Piratage : comment notifier et gérer efficacement une violation de données

De nombreuses entreprises ont pris conscience de l’importance de sécuriser leur système informatique et de la valeur des données à leur disposition, faisant ainsi de la cybersécurité une priorité. Toutefois, malgré les moyens qu’elles développent pour protéger leurs ressources, elles ne sont pas à l’abri des hackers qui utilisent des méthodes de plus en plus sophistiquées. C’est pourquoi elles redoutent parfois le RGPD, qui oblige de notifier les violations de données dans un délai de 72 heures aux autorités compétentes. Plus facile à dire qu’à faire. Les infrastructures informatiques étant devenues plus complexes, il est désormais plus difficile de suivre les flux de données et de garantir que les fichiers sensibles ne sont pas surexposés.

Dans ce contexte, dans un souci de conformité et pour une gestion “post-attaque” maîtrisée, chaque organisation devrait être en mesure de détecter rapidement une violation de données. Pour relever ce défi, la mise en place d’une surveillance de l’activité au sein de l’infrastructure IT est un moyen efficace qui permet d’identifier toute anomalie, et de la signaler rapidement aux personnes concernées en cas de problème réel, tout en collectant les éléments nécessaires pour analyser l’incident. Il est également important de pouvoir évaluer l’impact de la violation sur les individus, et donc d’identifier les données sensibles, qui y a accès, où elles se trouvent, et enfin, comment elles sont classées en fonction de leur niveau de risque. Cela permet de connaître avec précision les informations qui ont été compromises et les conséquences éventuelles pour les personnes affectées.

Dans un second temps, les clients victimes d’une fuite de données doivent être informés dès que possible, soit par email ou bien via une note sur le site internet officiel de l’entreprise, comme l’a fait U-Enseigne. Cette étape est primordiale pour rassurer les consommateurs. Dans cette notification, il est fondamental que l’organisation communique un maximum d’informations, et explique, dans la mesure du possible, l’étendue de la violation, y compris les types de données compromises, le nombre de personnes concernées et le statut de l’enquête. Les recommandations à destination des utilisateurs sur la manière de se protéger contre les conséquences de l’attaque sont également essentielles.

Par ailleurs, dans le cadre du RGPD, il est nécessaire de signaler la violation auprès d’une autorité de régulation compétente. Les organisations basées en France doivent ainsi reporter à la Commission Nationale de l'Informatique et des Libertés (CNIL), une démarche suivie par le distributeur Système U suite à son piratage. Celles situées dans d’autres pays Européens doivent quant à elles se référer à l’autorité locale compétente. Enfin, pour les entreprises en dehors de l’Europe, cette responsabilité incombe à leurs représentants européens, qui sont également tenus de reporter à leur autorité locale de protection des données.

Le respect de ces différentes étapes contribue à gérer efficacement une violation de données lorsqu’elle survient, à condition que tous les employés soient au courant des obligations en vertu du RGPD, et qu’ils coopèrent avec l’équipe IT pour s’y conformer. Il est également important que les organisations puissent avoir une visibilité complète sur les activités au sein de l’environnement IT afin de contrôler leurs données, et ainsi avoir une connaissance approfondie de l’endroit où elles se trouvent et qui y a accès. De cette manière, elles pourront réagir immédiatement si une menace est avérée, et donc limiter les conséquences qui peuvent être très graves, aussi bien d’un point de vue financier que pour l’image et la réputation de l’entreprise.