Comment la microsegmentation vous aide à respecter les obligations de sécurité du CCPA

Loi californienne sur la protection de la vie privée des consommateurs (CCPA) a pris effet le 1er janvier 2020, et l'audit et l'application ont commencé le 1er juillet. Cette nouvelle réglementation en matière de confidentialité aura un impact significatif sur les initiatives en matière de protection de la vie privée, non seulement en Californie, mais également sur les organisations qui ont des activités commerciales importantes dans l'État et collectent donc les données des résidents de la Californie ou y ont accès.

La majorité des discussions initiales sur le CCPA ont porté sur l'obligation des entreprises de répondre aux demandes des résidents de Californie concernant l'accès, la suppression et la désinscription de la collecte de données. Si vous résidez en Californie, vous connaissez très bien les avis de confidentialité incessants qui apparaissent chaque fois que vous visitez un site Web. L'autre sujet de discussion concernant le CCPA était centré sur l'obligation de cesser de vendre des données sur les consommateurs à la demande d'un individu.

Une petite section du document CCPA se concentre sur les violations de données et la sécurité. À mon avis, les violations décrites dans ces clauses ont un impact nettement plus important sur la marque d'une entreprise et sur la croissance future de son chiffre d'affaires. Les justiciables privés n'ont pas perdu de temps à intenter des poursuites en vertu de la nouvelle loi. Par exemple, Marriott International a annoncé une violation, qui a touché 5,2 millions de clients, le 31 mars 2020. Quelques jours plus tard (3 avril), un CA un consommateur a intenté un recours collectif contre l'entreprise en vertu de la clause de violation de données du CCPA. Si vous souhaitez en savoir plus sur cette affaire et des actions en justice similaires, le cabinet d'avocats spécialisé dans la protection de la vie privée Kelley Drye publie un trimestriel Tour d'horizon des litiges liés à la CCPA.

Avec toutes ces discussions sur la réglementation, vous vous demandez peut-être quel rôle microsegmentation joue sur le CCPA et explique comment vous pouvez utiliser la microsegmentation pour faire face à votre exposition à une violation de données en vertu de la CCPA.

Dans cette optique, approfondissons ce qu'est le CCPA et concentrons-nous sur les exigences en matière de sécurité et de protection contre les violations de données. (Avertissement légal : bien que j'aie consulté les équipes de sécurité et juridiques d'Illumio sur le contenu de ce blog, les informations ne doivent pas être considérées comme des conseils juridiques.

Qu'est-ce que le CCPA ?

Officiellement appelée AB-375, la California Consumer Privacy Act (CCPA) est une loi d'État visant à renforcer les droits à la vie privée et la protection des consommateurs des résidents de Californie, aux États-Unis. Le projet de loi a été adopté par la législature de l'État de Californie et a été promulgué le 28 juin 2018 et est entré en vigueur le 1er janvier 2020.

Qui est tenu de se conformer au CCPA ?

Votre organisation est légalement obligée de se conformer à la CCPA si elle répond aux critères suivants : (1) fonctionne dans un but lucratif, et (2) collecte des informations personnelles des consommateurs sur les résidents de Californie, et (3) font des affaires en Californie — ET franchit également au moins l'un des seuils énumérés : (1) les recettes brutes annuelles dépassent 25 millions de dollars, ou (2) achète, reçoit, partage ou vend chaque année les informations personnelles de 50 000 consommateurs, ménages ou appareils ou plus, ou (3) tire plus de 50 % de ses revenus annuels de la vente d'informations personnelles des consommateurs.

En outre, une entité est considérée comme une « entreprise » et couverte par la CCPA si elle contrôle ou est contrôlée par une entité qui répond aux critères ci-dessus et partage une marque commune avec cette entité.

Le jargon juridique de cette section est un peu confus. Pour rappel, veuillez vérifier auprès de votre conseiller juridique si votre entreprise est couverte par la CCPA.

Quelles sont les obligations des organisations couvertes en vertu de la CCPA ?

De nombreux cabinets d'avocats de niveau 1 et 2 ont publié des articles sur ce sujet, je ne vais donc pas y consacrer beaucoup de temps. Google est ton ami. En résumé, les obligations incluent, sans toutefois s'y limiter :

1. Fournir aux consommateurs un moyen clair de se retirer de la vente par l'entreprise des biens du consommateur informations personnelles. (Notez que les informations personnelles ne sont pas égales à PII. Voir la question suivante pour plus de détails.)
2. Informer le consommateur de ses pratiques en matière de collecte, de vente et de divulgation des données.
3. Fournir au consommateur la possibilité d'accéder aux informations personnelles collectées.
4. Fournir au consommateur la possibilité d'effacer/de demander la suppression des informations personnelles collectées par l'entreprise.
5. Mettez en œuvre des procédures de sécurité raisonnables pour protéger les données des consommateurs contre les violations de données.

Qu'est-ce qui est considéré comme une information personnelle au sens de la CCPA ?

Notez que le langage CCPA fait référence à des informations personnelles et pas seulement à des informations personnelles identifiables (PII). La définition des informations personnelles au sens de la CCPA est également assez large et inclut, sans s'y limiter, les catégories suivantes :

• Identifiants directs : nom réel, pseudonyme, adresse postale, numéros de sécurité sociale, permis de conduire, informations de passeport et signature. Ces informations sont considérées comme des PII.
• Identifiants indirects : cookies, balises, balises pixel, numéros de téléphone, adresses IP, noms de comptes.
• Données biométriques : visage, rétine, empreintes digitales, ADN, enregistrements vocaux, données de santé. Ces informations sont considérées comme des PII.
• Géolocalisation : historique de localisation via des appareils.
• Activité sur Internet : historique de navigation, historique de recherche, données relatives à l'interaction avec une page Web, une application ou une publicité.
• Informations sensibles : caractéristiques personnelles, comportement, convictions religieuses ou politiques, préférences sexuelles, données relatives à l'emploi et à l'éducation, informations financières et médicales.

Vous devriez vérifier auprès de votre conseiller juridique et de vos équipes de sécurité les catégories couvertes par les clauses de confidentialité et de sécurité des violations de données du CCPA. Cette analyse vous aidera à déterminer l'étendue de vos obligations de sécurité liées à la CCPA.

Puisque vous pensez probablement au CCPA du point de vue de l'exposition aux violations de données, je souhaite double-cliquer sur cette question.

Quelles sont les obligations de sécurité en vertu du CCPA ?

Le document officiel du CCPA est étonnamment court, et si vous avez l'occasion de le lire, vous vous rendrez compte qu'il n'existe pas de langage prescriptif en matière de sécurité des données. Elle inclut la clause relative à la violation de données, qui crée un droit d'action privé pour les violations de données résultant du non-respect d'une « sécurité raisonnable » en vertu du Code civil de Californie 1798.81.5 (d) (1) (A). (Autre rappel, veuillez vérifier auprès de votre avocat).

Il inclut également un libellé sur les droits des consommateurs en matière de violation de données, qui pénalise les entreprises concernées pour les violations résultant d'une « violation de l'obligation de mettre en œuvre et de maintenir des procédures et pratiques de sécurité raisonnables ».

Quelle est la recommandation concernant la mise en œuvre de « mesures de sécurité raisonnables » ?

Le CCPA ne fournit pas de directives prescriptives sur la « sécurité raisonnable ». Kamala Harris, qui était procureur général de l'État de Californie au moment de la rédaction de la loi, a donné son avis dans le Rapport sur les violations de données 2012-2015 en Californie que l'État considère les 20 meilleurs contrôles de sécurité du Center for Internet Security (CIS) comme la base de référence pour les procédures et pratiques de sécurité raisonnables. Cette opinion n'a pas été mise à jour par l'actuel AG de l'État de Californie, Xavier Becerra. Nous pouvons donc supposer que les recommandations de 2016 sont toujours valables.

Quels sont les 20 principaux contrôles de sécurité de la CEI ?

Le cadre des 20 principaux contrôles de sécurité de la CEI existe depuis plus de 10 ans et est fréquemment mis à jour. Le cadre est dérivé du plus courant modèles d'attaque mis en évidence dans les principaux rapports sur les menaces et approuvé par une très large communauté de professionnels du gouvernement et de l'industrie. Il reflète les connaissances combinées des experts commerciaux et gouvernementaux en matière de criminalistique et de réponse aux incidents. Il n'est pas surprenant que le CA State AG recommande ce cadre comme base de référence, car de nombreuses organisations adoptent déjà cette approche, puis renforcent les contrôles pour répondre aux exigences spécifiques de leur environnement.

Pour être clair, vous ne pouvez pas compter sur un seul produit pour mettre en œuvre ces contrôles. Idéalement, vous aurez besoin d'une solution prenant en charge l'activation de ces contrôles et dotée d'API robustes pour s'intégrer parfaitement à vos autres investissements en matière de sécurité, tels que votre SIEM, vos scanners de vulnérabilités, votre CMDB, vos SCM, votre orchestration de conteneurs, etc.

Illumio respecte et soutient directement 16 des 20 meilleurs contrôles de sécurité de la CEI. Voici une cartographie de haut niveau pour une visualisation facile. J'ai récemment créé un blog distinct sur Associer Illumio aux 20 meilleures commandes de la CEI si vous souhaitez double-cliquer sur chacune de ces commandes. (Remarque : le terme « supports » figurant dans la colonne des fonctionnalités Illumio signifie que les clients utilisent les données ou la fonctionnalité Illumio pour activer une partie du contrôle.

Comment les organisations peuvent-elles utiliser Illumio et le cadre des 20 meilleurs contrôles de sécurité de la CEI pour répondre aux exigences du CCPA en matière de « mesures de sécurité raisonnables » ?

Si vous avez adopté les 20 meilleurs contrôles de la CEI pour répondre à vos obligations de sécurité en vertu de la CCPA, vous pouvez utiliser Illumio pour :

1. Gagnez en visibilité et évaluez efficacement l'étendue des obligations de sécurité. Le CCPA oblige les organisations à créer et à tenir à jour un inventaire de toutes les ressources et applications qui collectent et stockent les données des consommateurs. Pour y remédier, Illumio fournit une visibilité en temps réel. Vous pouvez utiliser le carte des dépendances des applications pour commencer à créer votre inventaire et pour valider l'exactitude des informations généralement présentes dans les outils statiques et ponctuels tels que la gestion des actifs et les systèmes CMDB. Vous pouvez facilement identifier les applications, les magasins de données, les machines, les charges de travail et les points de terminaison concernés par le CCPA, ainsi que les connexions et les flux autorisés.
2. Réduisez votre surface d'attaque et empêchez les acteurs malveillants d'accéder à vos données CCPA. Illumio vous aide à concevoir et à appliquer des politiques pour cloisonner les applications et le trafic entre les charges de travail, entre les charges de travail et les utilisateurs, et entre les points de terminaison des utilisateurs en programmant les pare-feux dynamiques de couche 3/couche 4 qui résident dans chaque hôte.
3. Maintenez et surveillez votre microsegmentation posture de sécurité. Les agents d'Illumio, mieux connus sous le nom de VENs, agissent comme des capteurs et surveillent en permanence votre environnement pour détecter les nouvelles charges de travail et les connexions des utilisateurs finaux, ainsi que les changements de connectivité à toutes les données et applications pertinentes du champ d'application du CCPA. Il peut également bloquer les connexions ou les tentatives de connexion non autorisées.
4. Accélérez la mise en conformité en matière de sécurité. La date limite du CCPA était le 1er janvier 2020. L'application de la loi, les audits et les rapports ont commencé le 1er juillet 2020. Illumio aidera à répondre rapidement aux contrôles du CIS 20 en accélérant la planification et la conception grâce à une visibilité en temps réel et à une modélisation des politiques basée sur des étiquettes. Une solution de microsegmentation multi-systèmes d'exploitation au niveau de l'hôte signifie que vous n'avez pas à réorganiser l'architecture de votre réseau/SDN.

Si vous souhaitez en savoir plus sur les fonctionnalités d'Illumio, consultez Noyau Illumio.