D’une manière générale, une atteinte à la sécurité est une violation de toute politique ou loi conçue pour sécuriser quelque chose. Lorsque des personnes ou des véhicules contournent les points de contrôle ou pénètrent dans des bâtiments sécurisés sans présenter les informations d’identification appropriées, les failles de sécurité sont généralement évidentes. Les failles de sécurité impliquant des données ou des informations sont moins évidentes. Dans un contexte de données, une faille de sécurité est toute activité qui compromet le caractère confidentiel de certaines informations.
La plupart du temps, ce qui est ou n’est pas une atteinte à la sécurité est défini par la loi. Les lois de nombreux pays définissent des mesures de sécurité pour un certain nombre de choses, des passages frontaliers au partage de données et aux transactions de commerce électronique. Une violation est généralement définie comme toute action, intentionnelle ou non, qui affaiblit un certain intérêt de sécurité défini.
Les failles de sécurité les plus connues causent généralement des dommages notables. Une violation de la sécurité aéroportuaire qui permet à un passager de monter à bord d’un avion avec une arme, ou une perte de données qui conduit à une usurpation d’identité en sont des exemples clairs. Cependant, dans la plupart des lois sur les atteintes à la sécurité, le préjudice n’est pas toujours une exigence. La menace ou la probabilité de préjudice est généralement suffisante.
Les lois sur les atteintes à la sécurité dans la plupart des pays fonctionnent sur une base de probabilité de préjudice à la fois pour créer des incitations à des pratiques de sécurité solides et pour punir les mauvaises actions sans attendre de voir si quelqu’un ou quelque chose est blessé en premier. Bien que les sanctions pour les infractions puissent être strictes en vertu de la loi, l’objectif primordial est généralement la sécurité. En particulier lorsqu’il s’agit de violations de données et de violations de la sécurité des informations, même une probabilité de préjudice est souvent suffisante pour déclencher des actions de protection majeures.
Alors que de plus en plus d’informations sensibles sont stockées en ligne, les risques de violation de la sécurité Internet et de la sécurité informatique deviennent de plus en plus réels, et avec eux le risque d’usurpation d’identité, de pertes financières graves ou d’autres préjudices. La majorité des lois sur la sécurité des données exigent que toute entité qui collecte ou stocke régulièrement des informations sensibles prenne certaines précautions lorsqu’il s’agit de sécuriser ces informations. La plupart du temps, les données doivent être protégées par une série de mots de passe et de clés électroniques. Les données mobiles, en particulier les données stockées sur les ordinateurs portables des employés ou d’autres matériels portables, doivent généralement être protégées contre une divulgation accidentelle ou une violation de données en cas de perte ou de vol.
Les lois sont souvent plus spécialisées par industrie. De nombreux pays ont des lois sur la sécurité des données de santé différentes des lois régissant les informations financières et la possibilité de violation de la sécurité des cartes de crédit, par exemple. Chaque pays, et parfois au sein de chaque pays, chaque état ou province, a des lois et des politiques de sécurité obligatoires différentes. La plupart ont également des lois relatives à la façon dont les personnes concernées doivent être notifiées au cas où leurs informations feraient partie d’une violation de la sécurité. Les patients dont les dossiers ont été publiés par inadvertance sur Internet, les étudiants dont les dossiers académiques ont été piratés dans une base de données universitaire et les autres dont les informations ont été compromises de quelque manière que ce soit ont généralement droit à au moins une notification, voire une rémunération et une restitution.
Les différences entre les exigences des lois peuvent rendre difficile pour les entreprises opérant dans plusieurs juridictions de s’assurer que leurs pratiques de sécurité sont universellement conformes. À mesure que les lois changent et évoluent avec la technologie, les procédures de sécurité individuelles doivent également évoluer. La plupart du temps, les entreprises emploient des agents de conformité, des avocats et des analystes de la sécurité des données pour superviser tous les échanges de données et autres informations et pour s’assurer que toutes les lois de sécurité pertinentes sont respectées.