Selon les experts, les professionnels de la sécurité des entreprises de Wyndham vs FTC doivent défendre la protection contre les violations de données

Les responsables de la sécurité des entreprises doivent rencontrer leurs équipes juridiques pour savoir si la façon dont ils protègent les données des clients les évitera d'avoir des problèmes avec la Federal Trade Commission si ces informations étaient compromises en cas de violation de données..

Sur la base d'une décision rendue hier par la Cour d'appel des États-Unis, la meilleure solution consiste à savoir quels types de mesures la FTC a prises dans le passé - et pourquoi - contre les entreprises dont les défenses sont piratées et dont les données clients sont volées..

Lisa Sotto

Ensuite, les organisations devraient prendre des mesures pour s'assurer que la sécurité répond aux «normes raisonnables de l'industrie», explique Lisa Sotto, avocate chez Hunton & Williams, qui se concentre sur le droit de la confidentialité et de la cybersécurité..

C'est parce que le tribunal dit qu'il est normal que la FTC trouve des entreprises responsables de violations de données et les associe à des décrets de consentement qui les obligent à se soumettre à des évaluations de sécurité par des tiers tous les deux ans pendant 20 ans, dit-elle.

PLUS SUR LE MONDE DU RÉSEAU: 26 choses folles et effrayantes que la TSA a trouvées sur les voyageurs

Mais on ne sait toujours pas quel impact la décision aura sur la ferveur avec laquelle la FTC poursuit les entreprises violées, a déclaré Jason Straight, vice-président senior et responsable de la protection de la vie privée chez UnitedLex, un cabinet de conseil juridique et technologique. "Le souci est que [la décision Wyndham] permettra à la FTC d'être plus agressive", dit-il. "Le tribunal dit qu'il laissera la FTC décider de ce qui est raisonnable."

La décision de justice 3-0 a rejeté la prétention de Wyndham Worldwide Corp. selon laquelle la loi fédérale ne donne pas à la FTC le pouvoir de punir les entreprises pour une mauvaise sécurité qui se traduit par un vol de données client. «Le 3rd Circuit affirme fermement que la FTC a le pouvoir de réglementer dans l'arène infosec », déclare Sotto.

Éviter les sanctions de la FTC n'est généralement pas si onéreux, dit-elle, car historiquement, la commission ne s'en prend qu'aux entreprises "pour défaut de sécurité raisonnable pour les données qui leur sont confiées par les consommateurs ... Elles ne s'en prennent généralement qu'aux entreprises qui ont des systèmes profondément précaires. "

Wyndham a subi trois violations en 2008 et 2009 et n'a pas chiffré les données de carte de crédit, dit Straight.

Les plus de 50 cas que la FTC a intentés depuis le début des années 2000 concernaient très clairement des entreprises qui ne parvenaient pas à créer une telle sécurité, dit-elle. Tous sauf Wyndham et un autre ont signé des décrets de consentement avec la FTC, et l'autre met fin à ses activités.

+ AUSSI SUR NETWORK WORLD Court: la FTC peut faire tomber le marteau des entreprises avec une cybersécurité bâclée  +

Certaines entreprises sont exemptées de l'autorité de la FTC - les banques et les soins de santé en font généralement partie - mais sinon les responsables de la sécurité devraient savoir quel a été l'agenda réglementaire de la FTC concernant les violations de données. Cela représente 10 ans ou plus de décisions qu'il est peu probable que les professionnels de la sécurité aient le temps de se renseigner eux-mêmes, ils devraient donc faire appel à une aide juridique, dit Sotto.

La FTC ne publie pas de liste de protections spécifiques que les entreprises doivent fournir afin d'éviter d'être citées pour ne pas offrir une sécurité raisonnable, mais il est probable que les OSC et autres personnes chargées de protéger les données des clients qui essaient de répondre à une norme plus élevée - mieux pour l'entreprise pratiques de sécurité - ne va pas à l'encontre de la commission, dit-elle.

Les professionnels de la sécurité qui tentent de se défendre contre les dernières menaces connues devraient être en bonne forme, dit Sotto. Au cours des deux dernières années, la FTC a réussi à suivre les étapes raisonnables et a embauché un technologue en chef pour diriger cet effort..

Certains conseils de la FTC seraient les bienvenus, a déclaré Pat Clawson, PDG de Blancco Technology Group. Il dit que la FTC est «plus confiante et disposée à travailler ensemble vers une résolution avec une entreprise« qui a signalé une infraction aux forces de l'ordre appropriées et a coopéré avec eux ». Ainsi, la définition de paramètres écrits sur la façon dont ces mesures sont prises - et la communication qui en découle - pourrait très bien avoir un impact sur les entreprises qui tombent dans les bonnes grâces de la FTC et celles qui deviennent les principales cibles des enquêtes et des affaires judiciaires.

Wyndham pourrait faire appel le 3rd La décision de Circuit à la Cour suprême des États-Unis, mais le tribunal devrait décider de l'entendre, dit Sotto, et c'est une chose très difficile à réaliser.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.