La décision de Wyndham nous rappelle de « commencer par la sécurité »

L'écosystème numérique devrait prêter attention à une récente décision de la Cour d'appel du troisième circuit des États-Unis contre Wyndham Worldwide Corporation, qui affirme le droit de la FTC de réglementer la sécurité des données.

L'autorité de la FTC pour réglementer la confidentialité des données n'a jamais été mise en doute, étant donné le vaste mandat de l'agence en vertu de l'article 5 de la loi FTC pour superviser la « protection des consommateurs ». Mais le pouvoir de la FTC de prescrire des pratiques de sécurité des données a été remis en question dans des affaires impliquant deux plaignants distincts - Wyndham Hotels et Lab MD .

Avant d'approfondir la décision et son application à une entreprise qui collecte des données sensibles et personnelles auprès d'utilisateurs finaux, examinons le contexte pertinent.

Le dossier de la FTC contre Wyndham

Les pirates ont piraté les systèmes informatiques de Wyndham à trois reprises entre 2008 et 2010, volant les informations de carte de crédit de 619 000 personnes et encourant plus de 10,6 millions de dollars en frais frauduleux. Ces systèmes comprenaient les réseaux d'entreprise de Wyndham, qui étaient reliés aux systèmes informatiques de plus de 7 000 hôtels et franchisés gérés par Wyndham. Malgré ces piratages répétés, Wyndham a refusé de mettre à jour ses procédures de sécurité, ce qui a entraîné des infiltrations supplémentaires de ses systèmes.

En raison de la non-mise en œuvre de ces procédures de sécurité de base, les pirates ont pu installer des logiciels malveillants de « grattage de la mémoire » sur le réseau d'entreprise et les systèmes de gestion des propriétés des hôtels gérés et franchisés par Wyndham. Sur une période de deux ans, les pirates ont systématiquement extrait les informations personnelles et sensibles (noms, adresses, numéros de carte de crédit) de plus de 600 000 personnes et exporté illégalement ces données vers un domaine enregistré en Russie.

En réponse, la FTC a intenté une action, arguant que le refus répété de Wyndham de mettre en œuvre des mesures raisonnables de sécurité des données, tout en continuant à collecter des données sensibles et personnelles (y compris les informations de carte de crédit et autres informations de facturation) auprès des utilisateurs finaux individuels, était « injuste » en vertu de l'article 5.

En outre, la FTC a constaté que la non-adoption de ces procédures de base de sécurité des données était «trompeuse» en vertu de la section 5, car Wyndham a promis dans sa politique de confidentialité qu'elle utiliserait des mesures de sécurité «standard» pour protéger les données personnelles et sensibles.

Vous pouvez en savoir plus sur le contexte de l'affaire dans cette excellente mise à jour par @JanisKestenbaum de Perkins Coie .

Comment Wyndham n'a pas réussi à sécuriser son réseau

La plainte de la FTC détaille certaines des nombreuses choses que Wyndham n'a pas faites pour sécuriser son réseau :

• ne pas utiliser les mesures de sécurité facilement disponibles pour sécuriser ses systèmes informatiques internes, par exemple les pare-feux ;
• configuration incorrecte du logiciel et, par conséquent, stockage des informations de carte de crédit des utilisateurs finaux en texte clair ;
• ne pas résoudre les vulnérabilités de sécurité connues sur les serveurs ;
• utiliser des noms d'utilisateur et des mots de passe par défaut pour accéder aux serveurs ;
• ne pas exiger l'utilisation d'identifiants et de mots de passe complexes par les employés pour accéder aux serveurs de l'entreprise ;
• ne pas limiter raisonnablement l'accès des tiers aux réseaux et ordinateurs de l'entreprise.

La FTC a fait valoir que de telles pratiques étaient courantes parmi les entreprises qui collectent des données personnelles et sensibles - et qu'en n'adoptant pas de telles pratiques, même après trois piratages successifs, les actions de Wyndham étaient injustes.

Le troisième circuit parle

En réaction à l'action de la FTC, Wyndham a déposé une plainte devant le tribunal de district alléguant, entre autres, que la FTC n'avait pas le pouvoir d'intenter une action en matière de sécurité des données. Il a également fait valoir que la FTC n'avait pas identifié de manière adéquate quelles sont les pratiques «raisonnables» en matière de sécurité des données.

Après avoir perdu cette réclamation devant le tribunal de district, Wyndham a fait appel auprès du troisième circuit. La décision du troisième circuit a répondu par une décision assez critique à l'égard de Wyndham et fournit des motifs minces pour un appel à la Cour suprême en vertu du principe de « Certiorari ».

L'avis de la Cour a répondu à deux questions importantes soulevées par Wyndham :

1. La FTC a le pouvoir, en vertu de la loi FTC, d'intenter des actions en matière de sécurité des données contre les entreprises qui n'emploient pas des pratiques de sécurité des données « raisonnables ».
2. La FTC a fourni un avis adéquat à l'industrie de ce qui constitue une sécurité des données « raisonnable » . Sur ce point, la Cour a examiné les arguments de la FTC dans de nombreux dépôts contre des défendeurs qui avaient indûment sécurisé des données qu'ils avaient collectées auprès d'utilisateurs finaux et de clients. Ils ont également examiné les directives publiées par la FTC, qui sont principalement basées sur les meilleures pratiques de l'industrie pour articuler une norme.

Le troisième circuit n'a pas abordé la question spécifique de savoir si les actions de Wyndham étaient effectivement "déraisonnables" sur la base des directives de la FTC - cette question sera traitée par le tribunal de district du New Jersey à qui l'affaire a maintenant été renvoyée.

Si vous avez atteint ce point dans le message, alors félicitations, c'est là que les choses deviennent intéressantes et, espérons-le, pertinentes pour vous.

Que signifie une sécurité raisonnable des données pour votre entreprise ?

Selon l'analyse du troisième circuit, la FTC a suffisamment informé les entreprises de ces pratiques qu'elles considéreraient comme "raisonnables" lorsqu'il s'agit de sécuriser des données personnelles et sensibles - par le biais de règlements avec de nombreux défendeurs, ainsi que de directives publiées à l'intention de l'industrie.

En fait, la FTC a fourni des conseils spécifiques sur les pratiques de « sécurité raisonnable des données » pour les développeurs d'applications mobiles dans son guide Start with Security .

"Il n'y a pas de liste de contrôle pour sécuriser toutes les applications. Différentes applications ont des besoins de sécurité différents. Par exemple, une application de réveil qui collecte peu ou pas de données soulèvera probablement moins de problèmes de sécurité qu'un réseau social basé sur la localisation. Les applications plus complexes peuvent s'appuyer sur des serveurs distants pour stocker et manipuler les données des utilisateurs, ce qui signifie que les développeurs doivent être familiarisés avec la sécurisation des logiciels, la sécurisation des transmissions de données et la sécurisation des serveurs. Pour ajouter au défi : les menaces de sécurité et les meilleures pratiques évoluent rapidement. »

En d'autres termes, la FTC attend des développeurs d'applications qu'ils adoptent et maintiennent des pratiques raisonnables de sécurité des données en fonction du type de données qu'ils collectent et de la manière dont ils utilisent ces données. Ils ne prescrivent pas une approche unique.

C'est donc le bon moment pour faire l'inventaire de vos pratiques en matière de données et de sécurité afin de déterminer si elles sont « raisonnables » à la lumière des données que vous collectez et de la manière dont vous utilisez et partagez ces données. Cela vaut la peine de jeter un coup d'œil au guide Start with Security de la FTC et de déterminer si ces étapes s'appliquent à vous.

En particulier, la FTC exhorte les entreprises qui collectent des données personnelles et sensibles à faire ce qui suit :

• Nommer quelqu'un responsable de la sécurité.
• Faites le point sur les données que vous collectez et conservez.
• Pratiquez la minimisation des données : ne collectez pas et ne stockez pas de données dont vous n'avez pas besoin.
• Recherchez et comprenez les pratiques de sécurité des plates-formes mobiles avec lesquelles vous travaillez.
• Protégez vos serveurs. Si vous maintenez un serveur qui communique avec votre application, prenez les mesures de sécurité appropriées pour le protéger. Si vous comptez sur un fournisseur de cloud commercial, comprenez les divisions de responsabilité pour la sécurisation et la mise à jour des logiciels sur le serveur.
• Si vous traitez des données financières, des données sur la santé ou des données sur les enfants, assurez-vous de bien comprendre les normes et réglementations applicables . Vous pouvez trouver plus de détails sur les types de lois et de cadres de l'industrie qui s'appliquent sur le microsite de confidentialité et de données récemment lancé par TUNE .
• Fournissez un avis sur vos pratiques en matière de sécurité, de données et de confidentialité et « parlez à vos utilisateurs avec vos propres mots ».
• Générez des informations d'identification (noms d'utilisateur, mots de passe) en toute sécurité.
• Ne stockez pas et ne transmettez pas de données sensibles en texte brut . Utilisez le cryptage de transit pour les données de facturation et d'autres données importantes. La FTC a intenté des actions contre Lifelock, RockYou et ValueClick pour le stockage et la transmission de données en texte brut.
• Le cryptage du transit et du stockage est également pertinent pour la conformité aux lois de l'État sur la violation des données - qui exigent que vous signaliez au procureur général de l'État et aux utilisateurs finaux lorsque des « données personnelles » sont violées. Les données personnelles en vertu des lois de la Californie et d'autres États comprennent des données non cryptées - des données stockées en clair, par exemple des informations de carte de crédit, une adresse e-mail stockée avec un mot de passe.
• Restez impliqué dans votre application après son lancement. De nouvelles vulnérabilités apparaissent quotidiennement et même les bibliothèques de logiciels les plus réputées nécessitent des mises à jour de sécurité.

Alors, commencez par la sécurité

La décision du troisième circuit contre Wyndham est un rappel important que toutes les entreprises traitant des données personnelles et sensibles doivent revoir leurs pratiques en matière de données et de sécurité. Une violation de ces données peut entraîner la responsabilité de la FTC, des recours collectifs et, surtout, la perte de confiance avec vos utilisateurs finaux.

Est-ce un risque que vous êtes prêt à prendre ? Si ce n'est pas le cas, il est logique de "Commencer par la sécurité" aujourd'hui.

Une ressource supplémentaire importante :

Si vous souhaitez obtenir encore plus de précisions sur ce qu'est la sécurité des données "raisonnable" et comment elle pourrait s'appliquer à votre entreprise, alors cela vaut la peine de consulter le "The Common Law of Privacy" par les spécialistes de la confidentialité Dan Solove et Woody Hartzog. Il explore comment la FTC a été en mesure de façonner la loi américaine moderne sur la protection de la vie privée par le biais de «décrets de consentement» , c'est-à-dire des règlements qui obligent l'entreprise à accomplir certains actes spécifiques pendant une période déterminée (généralement 20 ans). Cela inclut un décret de consentement à la sécurité des données contre Microsoft (pour Passport) ; l'agence a maintenant des décrets de consentement à la vie privée avec Facebook (au cours de ses changements de politique de confidentialité en 2009) et Google (au cours du lancement de Buzz en 2010).

Crédit photo : @dcillustrated

Vous aimez cet article ? Inscrivez-vous pour recevoir nos e-mails de résumé de blog.