Les interactions entre la conformité CCPA et les solutions de sécurité.

Par Oren T. Dvoskin, directeur du marketing mondial, Sasa Software

Introduction 

La California Consumer Privacy Act, AB 375 («CCPA») a été promulguée en juin 2018 et est entrée en vigueur le 20 janvier 2020. Les dispositions de la CCPA vont potentiellement bien au-delà du règlement général sur la protection des données («RGPD») de l'Union européenne. En conséquence, le moment est venu d'examiner et de garantir la conformité au CCPA, en particulier pour les organisations qui se sont appuyées sur la conformité au RGPD pour éviter les sanctions réglementaires.

Bien qu'une infrastructure de sécurité solide soit vitale pour les exigences supplémentaires de CCPA, à moins qu'elle ne soit soigneusement surveillée, elle peut toujours être une source de perte de données. Dans cet article, nous expliquons comment le désarmement et la reconstruction de contenu («CDR») peuvent contribuer à la fois à la conformité réglementaire et à une protection efficace contre la perte de données et les conséquences néfastes supplémentaires.

Ensemble, la mise en œuvre de mesures pour respecter ces normes réglementaires, ainsi que toutes les mesures pour assurer la confidentialité, l'intégrité et l'accessibilité des données sensibles, peuvent faire la différence entre un leader de l'industrie et un concurrent qui essaie toujours de rattraper son retard.

Rencontrez l'ACCP

La Californie a toujours été connue comme un État progressiste pour protéger les droits des consommateurs et la vie privée des individus. Bien que cela ait été bénéfique à bien des égards pour ses résidents, de nouvelles lois et réglementations ont également ouvert une opportunité pour les avocats plaidants privés de contester les entreprises pour non-conformité. Les entreprises doivent intensifier leur action pour se protéger, compte tenu notamment des amendes importantes qui peuvent être imposées en cas de violation. La loi inflige jusqu'à 7,500 XNUMX $ d'amende par infraction recordet les sanctions peuvent augmenter de façon exponentielle au fil du temps avec des incidents accumulés. Au-delà de la protection des données, l'ACCP vise à assurer la transparence de l'utilisation des informations et garantir que les données conservées sont à la fois sécurisées et facilement accessibles.

Impact sur la vie privée et portée de l'ACCP

La réglementation CCPA oblige les entreprises à assurer une grande transparence dans la manière dont elles collectent, partagent et utilisent données personnelles et de consommation collectées à partir de janvier 2020; et entreprise à entreprise (B2B) Les données sont couvertes à partir de 2021. Les consommateurs auront le droit d'accéder aux données personnelles collectées au cours des 12 derniers mois, classées entre vendues et transférées, pour leur permettre de comprendre comment des groupes d'entreprises partagent des informations pour créer des profils comportementaux, comportementaux et prédictifs. Les demandes de données aux consommateurs doivent être fournies en temps opportun et dans un format exportable convivial. Les entreprises seront obligées de construire des infrastructures pour remplir ces mandats. Les entreprises seront également tenues de proposer des options de retrait pour limiter la vente ou le partage des données des consommateurs avec des tiers. Ces liens de désinscription doivent être affichés bien en vue sur leurs sites Web. Sous certaines conditions, les consommateurs peuvent exiger la suppression des données personnelles des magasins de données de l'entreprise.

Alors que le CCPA est présenté comme le RGPD de la Californie - il ne se limite pas aux résidents de la Californie, car il couvre presque toutes les organisations et entreprises travaillant en Californie. Avec des géants de la technologie tels que Facebook, LinkedIn, Google et Apple, tous basés en Californie, l'impact de la CCPA est potentiellement mondial. Les entreprises qui ont déjà investi pour soutenir le RGPD peuvent avoir une longueur d'avance. Bien qu'il y ait un certain chevauchement entre le RGPD et l'ACCP, plusieurs politiques, processus et systèmes devront encore être mis à jour pour corriger les différences entre les deux lois; la principale d'entre elles est l'exigence d'un accès public transparent à tous les dossiers personnels stockés par les entreprises, y compris une liste complète de tous les tiers avec lesquels les informations ont été partagées. Les entreprises disposent d'un délai de 30 jours pour remédier aux violations signalées par les régulateurs ou les particuliers.

Impact sur la sécurité 

Une infrastructure de sécurité informatique solide est à la base de la prévention de l'exfiltration des données et également de la minimisation de l'exposition aux violations de la CCPA. Pourtant, les systèmes de sécurité eux-mêmes ne doivent pas être une source de fuite de données et ne doivent pas être vulnérables à un tiers avec lequel les informations de confidentialité sont partagées. Avec l'adoption spectaculaire des services de sécurité basés sur le cloud, cette exigence devient de plus en plus difficile à appliquer.

Selon le rapport d'enquête de Verizon Data Breach (DBIR), les documents militarisés sont le principal vecteur d'attaque sur les organisations, ce qui entraîne des pertes de données liées au piratage. À titre d'exemple, à la mi-décembre 2019, le Cyber ​​Command israélien a émis un avertissement à la suite de dizaines d'incidents où des documents sensibles ont été trouvés sur plusieurs plates-formes d'analyse de logiciels malveillants dans le cloud. Les fichiers étaient invariablement téléchargés par les solutions de sécurité déployées par les organisations, ainsi que par les analystes de sécurité souhaitant interroger des fichiers spécifiques. Une analyse rigoureuse, en particulier des attaques basées sur des fichiers autrement indétectables, est une nécessité pour surmonter ces vulnérabilités.

Entrez le désarmement et la reconstruction du contenu (CDR) 

Content Disarm and Reconstruction (CDR), est une technologie efficace pour la prévention des attaques indétectables basées sur des fichiers car elle transforme tout le contenu entrant en une copie inoffensive qui peut être utilisée en toute sécurité. Comme l'a examiné Gartner dans son récent cycle de battage médiatique pour les technologies de gestion des menaces, «le CDR protège contre les exploits et le contenu armé qui n'ont jamais été vus auparavant.» Les forces de défense, les agences de renseignement et les infrastructures critiques d'Israël ont été les premiers à adopter le CDR, ce qui en fait la meilleure pratique de sécurité fondamentale.

Sasa Software, détenu par Kibbutz Sasa en Israël, s'est imposé comme le leader de cette technologie, aidant à l'étendre de l'utilisation gouvernementale aux applications commerciales. GateScanner CDR de Sasa Software combine des scanners multi-AV hautement optimisés, ainsi que la détection NextGen, pour empêcher les attaques malveillantes connues et avancées. Ces modalités sont intégrées à la reconstruction de fichiers propriétaires pour empêcher les attaques indétectables, y compris Zero Day Exploits et Ransomware, tout en maximisant à la fois la sécurité et l'utilisabilité des fichiers résultants. La technologie protège de nombreux cas d'utilisation, notamment les supports portables (USB), les e-mails, les téléchargements de documents, les téléchargements par navigateur, la segmentation du réseau et plus encore. La solution peut être déployée en tant que service (SaaS) ainsi que pour protéger les réseaux OT et ICS.

GateScanner a été initialement conçu pour protéger les réseaux à vide, il a donc été construit sans avoir besoin d'un accès Internet ou d'une connectivité cloud tierce. Toutes les opérations sont effectuées dans une appliance physique ou virtuelle hautement sécurisée qui est déconnectée lors du traitement des fichiers. Avec une conception basée sur des mesures de sécurité et de confidentialité strictes, la solution revient également à l'état «zéro» de sécurité après chaque scan, ne stockant jamais de copies des informations traitées. GateScanner peut également aider à prévenir les fuites d'informations puisque le processus peut être appliqué en mode «DLP», en analysant les fichiers sortants et en appliquant les politiques de confidentialité.

Conclusion

La préparation du CCPA nécessite à la fois des protocoles de transparence dédiés et une sélection rigoureuse des infrastructures de cybersécurité. Un examen minutieux doit être appliqué pour déterminer l'efficacité de la sécurité fournie par les solutions et la manière dont elles abordent les problèmes de confidentialité exigés par l'ACCP. Les documents et les fichiers sont vitaux pour le fonctionnement de chaque organisation, mais constituent une préoccupation majeure en tant que vulnérabilité de sécurité, ainsi qu'une source potentielle de perte de confidentialité. Sasa Software est un leader mondial du CDR et intègre des procédures de sécurité et de confidentialité efficaces pour protéger les organisations contre les attaques avancées et assurer la conformité à la confidentialité.

À propos de l’auteur

Oren T. Dvoskin, est le directeur marketing mondial de Sasa Software, avec plus de 10 ans d'expérience dans le développement commercial, les ventes et l'entrepreneuriat. Avant Sasa Software, Oren était le directeur du développement commercial de BeatMed Inc., un marché en ligne de premier plan pour les soins de santé. Avant BeatMed, Oren a occupé des postes de direction dans l'industrie des dispositifs médicaux et de la santé. Son expérience en affaires a été précédée d'une longue carrière en R&D, y compris des postes de direction dans l'armée de l'air israélienne. M. Dvoskin est titulaire d'un MBA du Technion, Institut israélien de technologie et d'un diplôme de premier cycle en informatique du Centre interdisciplinaire, Herzliya.

C'est un cycliste passionné et un activiste social, ayant représenté Israël aux Summer Deaflympics.

Oren est joignable à orend@sasa-software.com, LinkedIn: linkedin.com/in/ordvoskin

Ou sur le site Internet de l'entreprise: www.sasa-software.com

Source : https://www.cyberdefensemagazine.com/gdpr-stand-aside-meet-ccpa/