Qu'est-ce que la conformité réglementaire et comment affecte-t-elle la sécurité de WordPress ?
Publié: 2019-07-24Pour faire des affaires, votre site Web WordPress et votre entreprise doivent respecter les règles et réglementations. Ces règles et réglementations peuvent prendre la forme de lois (telles que GDPR ou HIPAA). Il peut également s'agir d'exigences de conformité, telles que PCI DSS ou ISO 27001, et peuvent varier d'un pays à l'autre.
Qu'est-ce que la conformité ?
La conformité réglementaire, ou simplement, la conformité décrit l'état d'une entreprise en conformité avec les règles et les directives établies spécifiées par un organisme de réglementation.
La conformité est un élément essentiel dans toute organisation qui valorise la transparence, la sécurité et la responsabilité. Les entreprises peuvent tirer parti de la conformité pour mener leurs activités en phase avec les exigences, les lois et les réglementations avec les bonnes attitudes. Et bien sûr, améliorer la sécurité de leurs opérations commerciales et de leur site Web WordPress.
Chaque entreprise est différente. Par conséquent, il n'y a pas de modèle à l'emporte-pièce à suivre en matière de conformité. Cela dépend également de l'endroit où votre entreprise opère dans le monde, avec qui vous faites affaire et des données que votre site WordPress collecte auprès des utilisateurs finaux.
Bien qu'il soit impossible d'énumérer toutes les réglementations de conformité, voici quelques-unes des plus courantes à connaître en tant que propriétaire de site Web WordPress :
- Le règlement général sur la protection des données (RGPD) est une législation de l'Union européenne (UE) sur la protection des données et la confidentialité. Il contribue à faire respecter la protection du traitement des données à caractère personnel par les citoyens de l'UE.
- La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est une norme de sécurité des informations pour les organisations qui traitent les données des cartes de crédit, telles que les magasins de commerce électronique. La portée de la norme PCI DSS est d'augmenter les contrôles autour du traitement et de la gestion des données des titulaires de carte, afin de réduire la fraude par carte de crédit. Si vous avez une solution de commerce électronique ou vendez quoi que ce soit en ligne, lisez notre guide PCI DSS pour les propriétaires de sites Web WordPress.
- ISO 27001 est une spécification décrivant un cadre de politiques et de procédures qui comprend des contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques d'une organisation.
- La loi HIPAA (Health Insurance Portability & Accountability Act) est une loi des États-Unis. Il traite de la confidentialité des données et de la sécurité des dossiers médicaux des patients.
Pourquoi la conformité réglementaire existe-t-elle ?
Différentes exigences de conformité réglementaire existent pour différentes raisons. En général, les exigences de conformité existent pour aider les entreprises à atteindre un certain niveau de sécurité. Selon l'exigence de conformité ou la réglementation, certaines peuvent exiger qu'une organisation soit soumise à des audits réguliers. En règle générale, les entreprises sont passibles de sanctions en cas de non-conformité sous forme d'amendes ou de perte d'accréditation.
La conformité joue un rôle énorme en matière de sécurité. De nombreuses exigences de conformité décrivent (à des degrés divers de détail) les contrôles et processus de sécurité qui doivent être en place afin de répondre aux critères spécifiques dudit règlement de conformité.
Naturellement, la réglementation intervient généralement pour mettre de l'ordre dans le chaos. Un exemple de ceci est PCI DSS. Il est entré en jeu parce que les processeurs de cartes de crédit en ligne ne prenaient pas les précautions de sécurité nécessaires pour assurer la sécurité des données des titulaires de carte. Plus récemment, le RGPD est entré en jeu pour réformer et harmoniser les lois européennes sur la confidentialité des données et améliorer la vie privée des citoyens de l'UE. Le RGPD permet aux législateurs d'imposer des sanctions sévères aux organisations qui ne se conforment pas aux lois sur la confidentialité des données au sein de l'UE.
Pourquoi la réglementation et la conformité sont-elles une bonne chose ?
La conformité et la réglementation sont associées à des lois, des contraintes, des audits et des sanctions. Ils ont donc souvent mauvaise réputation. Cependant, il est nécessaire d'aider les organisations à comprendre l'importance d'observer les lois et de fonctionner de manière éthique.
Cependant, la conformité est aussi un mal nécessaire. Cela augmente la complexité de l'entreprise, les dépenses et prend beaucoup de temps autrement consacré à la croissance de l'entreprise.
Cela dit, les avantages à faire un effort conscient pour se conformer aux règles l'emportent largement sur les inconvénients. Les organisations ont la possibilité de renforcer la transparence ; établir la confiance des clients et se développer sur de nouveaux marchés réglementés pour attirer des clients plus importants.
La conformité est-elle suffisante pour garantir la sécurité ?
Malheureusement, la conformité est souvent confondue avec la sécurité. Une organisation peut être conforme, mais pas correctement sécurisée. D'un autre côté, il est rare de trouver des organisations sécurisées mais non conformes.
La conformité est une évaluation ponctuelle et unique qui indique qu'une organisation satisfait à une exigence de sécurité minimale. Les normes réglementaires telles que PCI DSS et HIPAA, par exemple, ont une liste de contrôle de ces exigences de sécurité.
Les défenses de sécurité, d'autre part, fournissent des mesures techniques pour se protéger contre les mauvaises choses, comme la fuite d'informations sensibles sur les clients. En d'autres termes, bien qu'une politique d'entreprise puisse suffire pour un contrôle de conformité, cela ne signifie pas que ce n'est pas techniquement possible. Un exemple simple serait la NSA. Bien qu'il interdise certainement la copie et la distribution de documents classifiés, rien n'a réellement empêché Edward Snowden de le faire.
Par où commencer avec la conformité WordPress ?
La conformité peut être intimidante et semble être une tâche impossible à réaliser. Cependant, ce n'est pas le cas. Heureusement, de nombreuses documentations et aides sont disponibles pour les propriétaires de sites Web WordPress, comme notre guide PCI DSS pour les propriétaires de sites WordPress. Vous pouvez commencer par suivre la liste des pointeurs que nous vous avons préparé :
- Déterminez à quelles exigences de conformité vous êtes soumis - les lois et réglementations varient considérablement d'un pays à l'autre. Selon la taille, le type et la complexité de votre entreprise en ligne et de votre boutique de commerce électronique, vous voudrez peut-être vérifier auprès des autorités locales. Vous pouvez également demander de l'aide professionnelle dans ce domaine si nécessaire.
- Améliorez votre sécurité - les bonnes pratiques de sécurité sont non seulement essentielles et requises par la réglementation, mais elles vous facilitent également considérablement la vie. Par exemple, vous pouvez commencer par procéder comme suit :
- conserver une trace des modifications du site dans un journal d'activité WordPress,
- appliquer des politiques de mots de passe WordPress fortes,
- analysez votre site WordPress pour les modifications de fichiers,
- mettre en place une solution de sauvegarde solide comme le roc,
- utilisez un pare-feu en ligne comme Sucuri ou installez une solution de sécurité WordPress locale.
- Adoptez la sécurité et la conformité - cela peut sembler une pilule amère à avaler au début. Cependant, plus tôt vous adopterez la sécurité et la conformité en tant que fonction commerciale essentielle, moins cela entraînera de frictions à long terme et moins vous aurez de problèmes de sécurité WordPress.