Vous souvenez-vous quand 40 millions était un grand nombre ? Quarante millions de dollars de ventes, 40 millions de clients, 40 millions de followers sur Twitter, 40 millions de manifestants — tous ont déjà fait passer quelque chose de substantiel.

Était-ce seulement pour les violations de données.

En tant qu'universitaire qui a étudié la gouvernance des données au cours des 20 dernières années et a travaillé avec des centaines de conseils d'administration et des milliers d'administrateurs et de cadres, Je suis consterné et préoccupé par le fait que l'étendue et la gravité des violations de données continuent de croître sans relâche.

Des violations de plus en plus fréquentes

En 2011, des pirates ont attaqué RSA Security, une entreprise de sécurité réseau, a volé 40 millions de jetons de sécurité (périphériques physiques utilisés pour se connecter aux réseaux). Deux ans plus tard, 40 autres millions d'enregistrements contenant des mots de passe de clients et des informations personnelles ont été volés à la société de logiciels Adobe.

À l'époque, les consommateurs semblaient choqués par l'ampleur de ces violations et, au moins temporairement, ont perdu confiance en ces organisations. Il y avait un appel pour des contrôles plus stricts et des sanctions plus sévères.

Depuis, les violations de données et le vol ont augmenté à la fois en taille et en fréquence. Les pirates ont violé Sony et volé 77 millions de disques en 2011. Ils ont fait de même avec Target Corporation pour 110 millions de disques en 2013, eBay pour 145 millions de disques en 2014, Equifax pour 143 millions d'enregistrements en 2017, et Marriott International pour 500 millions de disques en 2018; il y en avait beaucoup d'autres.

Ceux-ci ont tous été éclipsés par les trois milliards d'enregistrements compromis dans une violation colossale de Yahoo Inc. Lorsque la société a initialement divulgué la violation en 2013, il a déclaré qu'il n'avait affecté qu'un milliard d'enregistrements. Il a révélé le vrai nombre en 2017.

C'est une ère de grandes violations de données. La disponibilité générale et la collecte des données, et la volonté souvent passive des consommateurs de partager leurs informations personnelles a conduit à une augmentation de la vitesse, la visibilité et l'étendue des brèches augmentent toutes à un rythme alarmant.

Réactions du gouvernement

Le Congrès a adopté la loi Sarbanes-Oxley en 2002, en réaction au comportement flagrant et frauduleux à grande échelle d'entreprises comme Enron, WorldCom, Tyco, Adelphia et leurs auditeurs complices (notamment Arthur Andersen dans le cas d'Enron).

Parmi ses nombreuses dispositions, Sarbanes-Oxley oblige les actionnaires d'une entreprise à élire des auditeurs externes qui relèvent directement du conseil d'administration de l'organisation plutôt que de la direction. La loi criminalise la falsification des états financiers, et elle oblige le directeur général et les directeurs financiers à certifier trimestriellement que les états financiers de l'organisation sont conformes.

Sarbanes-Oxley a inauguré une nouvelle ère de gouvernance d'entreprise, les conseils d'administration et la direction étant de plus en plus surveillés.

Le point de bascule de la cybersécurité

Je crois que la cybersécurité a atteint son moment Sarbanes-Oxley. Norton, la société de sécurité Internet, a publié un rapport de mi-année 2019 indiquant qu'il y a eu 3, 800 violations signalées publiquement, exposant 4,1 milliards d'enregistrements à ce jour, soit une augmentation de 54 % par rapport à 2018.

Ces violations n'avaient aucun égard pour la géographie ou le secteur, frapper les services financiers, divertissement, les soins de santé et le gouvernement. Ils ont inclus les informations personnelles et les dossiers de soins de santé des individus; de façon alarmante, ces violations ont toutes été perpétrées par des criminels qui n'ont pas encore été identifiés.

À mon avis, les réponses des entreprises restent insuffisantes, et les violations évitables. Les législateurs ont commencé à combler ce vide de surveillance.

Le Parlement de l'Union européenne a été l'un des premiers à combler cette lacune lorsqu'il a promulgué son règlement général sur la protection des données (RGPD) en 2016, qui a pris effet le 25 mai, 2018. Le RGPD s'applique à toutes les personnes résidant dans l'UE, et prévoit des amendes sévères (20 millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial de l'organisation de l'année précédente, le plus élevé des deux) en cas d'atteinte à la vie privée. L'UE a été agressive dans son application, plus de 100 amendes à ce jour.

La Securities and Exchange Commission (SEC) des États-Unis a approuvé à l'unanimité l'émission d'obligations de divulgation pour les cyberincidents au début de 2018. Au Canada, le gouvernement fédéral a commencé à modifier sa Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), définir quand une atteinte à la vie privée doit être divulguée publiquement et les exigences de divulgation.

L'initiative la plus récente est aussi peut-être la plus stricte. La loi californienne sur la protection de la vie privée des consommateurs (CCPA), qui prendra effet le 1er janvier 2020, s'applique à toute organisation en Californie qui reçoit ou divulgue des informations personnelles ou tire 50 pour cent ou plus de ses revenus de la vente d'informations personnelles.

Propriété des données

Le CCPA infligera des amendes aux organisations et versera des paiements à ceux qui sont touchés par des violations de données. Mais le principe le plus révolutionnaire du CCPA est d'affirmer que les consommateurs sont propriétaires de leurs données, volontairement ou non, et peut choisir de ne pas le divulguer sans discrimination.

En d'autres termes, un consommateur peut choisir d'empêcher Facebook de collecter des informations sur son comportement en ligne sans être empêché d'utiliser les fonctionnalités de Facebook. L'impact sur Facebook et les sociétés similaires pourrait être cataclysmique, car la majorité de leurs revenus proviennent de la publicité.

Donc, que peut faire une organisation ? Tout d'abord, le conseil d'administration ou l'organe de surveillance doit surveiller la confidentialité et la cybersécurité et en discuter à chaque réunion. La cybersécurité et la confidentialité doivent être incluses dans la planification des risques de l'entreprise et surveillées activement.

Les administrateurs ne doivent pas seulement être familiarisés avec les questions de conformité réglementaire, mais aussi de quelles données l'organisation possède, processus et, plus important, passe. La protection des actifs de données de l'organisation devient un processus beaucoup plus transparent et hiérarchisé. Par conséquent, un double avantage est conféré, pour protéger les informations des clients qui ont de la valeur pour l'organisation a également pour effet de protéger les individus. Un cercle vertueux s'ensuit.

Une récente brèche au Mouvement Desjardins, une coopérative de crédit canadienne, fournit un plan d'intervention exemplaire. La violation était faible par rapport aux normes mondiales :4,2 millions d'enregistrements, mais la quasi-totalité des clients particuliers et entreprises de l'entreprise.

Guy Cormier, le président et chef de la direction de Desjardins, a annoncé la violation peu de temps après que la banque l'a confirmée, et fourni aux clients trois mesures correctives :une protection contre le vol d'identité jusqu'à cinq ans; un accompagnement individuel de Desjardins pour accompagner les clients dans toutes les démarches de rétablissement de leur identité électronique, y compris l'indemnisation de toute perte financière ; et jusqu'à 50 $, 000 par client pour compenser les frais juridiques ou comptables encourus à la suite de la violation.

Cet engagement actif des parties prenantes, en plus des actionnaires et des clients, souligne un engagement authentique.

Sarbanes-Oxley est devenu la norme en matière de saines pratiques de gouvernance. Le RGPD, LPRPDE, Les directives CCPA et SEC annoncent collectivement une nouvelle ère en matière de confidentialité et de protection des données.

A défaut de prendre l'initiative, les organisations seront soumises à une législation de plus en plus stricte et à un contrôle concomitant. Le choix est austère, mais simple :commencez à prendre la confidentialité des données au sérieux, ou la faire imposer. La cybersécurité a atteint son moment Sarbanes-Oxley.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.