Accueil / IT Business / Parole d'entreprise / Quelle est la démarche à suivre en cas de violation de données ?

Quelle est la démarche à suivre en cas de violation de données ?

A l’instar de  Maze, Sodinokibi et autres ransomwares, la dernière tendance criminelle en matière de cybercriminalité consiste à extorquer les victimes non seulement en leur refusant l’accès à leurs propres données d’entreprise, mais aussi en les menaçant de partager publiquement ces données. Si une fuite de données peut être utile aux concurrents, elle peut également porter atteinte à l’entreprise, censée appliquer le règlement général sur la protection des données (RGPD), et aux personnes concernées. Alors, que doit faire une entreprise en cas de violation de données ? A qui doit- elle s’adresser pour la notifier, dans quels délais et dans quelles circonstances ? 

Quelles sont les lois relatives à la notification des violations de données ?
obligations de notification d’incidents de sécurité ou de vol de données imposentaux entreprises d’informer les clients et personnes concernées et deréagir de manière appropriée à cet incident.En 2018, le RGPD, législation qui concerne toutes les entreprises réalisant des traitements de données à caractère personnel des citoyens européens, quelle que soit leur localisation, est entrée en vigueur en Europe. Aux États-Unis, une loi similaire, la California Consumer Privacy Act (CCPA), a fait son apparition le 1er janvier 2020. De telles lois existent depuis près de deux décennies, sous une forme ou une autre, mais le nombre croissant d’infractions et d’informations personnelles identifiables (PII pour Personally Identifiable Information) stockées par les entreprises, ont conduit à une évolution plus rapide de leur adoption. 

Une attaque par ransomware est-elle considérée comme un incident de violation de données ?
Depuis le 1er semestre, la propagation des ransomwares ne cesse d’évoluer. Après avoir causé des dommages estimés à plus de 7,5 milliards de dollars en 2019, les opérateurs de ransomware ont continué à cibler les entreprises pendant la pandémie et ont même profité de ce contexte particulier pour intensifier leur activité. Des PME aux plus grands groupes, les hackers ciblent tout le monde…Le dernier rapport d’enquête sur les atteintes à la protection des données montre que les demandes de rançon sont « la 3è cause d’atteinte à la protection des données » et « la 2èforme d’incident ».

Leur dernière tactique ? En plus de crypter les données au sein de l’entreprise, les ransomwares exportent des fichiers vers des ressources distantes contrôlées par le hacker. À ce stade, ils peuvent non seulement exiger de l’argent pour décrypter les données sur les terminaux compromis, mais également extorquer la victime qui paiera pour que ses données ne soient pas divulguées.

Une victime doit-elle signaler une violation de données ?
Notifier ou ne pas notifier ? Jusqu’à présent,quand les victimes parvenaient à récupérer des données cryptées sans avoir à se plier aux exigences des hackers et que ces dernières n’avaient pas été exposées à des personnes extérieures, aucune notification de violation n’était nécessaire mais la situation a changé…Désormais, les entreprises ont l’obligation de notifier le vol des données aux autorités de contrôle, à leurs clients voir aux deux.

Quand ?
Le « déclencheur » d’une notification varie d’un pays à l’autre en fonction du type de données personnelles volées, mais il s’agit généralement de violations de noms et/ou d’identifiants uniques tel qu’un numéro de sécurité sociale (SSN), de carte de crédit et parfois d’informations médicales. Depuis l’entrée en vigueur du RGPD, de nombreuses entreprises, qui passent du temps à comprendre la nature de l’incident, ont eu du mal à respecter le délai de notification imposé de 72 heures.

Il est également essentiel qu’elles se tiennent au courant des derniers changements pour s’adapter au contexte actuel. Etant donné qu’il n’existe pas de loi unique dans ce domaine, chaque organisation doit identifier la loi applicable à l’endroit où elle exerce ses activités et mettre en œuvre les mesures appropriées. 

À quelle législation se fier?
Si une entreprise a des clients dans plusieurs pays, elle devra se conformer à la législation locale afin d’éviter des amendes ou autres sanctions légales.

Par exemple, toutes les entreprises exploitant les informations des citoyens de l’UEsont concernées par leRGPD. Entre mai 2018 et mars 2019, plus de 59 000 violations de données personnelles ont été notifiées aux autorités de régulation, les Pays-Bas, l’Allemagne et le Royaume-Uni étant en tête de liste. Certaines entreprises ont été lourdement sanctionnées ; à l’exemple de British Airways a été condamnéeà une amende record de 204 millions d’euros pour avoir laissé filtrer les données financières d’environ 500 000 clients. De même Marriott International a dû payer une amende de plus de 104 millions d’euros pour avoir exposé les données de 339 millions de clients, dont 31 millions de résidents de l’UE.

Les entreprises qui exportent ou disposent de filiales dans le monde sont aujourd’hui impactées par les différentes réglementations qui se mettent en place progressivement dans d’autres états. Israël, la Chine, Hong-Kong, Singapour se sont récemment dotés de leur propre réglementation.

Dans quelles circonstances ?
Mais le véritable problème n’est pas de savoir quand ou même à qui signaler une violation. Lorsque l’ensemble d’une base de données (et parfois des serveurs et terminaux) a été crypté lors d’une attaque, empêchant d’y accéder, il est parfois difficile de savoir quelles données ont pu être exposées et si elle sont été simplement cryptées ou exfiltrées.

Dans ce cas, une entreprise doit-elle considérer que ses données ont été compromises et en informer toutes les victimes potentielles ou doit-elle supposer qu’aucune PII n’a été volée et n’en informer personne ?

C’est une ligne de conduite risquée, car ces données sensibles pourraient être divulguées, ce qui rendrait l’entreprise passible d’amendes et de poursuites judiciaires. À ce jour, des centaines d’entreprises ont été condamnées à des amendes dans le cadre du RGPD et ce n’est que le début…

La situation la plus délicate, c’est lorsqu’un ransomware apparaît et que l’entreprise manque de temps pour évaluer convenablement la situation car si le délai de notification n’est pas respecté, l’entreprise court de grands risques.

Alors, comment traiter les violations de données ?
Les obligations légales imposées aux entreprises sont complexes et variées. Avant qu’une violation de données ne se produise, il est conseillé de demander à son équipe juridique d’évaluer dans quelles circonstances et dans quels délais il est préférable de notifier une faille. Il faut également veiller à ce que cette évaluation soit effectuée régulièrement en cas de changements de législation et s’assurer de disposer d’un plan de reprise après sinistre ; de nombreuses entreprises, petites ou grandes, ont été contraintes de fermer leurs portes après une cyberattaque de grande ampleur. Dans certains cas, ces fermetures forcées ont été la conséquence des coûts importants liés à la violation et aux pertes de données irrécupérables.

La dernière recommandation consiste à s’assurer que son entreprise est protégée contre les ransomwares, les malwares et les intrusions grâce à une plate-forme de sécurité éprouvée. De nombreuses victimes d’attaques récentes de ransomware qui se croyaient protégées, ont découvert que leurs anti-virus traditionnels n’étaient plus suffisamment adaptés aux cyber-menaces actuelles.

Outre les nombreux dommages qu’ils peuvent entrainer, les ransomwares obligent désormais les entreprises à collaborer avec les autorités et gérer les clients mécontents qui exigent d’être informés de ce qui est arrivé à leurs données. Comme toujours, les mots d’ordre sont prévention et solution de sécurité fiable pour les terminaux.

par Ian Jones, Senior Sales Engineer de SentinelOne.

A voir

Réussir sa dématérialisation comptable

Les factures et autres documents liés à la gestion comptable n’échappent pas à la grande tendance de la dématérialisation.