Comment la microsegmentation vous aide à respecter les obligations de sécurité de la CCPA

The California Consumer Privacy Act (CCPA) took effect on January 1, 2020, and auditing and enforcement started on July 1. This new privacy regulation will have a significant impact on privacy initiatives not only in California, but also on organizations that have significant business operations in the state and are, therefore, collecting or have access to CA residents’ data.

La majorité des discussions initiales sur la CCPA se sont concentrées sur l'obligation des entreprises d'honorer les demandes d'accès, de suppression et de refus de collecte de données des résidents californiens. Si vous résidez en Californie, vous connaissez très bien les incessantes notifications de confidentialité qui s'affichent à chaque fois que vous visitez un site web. L'autre sujet de conversation autour de la CCPA portait sur l'obligation de cesser de vendre les données des consommateurs à la demande de ces derniers.

There is a small section in the CCPA document that focuses on data breaches and security. In my opinion, the violations outlined in these clauses have significantly greater impact on a business’s brand and future top-line growth. Private litigants did not waste any time filing lawsuits under the new law. For example, Marriott International announced a breach, which impacted 5.2 million customers, on March 31, 2020. A couple of days later (April 3), a CA consumer filed a class action lawsuit against the company under the CCPA data breach clause. If you’d like to learn more about this case and similar legal actions, privacy law firm Kelley Drye publishes a quarterly CCPA Litigation Round-up.

With all this talk of regulations, you may be wondering what role micro-segmentation plays in CCPA and how you can use micro-segmentation to address your CCPA data breach exposure.

Dans cette optique, examinons plus en détail ce qu'est la CCPA et concentrons-nous sur les exigences en matière de sécurité et de protection contre les atteintes à la protection des données. (Avertissement juridique : bien que j'aie consulté les équipes juridiques et de sécurité d'Illumio sur le contenu de ce blog, les informations ne doivent pas être considérées comme des conseils juridiques.

Qu'est-ce que l'ACCP ?

Officiellement appelée AB-375, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) est une loi d'État visant à renforcer le droit à la vie privée et la protection des consommateurs pour les résidents de Californie, aux États-Unis. Le projet de loi a été adopté par la législature de l'État de Californie et promulgué le juin 28, 2018 et est entré en vigueur le janvier 1, 2020.

Qui est tenu de se conformer à la CCPA ?

Votre organisation est légalement tenue de se conformer à la CCPA si elle répond aux critères suivants : (1) elle a un but lucratif , (2) elle recueille des informations personnelles sur les résidents de Californie, et (3) elle fait des affaires en Californie - ET elle franchit également au moins l'un des seuils suivants : (1) ses recettes brutes annuelles dépassent 25 millions de dollars , ou (2) elle achète, reçoit, partage ou vend chaque année des informations personnelles concernant au moins 50 000 consommateurs, ménages ou appareils, ou (3) elle tire plus de 50% de ses recettes annuelles de la vente d'informations personnelles sur les consommateurs.

En outre, une entité est considérée comme une "entreprise" et couverte par l'ACCP si elle contrôle ou est contrôlée par une entité qui répond aux critères ci-dessus et qui partage une marque commune avec cette entité.

Le jargon juridique de cette section peut prêter à confusion. Nous vous rappelons donc de vérifier auprès de votre conseiller juridique si votre entreprise est couverte par la loi sur la protection des consommateurs.

Quelles sont les obligations des organisations couvertes par la CCPA ?

De nombreux cabinets d'avocats de niveau 1 et 2 ont publié des articles sur ce sujet, je n'y consacrerai donc pas beaucoup de temps. Google est votre ami. En résumé, les obligations comprennent, mais ne sont pas limitées à :

1. Provide consumers with a clear way to opt-out of the business’ sale of the consumer’s personal information. (Note that personal information is not equal to PII. See next question for more details.)
2. Informer le consommateur de ses pratiques en matière de collecte, de vente et de divulgation de données.
3. Donner au consommateur la possibilité d'accéder aux informations personnelles collectées.
4. Donner au consommateur la possibilité d'effacer/demander la suppression des informations personnelles collectées par l'entreprise.
5. Mettre en œuvre des procédures de sécurité raisonnables pour protéger les données des consommateurs contre les violations de données.

Qu'est-ce qui est considéré comme des informations personnelles au sens de la CCPA ?

Notez que le libellé de la CCPA fait référence aux informations personnelles et pas seulement aux IPI (informations personnelles identifiables). La définition des informations personnelles au sens de la CCPA est également très large et comprend, sans s'y limiter, les catégories suivantes :

• Identifiants directs - nom réel, pseudonyme, adresse postale, numéro de sécurité sociale, permis de conduire, informations figurant sur le passeport et signature. Ces informations sont considérées comme des IIP.
• Identifiants indirects - cookies, balises, pixel tags, numéros de téléphone, adresses IP, noms de comptes.
• Données biométriques - visage, rétine, empreintes digitales, ADN, enregistrements vocaux, données de santé. Ces informations sont considérées comme des IIP.
• Géolocalisation - historique de la localisation par le biais des appareils.
• Activité sur Internet - historique de navigation, historique de recherche, données sur l'interaction avec une page web, une application ou une publicité.
• Informations sensibles - caractéristiques personnelles, comportement, convictions religieuses ou politiques, préférences sexuelles, données relatives à l'emploi et à l'éducation, informations financières et médicales.

Vous devez vérifier auprès de votre conseiller juridique et de vos équipes de sécurité les catégories couvertes par les clauses de protection de la vie privée et de sécurité en cas de violation des données de la CCPA. Cette analyse vous aidera à déterminer l'étendue de vos obligations en matière de sécurité liées à la CCPA.

Comme vous envisagez probablement la CCPA sous l'angle de l'exposition aux violations de données, je souhaite doublement aborder cette question.

Quelles sont les obligations de sécurité prévues par la CCPA ?

The official CCPA document is surprisingly short, and if you have the chance to read it, you will realize that there is no prescriptive language on data security. It does include the data breach clause, which creates a private right of action for data breaches arising from failure to maintain “reasonable security” under California Civil Code 1798.81.5 (d)(1)(A). (Another reminder to please check with your lawyer).

Elle contient également des dispositions relatives aux droits des consommateurs en cas de violation des données, qui pénalisent les entreprises concernées en cas de violation résultant d'un "manquement à l'obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables".

Quelle est la recommandation pour la mise en œuvre de "mesures de sûreté raisonnables" ?

CCPA does not provide prescriptive guidance on “reasonable security.” Kamala Harris, who was the CA State AG during time the law was drafted, opined in the CA Data Breach Report 2012-2015 that the state considers the Center for Internet Security (CIS) Top 20 Security Controls as the baseline for reasonable security procedures and practices. There has been no update to this opinion from the current CA State AG, Xavier Becerra, so we can assume that the 2016 recommendations still stand.

Quels sont les 20 principaux contrôles de sécurité du CIS ?

The CIS Top 20 Security Controls Framework has been around for more than 10 years and is updated frequently. The framework is derived from the most common attack patterns highlighted in the leading threat reports and vetted across a very broad community of government and industry practitioners. It reflects the combined knowledge of commercial and government forensic and incident response experts. It is no surprise that the CA State AG would recommend this framework as the baseline, because many organizations already take this approach, and then augment the controls to address their environment’s specific requirements.

Pour être clair, vous ne pouvez pas compter sur un seul produit pour mettre en œuvre ces contrôles. Idéalement, vous voudrez une solution qui supporte l'activation de ces contrôles et qui a des API robustes pour jouer avec vos autres investissements en sécurité tels que votre SIEM, vos scanners de vulnérabilité, votre CMDB, vos SCM, l'orchestration de conteneurs, etc.

Illumio directly meets and supports 16 of the CIS Top 20 Security Controls. Here is a high-level mapping for easy viewing. I recently authored a separate blog on Mapping Illumio to the CIS Top 20 Controls if you want to double-click on each of these controls. (Note: “supports” in the Illumio capability column means that customers use Illumio data or feature to enable a portion of the control.

Comment les organisations peuvent-elles utiliser Illumio et le Top 20 Security Controls Framework du CIS pour répondre aux exigences de "mesures de sécurité raisonnables" de la CCPA ?

Si vous avez adopté les 20 contrôles les plus importants de l'ECI pour répondre à vos obligations en matière de sécurité de la CCPA, vous pouvez utiliser Illumio pour :

1. Gain better visibility and effectively assess the scope of security obligations. CCPA requires organizations to create and maintain an inventory of all resources and applications that collect and store consumer data. To address this, Illumio provides real-time visibility. You can use the application dependency map to start creating your inventory and to validate the accuracy of the information typically found in static, point-in-time tools like asset management and CMDB systems. With little effort, you can see which applications, data stores, machines, workloads, and endpoints are in-scope for CCPA, and which connections and flows are authorized.
2. Réduisez votre surface d'attaque et rendre plus difficile l'accès à vos données CCPA par des acteurs malveillants. Illumio vous aide à concevoir et à appliquer des politiques pour clôturer les applications et le trafic entre les charges de travail, entre les charges de travail et les utilisateurs, et entre les points d'extrémité des utilisateurs en programmant les pare-feux stateful de couche 3 et de couche 4 qui résident dans chaque hôte.
3. Maintenir et surveiller votre micro-segmentation posture de sécurité. Illumio’s agents, better known as VENs, act like sensors and continuously monitor your environment for new workload and end-user connections, and also for changes in connectivity to any data and applications that are in scope for CCPA. It can also block unauthorized connections or attempts to connect.
4. Augmenter le temps de mise en conformité avec les normes de sécurité. L'échéance de l'ACCP était fixée à janvier 1, 2020. La mise en œuvre, les audits et les rapports ont débuté le 1er juillet 1, 2020. Illumio aidera à respecter rapidement les contrôles CIS 20 en accélérant la planification et la conception grâce à une visibilité en temps réel et à une modélisation des politiques basée sur les étiquettes. Une solution de micro-segmentation multi-OS au niveau de l'hôte signifie que vous n'avez pas à réorganiser votre réseau/SDN.

If you’d like to learn more about Illumio’s capabilities, check out Illumio Core.