Fondamentaux
L’information, c’est le pouvoir. Depuis toujours, celui qui possède l’information domine celui qui ne la possède pas. L’information peut avoir une valeur marchande, peut permettre de doubler la concurrence, de se protéger, d’avoir un coup d’avance.
Dans certains cas, l’information doit être protégée car elle peut mener à l’usurpation d’identité. Et tout le monde peut être ciblé. Dans cet article, nous allons évoquer les informations personnelles (PII), leur valeur, et les dangers en cas de vol de ces informations. Nous parlerons ensuite du cadre légal RGPD et des manières de sécuriser ces données.
Qu’est-ce que les informations personnelles (PII) ?
Les PII ou PII data, acronyme anglais pour Personal Identifiable Information, soit Informations Personnelles Identifiables en français sont des données sensibles qui permettent d’identifier une personne physique.
Elles peuvent recouvrir des champs variés. Par exemple, le nom, l’adresse postale et la date de naissance sont des données personnelles spécifiques qui permettent de distinguer un individu d’un autre. Ces données sont considérées comme des informations personnelles non sensibles.
Quelles sont les informations personnelles sensibles ?
Il n’existe pas de cadre précis permettant de clairement et légalement différencier les informations personnelles sensibles des informations personnelles non sensibles. Cependant, en fonction du danger que représente le vol de certaines données, on peut les classer dans les données sensibles. Ainsi, on trouve dans ces informations personnelles sensibles :
- Le numéro de sécurité sociale
- Le numéro de téléphone
- Le numéro de passeport
- La géolocalisation
- Les numéros de cartes de crédit
Comment peuvent être utilisées nos informations personnelles ?
Les informations personnelles sont une marchandise précieuse. Elles peuvent être utilisées à de nombreuses fins, ce qui fait augmenter leur valeur marchande, notamment sur le dark web.
L’usurpation d’identité
C’est le premier risque qui vient à l’esprit quand on parle de personal data. Des cybercriminels disposant de suffisamment d’informations personnelles identifiables sur une personne peuvent se faire passer pour elle. Le danger de l’usurpation d’identité est qu’elle peut servir à dissimuler des fraudes ou d’autres actes encore plus graves.
Le démarchage abusif
Il arrive souvent que des listes contenant des informations personnelles identifiables sur un grand nombre de personnes soient utilisées par les entreprises dans le cadre de la guerre des données. Cela permet d’envoyer des mails et des publicités ciblés à un grand nombre de personnes.
L’influence
Les informations personnelles identifiables peuvent aussi permettre de pratiquer l’influence de masse. On trouve un précédent notable dans le scandale Cambridge Analytica où les données de millions d’utilisateurs ont été exploitées sans leur consentement afin d’influencer les intentions de vote pour l’élection américaine de 2016.
Qui peut utiliser nos informations personnelles ?
Nos informations personnelles identifiables peuvent être utilisées par toute personne y ayant accès. Par exemple, votre adresse e-mail peut se retrouver dans des listes de mailing et vous faire recevoir des mails de phishing ; votre numéro de téléphone peut tomber dans les mains d’entreprises cherchant à faire du démarchage, ou vos codes de carte bancaire et adresse de facturation, dans les mains de cybercriminels.
Face à ce danger polymorphe et constant, il importe de protéger convenablement ses informations personnelles identifiables en adoptant les bonnes pratiques.
Comment protéger ses informations personnelles identifiables ?
La première chose à prendre en compte est la politique de confidentialité des sites que vous fréquentez. Les données personnelles sont souvent stockées dans des data centers ou sur le cloud, mais certains sites vendent ces informations au plus offrant. Lisez toujours les conditions avant de naviguer sur un site.
Le protocole https est également important pour garantir la sécurité de la vie privée. Il permet d’identifier clairement le propriétaire du site. Ne confiez jamais vos données à une personne anonyme, à qui vous ne faites pas confiance.
Une autre règle d’or concernant la protection et la confidentialité des données : gare au phishing. Restez toujours méfiant quand vous recevez des mails avec des pièces jointes à télécharger ou des liens à suivre. Si vous n’êtes pas certain de connaître l’expéditeur, ou si vous trouvez le ton étrange, mettez le mail à la corbeille.
Que dit la loi sur la confidentialité des informations personnelles ?
Les données personnelles sont encadrées en Europe par le RGPD (Règlement Général sur la Protection des Données). Ce cadre guide les entreprises dans la mise en place d’une politique de protection des PII, notamment grâce à la liste de contrôle RGPD que toutes les organisations doivent suivre.
La loi stipule notamment que tout utilisateur d’un site a droit à l’anonymat, et donc doit avoir la possibilité de s’opposer au stockage et à l’utilisation de ses PII. Elle impose également aux entreprises de crypter les flux de données afin d’éviter toute fuite ou vol.
Quelle est l’importance de la cybersécurité ?
Pour dire les choses simplement, les données personnelles sont l’une des marchandises les plus convoitées sur Internet. La cybersécurité est l’arme la plus efficace pour les protéger.
Rappelons que les informations personnelles Google peuvent être utilisées pour nuire non seulement dans le monde numérique mais aussi dans le monde physique. Les deux ne sont plus compartimentés et chacun influence l’autre. La sécurité des données est donc une préoccupation de sécurité globale et non uniquement numérique.
La cybersécurité recouvre de nombreux champs, elle désigne par exemple les pratiques des particuliers pour protéger leur données, mais aussi les stratégies mises en place par les entreprises pour protéger leur réseaux, leur Big Data, leurs flux de données, etc.
Quels sont les outils de sécurité pour protéger les PII ?
Les cybercriminels trouvent chaque jour de nouvelles failles et la cybersécurité doit s’adapter. Aussi est-ce un champ en constante évolution. À l’heure actuelle, il existe plusieurs outils de sécurité pour protéger les PII :
- Le chiffrement des données est l’un des outils principaux, il permet de les rendre illisibles à moins de posséder une clé spécifique.
- La suppression régulière des données facilite la gestion des informations sensibles.
- L’anonymisation consiste à supprimer les informations identifiables, ou du moins à les séparer des données sensibles pour rendre ces dernières inexploitables.
- Les outils DLP (Data Loss Prevention) et XDR (Extended Detection & Response) permettent aux entreprises de mieux surveiller leur réseau et donc veiller à la sécurité des données. Ils assurent notamment que les utilisateurs ne peuvent pas faire sortir leurs informations du réseau et fournissent des réponses automatiques aux éventuels incidents sur le réseau.