Que sont les informations personnelles identifiables ou PII ?

Les informations personnelles identifiables, ou PII, de l’anglais Personal Identifiable Information, sont un ensemble de données qui peuvent être utilisées pour distinguer un individu spécifique.

Il s’agit de données sensibles qui peuvent être utilisées pour l'usurpation d'identité. Les PII peuvent être aussi simples que le nom, l'adresse et la date de naissance d'un utilisateur ou aussi sensibles que le nom complet, l'adresse, le numéro de sécurité sociale et les données financières.

En cas de violation de données, les PII sont une cible privilégiée pour les attaquants en raison de leur valeur élevée sur les marchés darknet.

Les éléments ci-dessus ne constituent pas une liste exhaustive. Toute information pouvant être utilisée pour identifier un individu peut être considérée comme PII. Ce sont ces informations que les entreprises continuent de protéger contre les attaquants.

Il est important de distinguer les PII sensibles des PII non sensibles, car les informations sensibles sont régies par des normes de conformité et doivent être protégées par plusieurs normes de cybersécurité définies par les organismes de réglementation.

Les données trop sensibles, telles que les numéros de sécurité sociale et les données financières, nécessitent une sécurité étendue pour les protéger des attaques.

Tout comme pour les PII, il n'existe pas de règles ou de normes fixes pour définir les données sensibles. Une bonne pratique consiste à déterminer si les informations sont accessibles au public ou si elles ne pourraient pas être trouvées dans un annuaire téléphonique ou une base de données publique.

Les numéros de téléphone peuvent être privés, mais les numéros de téléphone et les noms publics ne sont pas considérés comme des données privées. Le nom et l'adresse électronique d'un employé trouvés dans un annuaire d'entreprise ne sont pas des données sensibles, mais le numéro de téléphone et l'adresse privés de l'employé seraient considérés comme sensibles.

Les normes réglementaires définissent la manière dont les données sensibles doivent être stockées et transférées. Les données sensibles doivent être cryptées lors de leur stockage et de leur transfert sur le réseau.

Les données stockées sur un disque ou dans une base de données sont appelées “données au repos”. Les données transférées sur un réseau d'entreprise ou sur le réseau sont appelées “données en mouvement”. Les deux versions sont vulnérables aux attaquants et doivent bénéficier des meilleures défenses de cybersécurité.

Outre les PII, les informations de santé protégées (PHI) et les données financières sont également régies par des normes et doivent être sécurisées selon les directives suivantes : la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA), qui supervise les données de santé et définit les normes de cybersécurité pour les médecins, les hôpitaux, les dentistes, les compagnies d'assurance, etc. Plusieurs organismes de réglementation supervisent les données financières, notamment PCI-DSS, Financial Industry Regulatory Authority (FINRA), Sarbanes-Oxley (SOX), etc.

La violation de ces normes peut entraîner des millions de dollars d'amendes. Il est donc crucial de s'assurer que les données sensibles sont régies par l'une de ces normes de conformité.

Le Règlement général sur la protection des données (RGPD) de l'Union européenne définit la manière dont les entreprises doivent travailler avec les PII. Il fournit des lignes directrices sur ce qui est considéré comme PII et ce qui doit être fait pour stocker, sécuriser et supprimer ces informations. La liste de contrôle RGPD permet aux organisations d'identifier si elles sont sur la bonne voie en matière de gestion des PII.

Le RGPD établit une distinction entre les entreprises comptant 250 employés et celles qui en comptent moins. La liste de contrôle indique aux organisations la manière dont elles chiffrent les données au repos et les données en mouvement.

Le cryptage est la principale stratégie pour rendre les données anonymes lorsqu'elles sont divulguées. Même si un attaquant peut compromettre un réseau interne, le cryptage rendrait les données inutilisables par l'attaquant.

Plusieurs autres normes de cybersécurité encadrent les données des résidents de l'UE. Les organisations doivent non seulement veiller à ce que les données soient une priorité lors de l'élaboration des défenses, mais elles doivent également fournir un moyen facile pour les clients de savoir comment leurs données sont utilisées et de demander à les supprimer.

Les clients doivent également avoir la possibilité d'empêcher l'organisation d'utiliser et de collecter leurs données.

Si une organisation doit suivre le RGPD, il est essentiel d'examiner les exigences de la loi, car elles sont uniques par rapport aux autres normes réglementaires. Par exemple, le RGPD stipule que les cookies peuvent être considérés comme des PII.

La loi fait la différence entre les PII et les “identifiants personnels”. Un identifiant personnel ajouté aux informations personnelles fournirait à un attaquant les données nécessaires pour identifier un individu à partir des informations personnelles de base. Par exemple, un attaquant ne pourrait pas faire grand-chose avec le nom “John Doe”, mais en le combinant avec des données de géolocalisation, il pourrait limiter sa recherche au bon John Doe.

Les normes de conformité de la gouvernance réglementaire constituent les meilleures directives pour sécuriser les données sensibles. Ces normes constituent un excellent point de départ pour concevoir des politiques de cybersécurité et régir la manière dont les données sont utilisées, mais elles ne fournissent pas un ensemble complet de stratégies pour tous les systèmes de l'entreprise. D'autres stratégies de cybersécurité peuvent être envisagées en fonction de la liste unique d'exigences d'une organisation.

Par exemple, les normes HIPAA et PCI-DSS peuvent exiger que les organisations utilisent le protocole SSL/TLS (HTTPS) lors du transfert de données sensibles. L'organisation serait alors tenue de chiffrer toute donnée sensible dans la base de données.

Cependant, vous devez encore définir un ensemble de stratégies pour l'accès interne, les sauvegardes, les archives, et déterminer qui, au sein de l'organisation, peut consulter les PII. Si les utilisateurs accèdent aux PII à distance, ils doivent être tenus d'utiliser un VPN et une authentification multifactorielle (MFA).

Les attaques de phishing et d'ingénierie sociale sont courantes pour le vol d'identifiants. Les employés doivent être sensibilisés aux dangers du phishing et de l'ingénierie sociale, et apprendre à reconnaître une attaque et à la signaler.

L'éducation générale sur les directives réglementaires qui supervisent les données et les personnes qui y accèdent devrait faire partie de la formation des employés. Plusieurs autres solutions de cybersécurité peuvent être utilisées pour stopper le phishing, comme les filtres de messagerie, DMARC, SPF et les bloqueurs de contenu basés sur le DNS.

Les stratégies de cybersécurité doivent être revues régulièrement, au moins une fois par an, mais certaines organisations choisissent de le faire plus souvent. Les enseignements tirés constituent l'une des phases de la réponse aux incidents, et cette phase permet de trouver les problèmes liés aux stratégies, mais seulement après qu'une violation de données se soit déjà produite.

L'examen régulier des stratégies actuelles de cybersécurité et de l'infrastructure déployée aidera le personnel informatique à mieux se rendre compte des faiblesses des défenses actuelles.

Les PHI, PII, Personal Finance Information (PFI) et les PHI électroniques (ePHI) sont des formes de données numériques qui doivent être protégées physiquement et virtuellement. La première étape consiste à identifier toutes les façons dont l'organisation collecte des données, à identifier les normes réglementaires qui supervisent la façon dont les données sont traitées, puis à appliquer des stratégies qui respectent toutes les directives.