Recherche La Souveraine
Search Icon

Cinq étapes pour gérer une atteinte aux données

4 minutes de lecture

Cinq étapes pour gérer une atteinte aux données

Par : Souveraine Assurance

Partager:mail icon

Quand survient une atteinte aux données, les entreprises ont beaucoup à perdre. Selon le rapport international d’IBM sur le coût d’une atteinte aux données (Cost of a Data Breach), les entreprises ont dépensé en moyenne 3,86 M$ É.-U. par incident d’atteinte aux données en 2020. Ces coûts englobent le temps et le travail nécessaires pour gérer l’atteinte, les pertes de revenus liés à l’interruption des systèmes, les atteintes à la réputation, les amendes réglementaires et les frais juridiques 1.

Bien que de nombreuses entreprises déploient de nombreux efforts pour veiller à la sécurité de leurs données, les cybercriminels sont reconnus comme ayant une longueur d’avance. Cela signifie qu’il faut absolument se préparer en vue du moment où surviendra une atteinte aux données, et non simplement en vue de l’éventualité d’une telle atteinte. Pour gérer les atteintes aux données, les entreprises prêtes à affronter la cybercriminalité doivent constituer une équipe d’intervention spécialisée et mettre en œuvre leur propre plan d’attaque. Voici cinq étapes à prévoir dans le plan : 

Déterminer comment l’atteinte s’est produite et la nature de la fuite  

Vous devez d’abord déterminer comment l’attaque s’est produite et quelles données ont été atteintes. Cela peut se faire par une analyse des causes profondes et un examen criminalistique 2. Les mots de passe volés ou faibles, les vulnérabilités des applications, les maliciels, les erreurs d’employés et les actes malveillants commis par des personnes de l’interne comptent parmi les causes fréquentes d’atteinte aux données. En repérant la cause profonde de l’atteinte et en enquêtant sur la nature de la fuite, vous serez en mesure de réaliser les étapes suivantes plus efficacement 3,4 .

Limiter la portée de l’atteinte

Prenez des mesures pour limiter la portée de l’atteinte le plus tôt possible pour minimiser les risques et les dommages ultérieurs. Une façon efficace de procéder est la suivante : changer immédiatement les mots de passe; limiter l’accès aux personnes soupçonnées d’être à l’origine de l’atteinte; récupérer les dossiers et corriger les faiblesses dans le système de sécurité physique ou électronique  5,6.

Aviser les personnes touchées

Avisez vos clients, partenaires d’affaires, fournisseurs ou autres parties dont les données ont été compromises par l’atteinte. Indiquez-leur la date de l’atteinte, des détails sur la nature des données compromises et, le cas échéant, les mesures que doit prendre votre correspondant 7.

Vous devez, bien sûr, aviser les personnes touchées de toute atteinte à la sécurité des mesures de protection liées à leurs renseignements personnels, mais de plus, si l’atteinte est jugée constituer un « préjudice grave », votre organisation doit aussi déclarer l’atteinte au Commissariat à la protection de la vie privée du Canada 8.

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), un « préjudice grave » vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles . Les personnes touchées et le commissaire  la protection de la vie privée doivent être avisés le plus tôt possible à la suite de la constatation d’une atteinte par l’organisation.

Que vous avisiez des fournisseurs, des clients ou les médias (le cas échéant), faites preuve d’ouverture et de sincérité. Décrivez les solutions qui s’offrent aux utilisateurs touchés et expliquez quelles mesures vous mettrez en œuvre pour éviter la répétition de tels problèmes 8,10 . N’oubliez pas que vous devrez peut-être aussi déclarer l’atteinte aux autorités, selon les circonstances particulières de l’atteinte . 

Procéder à un audit de sécurité

La gestion d’une atteinte aux données ne s’arrête pas avec la correction de la situation. Une prochaine étape avisée consiste à procéder à un audit de la sécurité des données, qui vous permettra de repérer les menaces et les vulnérabilités dans l’infrastructure TI et les systèmes de sécurité de votre entreprise. Un audit comporte normalement les étapes suivantes : établissement de la portée de l’audit, création d’une liste maîtresse de tous les actifs nécessitant une protection, définition des menaces qui pèsent sur vos données, évaluation des risques liés à chaque menace et création d’une liste de mesures de sécurité que vous devez mettre en œuvre9,12 .

Se préparer en vue d’attaques futures   

Si votre entreprise est attaquée une fois, le problème risque fort de se répéter, puisque les cybercriminels sont portés à se réessayer lorsqu’ils ont déjà réussi 13 . Les vulnérabilités révélées par votre audit de sécurité vous aideront à mettre en place les mesures et les systèmes de sécurité des données appropriés, qu’il s’agisse d’améliorer les copies de sauvegarde de données, d’offrir de la formation sur l’importance d’être conscient des enjeux de cybersécurité ou d’acquérir des technologies de sécurité plus appropriées 14.

En solidifiant vos mesures de sécurité des données, faites de votre protection d’assurance un volet essentiel de votre plan. Certains assureurs offrent même des services de préparation aux atteintes et de gestion de crise. Communiquez avec votre courtier et assurez-vous d’être bien couvert en cas d’atteinte aux données ou de toute autre forme de cyberattaque. 

 1 “Cost of a Data Breach Report 2020,” IBM Security and Ponemon Institute, juillet 2020
2,3 “Data breach experts share the most important next step you should take after a data breach in 2019 & beyond,” Digital Guardian, 11 août 2020
4 “Digging in: Why root cause analysis is crucial in IR,” Avertium,” 17 juillet 2020
5Data breaches: Why and how to handle the attack, TechAeris, 15 décembre 2020.
6Prévenir une atteinte à la vie privée et réagir en cas d’atteinte, Commissariat à la protection de la vie privée du Canada, septembre 2018. 
7Top 5 ways to handle a data breach, SecurityTrails, 27 novembre 2018.
8,9Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité, Commissariat à la protection de la vie privée du Canada, 29 octobre 2018. Consulté le 5 février 2021
10Data breach experts share the most important next step you should take after a data breach in 2019 & beyond, Digital Guardian, 11 août 2020.
11,12Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité, Commissariat à la protection de la vie privée du Canada, 29 octobre 2018. Consulté le 5 février 2021
134 easy steps how to conduct IT security audit of your own company, SmartDataCollective, 22 mai 2017.
14Avoid security breaches: How to protect your data, Computer World, 1er avril 2020. 

PRÉCÉDENT

Restez en contact avec nous

  • Facebook
  • Twitter
  • LinkedIn

Gardons le contact

Abonnez-vous pour recevoir des nouvelles, des opinions et des conseils sur la protection de votre entreprise.

S’ABONNER