Le courrier électronique est une ressource de communication essentielle sur laquelle de nombreuses petites entreprises s'appuient pour envoyer des informations sensibles et confidentielles à l'intérieur et à l'extérieur de l'organisation.
Mais la prédominance du courrier électronique en tant qu'outil commercial le rend également susceptible d'être exploité et de perdre des données. En fait, le courrier électronique représente 35% de tous les incidents de perte de données parmi les entreprises, selon un livre blanc de AppRiver, une entreprise de cybersécurité.
$config[code] not foundLes violations de données ne résultent pas toujours d'activités malveillantes, telles qu'une tentative de piratage. Le plus souvent, ils sont dus à la simple négligence ou à la négligence d'un employé. (Les employés sont la principale cause d'incidents liés à la sécurité, selon un livre blanc de Wells Fargo.)
En 2014, un employé de la société de courtage d’assurances Willis North America a accidentellement envoyé par courrier électronique un tableur contenant des informations confidentielles à un groupe d’employés inscrits au programme Healthy Rewards du programme médical de la société. En conséquence, Willis a dû payer pour deux ans de protection contre le vol d'identité aux quelque 5 000 personnes touchées par la violation.
Dans un autre cas, également à partir de 2014, un employé de l’hôpital Rady pour enfants de San Diego a envoyé à tort un courrier électronique contenant les informations médicales protégées de plus de 20 000 patients à des candidats. (L'employée pensait qu'elle envoyait un dossier de formation pour évaluer les candidats.)
L'hôpital a envoyé des lettres de notification aux personnes concernées et a travaillé avec une entreprise de sécurité externe pour garantir la suppression des données.
Ces incidents, parmi bien d’autres, évoquent les vulnérabilités du courrier électronique et soulignent la nécessité pour les entreprises, grandes et petites, de sécuriser, de contrôler et de suivre leurs messages et leurs pièces jointes où qu’elles soient envoyées.
Depuis AppRiver, les petites entreprises peuvent suivre cinq étapes pour simplifier l'élaboration de normes de conformité des e-mails afin de protéger les informations sensibles.
Guide de conformité par courrier électronique
1. Déterminez quelle réglementation s'applique et ce que vous devez faire
Commencez par demander: quelle réglementation s'applique à mon entreprise? Quelles sont les exigences pour démontrer la conformité du courrier électronique? Est-ce que ceux-ci se chevauchent ou sont en conflit?
Une fois que vous comprenez quelle réglementation s'applique, déterminez si vous avez besoin de polices différentes pour les couvrir ou d'une seule police complète.
Voici des exemples de réglementations que de nombreuses entreprises rencontrent:
- Loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) - régit la transmission des informations personnelles sur la santé du patient;
- Loi Sarbanes-Oxley (S-OX) - oblige les entreprises à mettre en place des contrôles internes pour collecter, traiter et communiquer avec précision les informations financières;
- Loi Gramm-Leach-Bliley (GLBA) - demande aux entreprises de mettre en œuvre une politique et des technologies garantissant la sécurité et la confidentialité des enregistrements des clients lors de leur transmission et de leur stockage;
- Normes de sécurité des informations de carte de paiement (PCI) - exige la transmission sécurisée des données du titulaire de la carte.
2. Identifiez ce qui doit être protégé et définissez des protocoles
Selon les réglementations auxquelles votre entreprise est soumise, identifiez les données considérées comme confidentielles - numéros de carte de crédit, dossiers de santé électroniques ou informations personnellement identifiables - envoyées par courrier électronique.
Décidez également qui devrait avoir accès à l'envoi et à la réception de telles informations. Ensuite, définissez des stratégies que vous pouvez appliquer grâce à la technologie pour chiffrer, archiver ou même bloquer la transmission de contenu de courrier électronique en fonction des utilisateurs, groupes d'utilisateurs, mots-clés et autres moyens permettant d'identifier les données transmises comme sensibles.
3. Suivre les fuites et les pertes de données
Une fois que vous avez compris les types de données que les utilisateurs envoient par courrier électronique, effectuez un suivi pour déterminer si une perte est survenue et de quelle manière.
Des violations ont-elles lieu à l'intérieur de l'entreprise ou au sein d'un groupe d'utilisateurs particulier? Est-ce que les pièces jointes ont des fuites? Définissez des stratégies supplémentaires pour résoudre vos principales vulnérabilités.
4. Identifiez ce dont vous avez besoin pour appliquer la stratégie
Avoir la bonne solution pour appliquer votre politique est tout aussi important que la politique elle-même. Pour satisfaire aux exigences réglementaires, plusieurs solutions peuvent être nécessaires pour garantir la conformité des courriers électroniques.
Parmi les solutions que les entreprises peuvent mettre en œuvre, citons le cryptage, la prévention des fuites de données (DLP), l’archivage des courriels et la protection antivirus.
5. Éduquer les utilisateurs et les employés
Une politique de conformité efficace des e-mails mettra l'accent sur l'éducation des utilisateurs et l'application de la politique pour une utilisation acceptable.
Les erreurs humaines non intentionnelles restant la cause la plus fréquente de violations de données, de nombreux règlements exigent que les utilisateurs soient formés aux comportements pouvant potentiellement conduire à de telles violations.
Les utilisateurs et les employés risquent moins de laisser tomber leur vigilance et de commettre des erreurs s’ils comprennent l’utilisation appropriée du courrier électronique en milieu de travail et les conséquences de la non-conformité et sont à l’aise pour utiliser les technologies appropriées.
Même si aucun plan unique ne peut aider les petites entreprises à se conformer à toutes les réglementations, suivez ces cinq étapes pour aider votre entreprise à développer une politique de conformité efficace en matière de courrier électronique qui respecte les normes de sécurité.
Envoyer une photo par Shutterstock
1 commentaire ▼
