A compter du 1er Janvier 2009, les sociétés ou résidents de l'état du Massachusetts des Etats-Unis devront crypter toutes les données personnes stockées sur des supports "mobiles" (latpop, clefs USB, PDA?, téléphones). Il devra en outre être fait de même lorsque ces données transiteront sur un réseau sans fil comme Wifi ou via Internet.
La question que je me pose c'est que les moyens techniques devant être mis en oeuvre ne sont pas précisés (une archive "ZIP" avec un password suffiront-ils pour être "conforme" ?).
En complément de cette mesure, il est demandé à ce que les entreprises intègrent un nombre assez conséquence de mesures de sécurité en interne, comme par exemple celle relatives aux bonnes pratiques de gestion comme les procédures, l'authentification des utilisateurs, etc... La démarche du Massachusetts s'inscrit dans la continuité de celle de l'état du Nevada depuis le 1er Octobre 2008.
En faisant abstraction des détails techniques, cette démarche va dans le bon sens : Il suffit de se rappeler le nombre de pertes de données personnelles identifiées en Angleterre.
Sources:
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens