Violation de données : Qui porte la canette ?
Publié le: 15 Nov 2022
Dernière modification le: 24 Juil 2025
Les statistiques sur les violations de données donnent à réfléchir : si vous lisez régulièrement ce blog, vous aurez remarqué que les violations de données sont courantes et qu’elles commencent souvent par une attaque d’ingénierie sociale complétée par un hameçonnage (phishing).
En 2021, Selon Cisco, 90 % des violations de données commencent par un hameçonnage, la plupart de ces violations reposant sur un hameçonnage ciblé. Une cyberattaque ou même un accident qui entraîne une perte de données a de nombreuses conséquences. Mais que se passe-t-il après une violation de données ? Quelqu’un doit généralement assumer la responsabilité d’avoir laissé la porte ouverte aux cybercriminels, alors qui porte la responsabilité de la violation de données ?
Les personnes impliquées dans une violation de données
Une violation de données a un impact considérable sur le personnel d’une organisation. Une cyberattaque touche le cœur même d’une entreprise, du plus haut gradé à l’employé de l’atelier :
Le PDG
Le PDG joue un rôle essentiel dans la manière dont la cybersécurité est perçue au sein de l’organisation. Une culture de la sécurité vient du haut vers le bas, et une violation de données reflète une faille dans cette culture. Les PDG sont également dans la ligne de mire des cybercriminels, avec des escroqueries telles que les suivantes Fraude au niveau du PDG et compromission des courriels d’entreprise (CEO) : utilisation de l’autorité du PDG pour commettre une fraude.
L‘analyste Gartner résume la situation en prédisant que d’ici 2024, 75 % des PDG pourraient être personnellement responsables des violations de données cyber-physiques si leur entreprise ne se concentre pas ou n’investit pas suffisamment dans la cyber-sécurité. Lorsqu’une violation de données se produit, le chef d’entreprise doit être prêt à gérer la situation et à en atténuer l’impact sur l’entreprise.
Le responsable de la sécurité ou le CISO (Chief Information Security Officer)
Le chef de la sécurité est évidemment le premier point de contact en cas de problème lié à la sécurité. Dans un Selon l‘enquête de Tripwire, 21 % des décideurs informatiques rejetteraient la responsabilité d’une faille de sécurité sur le RSSI. Cela n’est guère surprenant, car le travail d’un RSSI consiste à prendre des décisions sur les meilleures pratiques en matière de sécurité et à superviser leur mise en œuvre.
Ainsi, lorsqu’une violation de données se produit, le RSSI ou le responsable de la sécurité sera celui qui, sur le terrain, ramassera les morceaux avec son équipe.
L’équipe de sécurité ou l’équipe informatique
Les membres de l’équipe informatique ou de l’équipe de sécurité sont à l’avant-garde d’une violation de données, aux côtés de leurs responsables. C’est à eux qu’il incombe d’identifier une violation de données et d’y répondre. Cette tâche est effectuée soit en interne, soit par un prestataire de services de sécurité géré par un tiers. Cependant, le temps nécessaire à l’identification d’une violation peut être long.
Par exemple, un L’étude d’IBM a montré qu’il faut en moyenne 212 jours pour détecter une faille et 75 jours pour la contenir. Cela représente beaucoup de travail pour le personnel des TI et de la sécurité, et les empêche de se consacrer à des projets essentiels.
Responsable de la conformité
Le responsable de la conformité est soumis à une pression énorme après une violation de données. Il lui incombe de veiller à ce que les réglementations soient respectées après une violation. Cela signifie qu’il doit traiter avec le superviseur de la réglementation pour lui notifier les mesures de la violation de données. En fonction de l’impact de la violation et de la loi, cela peut se faire dans les 24 heures suivant la découverte de la violation.
Les responsables de la conformité doivent également s’occuper des retombées d’une violation, y compris des notifications aux clients et à la presse. Enfin, le responsable de la conformité devra collaborer avec le RSSI et d’autres personnes pour rectifier la situation à l’origine de la violation de données afin d’éviter qu’elle ne se reproduise.
Marketing et relations publiques
Le marketing peut sembler tout à fait en dehors des attributions d’une réponse à une violation de données, mais le marketing et les relations publiques doivent de plus en plus jouer un rôle. L’embarras et l’exposition néfaste de la marque sont souvent la conséquence d’une violation de données.
Un rapport sur les coûts financiers d’une cyberattaque a révélé que 71 % des directeurs de marketing étaient convaincus que le coût le plus élevé d’un incident de sécurité était la perte de valeur de la marque. Par ailleurs, une enquête menée par Okta et YouGov a révélé que 39 % des employés britanniques ont perdu confiance dans une entreprise qui a utilisé leurs données à mauvais escient.
La confiance est rompue lorsqu’une violation de données se produit. Cela affecte matériellement le marketing et les relations publiques d’une entreprise. Les spécialistes du marketing d’une organisation doivent s’efforcer de résoudre l’impact d’une violation de données sur la marque de l’organisation.
Salariés
La responsabilité directe de la prévention et des suites d’une violation de données peut incomber à la direction générale. Cependant, les employés sont également concernés : de la baisse du moral à l’augmentation du niveau de stress, en passant par les mesures disciplinaires pour exposition accidentelle de données, les employés font partie du spectre de responsabilité plus large d’une violation de données. C’est pourquoi les employés doivent faire partie d’une culture générale de la sécurité qui les responsabilise.
Conséquences d’une violation de données dans la vie réelle
L’impact d’une violation de données ne se limite pas à des conséquences financières ; les employés sont matériellement affectés, perdant souvent leur emploi, et certains peuvent même se retrouver en prison. Par exemple, une Selon un rapport de Shred-IT publié en 2018, 30 % des entreprises britanniques ayant subi une violation de données ont mis fin au contrat d’un employé pour cause de négligence.
Voici quelques exemples de violations de données récentes qui montrent l’impact considérable sur une organisation et qui finissent par porter le chapeau :
Uber: la société de location de voitures a été victime d’une violation de données en 2016 qui a touché 57 millions de clients. Cependant, le responsable de la sécurité (Joe Sullivan) d’Uber n’a pas divulgué la violation. Au lieu de cela, le responsable de la sécurité aurait demandé à son personnel de ne pas divulguer l’information sur la violation et de présenter l’incident dans le cadre d’un programme de récompenses pour les bogues. Sullivan est même allé jusqu’à payer les pirates. Les pirates ont accepté de signer des accords de non-divulgation dans le cadre de l’accord.
Le résultat de tout ce subterfuge a dévasté à la fois Uber et le responsable de la sécurité. Sullivan a récemment été Il risque une peine maximale de cinq ans d’emprisonnement pour obstruction et de trois ans pour incitation à la fraude. Quant à Uber, l’entreprise a été a été condamné à une amende de 148 millions de dollars (130 millions de livres sterling) en 2018.
DWP (Department for Work and Pensions): en 2010, 26 employés ont été licenciés pour avoir « espionné des données personnelles ». Les données étaient stockées dans le système d’information des clients (CIS) du ministère du travail et des pensions (DWP). Les problèmes ont été attribués à un « régime de sécurité laxiste » et à de mauvaises procédures de suivi des notifications et des alertes.
Singhealth: une violation de données à Singhealth en 2018 a affecté 1,5 million de patients. Deux employés, le chef de l’équipe Citrix et le responsable de la réponse aux incidents de sécurité, ont été jugés négligents et ont donc été licenciés. Des amendes personnelles ont également été infligées à cinq cadres supérieurs, dont le PDG.
Comment éviter les conséquences personnelles d’une violation de données ?
Les données sont l’affaire de tous et leur sécurité doit faire partie intégrante de votre stratégie de sécurité. Cela est possible si une entreprise s’efforce de développer une culture de la sécurité qui imprègne l’ensemble de l’organisation. Comme le montre l’illustration ci-dessous, nous partageons tous les conséquences d’une violation de données.
Toutefois, ces conséquences peuvent être maîtrisées en créant une culture de la sécurité dans laquelle chaque membre de l’organisation reçoit une formation sur la manière dont les cybercriminels opèrent, sur son rôle dans la protection des données et sur la manière de repérer les tentatives d’hameçonnage.
