense à tort que le MSP ou ITSP paiera la facture risque d’avoir une très mauvaise surprise.

Cette perception indique que beaucoup trop d’entreprises n’envisagent pas les véritables implications de la sécurité des données au bon niveau.

Les responsables de la protection des données et de la conformité, ainsi que les cadres supérieurs, sont-ils désormais personnellement responsables de la protection des données sensibles de l’entreprise, des clients et des partenaires impliqués dans ces décisions ? Si oui, croient-ils vraiment que demander à l’équipe de sécurité du réseau de désigner un MSP pour fournir un WAN SD est une approche adéquate de la protection des données et de la conformité ?

Exiger des garanties

Il est naïf d’attendre d’un expert en infrastructure de sécurité réseau qu’il comprenne toutes les implications des pertes financières et de réputation liées à une violation de données. Ce n’est pas dans leurs attributions. Ils sont responsables de la performance de l’infrastructure – pas de la valeur ou de l’assurance des données de l’entreprise.

Entreprises doivent s’approprier leurs données. – et cela signifie qu’il faut exiger que le MSP ou le PSTI fournisse un autre niveau de protection des données. Un MSP qui enveloppe la sécurité autour des données, plutôt que de s’en remettre à l’infrastructure du réseau, peut fournir aux chefs d’entreprise le assurance essentielle que les données sont protégées et conformes.

L’adoption d’un cryptage de couche 4, basé sur des politiques, garantit que la charge utile des données est protégée pendant tout son trajet – et comme seules les données utiles sont cryptées alors que les données d’en-tête restent en clair, cela signifie une perturbation minimale des services ou des applications du réseau. Avec des politiques de chiffrement basées sur la sensibilité des données de l’entreprise, l’entreprise peut réaliser une séparation claire entre la définition des politiques et la gestion des systèmes. Une victoire pour les responsables des données et les équipes de sécurité réseau.

Lire aussi :  Décharge des données confidentielles des écoliers britanniques

Conclusion

Cette recherche soulève une question très préoccupante tant pour les entreprises que pour les ITSP/ MSP. Quelle que soit la personne qui finit par payer la facture – et il y a de fortes chances qu’un long procès s’ensuive – personne ne gagne. Toute violation de données entraînera non seulement des coûts financiers immédiats, mais aussi des conséquences commerciales à long terme qui pourraient être dévastatrices pour les deux parties.

Alors pourquoi prendre ce risque ? Si une entreprise adopte une approche différente et exige cette couche supplémentaire de protection des données, il n’y a plus de problème de faute ou de coût.

L’entreprise ne compte plus sur un tiers pour protéger ses données, mais en prend elle-même la responsabilité. En chiffrant les données, d’une manière qui n’affecte pas les opérations commerciales, elles sont sauvegardées dans toute l’infrastructure fournie par le MSP ou le ITSP.

Simon Pamplin est directeur technique chez Certes Networks

Cyber Sécurité – A quel point es-tu confiant (complaisant ?)?:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t’inscrivant à l’abonnement. Abonnement Premium.

  • Individuel 5 £ par mois ou 50 £ par an. S’inscrire
  • Multi-utilisateur, entreprise &amp ; Comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé, organisé & accessible


” Cinq prédictions sur la sécurité des applications pour 2023
À venir – Les principaux cybercrimes en 2023 “
Article précédentA venir – Les principaux cybercrimes en 2023.
Article suivantCinq prédictions sur la sécurité des applications pour 2023.