10.jpg

Exodata, le blog

Là où vont ceux qui veulent devenir plus performants

Répondre à une cyber-attaque en 6 étapes clefs (suite 2/2)

Posté par Bertrand Jaunet | 15 févr. 2019

4. Gérer les relations publiques

Ce sera une exigence clé de l'équipe d'intervention en cas d'incident, en particulier lorsque l'organisation impliquée est une organisation tournée vers le consommateur.

Toutes les atteintes à la sécurité ne seront pas rendues publiques, mais pour beaucoup, elles sont inévitables - par exemple, lorsque les données personnelles des clients ont été compromises et sont du domaine public, ou lorsque la législation applicable en matière de protection des données exige que les personnes concernées soient notifiées. Il est essentiel de pouvoir gérer les annonces au public en temps voulu et d’être précis, ouvert et honnête dans les messages transmis.

5. Répondre aux exigences légales et réglementaires

Une législation spécifique peut contenir des obligations de notification réglementaires applicables en cas d'infraction. Bien que la plupart des juridictions ne disposent pas (encore) de lois spécifiques et globales en matière de cybersécurité, il existe souvent une mosaïque de lois et de réglementations élaborées en réponse à des menaces en constante évolution.

Certaines de ces lois s'appliqueront universellement à tous les secteurs, tandis que des législations sectorielles continuent de se développer pour cibler les secteurs les plus exposés aux risques - par exemple, les services financiers, les infrastructures de services publics critiques et les télécommunications.

En France, les organisations doivent accorder une attention particulière à la législation sur la protection des données.

Le nouveau règlement proposé sur la protection des données en Europe impose aux organisations de tous les secteurs d’informer obligatoirement leurs autorités compétentes en matière de protection des données de toute atteinte à la sécurité, y compris des faits entourant la violation, de ses effets et des mesures correctives prises par l’organisation.

Certaines législations peuvent également exiger, en plus d'une notification réglementaire, la notification des personnes dont les données ont été compromises à la suite de la violation de la cybersécurité.

Décider qui notifier n'est pas facile - il peut ne pas être possible d'identifier les données qui ont été affectées, par opposition à celles qui auraient pu être affectées. Si une organisation compte plusieurs millions de clients, la perspective de les notifier tous ne doit pas être prise à la légère.

6. Engager sa responsabilité

Malheureusement, quelle que soit la préparation d'une organisation, celle-ci est néanmoins susceptible d'engager une forme de responsabilité en cas d'infraction à la cybersécurité. Une organisation peut engager cette responsabilité de différentes manières.

Une cyber-attaque pourrait entraîner une responsabilité directe non juridique. Cette responsabilité pourrait résulter, par exemple, de tentatives de chantage, de vols, de ransomwares et de paiements à titre gracieux qu'une organisation peut choisir d'effectuer dans une perspective de relations publiques et de relation client. Cette dernière catégorie peut représenter un coût important pour les entreprises, mais peut réellement contribuer à limiter les dommages causés à la relation client. Par exemple, une organisation pour laquelle les informations de carte de crédit du client ont été compromises peut choisir de proposer un filtrage du crédit gratuit aux clients concernés pendant un certain temps.

Il y aura très souvent une responsabilité réglementaire résultant de violations de la cybersécurité. Du point de vue de la protection des données, la législation européenne en vigueur impose aux organisations de mettre en place des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel. 

S'il s'avère qu'une organisation a échoué dans la mise en œuvre de cette exigence réglementaire, elle pourrait être passible d'une pénalité. 

Dans le secteur des services financiers, le régulateur a toujours infligé des amendes plus lourdes pour les atteintes à la sécurité que le commissaire à l'information. Par exemple, en août 2010, la FSA a infligé une amende de 2,275 millions de livres à Zurich Insurance Plc pour la perte de 46 000 enregistrements de clients sur une bande de sauvegarde non cryptée, qui était en cours de traitement pour une filiale sud-africaine.

Bien que cet article se concentre sur ce qu’il faut faire en cas de violation, il est également important de garder à l’esprit que les organisations peuvent prendre un certain nombre de mesures proactives pour réduire le risque de cyber-attaque avant ça arrive.

En particulier, les organisations doivent procéder à une évaluation complète de leurs processus et procédures existants, en identifiant les éléments à protéger et en évaluant les risques spécifiques et les impacts potentiels sur l'entreprise.

Par la suite, un plan d'intervention doit être mis en place, comprenant la désignation d'une équipe d'intervention appropriée et apportant les modifications nécessaires aux politiques et procédures afin de traiter les problèmes immédiatement apparents.

De plus, étant donné que de nombreuses violations de la sécurité des données surviennent à la suite d'une action ou d'une inaction des employés, la formation et la sensibilisation des utilisateurs sont essentielles.

Topics: sécurité, ISO27001, cybersécurité

Posté par Bertrand Jaunet

Convaincu que la sécurité est une étape incontournable dans l’amélioration de la performance et de la compétitivité des entreprises, Bertrand en a fait un de ses domaines d’expertise. Ses compétences et son expérience acquise chez APPLE ou encore Dell/EMC, lui permettent aujourd’hui de partager sa vision et d’accompagner nos clients sur les enjeux de demain.

Laissez-nous un commentaire