Si vous lancez ou gérez une entreprise qui travaille avec des informations de justice pénale (CJI) en tant que sous-traitant d’agences gouvernementales ou d’application de la loi, vous connaissez probablement la conformité CJIS.

Sinon, cet article vous aidera à comprendre ce qu’est la conformité CJIS, qui doit s’y conformer et comment vous pouvez accéder à des outils et services respectueux de la vie privée pour que votre entreprise respecte ces normes.

Qu’est-ce que le CJIS ?

La politique de sécurité du CJIS(nouvelle fenêtre) est un ensemble de normes de sécurité établies par la division des Criminal Justice Information Services(nouvelle fenêtre) (CJIS) du FBI(nouvelle fenêtre). Elles ont été conçues pour protéger les CJI à chaque étape de leur cycle de vie — de la collecte au stockage, en passant par le partage et l’élimination.

La conformité CJIS est non seulement essentielle pour les organisations basées aux États-Unis, mais aussi pour les entreprises internationales qui travaillent avec les agences américaines d’application de la loi ou gouvernementales. Respecter la politique de sécurité du CJIS est devenu une norme industrielle pour les entreprises qui manipulent, stockent ou traitent des CJI.

Quelles données le CJIS inclut-il ?

De nombreux types d’informations relèvent de la politique du CJIS :

  • Données biométriques : données extraites de traits physiques ou comportementaux (par exemple, empreintes digitales, reconnaissance faciale) qui identifient des individus.
  • Données d’historique d’identité : données textuelles liées à des données biométriques. Ces données sont souvent utilisées pour reconstituer un historique d’activités criminelles.
  • Données biographiques : informations liées à un dossier spécifique, mais pas nécessairement liées à l’identité d’une personne.
  • Données sur les biens : informations sur les véhicules et les biens associés à un incident.
  • Historique de dossier/incident : antécédents criminels d’une personne.
  • Informations personnellement identifiables (PII) : toute information pouvant être utilisée pour identifier une personne, y compris les noms, les numéros de sécurité sociale et les enregistrements biométriques.

Si des agences d’application de la loi étatiques, locales ou fédérales accèdent à des informations de justice pénale via le FBI, des contrôles appropriés doivent être appliqués tout au long de leur cycle de vie.

Qui doit être en conformité avec le CJIS ?

Toute organisation qui manipule des CJI, y compris les agences d’application de la loi, les sous-traitants privés et les fournisseurs de services cloud, doit se conformer aux normes du CJIS.

Bien qu’il s’agisse principalement d’une exigence du FBI, la conformité CJIS est devenue une norme industrielle en raison de la nature sensible de toutes les données concernées. Même si une organisation ne travaille pas directement avec le FBI mais manipule des CJI, elle doit se conformer aux normes du CJIS pour poursuivre ses activités sans répercussions.

Cela s’étend aux systèmes de données, aux sauvegardes, aux réseaux et aux appareils — tels que les imprimantes — qui interagissent avec les CJI, lesquels doivent tous être protégés selon les directives du CJIS.

Une entreprise peut s’exposer à des sanctions civiles et pénales fédérales et étatiques pour avoir accédé ou diffusé de manière inappropriée des données du CJIS. Ces sanctions peuvent inclure des amendes, ainsi que la suspension, la révocation ou la surveillance de l’accès au CJIS(nouvelle fenêtre).

Il est important de noter que les informations collectées par toute entité gouvernementale qui rassemble, traite ou utilise des informations de justice pénale (CJI) ne sont pas soumises aux contrôles du CJIS, à moins qu’elles n’aient été soumises au système de l’échange national de données (N-DEx)(nouvelle fenêtre).

Une fois soumises, cependant, les informations doivent respecter les normes du CJIS. Le N-DEx est un système clé pour partager des informations de justice pénale entre agences, permettant à ces données d’être gérées de manière sécurisée et cohérente.

L’unité d’audit (CAU) des Criminal Justice Information Services (CJIS) protège l’intégrité des informations de justice pénale en auditant les agences qui utilisent les systèmes et programmes du CJIS. Ces agences incluent(nouvelle fenêtre) :

  • La CSA (Agences des systèmes de contrôle) et le répertoire de l’État
  • Le bureau du programme UCR (Rapport uniforme sur la criminalité) de l’État
  • La CSA fédérale
  • Une agence réglementée par le gouvernement fédéral
  • Une agence au sein d’un territoire américain disposant d’une connexion réseau étendu (WAN)
  • Un intermédiaire agréé par le FBI (un sous-traitant choisi par le FBI qui facilite la soumission électronique des empreintes digitales pour les vérifications d’antécédents non pénales au nom d’un destinataire autorisé)
  • Un destinataire autorisé d’informations sur les antécédents criminels
  • Un registre des délinquants sexuels
  • Un fournisseur d’identité pour le portail d’entreprise de l’application de la loi
  • Tout composant du FBI

Pour la conformité CJIS, le chiffrement est essentiel

Pour accéder aux bases de données du CJIS, les organisations doivent se conformer à une série de normes de sécurité, notamment la mise en œuvre de l’authentification multifacteur (MFA) pour vérifier les identités des utilisateurs, le maintien de contrôles d’accès stricts pour limiter qui peut consulter ou modifier des données sensibles, et l’application de mesures de sécurité physique pour protéger les systèmes et appareils qui manipulent des CJI.

Le chiffrement est toutefois essentiel à la conformité CJIS.

Qu’est-ce que le chiffrement ?

Le chiffrement est un moyen de masquer des informations afin que personne, à l’exception des destinataires prévus, ne puisse y accéder. Cela se fait avec des programmes informatiques qui utilisent des algorithmes mathématiques pour verrouiller et déverrouiller l’information.

Deux sections de la politique de sécurité du CJIS mentionnent explicitement le chiffrement :

  • Section 5.10.1.2.1 : lorsque les CJI sont transmises en dehors des limites de l’emplacement physiquement sécurisé, les données doivent être immédiatement protégées par chiffrement. Lorsqu’un chiffrement est employé, le module cryptographique utilisé doit être certifié FIPS 140-2 et utiliser une clé de chiffrement symétrique d’une puissance d’au moins 128 bits pour protéger les CJI.
  • Section 5.10.1.2.2 : lorsque les CJI sont au repos (c’est-à-dire stockées numériquement) en dehors des limites de l’emplacement physiquement sécurisé, les données doivent être protégées par chiffrement. Lorsqu’un chiffrement est employé, les agences doivent soit chiffrer les CJI conformément à la norme de la section 5.10.1.2.1 ci-dessus, soit utiliser un chiffrement symétrique certifié FIPS 197 (AES) d’une puissance d’au moins 256 bits.

Le chiffrement aide à garantir que les CJI sont protégées aussi bien au repos qu’en transit. Malheureusement, de nombreux services en ligne, tels que l’espace de stockage cloud et la messagerie électronique, n’utilisent pas le chiffrement de bout en bout par défaut, ce qui rend les données vulnérables lors de la transmission.

Nous avons créé Proton en 2014 pour répondre à ce besoin. Développé par des scientifiques qui se sont rencontrés au CERN (l’Organisation européenne pour la recherche nucléaire) en Suisse, Proton sécurise vos messages, fichiers, mots de passe et autres données sensibles grâce à un chiffrement de bout en bout robuste, tout en étant facile à utiliser par tout le monde. Aujourd’hui, plus de 100 millions d’utilisateurs, y compris des gouvernements, des unités militaires et des entreprises du Fortune 500, font confiance à Proton pour sécuriser leurs informations et se conformer aux normes de protection des données.

Protégez vos données avec Proton

Que vous envoyiez des informations via Proton Mail, que vous stockiez des fichiers dans Proton Drive ou que vous gériez des identifiants avec Proton Pass, Proton garde vos données sécurisées et protégées contre tout accès non autorisé.

Privé par défaut

Lorsque vous utilisez Proton Mail, les messages envoyés au sein de votre organisation sont chiffrés de bout en bout par défaut, ce qui signifie que les messages et les pièces jointes sont verrouillés sur votre appareil avant d’être transmis à nos serveurs et ne peuvent être déverrouillés et lus que par le destinataire. Pour les messages vers des comptes autres que Proton Mail, vous pouvez envoyer des messages protégés par mot de passe, et le chiffrement à accès zéro est en place pour sécuriser automatiquement les messages entrants.

Dans tous les cas, les messages sont toujours chiffrés sur nos serveurs. Cela signifie que même en cas de violation de serveur, les messages de votre entreprise restent sécurisés et illisibles pour quiconque sauf vous, protégeant ainsi vos informations confidentielles contre les cyberattaques.

Il est mathématiquement impossible pour Proton de déchiffrer vos messages, fichiers et de nombreux types de métadonnées. (Consultez ce qui est chiffré.) Et puisque Proton est basé en Suisse, le peu de données collectées à votre sujet est protégé par les lois suisses sur la protection de la vie privée et n’est pas soumis aux demandes des autorités étrangères.

Se défendre contre les pirates informatiques

Proton dispose également de plusieurs couches de défense contre d’éventuelles cyberattaques :

  • PhishGuard : le filtre PhishGuard de Proton est conçu pour identifier et signaler les tentatives de hameçonnage. Lorsqu’une attaque par hameçonnage est détectée, vous verrez un avertissement.
  • Authentification à deux facteurs (A2F) : Proton Mail offre une sécurité au-delà d’un simple mot de passe avec l’authentification à deux facteurs (A2F). Proton prend en charge plusieurs méthodes d’A2F, y compris les applications d’authentification et les clés de sécurité physiques, ce qui signifie que vous pouvez choisir l’option la plus pratique et la plus sécurisée. Avec un abonnement Proton for Business, les administrateurs peuvent également rendre l’A2F obligatoire pour leurs organisations afin de renforcer la sécurité parmi les employés.
  • Proton Sentinel : il s’agit du programme de protection avancée des comptes de Proton, disponible avec un abonnement Proton Mail Professional ou Proton Business Suite. Il est conçu pour offrir une sécurité maximale à ceux qui en ont besoin en combinant l’IA à l’analyse humaine. Cela est particulièrement utile si vous êtes un cadre ou une personne traitant des données et des communications sensibles. Proton Sentinel propose un support 24h/24 et 7j/7 pour faire remonter les tentatives de connexion suspectes à des analystes en sécurité.

Restez en conformité avec Proton

Notre objectif est de remodeler Internet pour permettre aux personnes et aux organisations de contrôler leurs données.

Passer à Proton Mail est simple grâce à notre fonctionnalité Easy Switch, qui vous permet de transférer de manière fluide tous les messages, contacts et calendriers de votre organisation depuis d’autres services, sans qu’aucune formation ne soit requise pour votre équipe.

Notre équipe de support est également disponible 24h/24 et 7j/7 pour vous fournir une aide en direct si vous avez besoin d’une assistance supplémentaire. Proton Mail, notre messagerie chiffrée de bout en bout, et Proton Drive, notre service de cloud chiffré de bout en bout, facilitent le respect des exigences en matière de protection des données et de respect de la vie privée.

Utiliser Proton for Business offre des avantages supplémentaires, notamment :

  • Proton Mail : protégez vos communications professionnelles avec une boite mail chiffrée de bout en bout, garantissant que seuls vous et vos destinataires prévus puissiez lire vos messages.
  • Proton VPN : sécurisez votre connexion Internet et protégez votre activité en ligne avec un accès VPN ultra-rapide.
  • Proton Calendar : gérez votre emploi du temps avec un calendrier chiffré qui préserve la confidentialité de vos événements professionnels.
  • Proton Pass : stockez et gérez vos mots de passe en toute sécurité avec notre gestionnaire de mots de passe chiffré.
  • Proton Drive : stockez et partagez vos fichiers professionnels en toute sécurité grâce au chiffrement de bout en bout, garantissant que vos données restent privées et protégées.
Obtenir Proton for Business

Lorsque vous déplacez votre entreprise vers l’écosystème Proton, vous vous protégez simultanément, ainsi que les données qui vous sont confiées, tout en restant en conformité et en aidant à construire un avenir où le respect de la vie privée est la règle par défaut.