Quel plan d'intervention en cas d'atteinte à la protection des données ? 4 éléments clés indispensables.

En cybersécurité organisationnelle, l'un de principaux objectifs est de mettre en place un système qui aidera à identifier le plus rapidement possible les incidents d'atteinte à la protection des données, que ces données se trouvent dans votre organisation ou chez un de vos fournisseurs. Bien sûr, il ne suffit pas d'être au courant d'un incident d'atteinte à la protection des données, il faut agir immédiatement, sinon le risque est d'avoir des répercussions importantes sur les données. 

Mettre en place un plan d'intervention en cas d'atteinte à la protection des données : Une telle politique décrit toutes les mesures que vous devez prendre et appliquer immédiatement si vous soupçonnez que vos données ont été compromises et chaque entreprise devrait en avoir une.

Savez-vous si vos politiques et contrôles actuels réduisent votre cyber-risque ? Voici comment améliorer votre position en matière de cybersécurité.

1. Le type de données qui constitue une violation de données.

La première chose que vous devez savoir, c'est comment votre entreprise définit un incident ou une violation de l’intégrité des données. Il peut s’agire entre autre d'informations personnellement identifiables (IPI), de données sur les soins de santé, des informations de cartes bancaires. Cela dépend entièrement de votre organisation, mais peut inclure les éléments suivants :

Incidents ou violations impliquant des informations protégées par la loi. Si vous conservez beaucoup d'informations sur vos clients (numéros de sécurité sociale, numéros de carte de crédit, informations de santé ou autres IPI), de nombreuses lois nationales et internationales exigent que vous informiez les victimes lorsque leurs informations ont été compromises.


Incidents ou infractions qui représentent une perte importante pour l'entreprise.
Cette catégorie de données ne nécessite pas nécessairement une notification publique, mais elle est tout aussi importante à surveiller. Les pertes matérielles sont différentes d'une entreprise à l'autre, mais peuvent apparaître comme une perturbation opérationnelle, une attaque par déni de service distribué (DDoS), un compromis d'informations sensibles ou confidentielles, ou un compromis de secrets commerciaux ou de propriété intellectuelle. N'oubliez pas que cette perte matérielle peut se produire sur le réseau d'un fournisseur. Par exemple, la perturbation d'un tiers fournisseur de services pourrait avoir une incidence sur votre productivité, votre chaîne d'approvisionnement et empêcher la livraison de vos marchandises.

2. Les parties responsables lors d'une atteinte à la protection des données.


Un certain nombre de responsabilités doivent être assumées une fois qu'un incident lié aux données est reconnu - et votre plan d'intervention en cas d'atteinte à la protection des données devrait préciser qui assume ces rôles. Il s'agit d'un élément essentiel à détailler, car il influe sur la façon dont vous pouvez gérer le processus d'escalade (voir le point 3). Votre équipe chargée des atteintes à la protection des données comprend habituellement au moins une personne dans chacun des domaines suivants :

Sécurité IT : Cette équipe a peut-être aidé à détecter l'atteinte à la protection des données et interviendra probablement pour aider votre équipe d'enquête médico-légale.
Juridique : Le service juridique devra probablement intervenir, surtout si des renseignements protégés ont été impliqués dans l'atteinte à la protection des données.
Communications : L'équipe de communication peut intervenir dans tous les domaines, des communiqués de presse à la gestion de crise.
RH : Si les renseignements de votre employé sont en cause dans une atteinte à la protection des données, les RH devront intervenir.
Cadres supérieurs : Lorsque l'atteinte à la protection des données est d'une certaine ampleur, les principaux décideurs de l'entreprise peuvent avoir besoin d'être impliqués.

3. L’organisation interne de remontée d’information.

Lorsqu'un incident de données se produit sur votre réseau, vous avez besoin d'un processus solide pour faire remonter l'incident dans votre organisation. Par exemple, si un employé - disons, quelqu'un qui travaille dans le service des IT - voit quelque chose qui semble inhabituel ou louche, il devrait utiliser le modèle de plan d'intervention en cas d'incident de données pour savoir à qui il devrait faire part de ses préoccupations. L'employé IT peut alerter le RSSI ou le CERT, qui peut à son tour alerté le Management du SI ou de l’entreprise, qui décide ensuite si l'événement doit être transmis à différents services (p. ex., juridique, RH, etc.). Un processus de remonter simple doit également être mise en place pour les employés non IT.

4. Le plan de remontée d’informations externe.

Outre la remontée d'un incident de données à l'intérieur de votre organisation, vous devez également inclure le processus de remontée externe dans votre plan d'intervention en cas d'atteinte à la protection des données. Inclure les détails suivants : 

 

  • Quand faut-il faire appel à l'aide de l'extérieur ? Votre plan devrait préciser à quel moment précis vous devriez faire appel à une équipe d’investigation externe (ou du moins envisager de le faire). 
  • Quel genre d'aide solliciter à l'extérieur. Par exemple, vous voudrez peut-être déterminer à quel moment une équipe forensic externe est nécessaire pour régler un problème de sécurité IT. Ils peuvent vous aider à déterminer ce qui est arrivé aux données qui ont été compromises. Ou vous devrez peut-être faire appel à un " Expert en violation de données " - le plus souvent un avocat ou un consultant qui peut couvrir une discussion sur la violation sous le secret professionnel de l'avocat. Cette personne peut coordonner les réponses de la police scientifique, décider si vous devez ou non aviser les clients des compagnies d'assurance, déterminer les obligations légales, et plus encore.
     

CHOSE IMPORTANTE

Il est très important de vous entraîner régulièrement à mettre en œuvre votre plan d'intervention en cas d'atteinte à la protection des données. Vous ne voulez pas que votre premier essai soit une vraie crise ! La tenue d'exercices sur table pour discuter de scénarios d'urgence simulés est un excellent moyen de mettre à jour les personnes concernées sur leurs tâches et obligations, les mesures qu'elles devraient prendre individuellement et en équipe, leur rôle dans le processus de remontée, le moment où elles doivent aviser certaines organisations ou personnes à l'extérieur de la société, et plus.


Fawaz MOUSSOUGAN
IT Security
Certified Ethical Hacker
Consultant en Cybersécurité