Rechercher

Langue

La date limite approche pour la conformité avec la règle de protection des données remaniée de la FTC

Août 9th, 2022

Accueil » Blog » La date limite approche pour la conformité avec la règle de protection des données remaniée de la FTC

Le 9 décembre de l'année dernière, alors que le monde se préparait à une nouvelle vague d'infections au COVID, quelque chose d'encore plus grave se produisait à la Federal Trade Commission (FTC), du moins en termes de cybersécurité. Après des années de modifications progressives de leur règle de sauvegarde (officiellement connue sous le nom de «Standards for Safeguarding Customer Information», un règlement axé sur la protection des consommateurs avec ses racines dans la loi bancaire de 1933), la FTC a discrètement lâché une bombe.

Ayant précédemment fourni des lignes directrices sur la façon les banques étaient censées protéger les informations des consommateurs, la FTC est soudainement devenue très précise sur toutes les mesures que les « institutions financières non bancaires » devaient prendre pour se conformer. De la mise en place de vastes programmes d'évaluation des risques à la mise en œuvre de mesures de sécurité telles que MFA, la FTC énonçait maintenant exactement ce que les entreprises devaient faire pour éviter les mesures d'exécution. Il y avait aussi un délai difficile: 9 décembre 2022 — un an à compter du jour de la mise à jour publiée.

Cet article examine les implications de cette règle mise à jour pour les entreprises, en examinant en particulier les nouvelles exigences de sécurité et les mesures que les entreprises doivent prendre.

Table des matières

  • Ce que signifie "non bancaire"
  • Exigences MFA de la FTC en matière de conformité
  • L'importance de l'AMF partout

    • Ce que signifie "non bancaire"

    Avant de plonger dans les détails techniques, il est important d'examiner à quel point la définition des « institutions financières non bancaires » est large. De toute évidence, la règle de sauvegarde mise à jour s'applique aux entreprises qui gèrent explicitement des transactions financières : prêteurs hypothécaires, prêteurs sur salaire, sociétés de financement, courtiers en hypothèques, gestionnaires de compte, encaisseurs de chèques, sociétés de virement électronique, agences de recouvrement, conseillers en crédit, sociétés de préparation de déclarations de revenus, sociétés non fédérales coopératives de crédit assurées et conseillers en placement qui ne sont pas tenus de s'inscrire auprès de la SEC.

    Mais la règle affecte potentiellement un éventail beaucoup plus large d'organisations, y compris fournisseur les concessionnaires, les évaluateurs immobiliers, les détaillants qui offrent leurs propres cartes de crédit, les collèges et les universités qui participent aux programmes financiers fédéraux pour étudiants et même les conseillers d'orientation qui travaillent avec des clients du secteur des services financiers. En effet, toute entreprise engagée dans des activités considérées comme "de nature financière" est soumise aux nouvelles exigences de la règle de sauvegarde - en particulier ce que la FTC appelle des "trouveurs", qui sont des entreprises qui rassemblent des acheteurs et des vendeurs mais ne gèrent pas réellement la transaction.

    Ce filet remarquablement large signifie que de nombreuses entreprises pourraient être prises par surprise en décembre, se trouvant soudainement soumises à de nouvelles exigences étendues en matière de protection des données dont elles n'étaient même pas conscientes et confrontées de manière inattendue à des problèmes de conformité.

    Exigences MFA de la FTC en matière de conformité

    Déterminer quelles organisations sont soumises à la règle de sauvegarde mise à jour n'est que le premier obstacle, car la mise en œuvre des contrôles de sécurité spécifiques dictés par la directive est le point de départ du véritable travail.

    1. Voici un aperçu de neuf éléments que la FTC exigera bientôt :
      La désignation d'une « personne qualifiée » pour mettre en œuvre et superviser le programme de sécurité de l'information d'une entreprise.
    2. Les évaluations des risques identifient exactement quelles informations client sont stockées et où elles sont stockées, et évaluent tous les risques et menaces prévisibles pour la sécurité de ces données.
    3. Des mesures de protection pour atténuer les risques identifiés, y compris la mise en œuvre de contrôles d'accès, le cryptage des informations client et la mise en œuvre authentification multi-facteurs (MAE).
    4. Surveillance continue des sauvegardes, y compris des analyses à l'échelle du système pour tester les vulnérabilités de sécurité.
    5. Formation obligatoire de sensibilisation à la sécurité pour tous les employés, fournisseurs et sous-traitants afin d'assurer la préparation.
    6. Contrats avec des fournisseurs de services qui énoncent les attentes en matière de sécurité et les moyens intégrés de surveiller leur travail.
    7. Mises à jour régulières des programmes de sécurité afin qu'ils restent à jour face aux menaces émergentes et aux changements de personnel.
    8. La création d'un plan écrit de réponse aux incidents en cas d'événement de sécurité entraînant un accès non autorisé ou une mauvaise utilisation des données client.
    9. Des rapports réguliers sont préparés par la personne qualifiée et soumis au conseil d'administration (ou à l'organe directeur) de l'entreprise.

    Le niveau de détail fourni ici contribuera grandement à inciter les organisations à vocation financière à mettre en œuvre des programmes de sécurité des données approfondis. Pourtant, à certains égards, la FTC n'est pas allée assez loin avec sa mise à jour, en particulier en ce qui concerne la MFA.

    Certes, l'agence énonce certains critères auxquels les solutions MFA doivent répondre, notamment avoir un «facteur de connaissance» (c'est-à-dire un mot de passe), un «facteur de possession» (c'est-à-dire un jeton) et un «facteur d'inhérence» (c'est-à-dire une caractéristique biométrique) . Tous les principaux fournisseurs de MFA sur le marché y répondent facilement. Mais il n'y a aucune indication quant aux systèmes spécifiques auxquels l'AMF doit être appliquée, et il s'agit d'une omission qui pourrait exposer dangereusement les organisations.

    Comparez cela avec les directives issues de cyber assurance entreprises cette année. Pour bénéficier d'une politique, les entreprises doivent désormais être en mesure d'appliquer la MFA à la messagerie basée sur le cloud, à l'accès au réseau distant, ainsi qu'à l'accès administrateur interne et distant aux services d'annuaire, aux environnements de sauvegarde réseau, à l'infrastructure réseau (telle que les pare-feu, les routeurs, et commutateurs) et les postes de travail et serveurs organisationnels. En effet, les cyber-assureurs ont la peau dans le jeu et tentent agressivement d'endiguer leurs pertes record à partir de 2020 (un ratio allant jusqu'à 72%, selon certaines études). L'écart entre le secteur public et le secteur privé – c'est-à-dire le vaste ensemble de lignes directrices d'une agence par rapport au besoin d'une entreprise individuelle d'être rentable – n'a jamais été aussi grand.

    L'importance de l'AMF partout

    Cela conduit à une conclusion simple : la FTC n’est tout simplement pas allée assez loin dans la mise à jour de sa règle de sauvegarde si l’objectif est une protection complète des données pour les consommateurs. La raison en est que les solutions MFA traditionnelles ne peuvent pas réellement protéger les entreprises contre l’un des principaux vecteurs utilisés dans ransomware attaques – accès en ligne de commande.

    Outils d'accès en ligne de commande tels que PsExec, PowerShell et Windows Management Instrumentation (WMI) sont largement utilisés par les administrateurs informatiques pour accéder à distance aux machines qu'ils gèrent. Mais les cyberattaquants utilisent également ces outils à des fins néfastes, telles que se déplacer latéralement dans un environnement une fois qu'ils ont compromis les informations d'identification de l'utilisateur (généralement celles d'un administrateur). En fait, presque toutes les attaques récentes de rançongiciels ont utilisé cette technique exacte. Cela signifie que les entreprises pourraient être en pleine conformité avec la FTC tout en restant confrontées à de graves vulnérabilités.

    Étant donné que la MFA traditionnelle ne peut pas être appliquée aux outils de ligne de commande, puisque les protocoles d'authentification (Kerberos et NTLM) qu'ils implémentent ne prennent pas en charge MFA, cela présente un défi de sécurité. Heureusement, il existe une solution : le Silverfort Uni Protection d'identité Plate-forme.

    Silverfort offre le seul produit sur le marché qui offre une surveillance continue de toutes les authentifications pour chaque utilisateur, chaque système et chaque environnement, à la fois sur site et dans le cloud. Cela signifie Silverfort peut appliquer l'AMF sur tout un écosystème informatique, y compris chaque application, interface et élément d'infrastructure, fournissant exactement le type de protection holistique des sources de données client (où qu'elles résident et quel que soit le mode d'accès) que la FTC aspire à exiger.

    C'est une bonne nouvelle pour tout le monde : les institutions financières non bancaires peuvent être sûres que leurs systèmes sont non seulement conformes à la FTC, mais également entièrement sécurisés, tandis que les consommateurs peuvent avoir la certitude que leurs données confidentielles sont effectivement bien protégées.

    En savoir plus sur le Silverfort plateforme.Noir

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    6 Mai 2024

    Utiliser MITM pour contourner la protection anti-hameçonnage FIDO2

    2 mai, 2024

    Silverfort dévoilera une recherche au RSA 2024 : Utiliser MITM pour contourner les méthodes d'authentification modernes vers le SSO

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité