Quelque chose a-t-il changé dans la surveillance des cyber-risques ?
Cela fait quatre ans que l'équipe du cabinet d'avocats Hogan Lovells a publié son premier rapport formateur, « Gérer le risque cybernétique de la main-d'œuvre dans un paysage mondial », dont le titre anglais est Managing Workforce Cyber Risk in a Global Landscape :Ce texte constituait un examen juridique, explorant les implications de la mise en place de programmes de sécurisation sur le lieu de travail. Les auteurs sont les avocats Harriet Pearson, qui a écrit un livre majeur sur la vie privée dans le domaine de la cybersécurité, et James Denvil, dont la connaissance pratique de la cybersurveillance sur le lieu de travail est inégalée. (À noter : Forcepoint a commandité leurs recherches).
Protecting the Workforce and Information in a Global Landscape: A Legal Review
On dit que le changement est inévitable, et depuis la publication initiale de ce rapport en 2017, nous avons tous connu des changements sociaux et économiques tectoniques affectant la sécurité à l'échelle mondiale. L'évolution des lois sur la protection de la vie privée, comme le RGPD et l'ACCP, et la maturation du SaaS et du SASE figurent au sommet de ma liste. La pandémie a forcé les entreprises à faire mûrir rapidement leurs plans de transformation et à passer d'une doctrine de sécurité de l'infrastructure vers le déploiement de la sécurité du personnel à distance, apparemment du jour au lendemain. Je tire mon chapeau à mes collègues de l'informatique et de la sécurité pour les efforts incroyables qu'ils ont déployés pour évoluer plus vite que le monde des affaires, en particulier au cours des 12 derniers mois.
Même si notre monde passe progressivement du confinement au retour au travail, l'endroit où nous travaillons demeure un problème en suspens. En ce moment même, j'écris ce billet de blog depuis mon bureau à domicile. Qui sait où je serai pour le prochain, car il faudra des mois avant que je ne déverrouille la porte de mon bureau, qui se trouve dans l'immeuble du siège de la société. Comment la sécurité va-t-elle protéger le salarié se trouvant n'importe où dans le monde hyper-distribué des entreprises d'aujourd'hui ? C'est la question à laquelle Harriet et James, du cabinet juridique Hogan Lovells, ont répondu dans leur nouveau rapport publié aujourd'hui, Protéger la main-d'œuvre et l'information dans un contexte mondial :Un examen des aspects juridiques.
Il est clair que la surveillance des interactions des utilisateurs avec les données et les systèmes reste un élément fondamental des programmes de gestion des cyber risques. Les résultats de cette étude, menée dans 15 pays, fournissent aux responsables de la sécurité, aux chefs d'entreprise et aux membres de conseils d'administration un plan de gestion des risques pour les prochains mois critiques de cette année et pour 2022.
Je vais en citer quelques-uns :
- Les profils des cyber risques ont considérablement changé, notamment à la lumière de l'augmentation de la souplesse des modalités de travail entraînée par la pandémie de la COVID-19 et d'autres facteurs.
- Il est probable que chaque entreprise a été affectée par des changements survenus dans l'environnement juridique et réglementaire pertinent. Depuis 2017, nous avons assisté à l'entrée en vigueur du RGPD et à des modifications importantes des lois ou des orientations officielles, notamment en Amérique du Sud et en Europe occidentale.
- Face à l'évolution du paysage des risques, les programmes efficaces de gestion des cyber risques doivent inclure des capacités telles que des solutions de surveillance de l'activité des utilisateurs, conçues pour détecter, prévenir et enquêter sur les cyberincidents.
- Les entreprises doivent bien admettre que ce qui constitue un comportement normal pour un employé peut s'avérer anormal pour un autre. Par conséquent, les entreprises doivent identifier les moments où les activités s'écartent des routines normales et les replacer dans leur contexte, au cas par cas, selon les utilisateurs.
- En plus d'un programme global de protection de la confidentialité, les entreprises peuvent atténuer le risque de violation de la vie privée en veillant à ce que leurs mesures de sécurité puissent signaler les activités suspectes sans identifier directement les employés ou les utilisateurs.
Cette conversation sur les implications de la surveillance des utilisateurs en matière de respect de la vie privée et de conformité n'aurait pas pu tomber à un meilleur moment. Les programmes de gestion des risques des entreprises doivent évoluer aussi rapidement que les services informatiques et de sécurité ont dû le faire pour prendre en charge l'arrivée massive d'une main-d'œuvre à distance permanente.
Harriet, James, et moi-même poursuivons cette discussion dans le nouveau webcast, « Protection de la vie privée, sécurité des données et protection des utilisateurs au niveau mondial :Quoi de neuf ? (Global Privacy, Data Security, and User Protection: What’s New?) » Nous y parlons des implications dans le monde réel et partageons des idées sur l'impact sur les entreprises mondiales et les approches de sécurité à venir, sur la base des conclusions du nouveau rapport. Joignez-vous à nous pour discuter de ces problèmes importants et interdépendants de conformité, de confidentialité et de sécurité. Vous pouvez également télécharger l'article pour commencer.
