Violation de données

Une violation de données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles ont été consultées ou exposées à des entités non autorisées. Les violations de données surviennent dans des organisations de toutes tailles, des écoles aux petites entreprises en passant par les grandes entreprises. Ces incidents peuvent exposer des informations protégées ou des informations de santé personnelles (PHI), des informations permettant d'identifier une personne (PII), de la propriété intellectuelle, des informations classifiées ou d'autres données confidentielles.

Certains types d'informations personnelles protégées incluent :

• Numéros de permis de conduire
• Dossiers médicaux
• Biométrie
• Documents financiers 
• Numéros de sécurité sociale 
• Casier judiciaire

Pour les entreprises, les données sensibles peuvent également inclure les listes de clients, le code source, les informations de carte de crédit et de débit, les données des utilisateurs et d'autres informations sensibles.

Les violations de données peuvent être causées par différents types de cyberattaques, tels que les logiciels malveillants, les virus, les attaques de phishing, les rançongiciels, ou le vol de dispositifs physiques. Les violations de données peuvent également être dues à des erreurs de configuration, des vulnérabilités de sécurité non corrigées, des initiés malveillants, ou d'autres types d'erreurs internes. Permettre à des personnes non autorisées d'accéder à un bâtiment ou à un étage, joindre ou partager le mauvais document, ou même mettre en copie la mauvaise personne dans un e-mail, tout cela peut potentiellement exposer des données et entraîner une violation de données significative.

De nombreux secteurs, en particulier les secteurs financier et de la santé, imposent des contrôles sur les données sensibles. Les directives sectorielles et les réglementations gouvernementales exigent de plus en plus des contrôles stricts, des règles de divulgation en cas de violation, ainsi que des sanctions ou des amendes pour les organisations qui ne protègent pas les données dont elles ont la charge.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) s'applique aux institutions financières et aux entreprises qui traitent des informations financières. La loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) réglemente qui a accès pour consulter et utiliser les PHI dans le secteur de la santé.

Le Règlement général sur la protection des données (RGPD) dans l'Union européenne renforce le contrôle et les droits des individus sur leurs données personnelles et prévoit des amendes importantes pour les organisations qui ne respectent pas la réglementation. D'autres pays disposent également de réglementations importantes en matière de protection des données. Les États-Unis possèdent plusieurs lois, au niveau fédéral et au niveau des États, visant à protéger les données personnelles des résidents américains.  

Les impacts négatifs pour une entreprise dus à une violation de données incluent des amendes ; des coûts liés à l’enquête, à l’atténuation et à la récupération après l’incident ; une perte de réputation ; des litiges ; et, dans certains cas, l’incapacité même de poursuivre l’activité.