Salesforce Security 101 : Qu'est-ce que la conformité PII ?

Votre organisation Salesforce stocke certaines des informations les plus sensibles de vos clients et prospects. Ces informations sensibles, également connues sous le nom d'informations personnelles identifiables (PII), sont le moteur de vos opérations de vente et de marketing — mais elles peuvent également entraîner d'énormes préoccupations en matière de sécurité.

Malheureusement, il suffit d'une seule violation de la sécurité pour que vos clients perdent confiance en votre entreprise — et pour que votre activité en pâtisse en conséquence. Ne pas sécuriser les informations personnellement identifiables entraîne de lourdes amendes réglementaires et des poursuites judiciaires, et pire encore, cela pourrait causer des dommages irréparables à votre entreprise.

Dans cet article, nous décomposons ce qu'est exactement les PII, et comment maintenir la sécurité et la conformité tout en continuant à mener des opérations de revenus efficaces.

Qu'est-ce que le PII ?

Les informations personnellement identifiables sont toutes données pouvant être utilisées pour identifier directement une personne spécifique. Cela inclut, évidemment, le prénom et le nom de famille d'une personne, l'adresse e-mail, le numéro d'assurance sociale, le numéro de téléphone ou l'adresse — mais aussi des éléments plus obscurs comme les adresses IP.

Il existe deux types de PII : sensible et non sensible. Les PII non sensibles sont généralement tout ce qui est dans le domaine public, comme une adresse ou un numéro de téléphone professionnel. Les PII sensibles, en revanche, comprennent des éléments tels que les numéros de compte bancaire, les informations de passeport ou les détails de carte de crédit — des données qui sont généralement protégées par des cadres juridiques ou réglementaires de confidentialité.

Qu'est-ce que la conformité PII ?

Il existe plusieurs normes réglementaires qui régissent la conformité des données personnelles. Certaines d'entre elles n'affectent que les organisations basées dans un pays/région spécifique ; d'autres, comme le RGPD de l'UE, affectent toute entreprise opérant dans cette région. Voici un aperçu de certaines des réglementations qui sont plus fréquemment dans le champ d'application pour les entreprises nord-américaines :

• RGPD. Le Règlement Général sur la Protection des Données est un cadre réglementaire qui se concentre sur la protection des données dans l'UE (Union Européenne) et l'EEE (Espace Économique Européen). Entre autres, le GDPR traite de l'abus et de l'exploitation des données des consommateurs. Les amendes pour violation de ces exigences de conformité des données personnelles sont parmi les plus élevées au monde, allant jusqu'à 20 millions d'euros.
• CCPA. The California Consumer Privacy Act (CCPA) is the first of its kind in the US. The CCPA provides California residents with the ability to control how businesses process their personal information. Businesses will now have to honor requests from California residents to access, delete, and opt out of sharing or selling their information.
• GLBA. La loi Gramm-Leach Bliley est un cadre basé aux États-Unis qui se concentre sur la manière dont les institutions financières protègent et partagent les données sensibles de leurs clients. La GLBA exige que les institutions communiquent avec les consommateurs sur l'utilisation de leurs données et leur donnent la possibilité de se désinscrire du partage de données.
• PCI DSS. La norme de sécurité des données de l'industrie des cartes de paiement Data Security spécifie les normes de sécurité de l'information pour les entreprises qui travaillent avec des informations de cartes de crédit. Cette loi exige que toutes les entreprises traitant des informations de cartes de crédit maintiennent la cybersécurité par l'utilisation de pare-feu, de cryptage, de mises à jour régulières, de restrictions d'accès, etc. Apprenez comment tirer parti du File Integrity Monitoring for PCI DSS ici.
• HIPAA. La loi sur la portabilité et la responsabilité de l'assurance maladie est une norme de conformité bien connue qui vise à protéger les informations sensibles des patients, également connues sous le nom d'informations de santé protégées (PHI). HIPAA exige que les prestataires de soins de santé et les autres entreprises travaillant avec les PHI disposent de mesures de redondance et de sécurité appropriées, avec des exigences spécifiques concernant des aspects tels que l'accès physique et en ligne, le transfert de données et les audits réguliers.

Le nouveau paramètre de sécurité PII de Salesforce

Pour garantir la sécurité des consommateurs, Salesforce a introduit un nouveau paramètre de sécurité dans leur version Winter ‘22 appelé la permission Enhanced Personal Information Management. Cette permission empêche les utilisateurs externes de voir les informations personnelles dans vos enregistrements d'utilisateurs. Par défaut, cette nouvelle fonctionnalité vous permet de choisir jusqu'à 20 champs à sécuriser en définissant la catégorie de conformité de chaque champ comme « PersonalInfo ». Les administrateurs peuvent choisir quels champs sont considérés comme des informations personnelles — et une fois qu'un champ est défini comme « PersonalInfo », il sera caché aux autres utilisateurs externes.

Pour obtenir des instructions sur la configuration de cette nouvelle autorisation, cliquez ici.

Protection des informations personnelles identifiables

La protection des informations personnellement identifiables s'étend bien au-delà du cadre de Salesforce. Elle englobe à la fois les contrôles techniques et physiques, et dépend souvent des spécificités des organisations — leur mode de fonctionnement, les données avec lesquelles elles travaillent et les exigences de conformité auxquelles elles sont soumises. Cela dit, certaines bonnes pratiques générales pour la protection des informations personnellement identifiables incluent :

• Localiser toutes les informations sensibles dans votre système
• Utilisant la Netwrix Data Classification pour identifier et catégoriser précisément les types d'informations dans votre système. Nous avons un article qui vous guide à travers la classification des données ici.
• Suppression ou archivage de toute information sensible qui n'est plus nécessaire ou utilisée
• Utiliser le chiffrement (celui-ci pourrait être le plus important !)
• Mettre en place des processus de départ appropriés pour les employés
• Identifier et éliminer toutes les erreurs de permission
• Minimisation de la collecte de données

Le coût d'une violation de données

Comme nous l'avons mentionné, les informations clients sont parmi les données les plus critiques avec lesquelles votre entreprise travaille — mais c'est aussi les plus vulnérables. En 2018, les informations personnellement identifiables (PII) représentaient 97 % des violations de sécurité, entraînant des conséquences financières importantes pour les entreprises touchées.

Le Cost of a Data Breach Report d'IBM indique que le coût moyen d'une violation de données PII en 2020 était de 3,86 millions de dollars — un chiffre qui monte à 7,13 millions pour l'industrie de la santé. Pour mettre ces chiffres en perspective, les violations de données PII coûtent typiquement à une organisation 150 $/dossier ; plus vous stockez de données clients, plus vous êtes vulnérable.

Avec tout cela dit, il est crucial pour les organisations de connaître l'importance de protéger les informations personnellement identifiables dans Salesforce. Les techniques de protection des données ci-dessus vous mettront sur la bonne voie — mais si vous stockez beaucoup de données dans votre Salesforce Org (ou toute autre application commerciale), vous devriez envisager d'investir dans un data security software pour vous aider à protéger efficacement vos informations personnellement identifiables tout en surveillant également les menaces de sécurité.

Prenez contact avec Netwrix pour découvrir comment nos outils de Data Security peuvent vous aider à démarrer.