Alors que les implications du règlement général sur la protection des données se font sentir, Paul Brennecker examine son impact sur l'industrie du jeu et explique comment il ne s'agit pas simplement d'un exercice de conformité, mais d'un état d'esprit modifié à l'échelle de l'industrie qui est la clé à une sécurité efficace des données.
L'industrie des jeux d'argent et de hasard a toujours été une cible pour les criminels, à la fois dans la réalité et dans la fiction. De The Sting à Ocean's Eleven en passant par Lock, Stock et Two Smoking Barrels, le monde du cinéma a longtemps savouré l'idée que des criminels rusés s'attaquent au casino et gagnent. Il y a quelque chose de fondamentalement satisfaisant dans le fait que des voleurs attrayants et engageants battent des entreprises de jeu apparemment anonymes dans ce qui est perçu comme un crime presque sans victime. Dans le monde fictif d'Hollywood, les inévitables suites se déroulent, reflétant, probablement involontairement, la réalité de la situation : les casinos et les entreprises de jeux sont de plus en plus victimes d'infractions répétées. Ce qu'ils ne montrent pas nécessairement, cependant, c'est l'autre réalité : que dans la nouvelle ère du jeu en ligne, les victimes sont bien réelles. Ce sont les personnes dont les données personnelles sont volées.
Les cyberattaques se présentent sous de nombreuses formes, mais elles peuvent généralement être classées dans celles qui perturbent les opérations, telles que les attaques par déni de service distribué (DDOS), où les ordinateurs infectés inondent le réseau de trafic. Il y a aussi ceux qui visent le vol de données, ciblant les données des clients, en particulier les informations financières comme les détails de carte de crédit, qui peuvent être vendus sur le dark web ou utilisés pour la fraude d'identité, et les attaques de ransomware. Ce type d'abus d'informations d'identification est particulièrement préoccupant dans l'industrie du jeu, car il entraîne une perte de réputation et les clients transfèrent leur activité en ligne à d'autres fournisseurs.
Bien que la menace contradictoire soit importante, la menace posée
par des initiés, souvent des employés de confiance, peut présenter un risque encore plus grand pour une entreprise. Avec un accès privilégié, les employés peuvent intentionnellement ou non être impliqués dans une violation ciblée des données. Le personnel de l'industrie des jeux d'argent et de hasard a tendance à changer de rôle entre les concurrents, ce qui nécessite un processus robuste de "recrutement, déménagement, départ". Cela nécessite également une sensibilisation accrue aux fuites de données au sein de chaque organisation.
RGPD et PCI DSS
En vertu du nouveau cadre GDPR qui est devenu la loi de l'UE en mai de cette année, en cas de violation de données, les entreprises peuvent être condamnées à une amende pouvant atteindre 4 % de leurs revenus (ou 20 millions d'euros, selon le montant le plus élevé). Depuis que les termes du GDPR ont été connus, beaucoup a été écrit à son sujet et sur son impact sur la façon dont les entreprises gèrent leurs données. Pourtant, il existe une idée fausse importante qui doit être corrigée.
Contrairement à la perception actuelle du public, la conformité au RGPD n'existe en fait pas. Il s'agit d'un règlement qui exige que les systèmes de données soient sûrs, mais il est sujet à interprétation et ne fournit aucune indication détaillée. Il n'y a pas non plus d'examen annuel pour valider la conformité.
D'autre part, la norme Payment Card Industry (PCI) Data Security Standard (DSS), qui réglemente l'industrie du jeu pour garantir que les détails de la carte de paiement sont utilisés conformément aux meilleures pratiques et conservés en toute sécurité. , fournit un cadre détaillé qui précise ce qui doit être fait et comment. PCI DSS fournit même des mises à jour régulières et des conseils sur les révisions. Ceux qui sont conformes à la norme PCI DSS sont donc en bonne voie pour répondre aux exigences du RGPD. Il incombe aux responsables de la sécurité de l'information (CISO), aux délégués à la protection des données (DPO) et à leurs conseillers de déterminer où se situent les lacunes afin de s'assurer qu'une organisation adhère au RGPD dans la pratique.
Bien que le processus de conformité PCI DSS soit indéniablement utile, il doit être assimilé à un MOT ; il ne s'applique qu'à un moment donné dans le temps. Une demande de changement de contrôle mal conçue ou une modification du processus peut invalider cette conformité. Des tests et une maintenance continus sont essentiels et sont mieux gérés par un état d'esprit d'entreprise modifié qui intègre la sécurité des données à tous les niveaux de l'organisation.
Une approche au niveau du conseil d'administration pour une sécurité efficace des données
Le RGPD et la norme PCI DSS se complètent et, s'ils sont gérés de manière holistique, peuvent offrir d'immenses avantages en termes d'efficacité et de réputation, tout en atténuant les dommages potentiels d'une violation. Mais étant donné que la conformité PCI DSS fournit simplement une validation de la conformité à un moment donné, la clé de la sécurité des données n'est pas de se concentrer sur des objectifs de conformité spécifiques, après un exercice de case à cocher une fois par année, mais pour développer un état d'esprit d'entreprise qui se caractérise par une approche de «conformité prête à l'emploi» et qui intègre une mise à jour et une maintenance continues. Cet état d'esprit modifié nécessite une stratégie à l'échelle de l'entreprise qui est développée au niveau du conseil d'administration, puis diffusée sous une forme pratique et simple à chaque employé ou partenaire de l'entreprise. Pour que cet objectif soit réaliste, la responsabilité de la sécurité des données ne peut pas simplement être dévolue au RSSI ou au DPO ; il ne doit pas non plus être considéré comme quelque chose qui relève uniquement du
Département IT. Pour être vraiment efficace, il est de la responsabilité de chaque membre du conseil d'administration de piloter et de superviser les responsabilités de l'organisation en matière de sécurité des données. La sécurité des données doit être à l'ordre du jour de chaque réunion du conseil d'administration.
De manière réaliste, cependant, compte tenu de la complexité des processus de sécurité et de conformité des données, la propriété spécifique sera entre les mains de ces personnes techniquement qualifiées. Pourtant, ils ne seront pas en mesure d'exercer une influence efficace au niveau du conseil d'administration à moins qu'ils ne bénéficient d'un soutien et de ressources spécialisés. Tout comme le soutien apporté au service financier par les comptables d'entreprise ou le soutien apporté au service juridique par des équipes juridiques spécialisées, le RSSI doit avoir accès à un soutien spécialisé en sécurité des données pour fournir des conseils stratégiques et des capacités techniques pour améliorer la portée de l'opération. .
Le rôle des tests d'intrusion, de l'équipe rouge et de la criminalistique retenue dans le développement d'une stratégie de sécurité des données
L'un des éléments clés de la sécurité des données est le développement d'une stratégie de défense robuste. Cependant, il ne suffit pas de développer une stratégie et de construire une défense basée sur ce qui est déjà connu. Les cybercriminels sont ingénieux et exploitent non seulement les menaces et les vulnérabilités connues, mais ils ont également des moyens de détecter celles qui ne sont pas encore connues ou comprises. Ceux qui n'utilisent que leur propre compréhension pour développer une défense seront donc limités par l'étendue de leurs propres connaissances. Tester et remettre en question ces connaissances sur une base continue est un élément essentiel. C'est là qu'intervient un programme continu de surveillance des menaces, de tests d'intrusion et d'utilisation de Retained Forensics.
La surveillance des menaces est le processus d'observation de la nature changeante des cyberattaques. Tous les sites Web commerciaux seront sondés pour détecter les vulnérabilités, initialement par des outils automatisés et une fois que quelque chose d'important est trouvé, une attaque manuelle plus concertée peut être lancée. Disposer d'alertes et être configuré pour surveiller la nature de ces attaques et les contrer est essentiel pour les joueurs dans l'espace de jeu en ligne.
La prochaine étape est le test d'intrusion régulier, qui doit inclure à la fois des éléments automatisés et manuels. Après tout, la communauté criminelle utilise à la fois des outils d'analyse avancés pour identifier les points faibles potentiels et la sophistication supplémentaire de l'esprit humain pour développer et explorer ces vulnérabilités.
Imaginez une pièce avec un nombre presque illimité de portes. Le test de pénétration automatisé identifiera les portes qui cachent des vulnérabilités potentielles. Le testeur manuel ouvre ensuite ces portes et regarde ce qu'il y a derrière.
En poussant l'analogie un peu plus loin, Red Teaming poussera les portes grandes ouvertes et plongera et explorera ce qui se cache derrière. Les testeurs de la Red Team possèdent des qualifications en matière de piratage éthique délivrées par des organismes respectés du secteur, tels que le CREST et l'OSCP, et utilisent leurs compétences sophistiquées pour explorer et découvrir des vulnérabilités jusqu'alors imprévues.
Armé de ces informations, le processus de fermeture des opportunités potentielles pour les cybercriminels avant même qu'ils ne soient exposés peut commencer. De cette manière, une stratégie de sécurité des données peut être développée qui anticipe les vulnérabilités avant qu'elles ne soient découvertes, plutôt que de simplement réagir à celles qui sont déjà connues.
Ces experts travailleront en partenariat avec un spécialiste retenu
Équipe pour gérer le processus de soutenance. Dans certains cabinets de conseil spécialisés, l'équipe rouge fera également partie de la capacité Retained Forensic pour aider à garantir que le processus est continu, avec une exposition régulière aux tests intégrés. L'engagement d'une équipe Retained Forensics aide non seulement à gérer un défense stratégique, mais renforce la résilience face aux attaques potentielles.
Compte tenu de l'ingéniosité implacable des attaquants, il est impossible de considérer qu'une organisation est à l'abri des attaques. La stratégie devrait donc inclure des plans détaillés si cette éventualité se produit, en particulier pour le signalement rapide en cas de violation. Le RGPD exige que toute violation soit signalée à l'autorité de régulation compétente dans les 72 heures. Si vous ne le faites pas, des mesures punitives seront prises.
En ce qui concerne les problèmes de continuité des activités, de reprise après sinistre et de confinement, le fait d'avoir une équipe Retained Forensics à portée de main, avec une connaissance approfondie des systèmes de l'organisation, signifie qu'ils seront en mesure de gérer ce processus rapidement, limitant ainsi tout dommage potentiel .
Il convient également de noter que non seulement l'engagement d'une équipe Forensics retenue facilitera les tests continus de la sécurité du système et fournira des renseignements stratégiques pour une maintenance et un développement efficaces, mais il démontrera également aux autorités compétentes qu'un processus solide et continu est en place, réduisant ainsi le niveau des amendes potentielles.
En résumé
Le RGPD ne doit pas être considéré comme une charge ou une corvée onéreuse. Il a été développé pour intégrer des garanties aux systèmes de sécurité des données protégeant à la fois les organisations et leurs clients contre la cybercriminalité. Ceux qui l'adoptent avec enthousiasme, en intégrant un régime continu de tests et d'exercices dans leurs systèmes, bénéficieront d'une réputation et d'une fidélité client améliorées. Ceux qui font de la sécurité des données la responsabilité de tous les membres du conseil d'administration et qui développent une stratégie de défense en constante évolution peuvent démontrer à la fois aux clients et aux autorités réglementaires qu'ils prennent la sécurité au sérieux. Ils sont également dans la meilleure forme possible pour résister aux attaques potentielles, ou en détourner ou en réduire l'impact, faisant d'un investissement dans le RGPD et la cyber-résilience une décision commerciale judicieuse.
Laissez votre avis ! Votre avis sera le premier.