Cybersecurity 101:
Informations personnelles identifiables (PII)
Les informations personnelles identifiables (PII) sont toutes les informations ou données sensibles destinées à identifier un individu. Parfois, un seul élément d'identification personnelle permet d'identifier une personne en particulier, tandis que d'autres informations d'identification personnelle pertinentes sont nécessaires pour établir une correspondance précise avec une personne.
Les acteurs malveillants profitent de la nécessité croissante de présenter ces informations personnelles. Les pirates informatiques peuvent prendre un fichier contenant des milliers d'informations personnelles et utiliser leurs données personnelles pour semer le chaos dans leur vie. Ils peuvent souvent distinguer ou retracer l'identité d'une personne spécifique à l'aide d'un ou de plusieurs identifiants directs.
Lorsqu'elles sont utilisées de manière appropriée et conformément à la Loi sur la protection de la vie privée de la General Services Administration (GSA) des États-Unis et aux Règles de comportement pour le traitement des informations personnelles identifiables (PII), ces informations vitales servent d'identifiants abrégés pour les établissements de santé, les agences nationales des véhicules automobiles et les compagnies d'assurance.
Qu'est-ce qui est considéré comme une information personnellement identifiable ?
Les informations personnelles identifiables (PII) sont tout ce qui peut contenir des identifiants directs, qui peuvent identifier précisément l'identité d'une personne, comme les données nécessaires pour un permis de conduire ou un passeport. Les informations figurant sur ces cartes d'identité, livres ou autres documents peuvent inclure l'adresse de leur domicile et leur numéro de sécurité sociale ou de permis de conduire.
Les quasi-identifiants, tels que les informations concernant le patrimoine racial, peuvent être combinés et utilisés avec d'autres quasi-identifiants, notamment la date de naissance (DOB), pour identifier une personne avec succès.
Voici les principaux types d'informations personnelles utilisées par les entreprises pour identifier les individus :
- Nom complet
- Adresse postale
- Numéro de téléphone
- Adresse e-mail
- Dossiers médicaux
- Informations financières, telles que les numéros de carte de crédit, les comptes bancaires ou les informations de dossier de solvabilité
- Informations relatives au passeport, telles que les lieux et les dates de voyage
- Numéros de compte Internet et mots de passe
- Informations biométriques
Les informations personnelles indirectes et non sensibles comprennent les informations quasi-identificatoires mentionnées précédemment, qui sont souvent du domaine public ou collectées de manière si anonyme qu'elles ne sont pas facilement liées à une personne en elles-mêmes.
Voici quelques exemples de PII non sensibles :
- Code postal
- Course
- Genre
- Date de naissance
- Lieu de naissance
- Religion
Bien que chacun de ces quasi-identifiants puisse servir d'outil pour identifier un individu en conjonction avec des identificateurs directs, ils n'ont guère de valeur pour les acteurs malveillants en eux-mêmes. De nombreux PII non sensibles font partie d'un permis de conduire, d'un passeport ou d'un dossier de facturation. Pourtant, sans identifiant direct, les meilleurs pirates informatiques se retrouvent souvent dans une impasse lorsqu'ils tentent de les utiliser à des fins frauduleuses.
Qui collecte officiellement les informations personnelles identifiables disponibles ?
Aujourd'hui, presque toutes les entreprises collectent, stockent, transmettent et traitent les informations personnelles dans une certaine mesure. Cependant, certaines organisations détiennent des informations plus sensibles que d'autres, comme les organisations de santé et un département ou un bureau des véhicules automobiles.
Les mégadonnées sont ainsi devenues une force majeure des entreprises d'aujourd'hui, offrant aux entreprises des informations sur les habitudes d'achat des clients, les comportements de navigation, la situation géographique, etc. Cela signifie que les données font désormais partie intégrante des entreprises modernes et que les consommateurs fournissent en permanence de plus en plus d'informations personnelles.
Certains acteurs malveillants non officiels veulent accéder à des informations personnelles identifiables
Le problème avec le partage d'informations aussi vitales est que violations de données sont en constante augmentation. Les cyberattaquants reconnaissent la valeur de ces informations, qui constituent un raccourci pour connaître l'histoire de la vie d'une personne, y compris ses informations financières.
Si les pirates informatiques ne peuvent pas voler directement à une victime d'une violation de données, ils peuvent compromettre sa réputation personnelle en essayant d'utiliser son numéro de sécurité sociale pour ouvrir des comptes de carte de crédit et bien plus encore.
Pourquoi les informations personnelles identifiables sont-elles précieuses pour les pirates informatiques et les fraudeurs ?
Les cyberattaquants ne cessent de chercher des moyens de tirer le meilleur parti d'une violation de données. Les informations personnelles sont riches en détails et permettent d'identifier et de terroriser rapidement et facilement les personnes qui devaient faire confiance à un hôpital, à une banque ou à l'IRS.
Comment les voleurs accèdent-ils à des informations personnelles identifiables ?
Le vol de données et les violations de données à grande échelle sont devenus si courants que les individus n'y prêtent guère attention à moins que cela ne les affecte directement.
Il existe des risques plus proches de chez nous que tout le monde doit prendre en compte. Le fait est que le danger guette tout le monde, car nous partageons tous les jours des informations personnelles et, une fois qu'elles sont entre les mains d'un tiers, c'est comme si nous attendions que l'autre tombe.
Voici quelques moyens par lesquels les voleurs apprennent à connaître des personnes grâce à leurs informations d'identification personnelle, qu'ils le veuillent ou non :
- Vol de boîtes aux lettres. De nombreuses personnes laissent leur courrier dans la case postale plusieurs jours d'affilée, grâce aux services bancaires en ligne et au paiement de factures. Chaque courrier est riche en données, y compris les notifications du Bureau des véhicules automobiles, les factures médicales et les relevés de carte de crédit.
- Plongée dans une benne à ordures. La poubelle ou la benne à ordures est l'arrêt suivant après la boîte aux lettres. Si un criminel ne voulait pas prendre le risque d'aller sur le porche de quelqu'un, la benne à ordures est la solution la plus sûre. Ils peuvent trouver toutes les mêmes informations dans des courriers jetés sans attirer autant d'attention.
Parmi les autres moyens utilisés par les criminels pour accéder aux informations personnelles, citons l'accès sans fil non sécurisé, les incidents liés aux objets trouvés, le phishing et les escroqueries sous prétexte, les réseaux sociaux et les manœuvres d'ingénierie sociale.
Ce ne sont là que quelques moyens alternatifs pour les voleurs d'accéder à l'identité d'un individu. Pourtant, elles sont tout aussi dangereuses pour les individus que les violations de données visant à voler des informations personnelles ou identifiables.
Comment le RGPD traite-t-il les informations personnelles ?
Le Règlement général sur la protection des données (RGPD) est entrée en vigueur en mai 2019 dans le but principal de protéger la vie privée des consommateurs de l'Union européenne (UE) et de sauvegarder les données. Le RGPD obligeait les entreprises de l'UE et du monde entier à se conformer à ses nombreuses exigences en matière de sécurité de leurs données, de leurs employés, de leurs clients et de leurs fournisseurs tiers.
Les informations que les entreprises doivent sécuriser incluent les informations personnelles, et elles ont toutes l'obligation légale de les protéger.
Le Parlement européen a conçu le RGPD pour protéger les consommateurs de l'UE, avant tout, en leur donnant essentiellement toute liberté quant à leurs informations personnelles. Voici quelques moyens par lesquels les consommateurs de l'UE peuvent contrôler leurs informations personnelles dans le cadre de leurs activités commerciales :
- Demander aux entreprises de supprimer les informations personnelles
- Demande de correction d'erreurs factuelles
- Demander l'accès aux données personnelles stockées
- Demander l'exportation de données personnelles pour les consulter et les utiliser s'ils le souhaitent
Quels sont les meilleurs moyens pour les entreprises de protéger leurs informations personnelles ?
Toutes les entreprises peuvent prendre des mesures spéciales pour protéger les informations personnelles de leurs clients dans l'intérêt de tous. Voici quelques-unes des meilleures façons de protéger ces informations vitales contre les criminels, en ligne et partout ailleurs :
- Chiffrer les données lors du partage ou du stockage électronique
- Mettez en œuvre des politiques de mots de passe robustes pour les smartphones, les tablettes et les ordinateurs portables
- Encouragez les employés à utiliser des mots de passe différents pour chaque site Web, application et compte
- Créez des protocoles de sécurité supplémentaires, tels que des questions de sécurité sur les sites Web
- Faites particulièrement attention aux ordinateurs et autres appareils mis hors service, en retirant et en détruisant les disques durs avant de les jeter ou de les donner. La dernière étape consiste à rétablir les paramètres d'origine de l'appareil pour s'assurer qu'il est clair avant de le mettre au rebut.
- Utilisez une déchiqueteuse pour éliminer correctement les copies papier des documents. Déchiquetez soigneusement chaque document pour vous assurer qu'aucun PII n'est discernable.
- Rappelez aux employés et à la direction de ne pas laisser de documents riches en informations personnelles à la photocopieuse ou à tout autre endroit où ils pourraient s'arrêter pendant qu'ils travaillent sur un fichier.
Plus les entreprises feront preuve de vigilance à l'égard des informations personnelles, plus elles auront de chances de les protéger des violations de données et de toute autre menace.