Que sont les informations personnelles identifiables ou PII ?

Le facteur humain 2022

Définition

Les informations personnelles identifiables, ou PII, de l’anglais Personal Identifiable Information, sont un ensemble de données qui peuvent être utilisées pour distinguer un individu spécifique.

Il s’agit de données sensibles qui peuvent être utilisées pour l'usurpation d'identité. Les PII peuvent être aussi simples que le nom, l'adresse et la date de naissance d'un utilisateur ou aussi sensibles que le nom complet, l'adresse, le numéro de sécurité sociale et les données financières.

En cas de violation de données, les PII sont une cible privilégiée pour les attaquants en raison de leur valeur élevée sur les marchés darknet.

Qu'est-ce qui est considéré comme PII ?

Il n'existe pas de règle unique pour déterminer ce qui est considéré comme PII et ce qui ne l'est pas. Les PII sont un ensemble de données, mais n'importe quel élément d'information peut être considéré comme PII.

Par exemple, un nom complet n'est pas suffisant pour qu'un attaquant l'utilise, mais un numéro de sécurité sociale permet d'identifier une personne exacte. Un prénom et un nom de famille permettent de préciser l'identité d'une personne, mais sans une adresse et des informations plus spécifiques, l'individu peut rester anonyme.

Pour que les PII soient efficaces, elles doivent fournir suffisamment d'informations permettant d'identifier spécifiquement une personne parmi des millions d'autres.

Bien qu'il n'existe pas de définition unique des PII, la liste suivante pourrait être considérée comme PII si suffisamment de données étaient divulguées lors d'une compromission.

Une ou toutes les informations suivantes pourraient être utilisées dans le cadre d'une violation de données :

  • Prénom
  • Nom de famille
  • Adresse de facturation
  • Adresse du domicile
  • Numéro de sécurité sociale
  • Informations sur le passeport (ou une image de celui-ci)
  • Numéro de permis de conduire (ou une image de celui-ci)
  • Données de la carte de crédit (numéro, CVV, date d'expiration)
  • Date de naissance
  • Numéro de téléphone
  • Données d'authentification (nom d'utilisateur et mot de passe)

Les informations ci-dessus peuvent être utilisées pour identifier une personne, mais des données supplémentaires peuvent être encore plus utiles pour un attaquant.

Les informations suivantes, en soi, ne sont pas utiles aux attaquants, mais elles peuvent être utilisées conjointement avec les informations du dessus pour voler l'identité d'un utilisateur ciblé :

  • Juste le prénom ou le nom de famille, pas le nom complet.
  • Pays et/ou ville
  • Sexe
  • Race
  • Tranche d'âge (par exemple, 30-40 ans)
  • Poste ou informations sur la carrière

Les éléments ci-dessus ne constituent pas une liste exhaustive. Toute information pouvant être utilisée pour identifier un individu peut être considérée comme PII. Ce sont ces informations que les entreprises continuent de protéger contre les attaquants.

PII sensibles et non sensibles

Il est important de distinguer les PII sensibles des PII non sensibles, car les informations sensibles sont régies par des normes de conformité et doivent être protégées par plusieurs normes de cybersécurité définies par les organismes de réglementation.

Les données trop sensibles, telles que les numéros de sécurité sociale et les données financières, nécessitent une sécurité étendue pour les protéger des attaques.

Tout comme pour les PII, il n'existe pas de règles ou de normes fixes pour définir les données sensibles. Une bonne pratique consiste à déterminer si les informations sont accessibles au public ou si elles ne pourraient pas être trouvées dans un annuaire téléphonique ou une base de données publique.

Les numéros de téléphone peuvent être privés, mais les numéros de téléphone et les noms publics ne sont pas considérés comme des données privées. Le nom et l'adresse électronique d'un employé trouvés dans un annuaire d'entreprise ne sont pas des données sensibles, mais le numéro de téléphone et l'adresse privés de l'employé seraient considérés comme sensibles.

Les normes réglementaires définissent la manière dont les données sensibles doivent être stockées et transférées. Les données sensibles doivent être cryptées lors de leur stockage et de leur transfert sur le réseau.

Les données stockées sur un disque ou dans une base de données sont appelées “données au repos”. Les données transférées sur un réseau d'entreprise ou sur le réseau sont appelées “données en mouvement”. Les deux versions sont vulnérables aux attaquants et doivent bénéficier des meilleures défenses de cybersécurité.

Outre les PII, les informations de santé protégées (PHI) et les données financières sont également régies par des normes et doivent être sécurisées selon les directives suivantes : la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA), qui supervise les données de santé et définit les normes de cybersécurité pour les médecins, les hôpitaux, les dentistes, les compagnies d'assurance, etc. Plusieurs organismes de réglementation supervisent les données financières, notamment PCI-DSS, Financial Industry Regulatory Authority (FINRA), Sarbanes-Oxley (SOX), etc.

La violation de ces normes peut entraîner des millions de dollars d'amendes. Il est donc crucial de s'assurer que les données sensibles sont régies par l'une de ces normes de conformité.

PII dans le cadre du RGPD (règlement général sur la protection des données)

Le Règlement général sur la protection des données (RGPD) de l'Union européenne définit la manière dont les entreprises doivent travailler avec les PII. Il fournit des lignes directrices sur ce qui est considéré comme PII et ce qui doit être fait pour stocker, sécuriser et supprimer ces informations. La liste de contrôle RGPD permet aux organisations d'identifier si elles sont sur la bonne voie en matière de gestion des PII.

Le RGPD établit une distinction entre les entreprises comptant 250 employés et celles qui en comptent moins. La liste de contrôle indique aux organisations la manière dont elles chiffrent les données au repos et les données en mouvement.

Le cryptage est la principale stratégie pour rendre les données anonymes lorsqu'elles sont divulguées. Même si un attaquant peut compromettre un réseau interne, le cryptage rendrait les données inutilisables par l'attaquant.

Plusieurs autres normes de cybersécurité encadrent les données des résidents de l'UE. Les organisations doivent non seulement veiller à ce que les données soient une priorité lors de l'élaboration des défenses, mais elles doivent également fournir un moyen facile pour les clients de savoir comment leurs données sont utilisées et de demander à les supprimer.

Les clients doivent également avoir la possibilité d'empêcher l'organisation d'utiliser et de collecter leurs données.

Si une organisation doit suivre le RGPD, il est essentiel d'examiner les exigences de la loi, car elles sont uniques par rapport aux autres normes réglementaires. Par exemple, le RGPD stipule que les cookies peuvent être considérés comme des PII.

La loi fait la différence entre les PII et les “identifiants personnels”. Un identifiant personnel ajouté aux informations personnelles fournirait à un attaquant les données nécessaires pour identifier un individu à partir des informations personnelles de base. Par exemple, un attaquant ne pourrait pas faire grand-chose avec le nom “John Doe”, mais en le combinant avec des données de géolocalisation, il pourrait limiter sa recherche au bon John Doe.

Meilleures pratiques de cybersécurité pour travailler avec des PII

Les normes de conformité de la gouvernance réglementaire constituent les meilleures directives pour sécuriser les données sensibles. Ces normes constituent un excellent point de départ pour concevoir des politiques de cybersécurité et régir la manière dont les données sont utilisées, mais elles ne fournissent pas un ensemble complet de stratégies pour tous les systèmes de l'entreprise. D'autres stratégies de cybersécurité peuvent être envisagées en fonction de la liste unique d'exigences d'une organisation.

Par exemple, les normes HIPAA et PCI-DSS peuvent exiger que les organisations utilisent le protocole SSL/TLS (HTTPS) lors du transfert de données sensibles. L'organisation serait alors tenue de chiffrer toute donnée sensible dans la base de données.

Cependant, vous devez encore définir un ensemble de stratégies pour l'accès interne, les sauvegardes, les archives, et déterminer qui, au sein de l'organisation, peut consulter les PII. Si les utilisateurs accèdent aux PII à distance, ils doivent être tenus d'utiliser un VPN et une authentification multifactorielle (MFA).

Les attaques de phishing et d'ingénierie sociale sont courantes pour le vol d'identifiants. Les employés doivent être sensibilisés aux dangers du phishing et de l'ingénierie sociale, et apprendre à reconnaître une attaque et à la signaler.

L'éducation générale sur les directives réglementaires qui supervisent les données et les personnes qui y accèdent devrait faire partie de la formation des employés. Plusieurs autres solutions de cybersécurité peuvent être utilisées pour stopper le phishing, comme les filtres de messagerie, DMARC, SPF et les bloqueurs de contenu basés sur le DNS.

Les stratégies de cybersécurité doivent être revues régulièrement, au moins une fois par an, mais certaines organisations choisissent de le faire plus souvent. Les enseignements tirés constituent l'une des phases de la réponse aux incidents, et cette phase permet de trouver les problèmes liés aux stratégies, mais seulement après qu'une violation de données se soit déjà produite.

L'examen régulier des stratégies actuelles de cybersécurité et de l'infrastructure déployée aidera le personnel informatique à mieux se rendre compte des faiblesses des défenses actuelles.

Les PHI, PII, Personal Finance Information (PFI) et les PHI électroniques (ePHI) sont des formes de données numériques qui doivent être protégées physiquement et virtuellement. La première étape consiste à identifier toutes les façons dont l'organisation collecte des données, à identifier les normes réglementaires qui supervisent la façon dont les données sont traitées, puis à appliquer des stratégies qui respectent toutes les directives.

Découvrez les menaces actuelles dans le rapport annuel sur l'état du phishing

Lisez notre huitième rapport annuel State of the Phish pour en savoir plus sur la vulnérabilité des utilisateurs aux cybermenaces actuelles les plus redoutables.

Guide du marché des solutions de prévention des fuites de données 2021 de Gartner®

Ce rapport fait le point sur les tendances du marché et vous guide dans le choix d'une solution DLP.

Protection des informations médicales avec Proofpoint

Protégez les données des patients contre les menaces internes, les fuites de données et l'extension du cloud.

Rapport: Voice of the CISO 2022

Bien que moins mouvementée que la précédente, l'année 2021 a été particulièrement intense pour les professionnels de la cybersécurité. Alors que les difficultés rencontrées en 2020 pour adopter le télétravail s'estompent, la sécurisation des configurations hybrides à long terme présente un défi inédit et complexe.

E-book: Redéfinir la prévention des fuites de données

Cet eBook s'intéresse aux difficultés croissantes associées aux environnements informatiques et de travail en évolution rapide. Il explique pourquoi les approches DLP traditionnelles ne sont pas à la hauteur de la tâche et propose une feuille de route pour une stratégie DLP adaptée au fonctionnement des entreprises modernes.