Mise en œuvre de la conformité à la règle du ministère de la Justice pour les transferts massifs de données personnelles sensibles

En 2024, le président Biden a publié un décret ordonnant au ministère de la Justice de réglementer le transfert de données gouvernementales américaines et de masse de données personnelles sensibles américaines vers des « pays préoccupants » - Chine, Cuba, Iran, Corée du Nord, Russie et Venezuela - ainsi qu'à des personnes ou des entreprises sous leur contrôle.

L'objectif du Décret est d'empêcher les adversaires américains d'acquérir des données susceptibles d'être utilisées à des fins d'espionnage ou pour entraîner des modèles d'IA susceptibles de constituer une menace pour la sécurité nationale des États-Unis ou de présenter un risque important de porter atteinte aux intérêts du gouvernement américain ou des citoyens américains.

La règle du programme de sécurité des données du ministère de la Justice atteint les objectifs de l'Ordre en interdisant ou en restreignant certains types de « transactions couvertes » (courtage de données, contrats de travail, contrats de fournisseur et contrats d'investissement) qui impliquent des quantités importantes de données personnelles sensibles appartenant à certaines catégories définies. D'une manière générale, plus les données sont sensibles, telles que les données génomiques ou biométriques, moins il faut d'instances pour être considérées comme « en masse ».

L'Ordonnance et la Règle indiquent clairement que leur objectif n'est pas d'imposer une exigence générale de localisation des données, comme nous l'avons vu dans des pays comme la Chine et la Russie. Bien que certains transferts soient interdits, des transactions restreintes peuvent avoir lieu à condition que les responsables du traitement aient mis en place des contrôles adéquats en matière de sécurité et de gouvernance des données, et clarifié les exigences en matière de confidentialité et de sécurité en aval pour les processeurs tiers au moyen de garanties telles que des clauses contractuelles spécifiques.

‍

L'intention n'est pas non plus d'entraver les échanges commerciaux ou scientifiques légitimes. La plupart des transferts de données personnelles ou financières relèveront probablement de l'exception pour les transactions commerciales normales, par exemple. Néanmoins, le gouvernement attend des organisations impliquées dans des transactions couvertes qu'elles « connaissent leurs données » et qu'elles « soient conscientes du type et du volume de leurs données ». C'est là que le DSPM devient essentiel.

Comprendre les capacités de découverte et de classification des données de Cyera

La plateforme de sécurité des données native IA de Cyera découvre les données de votre organisation dans les banques de données SaaS, PaaS, IaaS et DBaaS, ainsi que dans les ressources sur site. Vous verrez combien de banques de données vous possédez, combien d'enregistrements par banque de données, où résident les personnes concernées par ces enregistrements et qui y a accès. Et le déploiement sans agent de Cyera signifie que vous obtiendrez cette visibilité sur votre écosystème de données en quelques minutes, et non en quelques mois.

‍

En outre, le moteur de classification de Cyera est doté de classificateurs pré-entraînés, conformes à la plupart des principaux cadres réglementaires, ce qui lui permet d'étiqueter les informations personnelles identifiables (PII), les informations personnelles de santé (PHI) et diverses catégories d'informations financières personnelles telles que les numéros de carte de crédit et de compte bancaire. Les informations contextuelles incluent des informations d'identification telles que la région dans laquelle se trouve une banque de données ou le lieu de résidence des personnes concernées.

Outre ses classificateurs prêts à l'emploi, le DSPM de Cyera peut également apprendre les catégories de données propres à votre organisation. En moyenne, 20 à 40 % des données de nos clients appartiennent à l'une de ces classifications savantes, qu'il s'agisse d'informations personnelles telles que « l'identifiant de l'employé » ou de précieuses adresses IP telles que les « formules de produits » ou les « recettes ».

Bien que l'IA de Cyera puisse probablement identifier les catégories de données les plus importantes pour votre organisation, nos ingénieurs chargés de la réussite client sont prêts à vous aider à développer des règles personnalisées si nécessaire pour vous assurer de tirer le meilleur parti possible de votre déploiement. Grâce à des méthodes de classification prêtes à l'emploi et à notre moteur de politiques flexible, presque tous les cas d'utilisation commerciaux et réglementaires importants sont couverts. Comparé aux efforts manuels, Cyera offre une visibilité et une classification précise bien plus rapidement et à un coût nettement inférieur.

Au-delà des informations : remédiation et validation

Mais Cyera vous donne également le contrôle. Il surveille votre écosystème de données à la recherche de nouvelles banques de données et de nouveaux utilisateurs. Il identifie les utilisateurs à risque disposant d'autorisations excessives ou les utilisateurs obsolètes dont les comptes devraient être déprovisionnés. Il surveille les fuites d'autorisations et le partage excessif et, en identifiant la résidence de vos utilisateurs provenant de « pays préoccupants », il peut vous aider à vous conformer à l'ordonnance et à la règle du ministère de la Justice.

Non seulement vous pouvez explorer et voir qui a accès à vos données au sein de la plateforme Cyera, mais vous pouvez également définir des politiques pour alerter lorsqu'un nombre critique d'enregistrements d'une certaine catégorie de données (« Données financières personnelles », par exemple) sont découverts dans une banque de données accessible aux utilisateurs basés dans une région ou un pays particulier. Plus important encore, Cyera vous permet de transformer ces alertes en actions, en les intégrant à vos outils de flux de travail et en facilitant les mesures correctives automatisées. Il peut également envoyer des notifications directement aux parties prenantes concernées (par exemple, confidentialité, sécurité, conformité) par e-mail ou via Slack, avec des instructions pour une correction manuelle.

Cyera peut générer des journaux d'audit et des rapports, ce qui permet de documenter plus facilement l'étendue des transactions qui ont donné lieu à une analyse et à des mesures correctives prises à des fins de conformité au ministère de la Justice. Si les régulateurs fédéraux vous le demandent, vous pouvez tirer parti des capacités d'audit et de reporting de Cyera pour attester de la quantité et de la localisation des données personnelles sensibles dans votre écosystème de données, ainsi que de vos efforts pour limiter ou supprimer l'accès à vos données par les utilisateurs situés dans les pays concernés.

‍

La mise en conformité peut souvent sembler une tâche ardue, mais répondre aux exigences de la règle du programme de sécurité des données ne nécessite pas un effort herculéen. Le ministère de la Justice souhaite que les organisations connaissent leurs données et les protègent. Chez Cyera, c'est littéralement notre mantra. Et grâce à la visibilité et au contrôle offerts par Cyera, cela n'a jamais été aussi simple. Pour en savoir plus, demandez une démonstration dès aujourd'hui à Cyera.com.

‍