Si vous démarrez ou gérez une entreprise traitant des informations judiciaires criminelles (CJI) en tant qu’entrepreneur pour des agences gouvernementales ou de la loi, vous êtes probablement conscient de la conformité CJIS.
Si ce n’est pas le cas, cet article vous aidera à comprendre ce qu’est la conformité CJIS, qui doit s’y conformer, et comment accéder à des outils et services respectueux de la vie privée pour que votre entreprise respecte ces normes.
Qu’est-ce que le CJIS?
La politique de sécurité CJIS(nouvelle fenêtre) est un ensemble de normes de sécurité établies par le FBI (nouvelle fenêtre)Services d’information judiciaire criminelle(nouvelle fenêtre) (CJIS) division. Elles ont été conçues pour protéger le CJI à chaque étape de son cycle de vie — de la collecte à la conservation en passant par le partage et l’élimination.
La conformité CJIS est essentielle non seulement pour les organisations basées aux États-Unis, mais aussi pour les entreprises internationales qui traitent avec les agences de la loi ou gouvernementales américaines. C’est devenu une norme industrielle pour les entreprises qui manipulent, stockent ou traitent le CJI d’adhérer à la politique de sécurité CJIS.
Quelles données le CJIS inclut-il?
Il existe plusieurs types d’informations régies par la politique CJIS :
- Données biométriques : données extraites de traits physiques ou comportementaux (p. ex. empreintes digitales, reconnaissance faciale) qui identifient des individus.
- Données historiques d’identité : données textuelles liées aux données biométriques. Ces données sont souvent utilisées pour rassembler un historique d’activités criminelles.
- Données biographiques : informations liées à un cas spécifique mais non nécessairement associées à l’identité d’une personne.
- Données sur les biens : informations sur les véhicules et les biens associés à un incident.
- Historique de cas/incident : l’historique criminel d’une personne.
- Informations personnelles identifiables (PII): Toute information permettant d’identifier une personne, y compris les noms, numéros de sécurité sociale et dossiers biométriques
Si des agences de la loi des États, locales ou fédérales accèdent à des informations judiciaires criminelles via le FBI, des contrôles appropriés doivent être appliqués tout au long de son cycle de vie.
Qui doit être conforme au CJIS?
Toute organisation traitant le CJI, y compris les agences de la loi, les entrepreneurs privés et les fournisseurs de services cloud, doit se conformer aux normes CJIS.
Bien qu’il s’agisse principalement d’une exigence du FBI, la conformité CJIS est effectivement devenue une norme industrielle en raison de la nature sensible de toutes les données impliquées. Même si une organisation ne travaille pas directement avec le FBI mais manipule le CJI, elle doit se conformer aux normes CJIS pour continuer ses opérations sans répercussions.
Cela s’étend aux systèmes de données, sauvegardes, réseaux et dispositifs — comme les imprimantes — qui interagissent avec le CJI, tous devant être protégés selon les directives CJIS.
Une entreprise peut faire face à des sanctions civiles et pénales fédérales et étatiques pour un accès ou une diffusion inappropriée des données CJIS. Ces pénalités peuvent inclure des amendes, ainsi que la suspension, la révocation ou le suivi de l’accès au CJIS(nouvelle fenêtre).
Il est important de noter que les informations collectées par toute entité gouvernementale qui collecte, traite ou utilise des informations judiciaires criminelles (CJI) ne sont pas soumises aux contrôles CJIS, sauf si elles ont été soumises au système Échange national de données (N-DEx)(nouvelle fenêtre).
Une fois soumis, cependant, les informations doivent respecter les normes CJIS. N-DEx est un système clé pour partager les informations judiciaires criminelles entre agences, permettant à ces données d’être gérées de façon sécurisée et cohérente.
L’Unité d’Audit des Services d’information judiciaire criminelle (CJIS) (CAU) protège l’intégrité des informations judiciaires criminelles en audituant les agences qui utilisent des systèmes et programmes CJIS. Ces agences incluent(nouvelle fenêtre) :
- CSA d’État et dépôt
- Bureau du programme UCR de l’État
- CSA fédéral
- Agence régulée par le fédéral
- Agence dans un territoire américain avec une connexion Wide Area Network
- Canaliseur approuvé par le FBI (un entrepreneur choisi par le FBI pour faciliter la soumission électronique des empreintes digitales pour des vérifications de fonds non criminelles au nom d’un destinataire autorisé)
- Destinataire autorisé d’informations sur les antécédents criminels
- Registre des délinquants sexuels
- Fournisseur d’identité du portail de l’entreprise des forces de l’ordre
- Tout composant du FBI
Pour la conformité CJIS, le chiffrement est essentiel
Pour accéder aux bases de données CJIS, les organisations doivent respecter un ensemble de normes de sécurité, incluant la mise en œuvre del’authentification multifacteur (AMF) pour vérifier les identités des utilisateurs, le maintien de contrôles d’accès stricts pour limiter qui peut visualiser ou modifier des données sensibles, et la mise en œuvre de mesures de sécurité physiques pour protéger les systèmes et dispositifs traitant le CJI.
Le chiffrement, toutefois, est essentiel pour la conformité CJIS.
Qu’est-ce que le chiffrement?
Le chiffrement est une façon d’obscurcir les informations pour que personne d’autre que les personnes auxquelles elles sont destinées ne puisse y accéder. Cela se fait grâce à des programmes informatiques qui utilisent des algorithmes mathématiques pour verrouiller et déverrouiller les informations.
Il existe deux sections de la politique de sécurité CJIS qui mentionnent explicitement le chiffrement :
- Section 5.10.1.2.1 : Lorsque le CJI est transmis hors de l’emplacement physiquement sécurisé, les données doivent être immédiatement protégées par chiffrement. Lorsque le chiffrement est appliqué, le module cryptographique utilisé doit être certifié FIPS 140-2 et utiliser une clé de chiffre symétrique d’une force d’au moins 128 bits pour protéger le CJI.
- Section 5.10.1.2.2 : Lorsque le CJI est au repos (c’est-à-dire stocké numériquement) hors de l’emplacement physiquement sécurisé, les données doivent être protégées par chiffrement. Lorsque le chiffrement est appliqué, les agences doivent soit chiffrer le CJI conformément à la norme de la Section 5.10.1.2.1 ci-dessus, soit utiliser un chiffre symétrique certifié FIPS 197 (AES) d’une force d’au moins 256 bits.
Le chiffrement contribue à garantir que le CJI est protégé tant au repos qu’en transit. Malheureusement, de nombreux services en ligne, tels que pour le stockage cloud et le courrier électronique, n’utilisent pas de chiffrement de bout en bout par défaut, laissant les données vulnérables lors de la transmission.
Nous avons créé Proton en 2014 pour répondre à ce besoin. Développé par des scientifiques qui se sont rencontrés au CERN (l’Organisation européenne pour la recherche nucléaire) en Suisse, Proton sécurise les e-mails, fichiers, mots de passe et autres données sensibles avec un chiffrement de bout en bout robuste de manière à ce que ce soit facile pour quiconque. Aujourd’hui, plus de 100 millions d’utilisateurs, y compris des gouvernements, des unités militaires et des entreprises du Fortune 500, font confiance à Proton pour sécuriser leurs informations et se conformer aux normes de protection des données.
Protégez vos données avec Proton
Que vous envoyiez des informations via Proton Mail, stockiez des fichiers dans Proton Drive, ou gériez des identifiants avec Proton Pass, Proton garde vos données sécurisées et protégées contre tout accès non autorisé.
Conçu pour protéger la vie privée
Lorsque vous utilisez Proton Mail, les e-mails envoyés au sein de votre organisation sont chiffrés de bout en bout par défaut, ce qui signifie que les messages et les pièces jointes sont verrouillés sur votre appareil avant d’être transmis à nos serveurs et ne peuvent être déverrouillés et lus que par le destinataire. Pour les e-mails vers des comptes non Proton Mail, vous pouvez envoyer des e-mails protégés par mot de passe, et un chiffrement zéro accès est en place pour sécuriser automatiquement les e-mails entrants.
Dans tous les cas, les messages sont toujours chiffrés sur nos serveurs. Cela signifie que même en cas de violation du serveur, les e-mails de votre entreprise restent sécurisés et illisibles par quiconque sauf vous, protégeant vos informations confidentielles contre les cyberattaques.
Il est mathématiquement impossible pour Proton de déchiffrer vos messages, fichiers, et de nombreux types de métadonnées. (Voir ce qui est chiffré.) Et puisque Proton est basé en Suisse, les quelques données vous concernant qui sont collectées sont protégées par les lois suisses sur la vie privée et ne sont pas soumises aux demandes des forces de l’ordre étrangère.
Défendez-vous contre les hackers
Proton a également plusieurs couches de défense contre les cyberattaques potentielles :
- PhishGuard : Le filtre PhishGuard de Proton est conçu pour identifier et signaler les tentatives de phishing. Lorsqu’une attaque de phishing est détectée, vous verrez un avertissement.
- Authentification à deux facteurs (A2F): Proton Mail offre une sécurité au-delà d’un simple mot de passe avec l’authentification à deux facteurs (A2F). Proton prend en charge plusieurs méthodes A2F, y compris les applications d’authentification et les clés de sécurité physiques, ce qui signifie que vous pouvez choisir l’option la plus pratique et sécurisée. Avec un plan Proton for Business, les administrateurs peuvent également rendre l’A2F obligatoire pour leurs organisations afin de renforcer la sécurité parmi les employés.
- Proton Sentinel: Voici le programme de protection avancée des comptes de Proton, disponible avec un plan Proton Mail Professionnel ou Proton Business Suite. Il est conçu pour fournir une sécurité maximale à ceux qui en ont besoin en combinant l’IA avec l’analyse humaine. Cela est particulièrement utile si vous êtes un cadre — ou quelqu’un qui traite des données et communications sensibles. Proton Sentinel offre un support 24/7 pour signaler les tentatives de connexion suspectes aux analystes de sécurité.
Restez conforme avec Proton
Notre objectif est de remodeler Internet pour mettre les personnes et les organisations aux commandes de leurs données.
Changer pour Proton Mail est simple avec notre Easy Switch, vous permettant de transférer sans effort tous les e-mails, contacts et calendriers de votre organisation depuis d’autres services sans formation requise pour votre équipe.
Notre équipe d’assistance est également disponible 24/7 pour fournir un support en direct si vous avez besoin d’aide supplémentaire. Proton Mail, notre e-mail chiffré de bout en bout, et Proton Drive, notre service de stockage cloud chiffré, facilitent le respect des exigences de protection des données et de confidentialité.
Utiliser Proton pour les entreprises offre des avantages supplémentaires, y compris :
- Proton Mail : Protégez vos communications professionnelles avec un e-mail chiffré de bout en bout, garantissant que vous et vos destinataires prévus seuls pouvez lire vos messages.
- Proton VPN(nouvelle fenêtre) : Sécurisez votre connexion Internet et protégez votre activité en ligne avec un accès VPN haute vitesse.
- Proton Calendar : Gérez votre emploi du temps avec un calendrier chiffré qui garde vos événements professionnels privés.
- Proton Pass : Stockez et gérez vos mots de passe en toute sécurité avec notre gestionnaire de mots de passe chiffré.
- Proton Drive : Sauvegardez et partagez des fichiers en toute sécurité avec le chiffrement de bout en bout, garantissant que vos données restent privées et protégées.
Découvrez comment Proton peut simplifier la conformité pour votre organisation en vous inscrivant à Proton pour les entreprises ou contactant notre équipe commerciale pour des solutions plus adaptées.
Lorsque vous intégrez votre entreprise dans l’écosystème Proton, vous protégez simultanément vous-même et les données qui vous sont confiées, restez conforme et aidez à construire un avenir où la confidentialité est la norme.