Le télétravail, votre entreprise en parle probablement depuis des années et certains employés se sont renseignés à ce sujet.
De nombreuses entreprises avaient déjà mis en place des programmes de travail à domicile à petite échelle. Dans certains cas, il était tout simplement logique qu’une partie du personnel travaille à distance de façon permanente. Dans d’autres cas, la direction avait autorisé certains employés à travailler à domicile un jour par semaine dans le but d’améliorer le taux de rétention du personnel.
Mais tout a changé en l’espace d’un mois environ et il est peut-être temps de passer aux choses sérieuses. En cette période difficile, notamment à cause du coronavirus, les entreprises doivent encourager, voire forcer leurs employés à travailler à domicile afin de les protéger du virus.
La planification du télétravail est primordiale
Il est facile de se laisser prendre par l’hystérie du Coronavirus, comme en témoignent les rayons vides des épiceries. Comme les choses se vont si vite, votre capacité à vous préparer à un tel évènement est courte. Pourtant, il est impératif de bien planifier la mise en œuvre de votre télétravail et de vous assurer que vous le faites correctement.
Ne vous contentez pas d’envoyer vos utilisateurs travailler à domicile avec leur ordinateur portable en espérant qu’ils vont agir de manière responsable.
En réalité, ils devront sortir des limites de la sécurité de l’entreprise et risqueront de travailler dans des environnements non sécurisés. Il incombe donc aux services informatiques internes de les protéger ainsi que leurs appareils pendant une certaine période.
Il leur incombe également de mettre en quarantaine toute apparition de code malveillant en provenance de l’entreprise au cas où les appareils des utilisateurs seraient infectés pendant cette période.
Chaque compte utilisateur auquel est attribué un accès à distance ouvre un point de vulnérabilité supplémentaire. Votre rôle est donc de vérifier que toutes les applications et ressources nécessaires sont accessibles de l’extérieur.
Préparer des fiches de formation
Si vous êtes comme beaucoup d’entreprises qui ont repoussé leur formation à la cybersécurité pour « plus tard », eh bien, sachez que ce « plus tard » doit être aujourd’hui.
Vous devez envisager d’envoyer des rappels quotidiens par e-mail et de courtes vidéos qui enseignent aux employés comment détecter et traiter le phishing et d’autres formes d’attaques d’ingénierie sociale. Les utilisateurs doivent être dissuadés de se connecter à des réseaux publics ou ouverts.
Ceux qui travaillent à domicile devraient être encouragés à créer un réseau distinct chez eux pour isoler davantage leurs données s’ils savent comment faire.
Rappelez à vos employés de ne pas partager leur connexion avec d’autres personnes (même à leur famille) et de télécharger dès à présent tout fichier de travail sur leurs appareils distants ou leur stockage personnel, sauf autorisation de leurs supérieurs.
Créer des points de communication
Une fois que vos employés travaillent à leur domicile, sachez qu’ils vont être seuls là-bas.
Il faut donc leur donner un moyen de se rendre facilement sur place pour répondre à leurs préoccupations et à leurs questions en matière de sécurité. Envisagez également de créer un e-mail facile à retenir, tel que security@companyname.com ou cybersecurity@companyname.com, qu’ils pourront facilement contacter à tout moment en interne.
En outre, veillez à ce que le personnel informatique soit capable de surveiller les e-mails provenant des employés pendant les heures normales d’ouverture de votre bureau.
Cybermenaces liées aux coronavirus
Malheureusement, les cybermenaces liées aux coronavirus ont connu un énorme pic au cours des dernières semaines.
Ces attaques tournent principalement autour du phishing et des malwares et sont de plus en plus sophistiquées. Le fait est que vos employés doivent travailler dans des environnements non sécurisés. Il incombe donc aux services informatiques internes de les protéger et de sécuriser leurs appareils pendant cette période de séparation.
C’est là que nos deux technologies deviennent essentielles. Cette année, nous avons constaté une demande massive concernant notre couche de sécurité des e-mails, SpamTitan. Il s’agit d’une solution idéale pour protéger les étudiants et le personnel des entreprises contre les nouvelles variantes d’attaques de phishing.
Si l’on ajoute à cela notre produit de sécurité DNS basé sur l’intelligence artificielle, WebTitan, on obtient une couche de protection pour tous les étudiants et votre personnel qui permettent de protéger leurs dispositifs connectés à Internet.
En tant que dirigeant d’entreprise, vous devriez donc déployer ces solutions de manière transparente pour vos employés distants.
Basée dans le cloud, SpamTitan Cloud se présente comme une solution puissante de sécurité de la messagerie électronique et protège votre entreprise contre toute une variété des menaces lancées via les e-mails. SpamTitan dispose de capacités avancées de détection des menaces qui lui permettent de reconnaître les menaces connues et les menaces de type « zero-day », le spear phishing, les malwares, les réseaux de botnets et les ransomwares.
SpamTitan peut également s’assurer que les menaces n’atteignent jamais les boîtes de réception de vos employés. En outre, SpamTitan Cloud peut scanner les messages électroniques sortants pour détecter le spamming et la distribution de malwares, tout en améliorant la protection contre les menaces internes grâce à des balises pour les données sensibles.
WebTitan Cloud est une solution de filtrage DNS qui offre une protection contre les attaques basées sur le web pour les utilisateurs travaillant sur le réseau ou en dehors de votre entreprise. Comme il s’agit d’une solution basée dans le cloud, il n’est pas nécessaire d’acheminer le trafic vers le bureau pour appliquer les contrôles de filtrage.
Comme le filtre est basé sur le DNS, il est possible de fournir un accès Internet filtré à vos employés, sans aucune latence. Des contrôles peuvent facilement être appliqués pour restreindre l’accès à certains types de sites web afin d’empêcher le cyberslacking – c’est-à-dire l’utilisation accrue de l’internet sur les ordinateurs des entreprises par les employés pour leur usage personnel ou pour leur divertissement – et de bloquer les menaces de cybersécurité et les téléchargements de malwares.
Ces deux solutions sont faciles à mettre en œuvre. Elles ne nécessitent aucune intervention d’un responsable informatique au sein de votre entreprise, et peuvent être configurées pour protéger vos employés en quelques minutes. Elles sont également disponibles en version d’essai gratuite si vous souhaitez évaluer les solutions avant de vous engager dans un achat.
Le cas des VPN
Il est fort probable que vos utilisateurs se connectent à votre réseau d’entreprise par le biais d’un réseau privé virtuel (VPN). De nombreuses entreprises ont réservé le VPN au personnel de support, de sorte que le nombre d’utilisateurs du VPN a été négligeable. Ce nombre va maintenant augmenter de manière spectaculaire. Voici donc quelques éléments que vous devez prendre en considération.
Assurez-vous que votre pare-feu comporte une zone séparée pour le VPN et sécurisée par des règles. Ces politiques devraient restreindre l’accès des appareils distants à des zones désignées. Assurez-vous que tout le trafic passant par cette zone est protégé avec le moteur antivirus du pare-feu et qu’il soit surveillé par son fournisseur d’accès interne.
Pour les ordinateurs portables qui sont inscrits à une solution de gestion de terminaux mobiles (MDM), vous pouvez installer un client VPN via le portail de gestion. Sinon, installez et testez la fiabilité de la solution avant le départ de vos employés.
Chiffrez et protégez toutes les données
Toute machine quittant le périmètre sécurisé de l’entreprise doit être munie d’un dispositif de chiffrement pour éviter la divulgation des données en cas de vol ou de perte de l’appareil. Pour les périphériques Windows 10 fonctionnant sous les éditions Pro, Enterprise et Éducation, cela se fait facilement en activant BitLocker.
Vous pouvez activer BitLocker par le biais de la politique de groupe lorsque le périphérique est encore en cours d’utilisation ou par une solution MDM à distance.
Vous pouvez également envisager une politique qui oblige vos employés à utiliser le stockage dans le cloud qui leur a été attribué, car celui-ci est chiffré et est en conséquence plus sûr.
Activer ou étendre l’AMF
Si vous n’avez pas encore choisi l’authentification multifacteur (AMF), c’est le moment de le faire.
La plupart des systèmes VPN de pare-feu ont des fonctionnalités d’AMF intégrées. Celles-ci devraient être activées pour les services dans le cloud comme Office 365.
Vous devriez même envisager l’AMF pour les conférences web afin d’éviter que les menaces ne tombent sur votre entreprise.
Sécurité de la messagerie électronique et des emails
La messagerie électronique a été le principal mode de diffusion des attaques de malwares et cela ne changera certainement pas.
Comme les gens sont particulièrement vulnérables aux attaques de phishing en temps de crise et d’inquiétude, les attaques concernant le coronavirus vont sans aucun doute augmenter.
Une solution de sécurité des e-mails basée dans le cloud, telle que SpamTitan, est le moyen le plus efficace de protéger les boîtes de réception de vos utilisateurs, qu’ils travaillent sur site ou hors site.
SpamTitan est une solution avancée de filtrage des e-mails qui fonctionne de manière transparente avec Office 365 pour améliorer les taux de détection du spam et pour bloquer davantage les menaces cybercriminelles. SpamTitan utilise des techniques prédictives pour bloquer les nouvelles variantes de malwares, le spear phishing et les attaques de type « zero day » afin d’empêcher ces menaces d’atteindre les boîtes de réception des utilisateurs finaux.
Le coronavirus ne vous exempte pas de l’obligation de conformité
Nous développons des solutions de sécurité web pour les établissements de santé du monde entier. C’est une excellente alternative si vous travaillez avec une équipe qui intervient dans des domaines clés. Elles vous permettent, par exemple, de vous conformer à la nécessité d’une sécurité robuste, aux exigences en matière de traitement des informations sensibles des patients et à d’autres normes et lois réglementaires.
Les organisations qui doivent se conformer aux règles de conformité sont toujours tenues de respecter les mesures minimales nécessaires lors du traitement des données personnelles des patients, des clients et des tiers. Vous pouvez consulter les sites web des autorités compétentes de votre pays pour obtenir des mises à jour et des conseils.
Enfin, TitanHQ vous recommande de rester vigilants et attentifs quant à la sécurité de vos données sensible pendant cette période difficile. Alors, restez en sécurité !
Le passage au télétravail suscite d’innombrables questions et défis, dont beaucoup sont centrés sur la recherche d’une solution de cybersécurité des employés et des appareils. Selon EY, l’un des plus importants cabinets de conseil et d’audit financier au monde, 77 % des organisations souhaitent aller au-delà des protections de base en matière de cybersécurité.
Sarah McNabb, conseillère en technologies numériques chez Enterprise Ireland UK, a déclaré :
La cybersécurité est donc devenue un problème au niveau des conseils d’administration des entreprises. Si autrefois, il s’agit d’un problème réactif, actuellement elle est rapidement devenue un problème proactif, car les entreprises font la course pour s’assurer que les appareils sont sûrs et que les connexions WiFi à domicile sont sécurisées.
Les employés, quant à eux, sont bien formés et comprennent les risques de phishing et de cyberattaques.
En ces temps incertains, les entreprises irlandaises de cybersécurité proposent des solutions innovantes pour relever le défi de la gestion d’une main-d’œuvre à distance. Nombre d’entre elles sont gratuites ou ouvertes à tous, y compris :
Le centre de travail à distance sécurisé du CWSI,
Les tests et formations gratuits de Cyber Risk Aware sur le phishing par Covid-19,
L’essai gratuit de l’outil Privacy Engine de Sytorus.
Lisez la suite pour découvrir les meilleures pratiques et les conseils de certaines entreprises irlandaises qui peuvent aider vos employés à travailler de chez eux en toute sécurité.
Ce que vous devez d’abord savoir sur les risques du télétravail et de la cybersécurité
Si la mise en œuvre du télétravail n’est pas maîtrisée, elle peut augmenter considérablement les risques de sécurité pour les organisations qui y recourent. La raison est que cette nouvelle pratique a impliqué la désorganisation, la dématérialisation des procédures et la confusion des entreprises, d’autant plus que les cyberattaques s’intensifient de jour en jour.
Les pirates informatiques trouvent toujours de nouvelles tactiques pour cibler les entreprises. Parmi celles-ci, on peut citer le phishing dont le but est de dérober des informations confidentielles ; l’utilisation de ransomwares qui engendrent la réclamation d’une rançon pour récupérer des données chiffrées ; le vol de données et les faux ordres de virement.
Les contacts physiques quotidiens entre les travailleurs distants avec leurs collègues sont désormais limités, voire presque inexistants. Ils deviennent donc moins enclins à discuter des menaces cybercriminelles ou d’alerter leur entreprise lorsque c’est nécessaire. Par conséquent, ils deviennent la proie de différentes sortes d’attaques.
En mai 2020, la plateforme de gestion des identités, OneLogin, a publié le résultat d’une étude menée auprès de 5 000 salariés qui travaillent à distance dans cinq pays, à savoir l’Allemagne, la France, les États-Unis, le Royaume-Uni et l’Irlande.
La conclusion de ladite étude est surprenante : environ une personne sur cinq a affirmé avoir partagé le mot de passe de son ordinateur professionnel avec ses enfants ou son conjoint. L’autre fait plus inquiétant est que 36% des personnes ayant répondu à l’enquête ont affirmé ne pas avoir modifié le mot de passe de leur réseau Wifi personnel depuis plus d’un an, ce qui représente un véritable risque en matière de cybersécurité.
Il est fort probable que les entreprises continueront à adopter le principe du travail à distance après la pandémie du Covid-19. Si cela se confirme, beaucoup d’entre elles risquent de mettre en danger leurs données sensibles lorsque les employés distants vont utiliser leurs dispositifs appareils personnels à des fins professionnels, ou l’inverse.
Les recommandations des cinq entreprises irlandaises suivantes ont pour objectif de synthétiser les différentes préconisations qui vous permettront de protéger vos données face au recours massif au télétravail.
Sécurité du télétravail : pourquoi avons-nous choisi de demander conseils à des professionnels irlandais ?
L’Irlande est devenue incontournable quand on parle de solutions de cybersécurité. La plupart des responsables de la sécurité informatique se tournent vers ce pays pour trouver des solutions fiables pour protéger leur réseau et leurs données contre les menaces en ligne.
Selon Pat O’Grady, haut responsable de la société de cybersécurité Enterprise Ireland, il y a trois très bonnes raisons à cela : le talent, l’innovation et la confiance. Ce professionnel a souligné que l’Irlande est devenu l’un des pôles mondiaux majeur de la cybersécurité, abritant plus d’une cinquantaine d’entreprises de premier plan qui interviennent dans le domaine.
Cette compétence en cybersécurité résulte de la collaboration du gouvernement, des entreprises et des universités pour atteindre des objectifs précis. Parmi ces objectifs, on cite par exemple la mise en place d’un pôle de cybersécurité de classe mondiale. Grâce à cette collaboration, le pays a pu attirer les cinq premières sociétés de développements de logiciels de sécurité au monde et est devenu un vivier international de cybertalents.
Il nous paraît donc évident de s’intéresser aux expériences des quelques entreprises irlandaises leaders en la matière pour parler de la sécurité des travailleurs distants. Rappelons que l’Irlande a été l’un des pays en retard au sujet du télétravail, mais avec la pandémie, le nombre d’Irlandais qui travaillent à la maison a plus que triplé, atteignant ainsi le taux le plus élevé en Europe, avant la France et après la Belgique.
Voici donc les cinq conseils fournis par TitanHQ, Edgescan, CWSI, Cyber Risk Aware et Sytorus :
Conseil N° 1 – la solution de cybersécurité TitanHQ préconise la protection de l’enseignement supérieur et des entreprises
Selon Ronan Kavanagh, PDG de TitanHQ, outre les entreprises qui doivent soudainement permettre le travail à distance, les universités et les établissements d’enseignement supérieur qui sont contraints de faciliter les cours et les études à distance doivent également être attentifs aux cybermenaces liées aux coronavirus.
TitanHQ est une entreprise SaaS de filtrage du web, de sécurité et d’archivage des e-mails, plusieurs fois récompensée.
Ronan Kavanagh a déclaré :
Cette année, nous avons constaté une demande massive pour deux produits en particulier qui peuvent être déployés de manière transparente sur des appareils distants.
Il s’agit de la sécurité des e-mails dans le cloud SpamTitan, qui protège les étudiants et le personnel contre les dernières itérations d’attaques de phishing.
L’autre solution est WebTitan, un produit de sécurité DNS basé sur l’intelligence artificielle. Ensemble, ces deux solutions de sécurité créent une couche de protection pour tous les étudiants et le personnel qui souhaitent mettre leurs appareils à l’abri des menaces cybercriminelles.
Conseil N° 2 – Edgescan souligne l’importance de la surveillance continue des menaces
Selon le PDG et fondateur d’Edgescan, Eoin Keary, le travail à distance doit se faire via un VPN ou une solution similaire pour garantir des communications chiffrées et sécurisées.
Edgescan est un fournisseur de service de gestion de la vulnérabilité (SaaS) primé et l’un des plus grands exportateurs irlandais de solutions de cybersécurité.
Edgescan a déclaré :
L’accès aux systèmes de réseau dans les bureaux doit être basé sur le principe du moindre privilège et si votre organisation dispose d’un serveur d’authentification de réseau (NAS), assurez-vous qu’il est configuré et activé de manière appropriée.
Il a rajouté que des correctifs et des mesures antivirus appropriés devraient également être activés sur les ordinateurs des employés afin d’empêcher les virus de se propager dans le réseau de votre entreprise une fois que les utilisateurs sont de retour au bureau après avoir travaillé à distance.
Edgescan aide ses clients du monde entier à comprendre, à hiérarchiser et à atténuer les risques de cybersécurité en permanence, y compris lorsque les bureaux sont fermés et que les employés travaillent à distance.
Conseil N° 3 – CWSI insiste sur la nécessité de garantir la mobilité sécurisée des entreprises
Les règles régissant la sécurité des données et la cybersécurité ne disparaissent pas simplement parce que les gens doivent changer leur façon de travailler, explique Philip Harrison, directeur technique et cofondateur de CWSI.
Cette marque est spécialisée dans les solutions de sécurité pour les appareils mobiles et la main-d’œuvre. Elle travaille avec de nombreuses grandes organisations depuis ses bureaux à Dublin et à Londres.
Philip Harrison a déclaré :
Les cybercriminels et les pirates informatiques ne font certainement pas une pause pour nous permettre de nous adapter aux nouvelles menaces, ce qui rend les entreprises plus vulnérables que jamais.
Un des principes fondamentaux de tout système de gestion de la sécurité de l’information est de faire en sorte que votre sécurité ou votre conformité ne soit pas affaiblie lors d’un scénario de continuité des activités ou de reprise après sinistre ».
Il a rajouté que l’authentification à deux facteurs est essentielle pour protéger les données des entreprises. Celles-ci doivent également s’assurer que les appareils mobiles sont sécurisés par une solution de défense comme une solution MTD (Mobile Threat Defense).
Les employés devraient être encouragés à signaler les incidents de sécurité aux services informatiques et à veiller à la sécurité des données lorsqu’ils travaillent à domicile, même par des mesures simples comme le verrouillage de leurs écrans lorsqu’ils ne les utilisent pas.
Conseil N° 4 – Cyber Risk Aware recommande la formation sur la cybersécurité en temps réel
Selon le PDG et fondateur de Cyber Risk Aware et ancien responsable de la sécurité de l’information (CISO), Stephen Burke, l’utilisation de VPN et d’applications patchées sur des appareils chiffrés et à jour est essentielle pour la sécurité des travailleurs à distance.
Il a déclaré :
Ces dispositifs devraient être fournis par l’entreprise, avec des fichiers et des données chiffrés et protégés par un mot de passe. Je sais ce que c’est que d’être à l’intérieur et de défendre un réseau.
Les comptes et les dispositifs personnels peuvent vraiment rendre une entreprise peu sûre et vulnérable aux cyberattaques.
Il a rajouté que des lignes de communication claires et sécurisées sont aussi essentielles, les entreprises devraient donc éviter les canaux tels que les médias sociaux et Whatsapp lorsqu’elles travaillent avec des données sensibles.
De même, elles doivent éviter l’utilisation de technologies matérielles et logicielles par les employés d’une entreprise sans l’accord de la direction (Shadow IT) ou le téléchargement et l’utilisation non autorisés de logiciels et de systèmes.
Cyber Risk Aware est la seule entreprise au monde à proposer une plate-forme de formation en temps réel à la sensibilisation à la cybersécurité. Elle aide les entreprises du monde entier à évaluer et à atténuer les risques humains liés à la cybersécurité, qui sont à l’origine de plus de 90 % des incidents de sécurité, en simulant des attaques de phishing, en évaluant les connaissances en matière de cybersécurité afin de localiser les risques au sein d’une entreprise et en fournissant, si nécessaire, un contenu de formation à la sensibilisation à la sécurité.
Conseil N° 5 – Sytorus préconise la mise en place d’une politique d’accès à distance
Selon John Ghent, PDG de Sytorus, les entreprises et les organisations du monde entier recherchent de toute urgence des informations sur la manière de réduire au minimum le risque de violation de données ou de piratage des employés travaillant à domicile. En effet, sa société propose une plateforme SaaS de gestion de la vie privée et est un leader mondial du marché de la protection des données et de la gestion de la vie privée.
Il a déclaré :
De nombreuses personnes travaillant depuis peu à domicile sont susceptibles d’avoir des téléviseurs intelligents, des plateformes de jeux et des routeurs sans fil, et certaines ont également installé des dispositifs IoT (Internet des objets).
Tous ces éléments peuvent renforce la complexité du défi de la sécurité et les vulnérabilités du réseau, d’autant plus que les réseaux domestiques ne sont généralement pas suffisamment protégés.
Ghent conseille aux organisations de mettre à jour leur politique d’accès à distance ou d’en élaborer une si aucune n’est en place.
Celles-ci doivent également s’assurer que tout le personnel suit un programme complet de sensibilisation à la cybersécurité, couvrant des sujets tels que les malwares, la politique d’utilisation acceptable de l’Internet et la sécurité des appareils et le risque élevé de menaces de phishing liées à Covid-19 diffusées via les e-mails.
En résumé, voici le rôle des entreprises pour protéger les télétravailleurs
Les différents conseils susmentionnés riment parfaitement avec les recommandations de la Commission nationale de l’informatique et des libertés (CNIL). En ce qui concerne les obligations des entreprises qui employant des collaborateurs distants, nous pouvons donc les résumer avec les quelques règles et bonnes pratiques suivantes :
Mettez en place une charte de sécurité pour le télétravail. Le cas échéant, établissez de règles minimales à respecter qui doivent être communiqués à tous les collaborateurs.
Au cas où vous seriez obligé de modifier les règles de gestion de votre système d’information dans le cadre du télétravail, mesurez d’abord les risques encourus et appliquez les mesures nécessaires pour garantir le niveau de sécurité de vos données.
Les postes de travail de vos employés distants doivent être dotés d’un pare-feu, d’une solution anti-virus et d’un outil permettant de bloquer l’accès aux sites malveillants.
Utilisez un VPN pour éviter l’exposition directe de vos services sur le web (si possible, activez toujours l’authentification à deux facteurs du VPN).
Vos salariés doivent disposer d’une liste d’outils de travail collaboratif et de communications appropriés au télétravail. Ces outils doivent garantir la confidentialité et la sécurité des échanges et des données partagées.
Si vos services sont accessibles via Internet, vous devriez utiliser des protocoles qui garantissent la confidentialité ainsi que l’authentification du serveur destinataire. Les sites web doivent par exemple utiliser le protocole HTTPS. Pour le transfert de fichiers, optez pour les versions les plus récentes du protocole SFTP. N’oubliez pas d’appliquer les derniers correctifs de sécurité à tous les logiciels et équipements que vous utilisez. Tenez-vous au courant des dernières vulnérabilités sur ces logiciels et des moyens pour s’en prémunir. Utilisez l’authentification multi-facteurs sur les services accessibles à distance et limitez le nombre de services que vous mettez à disposition de vos employés pour limiter les risques d’attaques cybercriminelles.
Six choses que les travailleurs distants ne doivent pas faire
Même si les télétravailleurs sont informés sur les risques potentiels en matière de sécurité et les politiques d’utilisation de l’Internet imposées par leur entreprise, il n’est pas rare qu’ils fassent des choses qu’ils n’auraient pas dû faire. Souvent, ils peuvent enfreindre une règle dans le seul but de faire leur travail ou pour d’autres raisons personnelles.
C’est pourquoi nous avons une liste non exhaustive de choses qu’ils ne doivent pas faire, que ce soit par inadvertance ou intentionnellement, pour éviter les mauvaises surprises.
Entre autres, vos collaborateurs distants ne devraient pas :
laisser les membres de leur famille utiliser leurs ordinateurs professionnels. En réalité, un ordinateur qui est utilisé pour le travail ne doit avoir qu’un seul utilisateur, c’est-à-dire l’employé. Plus il y a d’autres personnes qui utilisent l’appareil, plus les chances qu’il soit infecté par un malwares ou que des informations sensibles de l’entreprise soient accidentellement divulgués.
Installer des logiciels qui ne sont pas autorisés par leur organisation ou utiliser leurs ordinateurs pour visiter certains sites web inappropriés pour leur travail.
utiliser une connexion sans fil non sécurisée, ce qui est souvent le cas lorsqu’un employé distant utilise le Wi-Fi public d’un café, d’une bibliothèque, etc. En effet, il n’est pas rare que le réseau sans fil à domicile présente des failles de sécurité. Si vous n’êtes pas certains qu’il est sécurisé, utilisez donc la connexion par câble.
oublier de sauvegarder les informations sensibles.
modifier les paramètres d’administration ou de sécurité mis en place par leur organisation, car ces paramètres sont généralement destinés à protéger les données confidentielles.
divulguer les informations sensibles de leur entreprise à des non-employés. Certains individus aux intentions malveillantes ou non seront curieux de regarder ce qui se trouve sur votre écran d’ordinateur, les types de données que vous traitez, etc. Quand vous avez fini d’utiliser votre appareil, n’oubliez pas de l’éteindre. Vous devez également faire de même pour votre box Wi-Fi afin d’éviter les intrusions sur votre réseau, car la connexion internet reste toujours vulnérable même si l’ordinateur est éteint.
Même si les entreprises doivent actuellement se tourner vers le télétravail, sachez que cette nouvelle pratique comporte des avantages à la fois pour l’employeur et les salariés. Nous espérons que ces quelques conseils des professionnels irlandais permettront aux entreprises de pallier aux lacunes dans leur sécurité informatique. En respectant les autres recommandations que nous avons fournies, les employés distants pourront également protéger leurs renseignements personnels et ceux de leur organisation lorsqu’ils travailleront dans leur nouveau bureau.
Le premier procès intenté en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) porte sur un prétendu défaut de protection adéquate des données des consommateurs. La plainte a été déposée contre Hanna Andersson, une entreprise spécialisée dans la vente de vêtements pour enfants, et son fournisseur de plateforme e-commerce Salesforce.com.
La CCPA est entrée en vigueur le 1er janvier 2020. En vertu du Code civil 1798.100 – 1798.199, les consommateurs pouvaient commencer à exercer leurs nouveaux droits à partir de cette date. L’un de ces droits est de pouvoir intenter une action en justice contre les entreprises pour violation de la vie privée, comme le vol de données personnelles.
La poursuite, en vertu de la CCPA, a été déposée devant le tribunal de district américain du district nord de la Californie au nom d’une victime d’une violation de données de 2019.
La victime reproche à Hanna Andersson d’avoir commis une négligence et un manquement à la mise en œuvre de garanties raisonnables pour protéger les données des consommateurs. Aucune demande de dommages et intérêts n’a été formulée, bien que la victime ait été en droit de le faire.
La fuite de données personnelles a été annoncée par Hanna Andersson le 15 janvier 2020. Les pirates informatiques avaient accédé à ses systèmes et téléchargé des malwares, ce qui leur a permis de voler des informations telles que des noms, des informations personnelles et des données de cartes de paiement. Ces informations ont ensuite été mises en vente sur le dark web.
La CCPA permet aux Californiens de réclamer des dommages-intérêts pouvant aller jusqu’à plus de 660 euros par violation de données. Une action collective intentée en vertu de cette loi pourrait donc s’avérer extrêmement coûteuse pour votre entreprise en cas de violation importante de données.
Pour notre cas, l’attaque a touché environ 10 000 résidents californiens, de sorte que les dommages-intérêts pouvaient atteindre plus de 6,6 millions d’euros.
Application de la loi sur la protection des données californienne (CCPA)
La mise en application de la conformité par le procureur général de Californie a été retardée et commencera 6 mois après la publication des règlements définitifs ou le 1er juillet 2020. Les règlements définitifs n’ont donc pas encore été publiés.
Le procureur général de Californie, Xavier Bercerra, a déjà déclaré que cette situation est un bon exemple pour les entreprises qui ne se conforment pas à la CCPA.
Il convient de noter que la CCPA n’empêche pas le procureur général de l’État d’émettre des avis de non-conformité avant cette date et que les consommateurs peuvent déjà intenter des poursuites pour réclamer des dommages et intérêts. Il est donc essentiel que toutes les entités couvertes par le CCPA s’assurent qu’elles respectent les nouveaux droits des consommateurs et qu’elles mettent en place des garanties pour protéger les données des consommateurs.
Comment TitanHQ peut aider à la mise en conformité avec la CCPA
TitanHQ propose deux solutions de sécurité puissantes qui peuvent aider les entités couvertes par la CCPA à assurer la protection des consommateurs, en prévenant les violations de données. Ces deux solutions de cybersécurité protègent contre les deux vecteurs d’attaque les plus courants : les e-mails et le web.
SpamTitan est une puissante solution anti-spam, anti-malware et anti-phishing qui protège les systèmes de messagerie électronique contre les attaques de phishing et de spear phishing. Il protège également les utilisateurs des menaces de malwares connus (comme l’attaque du type « zero day ») et les attaques de ransomwares lancées via la messagerie électronique.
WebTitan est une solution complémentaire pouvant bloquer les attaques de phishing menées via le web, les attaques de phishing, les kits d’exploitation et les téléchargements de malwares sur Internet. En même temps, elle est conçue pour contrôler les contenus auxquels vos employés peuvent accéder sur les réseaux câblés et sans fil.
Par ailleurs, TitanHQ peut aider les entités couvertes par la CCPA à se conformer au droit des consommateurs qui veulent savoir et supprimer leurs données. Il s’agit d’ArcTitan, une solution d’archivage de la messagerie électronique qui permet à votre entreprise de répondre aux exigences des États et du gouvernement fédéral en matière de conservation et de recherche des données des e-mails.
Si un résident de Californie exerce son droit de savoir quelles données sont détenues sur lui par votre entreprise ; s’il demande que toutes ses données personnelles soient supprimées, cette information peut être rapidement trouvée dans l’archive.
Enfin, ArcTitan vous permet de trouver rapidement des données dans les e-mails dans le cadre de l’e-Discovery, notamment en cas de litige.
Pour plus d’informations sur nos solutions, pour obtenir un essai gratuit de SpamTitan, d’ArcTitan et de WebTitan (avec un support client complet), contactez-nous dès aujourd’hui.
Les cybercriminels peuvent désormais avoir accès à de grandes quantités de données personnelles volées à des prix de plus en plus bas.
Le prix moyen des données d’identification volées sur les sites de commerce électronique et bancaires populaires n’est que d’environ 4,6 euros. Un numéro de carte de crédit avec son CVV correspondant ne coûte qu’environ 11 euros, souvent, moins.
Ce prix monte à près de 23 euros pour les données de carte de crédit associées à la date de naissance et au numéro d’identité bancaire du titulaire de la carte.
Bien que vos informations d’identification individuelles puissent ne pas valoir autant, le préjudice financier que vous pourriez subir peut être important si celles-ci tombent entre les mains d’une personne aux intentions malveillantes.
La fourniture de justificatifs d’identité volés est époustouflante
Une étude menée en 2017 par Google et l’Université de Californie à Berkeley a révélé que des milliards de noms d’utilisateurs et de mots de passe sont en danger. L’équipe de recherche a suivi plusieurs marchés noirs où des identifiants volés sont vendus. Ces identifiants ont été compromis par le biais de violations de données et par quelques 25 000 outils de piratage.
Une analyse plus approfondie a montré que 788 000 références ont été volées par des enregistreurs de frappe, 12 millions de références par le phishing et 3,3 milliards par des violations de données par des tiers. À noter que ces données datent de plus de deux ans.
Selon un article du magazine Forbes, en février 2019, plus de 617 millions de détails de comptes en ligne volés via 16 sites web piratés étaient vendus pour environ 18 000 euros en Bitcoin.
Un analyste en matière de cybersécurité rapporte également que les noms d’utilisateurs et les mots de passe volés ont été échangés comme des cartes Pokémon.
Prix actuels des informations d’identification volées
Pour ceux qui ont un accès au dark web, l’achat des informations d’identifications volées est devenu une aubaine.
Les sites de vente au détail fournissent le nom du site web concerné, le prix de vente et le stock actuel. Voici quelques exemples concrets de ce que vous pouvez trouver sur l’un de ces sites :
Abercrombie.com
9,25 euros
40 disponibles
Advanceautoparts.com
9,25 euros
29 disponibles
Airbnb.com
13,87 euros
32 disponibles
Amazon.com
9,25 euros
Stock actuellement épuisé
Americanexpress.com
9,25 euros
31 disponibles
Apple.com
11,09 euros
29 disponibles
AT&T
9,25 euros
112 disponibles
En réalité, nous n’avons inclus que les plus grands noms de sites dont le nom commence par un A. Beaucoup de ces sites vendent plus que des informations d’identification.
Par exemple, vous pouvez acheter l’identité de personnes inconnues et indexée selon la notation de crédit FICO. Une identité avec un score presque parfait, à savoir supérieur à 840, peut valoir jusqu’à plus de 138 euros.
Des rapports de crédit complets sont également en vente sur des millions d’Américains auprès des trois bureaux de crédit. Ils peuvent coûter environ 32 euros. Vous pouvez même acheter des diplômes pour environ 92 à 370 euros. Les passeports, quant à eux, sont très chers, dont les prix peuvent aller jusqu’à plus de 1850 euros.
Un certain nombre de facteurs déterminent le prix des informations d’identification volées, à savoir :
Le type de données dont il s’agit
L’offre et la demande de ces données au moment où la vente est effectuée
Le temps écoulé depuis le vol du titre de créance jusqu’à sa vente
Le solde disponible des comptes.
Magasins automatisés des informations d’identification
Le concept de « magasins automatisés » a permis de créer un marché pratique pour les informations d’identifications volées. Vous pouvez les considérer comme un détaillant d’eBay ou d’Amazon.
En effet, de simples vendeurs indépendants peuvent vendre leurs marchandises partout dans le monde par l’intermédiaire d’un seul détaillant mondial. Ces boutiques automatisées donnent aux cybercriminels un moyen de vendre les justificatifs qu’ils ont volés.
Aujourd’hui, le vol d’identifiants ne nécessite pas une grande expérience en matière de cybercriminalité ou de programmation. Les cybercriminels les plus novices peuvent acheter des kits permettant le vol d’identité pour environ 508 euros sur le dark web. Ils peuvent bénéficier d’un retour sur investissement 20 fois supérieur. Les boutiques automatisées avec cet investissement initial, grâce à une commission de 10 à 15 % pour chaque vente d’une information d’identification.
Le processus de vente pour les informations d’identification volées
Vous devriez savoir que les processus établis par lesquels les produits proposés par les commerces au détail passent depuis leur fabrication jusqu’au moment où un consommateur peut les acheter chez un détaillant de premier niveau, ou dans un magasin à prix réduit des mois plus tard. Imaginez alors que la vente d’informations d’identifications volées passe également par un processus défini jusqu’à ce que celles-ci arrivent dans les magasins automatisés en ligne. La première étape étant l’inventaire des données.
Les pirates vont d’abord trier leurs fichiers journaux pour déterminer le type de données qu’ils ont récemment capturées. Ils mettent ensuite ces données en corrélation afin de regrouper les informations personnelles et pour compléter les profils de données.
Une fois que les données volées sont annexées avec des noms, des adresses, des numéros de téléphone, des adresses électroniques, etc., elles ont plus de valeur.
Les données de grande valeur, comme les données personnelles des fonctionnaires ou des militaires, sont mises de côté. Celles-ci seront ensuite vendues sous forme de profils, tandis que les données d’identification sans correspondance seront vendues directement sur le dark web.
Finalement, sachez que certaines données n’ont aucune valeur pour les pirates. Ainsi, les justificatifs d’identité volés d’un certain âge peuvent par exemple être reconditionnés dans des listes en vrac et être vendus à des prix réduits pendant des années.
Pourquoi la protection web multicouche est plus importante que jamais ?
Comme vous pouvez le constater, la vente des informations d’identifications volées est une affaire sérieuse. C’est pourquoi toutes les entreprises, organisations et les particuliers doivent prendre ce problème à la légère.
Vous devez être proactif en matière de protection web afin d’éviter toute atteinte à la protection des données. Il est essentiel est d’adopter une approche à plusieurs niveaux, car il n’existe pas de solution unique à la cybersécurité.
Votre organisation est constamment soumise à des menaces d’attaques et les cybercriminels ne cesseront de chercher de nouvelles manières d’attaquer votre organisation. Leurs méthodes seront de plus en plus sophistiquées pour contourner les nouvelles solutions et normes de sécurité.
Alors que les auteurs de malwares modifient leurs techniques pour échapper à la détection, la sécurité par couches devient plus importante. Elle réduit considérablement la probabilité d’une attaque réussie et peut bloquer une attaque même si un élément de vos défenses échoue.
La mise en œuvre d’une protection web multicouche n’est pas toujours simple. Elle nécessite une planification et une expertise. S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces. Grâce à la sécurité multicouche, vous pourrez vous conformer aux normes en vigueur ; vos clients vous seront reconnaissants et vous allez constater que son déploiement aura un impact conséquent sur vos résultats financiers.
En juillet 2019, une brèche a été découverte dans la société mondiale d’hôtellerie Choice Hotels.
La brèche impliquait une base de données MongoDB hébergée par un fournisseur qui fournit des services à la société. Comme beaucoup d’autres brèches, elle est passée complètement inaperçue du personnel interne, mais a été découverte par un consultant en sécurité externe qui scanne périodiquement Internet à la recherche de connexions ouvertes.
La base de données a été exposée au monde extérieur par le biais d’une connexion ouverte qui ne nécessitait aucun mot de passe ou d’autres moyens d’authentification pour y accéder. Lors de la découverte de la brèche, le consultant a trouvé une carte de visite numérique. Le pirate a annoncé qu’il était en possession de la base de données client, et demandait une rançon de 3900 euros.
L’intrus avait l’intention de chiffrer la base de données, mais la tentative a échoué. La base de données volée était donc restée intacte, car la société l’a sécurisée et a fermé la connexion dans les quatre jours suivant la découverte.
Fuite de données dans l’hôtellerie : 700 000 invités ont vu leurs données personnelles exposées
La base de données contenait 5,7 millions d’enregistrements, bien que Choice Hotels ait déclaré que la plupart d’entre eux étaient des enregistrements tests et que seulement 700 000 étaient des clients réels.
Les enregistrements de ces anciens clients comprenaient des informations personnelles :
Noms complets
Adresses
Numéros de téléphone
emails
Statuts de consentement.
La direction de l’entreprise a insisté sur le fait qu’aucune information relative aux paiements, aux mots de passe ou aux réservations n’était compromise.
Ils ont également déclaré que l’entreprise contacterait les clients concernés dans les jours à venir.
Menaces futures pour 700 000 clients
Ces 700 000 clients peuvent sans aucun doute exhaler un soupir de soulagement du fait qu’aucune information de paiement ou donnée hautement confidentielle n’était impliquée. Cependant, ce n’est pas parce qu’il n’y avait pas eu d’impacts financiers que ces personnes sont hors de danger.
C’est l’une des idées fausses concernant les fuites de données importantes.
Imaginez que vous êtes l’une des 700 000 personnes dont les informations ont été exposées. Un pirate possède maintenant l’accès à votre adresse électronique et possède votre numéro de téléphone portable. Il y a de fortes chances que vous soyez victime d’un nombre croissant d’attaques de phishing au cours des prochaines années, car le monde criminel sait désormais qu’il dispose d’une véritable adresse électronique fonctionnelle.
Même si l’auteur initial de la menace n’utilise pas l’adresse volée, il la vendra dans le cadre d’une transaction de masse portant sur des milliers d’adresses électroniques. Il en va de même pour le phishing par SMS.
Cela va au-delà du simple nombre croissant d’attaques potentielles de phishing. Les escrocs peuvent utiliser les données personnelles actuellement en leur possession pour rendre leurs attaques plus convaincantes.
Les futurs auteurs pourraient même se faire passer pour Choice Hotels et tenter d’obtenir des informations plus sensibles. Les conséquences sur le long terme d’une violation de données sont nombreuses et les malheureuses victimes pourraient être leurs prochaines cibles de pirates dans les années à venir.
Les leçons à tirer de cette fuites de données
De nombreuses entreprises se tournent actuellement vers le cloud pour garantir la sécurisation des données essentielles à leur activité. Ironiquement, l’un des principaux facteurs de motivation des pirates est lié à la sécurité.
Si le transfert d’applications web à un tiers peut être un moyen de répercuter le coût et la charge de la sécurisation de vos systèmes, il n’en demeure pas moins que vous ayez la responsabilité de protéger ces données. C’est pourquoi il est essentiel de contrôler tous vos fournisseurs.
Cela devrait inclure une demande formelle de vous fournir les mesures, contrôles et normes de sécurité informatique qu’ils ont mis en œuvre.
Cette brèche est un autre exemple de l’impact d’une connexion ouverte sur l’internet. En janvier 2017, les pirates informatiques ont ciblé près de 28 000 sites MongoDB non authentifiés. MongoDB a répondu que la plupart de ces attaques étaient dues à des paramètres mal configurés, à un manque d’application d’authentification et à des systèmes mal patchés.
Qu’il s’agisse de la base de données d’une grande entreprise ou d’une simple connexion RDP, l’ère des connexions ouvertes est révolue. Choice Hotels et son fournisseur ont tous deux eu la chance que seul un amateur les ait infiltrés. Un professionnel expérimenté aurait pu détourner le serveur et l’utiliser pour diffuser des malwares.
La dépendance continue des solutions de sécurité email
Il y a une autre conséquence cachée de cette fuite et d’autres fuites similaires qui sont menées à grande échelle. Il n’y a pas que les emails personnels qui ont été compromis. De nombreuses personnes font des réservations ou des transactions en ligne en utilisant leur compte de messagerie professionnel.
Cela signifie que leurs employeurs en subiront également les conséquences. Les cybercriminels peuvent s’introduire rapidement dans le serveur d’une organisation et lançant d’autres types d’attaques.
Une fois qu’ils arrivent à compromettre le réseau de l’entreprise, ils peuvent effectuer une reconnaissance pour connaître la culture communicative de l’organisation d’accueil et, plus important encore, qui contrôle les factures et la paie.
C’est à cause de la brèche dans la sécurité de Choice Hotels et de tant d’autres incidents de cybersécurité qui se produisent quotidiennement que toutes les entreprises doivent lutter avec diligence contre le phishing, le BEC (Business Email Compromise, ou arnaque au président) et d’autres types d’attaques via la messagerie électronique.
SpamTitan et son portefeuille de contrôles de sécurité tels que la double protection antivirus, le sandboxing, la prévention des fuites de données, le filtrage du contenu des emails et l’authentification DMARC peuvent garantir que votre entreprise et vos utilisateurs ne sont pas victimes de la négligence d’un tiers.
Le 1er janvier 2020, la nouvelle loi californienne sur la protection des consommateurs (CCPA – California Consumer Privacy Act) est entrée en vigueur, donnant aux résidents de l’État un plus grand contrôle sur l’utilisation et la vente de leurs données personnelles.
Dans cet article, nous examinons les exigences de la CCPA en matière de sécurité des données pour les entreprises et les conséquences de la non-conformité à cette loi.
Qu’est-ce que la loi californienne sur la protection des consommateurs ?
La Californie a déjà adopté certaines des lois les plus strictes des États-Unis en matière de protection de la vie privée des consommateurs, mais avec la CCPA, ce concept va un peu plus loin.
La CCPA a été assimilée au Règlement général sur la protection des données (RGPD) de l’Union européenne, car elle donne aux résidents californiens des droits similaires sur les données personnelles collectées et utilisées par les entreprises.
La CCPA exige des entreprises d’informer les résidents californiens des catégories de données qu’elles collectent, avant ou au moment de la collecte. Ces derniers ont un droit d’accès à toutes leurs informations personnelles qui sont détenues par une entreprise et un droit de savoir avec qui ces données personnelles ont été partagées.
Ils ont également le droit de refuser et d’empêcher que leurs données personnelles soient vendues. Par ailleurs, ils peuvent demander que leurs données personnelles soient supprimées. Ils ont le droit à l’égalité des services et des prix et ne peuvent faire l’objet d’une discrimination ou se voir refuser des biens ou des services ou des niveaux de service s’ils choisissent de ne pas vendre leurs données personnelles.
Qui doit se conformer à la CCPA ?
Depuis le 1er janvier 2020, la CCPA s’applique à toutes les entreprises qui font des affaires avec des résidents de la Californie, peu importe le lieu où l’entreprise est basée, si l’une des conditions suivantes est remplie :
L’entreprise génère des revenus d’au moins 22696000 euros par an
La société recueille, achète, vend ou partage les données personnelles d’au moins 50 000 personnes
L’entreprise tire au moins 50 % de ses revenus de la vente de données à caractère personnel.
L’ACCP ne s’applique pas aux institutions d’assurance, aux agents et aux organisations de soutien, qui sont couverts par différentes lois des États.
Exigences de la CCPA en matière de sécurité des données
LA CCPA ne précise pas quelles mesures de sécurité doivent être mises en œuvre pour protéger les données personnelles des résidents de la Californie. Cependant, les entreprises ont le devoir de mettre en œuvre des mesures de sécurité raisonnables en fonction du niveau de risque, conformément aux autres lois de l’État.
Selon la CCPA, des sanctions peuvent être appliquées en cas de « violation de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables ».
Étant donné qu’une action en justice peut être engagée contre les entreprises en cas de violation de données personnelles, il est important que les entreprises veillent à ce que des mesures appropriées soient prises pour les protéger et pour empêcher la violation des données.
LA CCPA ne précise pas quels contrôles doivent être mis en œuvre ni ce qui constitue des « procédures et pratiques de sécurité raisonnables ».
Un rapport sur les atteintes à la protection des données de 2016, publié par le procureur général de Californie, constitue un bon guide. Il comprend une liste de 20 contrôles qui, selon le Centre pour la sécurité sur Internet (CIS), sont nécessaires pour se protéger contre les vecteurs de cyberattaques connus. Ces contrôles devraient donc servir de guide pour les exigences de la CCPA en matière de sécurité des données.
Comment TitanHQ peut vous aider à vous conformer aux exigences de la CCPA en matière de sécurité des données ?
L’email est le vecteur d’attaque le plus couramment utilisé pour le phishing et pour la diffusion de malwares. Des mesures de protection doivent donc être mises en place pour assurer la sécurité des systèmes de messagerie électronique.
Les attaques de phishing ont souvent un composant web où les informations d’identification sont récoltées, et de nombreux téléchargements de malwares se font via Internet. Les contrôles sur Internet sont par conséquent essentiels pour protéger les entreprises contre les cyberattaques et les violations de données.
En raison du risque d’attaque via la messagerie électronique et le web, la protection des emails et des navigateurs figure parmi les premières mesures recommandées par le CIS.
C’est un domaine dans lequel TitanHQ peut apporter son aide. Nous avons développé deux puissantes solutions de sécurité basées dans le cloud et qui peuvent vous aider à répondre aux exigences de la CCPA en matière de protection des données.
SpamTitan Email Security est une puissante solution de filtrage du spam qui protège les boîtes de réception de vos employés des menaces basées sur la messagerie électronique. SpamTitan intègre plusieurs couches de contrôles antispam et antiphishing, dont le Sender Policy Framework (SPF), le protocole Domain-based Message Authentication (DMARC), le Realtime Blackhole List (SURBL), l’analyse bayésienne, et bien d’autres. SpamTitan utilise deux moteurs antivirus pour bloquer les menaces de malwares connues et le sandboxing pour protéger contre les vulnérabilités et la perte de données liées aux attaques du type « zero day ».
WebTitan est une solution de filtrage DNS basée dans le cloud. Elle protège vos employés contre les menaces web et les attaques de phishing. Elle empêche également les utilisateurs de réseaux câblés et sans fil d’accéder à des sites web malveillants.
Ces solutions vous aideront à assumer vos responsabilités en matière de sécurité de la messagerie électronique et du web et à protéger votre organisation contre les attaques de phishing et de malwares et contre les téléchargements de ransomwares. Ensemble, ces solutions vous aideront à prévenir les coûteuses atteintes à la protection des données et à éviter les amendes de l’ACCP qui en résultent.
Sanctions en cas de non-respect de la CCPA
Chaque violation intentionnelle est passible d’une amende maximale jusqu’à environ 6 800 euros par dossier. Les violations involontaires sont passibles d’une amende jusqu’à environ 2 269 euros par dossier.
Il existe également une cause d’action privée au sein de l’ACCP. En cas d’atteinte à la protection de leurs données, les victimes peuvent intenter une action en justice pour une violation de la CCPA. Ceci peut impliquer le paiement de dommages-intérêts légaux de 90 à 680 euros pour chaque résident californien touché par la violation.
Il est également possible de demander des dommages-intérêts réels – le montant le plus élevé étant retenu – ainsi que d’autres mesures de redressement déterminées par les tribunaux. Les recours collectifs sont également autorisés en vertu de la CCPA. Et pour finir, sachez que le procureur général de Californie peut dans ce cas intenter une action en justice contre la société plutôt que d’autoriser l’introduction de poursuites civiles.
