Portail d'assistance   

Produits  Solutions  Pourquoi Splunk  Ressources 

SPLUNK GRATUIT


DATA INSIDER

Qu’est-ce que la
conformité
réglementaire ?

   
Prévisions 2022 pour la sécurité
des données
Lire le rapport›  
Piratages de la chaîne logistique, ransomwares et stratégies
optimales de défenses dans un paysage de sécurité en
constante évolution

La conformité réglementaire consiste à s’assurer qu’une entreprise

respecte les lois en vigueur régissant la façon dont elle exerce ses
activités.

Les réglementations exigent généralement que les entreprises respectent

des mandats généraux ou spéci ques à un secteur. Par exemple, HIPAA,
qui régit les données de santé, et PCI DSS, qui réglemente les
responsables du traitement des cartes de paiement, exigent le traitement
sécurisé des données personnelles des individus. D’autres règlements,
comme la CCPA et le RGPD, s’appliquent à toutes les industries ou
presque d’une région géographique donnée. Les réglementations de
conformité peuvent aussi varier considérablement selon leurs objectifs,
comme le NISD ou le NERC qui visent la protection et la disponibilité des
infrastructures nationales essentielles.

Cet article explore quelques normes réglementaires courantes ainsi que

leurs exigences générales et les problèmes et dé s liés à la conformité.

Qu’est-ce que la conformité réglementaire

? Sommaire

Dans cet article Ressources

complémentaires
Vue d’ensemble de la
conformité réglementaire  Rapports de conformité
intuitifs et automatisés
Exigences
 Data Insider – Accueil
Pour résumer

Vue d’ensemble de la conformité

réglementaire

Comment mettre en œuvre la conformité réglementaire dans

l’IT ?
Un ensemble de lois, de réglementations et de normes applicables aux
entreprises exige la divulgation publique des violations de sécurité
impliquant des informations privées. Les entreprises sont contraintes ou
incitées à mettre en place des programmes de sécurité des informations
et à les améliorer a n d’éviter les violations de sécurité, les pénalités, les
sanctions et les gros titres embarrassants.

Elles peuvent appliquer leurs mandats de conformité réglementaire par le

biais de la gouvernance de la sécurité, qui intègre des activités telles que
la gestion des risques. Celle-ci couvre les risques de conformité
réglementaire, la réponse aux incidents, l’amélioration des processus,
l’identi cation des événements, la plani cation de la continuité des
activités et de la reprise après sinistre, la gestion des ressources, ainsi que
la mise en place de mesures permettant de mesurer les progrès et
l’e cacité. Grâce à la gouvernance de la sécurité des informations, les
entreprises peuvent établir une structure e cace et une dé nition claire
des rôles et des responsabilités, en phase avec les parties prenantes de
l’entreprise, l’équipe juridique et l’IT. Entre autres choses, la gouvernance
de la sécurité permet d’identi er les risques de conformité et de mettre
en place des mesures d’atténuation dans les politiques de sécurité
informatique, et notamment les contrôles techniques et organisationnels
ainsi que des directives pour les équipes opérationnelles.

Le coût de la conformité
Atteindre et maintenir les exigences des diverses réglementations de
conformité est un processus complexe et coûteux. Les équipes juridique
et IT doivent traduire les réglementations dans leur entreprise, évaluer les
écarts, puis créer et réviser des politiques et des directives de sécurité
informatique. Il faut également que les entreprises mettent en œuvre de
nouveaux processus ou de nouvelles capacités tout en modi ant les
outils existants, en supervisant régulièrement l’e cacité et en fournissant
la validation de la conformité aux entités gouvernementales ou aux
contrôleurs IT. Pour beaucoup d’entreprises, le temps, les ressources et le
personnel nécessaires entraînent des millions de dollars de dépense en
plus des coûts d’exploitation habituels. Pourtant, assurer la conformité
coûte souvent bien moins cher que les amendes infligées en cas de
violation de la réglementation, sans parler du temps et des e orts
nécessaires pour regagner la con ance des clients.

Exigences

Qu’est-ce que l’HIPAA ?

L’HIPAA est la loi américaine sur la portabilité et la responsabilité des
assurances de santé. Adoptée en 1996, la loi HIPAA harmonise le
traitement des données médicales recueillies par les cabinets, les
hôpitaux, les compagnies d’assurance maladie et d’autres fournisseurs de
soins de santé. Le respect de la conformité HIPAA est contrôlé par le
département américain de la Santé et des Services sociaux (HHS) et son
sous-groupe, le Bureau des droits civils (OCR). Les défauts de conformité
peuvent entraîner des sanctions civiles et pénales pouvant atteindre 50
000 dollars pour les infractions civiles et jusqu’à 10 ans de prison pour les
violations criminelles.

L’HIPAA incorpore plusieurs dispositions réglementaires interconnectées :

1. la règle de con dentialité HIPAA. Cette règle HIPAA dé nit des

normes nationales pour l’accès aux informations médicales des
patients (PHI), qui comprennent toutes les informations contenues
dans les dossiers médicaux d’une personne : coordonnées, numéros
de sécurité sociale, données nancières, diagnostics, traitements et
autres données personnelles. Elle s’applique uniquement aux «
entités couvertes » selon l’HIPAA.

2. Règle de sécurité HIPAA. Cette règle fournit des directives

spéci ques pour les PHI et régit la façon dont elles sont créées,
stockées, transmises ou reçues par voie électronique (également
appelés ePHI). En raison du partage des données électroniques,
cette règle s’applique à la fois aux entités couvertes par HIPAA et à
leurs « associés commerciaux », les fournisseurs de services qui
gèrent les PHI.

3. la règle de noti cation de violation HIPAA. Cette règle décrit les

procédures que les entités couvertes par la loi HIPAA et leurs
associés doivent appliquer en cas de divulgation d’informations
médicales con dentielles.

4. la règle d’application HIPAA. Cette règle détaille les procédures et

les sanctions relatives aux violations HIPAA.

La conformité HIPAA établit des normes qui encadrent la façon dont les établissements de santé,
des hôpitaux aux assureurs, traitent les données des patients.

Qu’est-ce qu’une violation selon l’HIPAA ?

Le HHS dé nit une violation HIPAA comme « de façon générale, une
utilisation ou une divulgation non autorisée selon la règle de
con dentialité, qui compromet la sécurité ou la con dentialité
d’informations de santé protégées ». Par exemple, le vol d’un ordinateur
portable non chi ré contenant des centaines de PHI de patients, dans
une pièce non sécurisée d’un cabinet de médecin, constituerait une
violation.

Qu’exige la conformité HIPAA ?

La conformité HIPAA exige la protection des informations médicales
con dentielles des patients sous toutes ses formes : verbales, physiques
et électroniques. La revue HIPAA Journal décrit sept étapes pour se
mettre en conformité avec la norme HIPAA : élaboration et application de
politiques et de procédures, désignation d’un responsable de la
conformité HIPAA, formation e cace des employés et de la direction,
mise en place de canaux de communication e caces, supervision et
contrôles internes, réponse aux violations, mise en œuvre de mesures
correctives, évaluation des politiques et des procédures, suivie de leur
modi cation si nécessaire.

Qu’est-ce que le RGPD ?

Le RGPD, qui signi e règlement général sur la protection des données, a
été adopté en 2016 et s’applique à toutes les entreprises de l’UE, ainsi
qu’à celles qui sont basées à l’étranger mais qui exercent leurs activités ou
ont des clients dans l’Union européenne. Depuis son entrée en vigueur en
2018, le RGPD est la principale loi régissant la protection et la
con dentialité des données personnelles des individus dans l’Union
européenne. Le RGPD, qui a remplacé la directive européenne sur la
protection des données 95/46/CE, a introduit de nouvelles exigences
pour toutes les transactions, notamment :

• l’obtention du consentement des clients lors de la collecte ou du

traitement des données ;

• la « pseudonymisation » des données recueillies pour protéger la vie

privée ;

• la noti cation des violations de données dans les 72 heures suivant la

détection des incidents ;

• la mise en place de directives pour le transfert sécurisé des données

d’un pays à l’autre ;

• la désignation d’un délégué à la protection des données (DPO) au sein

de certaines entreprises, a n de superviser la conformité au RGPD.

Toute non-conformité peut entraîner des amendes pouvant atteindre 4 %

des ventes mondiales annuelles ou 20 millions d’euros, selon la valeur la
plus élevée.

Qu’est-ce qu’une violation selon le RGPD ?

Une violation du RGPD est « une violation de la sécurité qui entraîne la
destruction, la perte, la modi cation, la divulgation ou la consultation non
autorisée des données personnelles transmises, stockées ou traitées de
quelque manière que ce soit ». Cette interprétation large peut englober
tout ce qui pose un risque de conformité, du piratage d’un réseau
informatique exposant des informations de clients, à l’e acement
accidentel d’un disque dur sans sauvegarde.

Qu’exige la conformité au RGPD ?

La conformité au RGPD exige que les responsables du traitement
(généralement les entreprises qui possèdent les données) et les sous-
traitants (les entités qui traitent les données des clients pour le compte
du responsable du traitement) respectent les normes établies pour la
collecte, le stockage et le traitement des données des citoyens de l’UE.

regulatory-compliance-key-features

La première étape de la conformité au RGPD consiste à évaluer toutes

vos sources de données et à dresser un inventaire de toutes les données
personnelles que vous détenez. Ensuite, vous devrez documenter et
di user les règles de con dentialité du RGPD dans l’ensemble de
l’entreprise et mettre en œuvre le niveau de protection requis pour les
données personnelles.

Qu’est-ce que la PCI ?

Mise en place en 2004, PCI est l’abréviation courante de la norme de
sécurité des données de l’industrie des cartes de paiement (PCI DSS).
Depuis, elle a été régulièrement mise à jour pour renforcer les normes de
sécurité du traitement des paiements en ligne et hors ligne. La PCI DSS
s’applique à toute entreprise qui accepte, transmet ou stocke des
données de titulaire de carte, quelle que soit la taille ou le nombre des
transactions. Ces normes sont gérées par le conseil des normes de
sécurité de l’industrie des cartes de paiement et sont appliquées par les
dirigeants des cinq principales marques de cartes de crédit/débit. Les
infractions à la norme PCI peuvent entraîner une amende de 5 000 $ à
100 000 $ par mois pour la banque incriminée.

Qu’est-ce qu’une violation selon la PCI ?

Une violation PCI est un incident au cours duquel les données d’un
titulaire de carte de crédit sont obtenues, visualisées ou dérobées sans
autorisation. Une violation peut être le résultat d’un piratage, du vol d’un
ordinateur portable non sécurisé ou d’un incident qui expose les données
personnelles d’un titulaire de carte à des utilisateurs non autorisés.

Qu’exige la conformité PCI ?

Les exigences de conformité PCI s’articulent autour du volume de
transactions d’une entreprise. Chaque grande marque de carte a ses
petites spéci cités, mais on observe généralement quatre niveaux de
conformité.

• Niveau 1 : commerçants qui traitent plus de 6 millions de transactions

par an.

• Niveau 2 : commerçants qui traitent entre 1 et 6 millions de

transactions par an.

• Niveau 3 : commerçants qui traitent entre 20 000 et 1 million de

transactions d’e-commerce par an.

• Niveau 4 : commerçants qui traitent moins de 20 000 transactions

d’e-commerce par an, ainsi que tous les autres revendeurs qui traitent
jusqu’à 1 million de transactions par an.

La norme PCI DSS spéci e 12 exigences principales pour protéger les

données des titulaires de carte :

1. installer et entretenir un pare-feu ;

2. ne pas utiliser les mots de passe et autres mesures de sécurité par

défaut créés par les fournisseurs des systèmes ;

3. protéger les données des possesseurs de carte ;

4. chi rer la transmission des données des possesseurs de carte sur

les réseaux ouverts et publics ;

5. utiliser et mettre régulièrement à jour un logiciel antivirus ;

6. développer et entretenir des systèmes et des applications

sécurisés ;

7. limiter l’accès aux données des possesseurs de carte aux seules

personnes ayant besoin de les connaître ;

8. attribuer un identi ant unique à chaque personne disposant d’un

accès informatique ;

9. limiter l’accès physique aux données des possesseurs de carte ;

10.tracer et superviser tous les accès aux ressources réseau et aux

données des possesseurs de carte ;

11.tester régulièrement les systèmes et processus de sécurité ;

12.maintenir une politique traitant de la sécurité des informations et

s’appliquant à tout le personnel.

Qu’est-ce que le NIST ?

Le NIST, pour institut américain des normes et de la technologie, est un
organisme gouvernemental du département américain du Commerce,
dépourvu d’autorité de régulation, qui établit des normes pour les
industries scienti ques et technologiques. Ces normes, entre autres,
aident les organismes fédéraux et les entrepreneurs à respecter les
exigences de la loi fédérale sur la gestion de la sécurité de l’information
(FISMA).

L’une des normes les plus largement adoptées est le cadre de

cybersécurité (Cybersecurity Framework, ou CSF), basé sur le volontariat
et conçu pour répondre aux besoins d’un large éventail d’entreprises et
autres organisations cherchant à évaluer leurs contrôles de sécurité et à
évaluer les risques de manière proactive. Le cadre de cybersécurité est
organisé en cinq « fonctions » principales, qui incluent des directives sur
l’identi cation, la protection, la détection et la prise en charge d’un large
éventail de menaces de cybersécurité, ainsi que le rétablissement après
coup.

Les normes du NIST incluent également la norme FIPS (normes fédérales

de traitement de l’information), un ensemble de normes de cybersécurité
élaborées par le gouvernement fédéral des États-Unis pour les agences
gouvernementales, les sous-traitants et les fournisseurs non militaires.
Entre autres choses, la norme FIPS dé nit des exigences en matière de
sécurité informatique et d’interopérabilité en l’absence de normes
sectorielles plus larges, et elle fournit une structure autour de l’encodage
des données, du traitement des documents, des algorithmes de
chi rement et d’autres processus de sécurité IT.

Qu’est-ce qu’une violation selon le NIST ?

Le NIST ne dé nit pas spéci quement les violations. Par contre, les
normes, les bonnes pratiques et les directives du NIST fournissent un
cadre permettant de protéger les données contre les menaces et les
attaques provenant aussi bien de l’intérieur que de l’extérieur de
l’entreprise. Elles peuvent ainsi contribuer à prévenir les violations telles
que dé nies par d’autres réglementations, dont l’HIPAA.

Qu’exige la conformité NIST ?

Les normes de conformité NIST peuvent varier, car elles sont souvent
conçues pour répondre à des exigences réglementaires spéci ques.
L’institut décrit notamment neuf étapes pour la conformité FISMA :

1. classer les informations à protéger ;

2. sélectionner des contrôles de base minimum ;

3. a ner les contrôles à l’aide d’une procédure d’évaluation des

risques ;

4. documenter les contrôles dans le plan de sécurité du système ;

5. mettre en œuvre des contrôles de sécurité dans les systèmes

d’information appropriés ;

6. évaluer l’e cacité des contrôles de sécurité une fois qu’ils ont été
mis en œuvre ;

7. déterminer le risque, à l’échelle de l’agence, pour la mission ou sa

justi cation commerciale ;

8. autoriser le système informatique à des ns de traitement ;

9. superviser les contrôles de sécurité de façon continue.

De nombreuses règles du NIST sont décrites dans la publication spéciale

du NIST série 800, qui traite des besoins de sécurité et de con dentialité
des systèmes de données et d’information du gouvernement.

Comment atteindre la conformité NIST ?

Si vous faites des a aires avec le gouvernement fédéral, vous devrez
identi er les mandats que vous êtes tenu de respecter. La publication
spéciale 800-171 o re un bon point de départ : elle explique comment les
systèmes d’information et les politiques doivent être con gurés pour
protéger les informations non classi ées contrôlées (CUI). Si vous
travaillez avec des sous-traitants, vous devrez également vous assurer de
leur conformité.

Qu’est-ce que COPPA ?

La COPPA, la loi sur la protection et la con dentialité des enfants en ligne,
est une loi fédérale promulguée en 1998 qui oblige les entreprises
exploitant des applications, des sites web et d’autres services en ligne à
aviser les parents et à obtenir leur consentement avant de recueillir des
informations personnelles auprès d’enfants de moins de 13 ans. Ces
informations incluent le nom, l’adresse, les coordonnées en ligne, le
numéro de sécurité sociale, le nom d’utilisateur ou le nom d’écran, les
informations de géolocalisation, tout type de photo, de vidéo ou de chier
audio contenant une image ou une voix d’un enfant, ou un identi cateur
persistant (comme un cookie) pouvant être utilisé pour reconnaître un
enfant. La FTC exige que les tribunaux puissent tenir les opérateurs
responsables de sanctions civiles pouvant aller jusqu’à 42 530 $ par
violation de la COPPA.

Qu’est-ce qu’une violation selon la COPPA ?

Une violation de la COPPA peut être toute infraction aux mandats légaux
relatifs à la collecte et à l’utilisation des données des enfants. Par
exemple, un site de di usion de musique en continu enfreindrait la COPPA
s’il permettait à un enfant de moins de 13 ans de créer un compte sans
obtenir au préalable le consentement parental. Une entreprise pourrait
également se trouver en infraction si elle prend des mesures pour
respecter les règles de la COPPA et que ces méthodes échouent.

Qu’exige la conformité COPPA ?

La conformité à la COPPA peut être réduite à trois exigences
fondamentales : obtenir le consentement parental véri able avant de
recueillir des données auprès d’un enfant de moins de 13 ans, protéger la
con dentialité, la sécurité et l’intégrité de ces données, et publier des
politiques de con dentialité claires expliquant comment les données
collectées sont utilisées et stockées. Pour se mettre en conformité aux
exigences de la COPPA, la FTC fournit une FAQ détaillée et vous
recommande de lire les documents d’orientation sur la protection de la
vie privée des enfants de la FTC ainsi que le « Plan de conformité en six
étapes pour votre entreprise » de la FTC. Vous pouvez également envoyer
un e-mail à la hotline de la COPPA à l’adresse CoppaHotLine@ftc.gov.

Qu’est-ce que la CCPA ?

La CCPA, ou loi de Californie sur la protection des consommateurs, entrée
en vigueur le 1er janvier 2020, encadre la façon dont les entreprises qui
font des a aires en Californie peuvent recueillir et utiliser les informations
personnelles des consommateurs. Selon cette loi, les informations
personnelles sur les consommateurs englobent aussi bien les adresses IP,
l’historique d’achat et les pro ls psychologiques que les coordonnées. La
CCPA stipule que les résidents de Californie ont le droit de savoir quelles
informations personnelles sont recueillies à leur sujet, à qui ces
informations sont communiquées et si ces informations sont vendues.
Elle leur accorde également le droit d’accéder aux informations
personnelles qui ont été collectées à leur sujet ou de refuser la vente de
leurs données, tout en leur garantissant un service et des prix égaux, qu’ils
exercent ou non ces droits de con dentialité.

Qu’est-ce qu’une violation selon la CCPA ?

Une violation CCPA est tout ce qui enfreint la loi californienne sur la
violation des données, qui stipule que les entreprises doivent informer
tout résident californien si ses informations personnelles non chi rées
sont volées ou consultées sans autorisation. La CCPA élargit la dé nition
d’« informations personnelles » pour inclure tout ce qui « identi e, se
rapporte à, décrit, ou peut être associé à, un consommateur ou à un
ménage donné, ou pourrait raisonnablement lui être relié, directement ou
indirectement ».

Qu’exige la conformité CCPA ?

La mesure la plus importante que les entreprises peuvent prendre pour
atteindre la conformité à la CCPA consiste à déterminer quelles «
informations personnelles » elle détient selon la dé nition de la CCPA, où
elles sont stockées et comment elles sont partagées. Ensuite, vous devrez
mettre à jour votre politique de con dentialité, puis examiner la façon
dont vous allez répondre aux demandes de consultation, de suppression
et d’interdiction de vente des données émises par les clients, ainsi que la
façon dont vous allez séparer les données clients dont la vente est
autorisée, de celles pour lesquelles elle est interdite.

Pour résumer

La conformité est incontournable

La conformité exige de la vigilance, et les faux-pas peuvent avoir un
impact important sur les résultats. Chaque année, de nouvelles exigences
réglementaires de plus en plus normatives entrent en vigueur. Dans ce
contexte, la conformité peut constituer le plus grand dé auquel les
entreprises sont confrontées. Mais si la conformité implique un
investissement important en ressources, les coûts de non-conformité, en
termes de pénalités et de dommages à la réputation de votre entreprise,
peuvent être bien plus élevés. Les exigences réglementaires visent à
atténuer les risques. La meilleure façon de protéger votre entreprise
consiste à déterminer de manière proactive les réglementations
spéci ques qui s’appliquent à votre activité, puis à élaborer un plan de
conformité complet pour les respecter.

Quelques pistes pour en savoir plus sur la conformité

réglementaire et ses avantages pour votre entreprise :
 Savoir, c’est pouvoir : conseils de l’ICO et du NCSC sur les résultats de
sécurité du RGPD

 Le guide d'achat des outils SOAR

 Bonnes pratiques pour l’utilisation de Splunk Enterprise à des ns de
conformité
 Une approche prescriptive pour mettre en œuvre une visibilité et des
rapports en temps réel sur la conformité

 Surmonter le dé de la visibilité sur la conformité

 Simpli er la mise en conformité gouvernementale avec Splunk
 De nouvelles attestations de conformité HIPAA et PCI-DSS pour Splunk
Cloud
 Garder une longueur d’avance sur l’évolution numérique

POURQUOI SPLUNK RESSOURCES ENTREPRISE

?
Blog À propos de Splunk
Cas clients
Customer Success Carrières
Diversité et inclusion
Data Insider Équipe de direction
Partenaires
Événements Splunk Global
Pourquoi Splunk ?
Impact
Webinaires
Splunk Ventures
ASSISTANCE Vidéos
Splunk Protects
Contacter notre Voir toutes les
service commercial ressources Réponse au COVID-
19
Contacter
l’assistance POUR LES
DÉVELOPPEURS
Mises à jour produits SITES SPLUNK
Communauté
de sécurité .conf
Documentation
Splunk Answers Relations
Bonnes pratiques investisseurs
Portail d’assistance
Démarrez avec Magasin de T-shirts
Splunk

Splunkbase

Splunk dev

Formation &
certi cation

Groupes utilisateurs

Splunk, Inc

Plan Con dentialité Conditions Termes et Contrôle Déclaration sur Brevets

du d'utilisation du conditions des des l'esclavage de
site site web licences Splunk exportations moderne Splunk

© 2005-2022 Splunk Inc. Tous droits réservés. 

Splunk, Splunk>, Data-to-Everything et Turn Data Into Doing sont des marques commerciales ou des marques déposées de Splunk Inc. aux États-Unis et dans d'autres pays.
Tous les autres noms de marques, noms de produits ou marques commerciales appartiennent à leurs propriétaires respectifs.