Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > 7 secteurs d’activité pour lesquels le chiffrement est nécessaire
7 secteurs d’activité pour lesquels le chiffrement est nécessaire

7 secteurs d’activité pour lesquels le chiffrement est nécessaire

par Marcel Mock updated novembre 15, 2022 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Tous les secteurs d’activité ont besoin de protection adéquate pour assurer la protection des contenus sensibles. Des dossiers médicaux aux coordonnées bancaires, le chiffrement des données est devenu incontournable pour la plupart des entreprises, et ce quelle que soit leur taille. Les données personnelles et les entreprises qui les détiennent sont exposées. Et chaque sous-traitant, partenaire, client et prospect est également susceptible de subir des activités frauduleuses. 

Le chiffrement consiste à coder les données de sorte qu’elles ne puissent être déchiffrées et consultées seulement par les tiers autorisés. Nombreuses sont les raisons qui incitent les entreprises à utiliser cette technique, mais le but premier est de protéger efficacement les informations sensibles contre des cybercriminels et des États voyous, qui tenteraient de les consulter, de les modifier ou de les partager. 

Le chiffrement des données est un moyen de protéger les entreprises et les gouvernements contre la cybercriminalité, qui coûte chaque année des milliards de dollars, entraînent des pertes financières et des fuites d’informations personnelles. Vous devez intégrer le chiffrement à votre stratégie de gestion des cyberrisques. 

Pour vous donner une idée de la gravité des incidents, voici quelques secteurs d’activité pour lesquels le chiffrement des données est devenu plus qu’indispensable : 

1. Les services financiers et les cartes bancaires

Tous les secteurs d’activité doivent faire preuve de diligence en ce qui concerne la cybersécurité et les bonnes pratiques en informatique. Les services financiers, et en particulier les cartes bancaires, créent et collectent des données extrêmement sensibles, qui peuvent conditionner les moyens de subsistance des usagers. 

Il est d’autant plus important que ces données soient chiffrées pour être protégées des cyberattaques, pour éviter tout accès non autorisé, par des étrangers ou des proches. 

Afin de réduire le risque de violation et ses conséquences, la plupart des établissements financiers ont recours au chiffrement des données de leurs clients. Le Gramm-Leach-Bliley Act et le Federal Financial Institutions Examination Council (FFIEC) le leur imposent spécifiquement. Et elles ne remplacent pas les normes usuelles de conformité telles que la PCI DSS (Payment Card Industry Data Security Standard), la loi Sarbanes-Oxley (SOX) et les lois étatiques telles que la CCPA (California Consumer Protection Act), qui s’appliquent aussi. 

Toutes ces normes ont une exigence commune  : le chiffrement. Combiné à une gestion rigoureuse des clés, il permet d’éviter qu’une violation de données devienne une affaire d’État. À savoir que les établissements financiers échangent des contenus sensibles via de multiples canaux de communication. Pas étonnant donc que le partage de fichiers représente 34 % des préoccupations des établissements financiers interrogés en matière de risque, suivi par les mails (30 %), le transfert et l’automatisation des fichiers (20 %) et les formulaires Web (15 %). Ces chiffres sont issus du rapport annuel de Kiteworks sur la confidentialité et la conformité des communications de contenu sensible. 

2. La Santé

Les informations médicales protégées (PHI) sont des données sensibles qui attirent les cybercriminels. Les professionnels de santé, dans le cadre de soins, ont l’obligation de protéger la vie privée de leurs patients. Ils sont soumis aux exigences strictes de l’HIPAA (Health Insurance Portability and Accountability Act) et du Règlement général sur la protection des données (RGPD) de l’UE. 

Le chiffrement est un moyen pour les professionnels de santé de protéger les données à la fois en transit et au repos, ce qui complique l’accès aux informations médicales par les attaquants. Les principales préoccupations des organismes de santé concernent le risque de cyberattaques externes, les menaces internes ,et la difficulté à tracer et à contrôler la gouvernance de ces données sensibles.

3. Le gouvernement

Le chiffrement des données est obligatoire pour les agences gouvernementales dans le but de protéger les données sensibles contre des actions malveillantes. Le piratage, les intrusions et la perte de disques ou d’ordinateurs portables sont autant de problèmes qui ne devraient plus se produire si les données étaient chiffrées. 

De ce fait, le Bureau de la gestion et du budget de la Maison-Blanche a imposé aux agences fédérales de chiffrer leur système. Celles qui ne s’y conforment pas s’exposent à des sanctions pénales voire à la perte de leur habilitation. Les agences fédérales du gouvernement, elles, ont souvent l’obligation d’utiliser les solutions préconisées par FedRAMP. 

La CMMC 2.0 (Certification Cybersecurity Maturity Model) est un ensemble de contrôles des pratiques réglementaires mis en place par le ministère de la Défense aux États-Unis pour régir la manière dont les agences et les sous-traitants utilisent les CUI (informations contrôlées non classifiées

Les CUI sont une forme particulière d’information dans la mesure où, bien qu’elles ne soient pas classifiées, elles sont essentielles pour le fonctionnement du gouvernement et des organisations de défense. La mise en conformité avec ces réglementations comprend des mesures telles que le chiffrement des CUI et des FCI (Informations sur les contrats fédéraux). 

4. L’industrie pharmaceutique et les biotechnologies

Le chiffrement des données devrait figurer en tête des priorités de toute entreprise pharmaceutique ou biotechnologique. Ce secteur est extrêmement vulnérable aux violations de données et, en l’espace de quelques années, il pourrait bien disparaître.

Voici quelques arguments pour lesquels la sécurité est une priorité :  

  • Les entreprises pharmaceutiques et biotechnologiques ont échangé numériquement des éléments de propriété intellectuelle critiques, tels que des formules de médicaments, des calendriers, des plans de fabrication, des schémas d’essai et des séquences ADN, au sein de leurs organisations et avec des tiers. Ces données, capitales pour l’entreprise, doivent être tracées et contrôlées avec des politiques de gouvernance adaptées.
  • Les produits pharmaceutiques et biotechnologiques contiennent souvent une quantité considérable d’informations confidentielles sur la santé et le profil génétique des patients. Il ne s’agit pas seulement des médicaments qui leur ont été prescrits, mais de leurs données personnelles identifiables ; nom, adresse, numéro de téléphone et coordonnées bancaires qui ont servi à payer des soins. Les autres secteurs d’activité font face à des enjeux financiers, certes, mais le secteur de la Santé, lui, est tout aussi capable de guérir que de rendre malade un patient.
  • Les entreprises du secteur de la santé et des biotechnologies sont soumises aux exigences de la norme 21 CFR Part 11 de la Federal Drug Administration (FDA), ainsi qu’aux bonnes pratiques recommandées par les gouverneurs, pour le transfert immuable des données données relatives à la fabrication.
  • Les séquences génomiques d’ADN, par exemple, doivent être transférées de manière sécurisée tant en interne qu’en externe avec les différents tiers impliqués dans la supply chain.
  • Les transferts de données avec les usines de fabrication, les chargés de clientèle et les autorités de régulation doivent souvent être automatisés.

Selon le rapport de Kiteworks mentionné précédemment, le risque de menaces internes figure au premier rang des préoccupations des entreprises pharmaceutiques et biotechnologiques pour les échanges de données sensibles.

Viennent ensuite le risque de cyberattaques externes (19 %), la difficulté à tracer et à contrôler la gouvernance des données personnelles (14 %) et le temps passé à rédiger des rapports sur les communications de contenu pour démontrer leur conformité (13 %). 

5. Les usines de production

Les fabricants et les industriels ont vite adopté de nouvelles plateformes et de nouveaux environnements, transformant ainsi leurs capacités informatiques (IT) et opérationnelles (OT). 

Les données stratégiques relatives à la fabrication comprennent notamment des données sur les clients, sur la stratégie commerciale et sur les droits de propriété intellectuelle. Elles peuvent également inclure des engagements de prix de la part des fournisseurs, voire des remises exceptionnelles promises à certains clients. Si ces informations tombaient entre de mauvaises mains, elles pourraient nuire à la réputation de l’entreprise, entraîner des pertes importantes et des sanctions pour non-conformité. Sur ce dernier point, les fabricants sont soumis notamment à la CMMC 2.0 s’ils veulent faire affaire avec le ministère de la Défense.

Les industriels doivent être proactifs pour protéger leurs opérations et leurs supply chains des cyberattaques. Gérer la multiplication des canaux de communication et les rapports d’audit associés à chacun d’entre eux représentent des tâches fastidieuses pour les fabricants. 

69 % des fabricants interrogés dans le rapport Kiteworks ont indiqué qu’ils utilisaient au moins quatre outils technologiques pour les communications de contenu sensible, et moins de la moitié d’entre eux reconnaissent avoir instauré les technologies et processus nécessaires pour mesurer les risques associés aux communications de contenu tiers. 

Il est impératif de passer par une plateforme unique pour chiffrer les données en transit, dans les flux réseaux entre les datacenters jusqu’aux sites de stockage et de reprise après incident, en local ou dans le cloud. Les chiffres parlent d’eux-mêmes : un récent rapport de Mandiant montre que les cyberincidents liés à la supply chain ont augmenté de 1 % en 2020 contre 17 % en 2021. 

6. Le juridique

Les cabinets d’avocats qui travaillent avec des clients soumis à la loi HIPAA ou à la loi Gramm-Leach-Bliley (GLBA) doivent prendre des mesures de précaution supplémentaires. Ils doivent s’assurer que les données sensibles sont chiffrées pendant leur stockage, leur transfert et leur consultation depuis n’importe quel appareil. Conformément à ces législations, le chiffrement n’est requis que dans le cas où l’employeur propose des services de soins. Sinon, il reste facultatif.

Dans tous les cas, les cabinets d’avocats doivent s’informer des exigences en matière de confidentialité des données avant de décider de mettre en œuvre ou non des mesures de sécurité telles que le chiffrement. 

7. L’Éducation

Les établissements d’enseignement traitent un grand nombre de PII, dont les numéros de sécurité sociale, de permis de conduire, de passeport, les adresses, numéros de téléphone, coordonnées bancaires, dossiers scolaires des étudiants et informations médicales. Tous ces éléments sont menacés d’interception et d’accès non autorisé. Les instituts de recherche, quant à eux, peuvent avoir accès à des données gouvernementales ou confidentielles concernant des renseignements commerciaux, scientifiques ou autres, qui risquent d’être piratés. 

Les échanges numériques de données confidentielles au sein des établissements d’enseignement ou avec des tiers doivent être sécurisés et conformes. Les étudiants, les enseignants, le personnel, sont amenés à envoyer à et partager régulièrement des contenus sensibles. Les cybermenaces existent  : un récent rapport du General Accounting Office (GAO-22-105727) a révélé que des millions d’étudiants étrangers inscrits dans des universités américaines pouvaient accéder illégalement à des informations sensibles, telles que des données ou des technologies, et les partager avec leur pays d’origine. Pour protéger ces informations sensibles des acteurs malveillants, les établissements d’enseignement supérieur ont besoin, eux aussi, d’une plateforme conforme pour gérer la confidentialité des communications de contenus sensibles.

Bénéficiez des avantages du chiffrement de bout-en-bout grâce à un réseau de contenu privé compatible avec Kiteworks

Un réseau de contenu privé compatible avec Kiteworks assure aux entreprises le chiffrement de bout en bout intégré à la messagerie électronique professionnelle, au partage de fichiers, au transfert géré de fichiers (MFT), aux formulaires Web et aux interfaces de programmation d’applications (API), pour un niveau de sécurité et une performance élevés. En outre, la passerelle de chiffrement des e-mails de la plateforme Kiteworks est alimentée par totemo, une acquisition qui nous permet de chiffrer les données depuis n’importe quel serveur de messagerie.

La plateforme Kiteworks est conçue de manière à assurer la sécurité du système tout entier, ce qui implique un chiffrement à l’échelle de l’entreprise. Elle utilise l’authentification unique (SSO), l’authentification multifactorielle (MFA), l’antivirus, la protection contre les menaces avancées (ATP) et la prévention des pertes de données (DLP) sur tous vos canaux de communication numériques. Le chiffrement TLS 1.2 est utilisé pour les communications en transit, tandis que le chiffrement AES-256 est utilisé pour les données au repos. Kiteworks code chaque élément de contenu sensible, avec une clé unique au niveau du fichier, et une autre clé indépendante au niveau du stockage sur disque. Cette approche double chiffrement assure un degré de sécurité supplémentaire. Enfin, les clés de fichiers, les clés de volumes et les autres clés intermédiaires sont elles aussi chiffrées pendant leur stockage. 

Réservez votre créneau de présentation pour voir comment fonctionne le réseau de contenu privé de Kiteworks et comment Kiteworks utilise le chiffrement.

Ressources Complémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Partagez
Tweetez
Partagez
Get A Demo