Qu’est-ce que le Personally Identifiable Information PII ?

Les acteurs en informatique d’entreprise, de conformité réglementaire et de sécurité ont certainement entendu parler de PII ou d’information personnelle identifiable. Cette dernière occupe une place importante dans le domaine de la sécurité, d’autant plus qu’elle est depuis des années la première cible des cyberattaques et de la cyberfraude. Que sont les PII ? Quelle est la différence entre donnée sensible et donnée non sensible ? Comment protéger les PII ? Faisons le point !

Les PII sont les différentes données personnelles permettant de connaître l’identité d’une personne. Alors que la technologie de l’information est devenue indissociable du milieu professionnel et de la vie privée, la quantité de PII confiée aux organisations est de plus en plus importante. Les entreprises réunissent, par exemple, des renseignements personnels sur leurs clients dans le but de déchiffrer leurs marchés. De l’autre côté, les consommateurs procurent leur adresse, leur numéro de téléphone pour leur abonnement ou pour pouvoir acheter en ligne.

Le partage de ces informations offre certainement des avantages, puisqu’il permet aux sociétés d’ajuster les services et les produits selon les besoins de leur clientèle. À titre d’exemple, elle peut proposer des résultats de recherche plus pertinents dans les applications de navigation. Toutefois, le dépôt grandissant d’information PII réunie par les organisations captive l’attention des pirates. En effet, les cybercriminels voler les PII  pour les vendre au marché noir ou encore les enfermer pour utiliser des ransomwares.

Il n’y a pas de règle qui détermine le type de données qui sont considérées comme PII ou ceux qui ne le sont pas. Il s’agit d’un ensemble d’informations, cependant, chaque élément de renseignement peut être perçu comme une information personnelle identifiable. 

À titre d’exemple, un attaquant ne peut pas utiliser un nom complet, ce qui n’est pas le cas d’un numéro social. Ce dernier permet d’identifier précisément une personne. Un nom de famille et un prénom servent à déterminer l’identité d’un individu, cependant, si ces informations ne sont pas accompagnées d’une adresse ou d’autres données spécifiques, la personne gardera son anonymat.

Pour que ces données soient efficaces, elles doivent procurer assez de renseignements servant à identifier précisément une personne parmi des milliers d’autres.

Voici une liste des données considérées comme PII si assez d’informations sont divulguées au moment de la compromission. Notez qu’un ou tous les renseignements suivants pourraient être utilisés lors d’un vol de données :

• Prénom

• Nom de famille

• Adresse de facturation

• Adresse du domicile

• Numéro de sécurité sociale

• • Informations sur le passeport (ou une image de celui-ci)
  • Numéro de permis de conduire (ou une image de celui-ci)
  • Données de la carte de crédit (numéro, CVV, date d’expiration)

• Date de naissance

• Numéro de téléphone

• Données d’authentification (nom d’utilisateur et mot de passe)

Les données ci-dessus peuvent servir à identifier une personne, cependant des compléments d’information peuvent aussi aider encore plus un attaquant.

Par ailleurs, les renseignements suivants en soi ne servent à rien aux pirates informatiques, mais ils sont indispensables avec les données du dessus pour usurper l’identité d’une victime :

• • Prénom ou nom de famille (pas le nom complet)

• Pays et/ou ville

• Sexe

• Race

• • Tranche d’âge (par exemple, 30-40 ans)

• Poste ou informations sur la carrière

Il est important de noter que cette liste n’est pas exhaustive. Tout renseignement qui peut aider à identifier une personne peut être classé comme PII. Ces données sont toujours protégées par les organisations afin de les préserver des hackers.

On distingue deux types d’informations PII : les indicateurs directs et les indicateurs indirects.

Les identificateurs directs sont des informations propres à un individu et incluant généralement des éléments comme le permis de conduire et le numéro de passeport. Un seul de ces indicateurs directs permet habituellement de connaître l’identité d’une personne.

Les identificateurs indirects, quant à eux, ne sont pas uniques. Ils comprennent des données personnelles plus générales, à savoir le lieu de naissance ou la race. Bien évidemment, un seul identificateur indirect ne sert pas à identifier un individu, mais une combinaison d’identificateur le permet. Par exemple, il est possible d’identifier 87 % des citoyens américains selon leur sexe, leur date de naissance et leur code postal.

Il est essentiel de différencier les PII sensibles des PII non sensibles, parce que les renseignements sensibles sont dirigés par des règles de conformité et doivent être protégés par différentes normes de cybersécurité prescrites par les organismes de réglementation.

La différence entre PII sensibles et non sensibles

Les renseignements particulièrement sensibles comme les numéros de sécurité sociale et les informations financières demandent une sécurité renforcée pour les protéger des frappes.

À l’instar des PII, on ne distingue pas de normes ou de règles fixes qui déterminent les données sensibles. Une bonne pratique aide à déterminer si le public peut accéder aux renseignements ou s’ils ne figurent pas dans un annuaire téléphonique ou encore une base de données réservée au public.

Il est possible de considérer les numéros de téléphone comme privés, mais s’ils sont associés aux noms publics, ils deviennent des données privées. Le nom et l’adresse d’un collaborateur dans un annuaire de société ne sont pas des informations sensibles, toutefois, si ces renseignements sont accompagnés de l’adresse privée et le numéro de téléphone, ce sont des données sensibles.

PII sensible et les normes de cybersécurité 

Les normes réglementaires décrivent la manière dont il faut sauvegarder et transférer les informations sensibles. Elles doivent être cryptées au moment de leur sauvegarde et de leur transfert sur le réseau.

On désigne les renseignements stockés sur un disque ou dans une base de données « des données au repos ». Les informations déplacées sur un réseau d’une organisation ou sur le réseau sont quant à elles connues sous le nom de « données en mouvement ». Ces deux versions ont un point en commun : elles sont vulnérables aux frappes. Ainsi, elles doivent profiter d’une défense de cybersécurité optimale.

En plus du Personally Identifiable Information, les informations de santé protégées (PHI) et les renseignements financiers sont aussi régies par des normes. En effet, elles doivent profiter d’une excellente solution de protection selon les instructions suivantes : la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), qui sont chargées de contrôler les données de santé et de définir les règles de cybersécurité pour les personnels soignants, les compagnies d’assurance, les établissements hospitaliers et les dentistes, etc. Les organismes de réglementation qui inspectent les informations financières sont PCI-DSS, Sarbanes-Oxley (SOX), Financial Industry Regulatory Authority (FINRA), etc.

Si l’une de ces normes n’est pas respectée, l’organisme peut être exposé à une amende s’élevant à plusieurs millions de dollars. C’est la raison pour laquelle il est primordial de garantir que les informations sensibles sont bien régies par l’une des règles de conformité.

Plusieurs lois de protection des informations PII ont été adoptées depuis quelque temps, à savoir le CCPA en Californie et le RGPD dans l’Union européenne. Ils ont pour principal objectif de protéger les données personnelles des consommateurs.

Les organisations sont dans l’obligation de respecter cette norme, sous peine de sanctions énormes. C’est une politique efficace permettant de garantir que les entreprises adoptent les meilleures solutions de sécurité. À titre d’exemple, la collecte des renseignements sensibles n’est autorisée qu’en cas de besoin.

‍Le RGPD exige également aux sociétés de supprimer les informations personnelles dès qu’elles ne s’en servent plus. Elles ne sont pas autorisées à partager les données avec des tiers qui ne peuvent pas assurer leur protection.

Les normes de conformité de la gouvernance réglementaire composent aussi les meilleures instructions pour garantir la sécurité des informations sensibles. Il s’agit d’un bon point de départ pour développer des solutions de cybersécurité et déterminer la façon dont les renseignements sont utilisés, mais elles ne procurent pas de stratégies complètes pour les différents systèmes de l’organisation. Certaines politiques de cybersécurité peuvent être envisagées selon une liste unique d’exigences d’une entreprise.

Il est possible d’utiliser les normes HIPAA et PCI-DSS. Elles imposent aux entreprises d’utiliser le protocole SSL/TLS (HTTPS) durant le transfert des informations sensibles. Ainsi, l’organisation est obligée de chiffrer les renseignements sensibles dans la base de données.

Néanmoins, vous devez aussi déterminer un ensemble de méthodes pour l’accès interne, les archives et le stockage. Il faut définir les personnes au sein de l’entreprise qui a le droit de consulter les PII. Les personnes qui accèdent aux PII à distance doivent utiliser un VPN et une authentification multifactorielle (MFA).

Pour les années à venir, la protection des données demeurera un enjeu capital pour les sociétés, l’État et les individus. Les pirates informatiques sont prêts à tout pour voler des PII sauvegardés sur les serveurs des sociétés. Ensuite, ils vendent très cher ces renseignements sur le marché noir du Dark web. Certains d’entre eux achètent les informations afin de les utiliser dans des opérations de fraude ou pour de l’hameçonnage.