Data breach : les étapes clés d’une gestion efficace des violations de données

La mise en place d'un plan de gestion des violations de données (data breach) est essentielle pour garantir que le personnel et les procédures nécessaires sont en place pour faire face efficacement aux menaces.

Imaginez la panique qui s'empare d'une entreprise lorsqu'une violation massive de données est détectée, surtout si elle dure depuis des mois. En 2017, Equifax a attiré l'attention du monde entier en raison du vol de plusieurs millions d'enregistrements de données qui étaient sous sa surveillance.

Le vol a été initié par une vulnérabilité dans Apache Struts, un cadre de développement largement utilisé. Equifax était au courant de cette vulnérabilité, mais l'employé chargé de la corriger ne l'a pas fait. Il en a résulté une série d'événements malheureux, notamment l'incapacité des scanners de correctifs à localiser d'autres vulnérabilités multiples, exacerbée par plusieurs défaillances de l'opérateur humain.

Depuis lors, Equifax a dépensé environ 1,4 milliard de dollars pour améliorer sa sécurité. La société a également été condamnée à une amende d'un demi-million de livres sterling par l'Information Commissioner's Office (ICO) du Royaume-Uni, et l'ex-CIO d'Equifax a été condamné à quatre mois de prison pour avoir utilisé la violation à des fins personnelles. La violation de données d'Equifax a été un cauchemar pour les entreprises.

Depuis cet incident, il est devenu évident que la gestion des violations de données est cruciale pour la sécurité et la réputation des entreprises. Les exemples tels que celui d'Equifax montrent à quel point les conséquences peuvent être graves, avec des pertes financières importantes et des sanctions légales. En apprenant des erreurs des autres et en adoptant une approche holistique de la sécurité des données, les organisations peuvent mieux se protéger contre les risques de violations de données et minimiser les dommages potentiels.

Responsabilités des différents secteurs clés d'une organisation dans la gestion des violations de données

Les violations de données concernent tous les membres d'une organisation. De la même manière, chacun peut contribuer à prévenir ou à minimiser l'impact d'une violation de données. Ci-dessous, nous donnerons un aperçu des différentes responsabilités de cinq secteurs clés d'une organisation et des types de responsabilités de chacun dans la gestion d'une violation de données.

L'équipe chargée des incidents de sécurité

L'équipe chargée des incidents de sécurité est le pilier dans la gestion et la prévention des violations de données. Cette équipe est de plus en plus sollicitée à mesure que les violations de données augmentent en nombre et en intensité dans les entreprises de toutes tailles. Cette équipe, qui a un rôle central dans la gestion d'une violation de données, doit pouvoir s'appuyer sur un plan de réponse aux incidents et un plan de reprise après sinistre pour l'aider à contenir la violation. Ces plans permettent d'orienter les actions à mener une fois la violation survenue.

Les étapes typiques du confinement et de la gestion des brèches sont les suivantes :

Confirmer la violation

Cela peut sembler une étape évidente, mais confirmer que la violation a bien eu lieu et si elle touche des données confidentielles ou sensibles. Les données recueillies au cours de l'analyse de la violation seront utilisées si la violation est suffisamment grave pour qu'une autorité de surveillance soit informée. Les informations qui doivent être collectées et documentées sont les suivantes :

• Comment la violation a été détectée
• Où cela s'est produit
• Qui est touché (y compris les fournisseurs de l'écosystème) ?
• Qui a signalé la violation
• La ou les dates auxquelles les violations se sont produites
• Le niveau de risque que la violation représente pour l'organisation, les clients, etc.
• La brèche est-elle maintenant entièrement contenue ?

Comment la violation s'est-elle produite ?

Une analyse de la violation n'est pas seulement nécessaire pour des raisons de conformité, mais elle peut également contribuer à atténuer l'exposition future des données. Les dynamiques de violation sont variées. Les données peuvent être exposées par une variété de mécanismes, tant accidentels que malveillants. Identifiez ces mécanismes : s'agit-il d'une exposition accidentelle par un employé ou d'un piratage malveillant ? Comprendre les vecteurs et les tactiques utilisés peut aider à atténuer l'exposition et à limiter l'attaque.

Le type de données concernées

Il est essentiel de pouvoir identifier le niveau de risque des données touchées, tant pour la notification de la violation et la conformité que pour la compréhension de l'impact global sur l'entreprise. Documentez le type et le niveau de risque des données violées. Une organisation devrait déjà avoir développé un système de classification basé sur une norme sur la sécurité de l'information telle que ISO 27001. Cette norme définit quatre catégories de données :

1. Confidentiel (seuls les cadres supérieurs y ont accès)
2. Restreint (la plupart des employés y ont accès)
3. Interne (tous les employés y ont accès)
4. Informations publiques (tout le monde y a accès)

Confinement et récupération

Une fois qu'une brèche a été détectée, il est vital de la contenir aussi vite que possible. Les mesures prises pendant l'analyse de la brèche permettront d'élaborer une stratégie de confinement. Les brèches impliquant des employés peuvent nécessiter une révision de la formation à la sécurité. Les brèches impliquant des pirates malveillants externes nécessiteront une étude plus approfondie des systèmes et des mesures d'atténuation. Des plans de récupération doivent être mis en place pour minimiser l'impact de la violation.

Les équipes du juridique et de la conformité

Les preuves documentaires recueillies sur la violation sont utilisées par les services juridiques et de conformité pour gérer les suites de la violation. Les équipes juridiques et de conformité décident si la violation doit être notifiée. Par exemple, s’il est probable que la violation engendre un risque pour les droits et libertés d’une personne, votre entreprise/organisation doit notifier l’autorité de contrôle dans les meilleurs délais, et au plus tard 72 heures après avoir pris connaissance de la violation. Toutes les preuves documentées sur la violation, le lieu, le pourquoi et la façon dont elle est atténuée, recueillies par l'équipe de sécurité, seront utilisées dans cette divulgation. Il peut également être nécessaire de divulguer la violation à toute personne concernée, et cela peut nécessiter une lettre de divulgation publique complète publiée sur le site Web de l'entreprise.

Règles de notification

La clé du traitement juridique d'une violation de données consiste à prendre une décision éclairée quant à savoir si et quand il faut notifier la violation à l'autorité de surveillance. Cette décision peut exiger que la violation soit rendue publique, ce qui aura des effets évidents et durables sur la réputation et impliquera probablement le département marketing pour minimiser l'impact sur la marque. Les règles de notification des violations varient selon les différentes réglementations, par exemple :

Brèche d'Equifax | Brèche dans le système de CapitalOne | Brèche dans Twitter

Selon le règlement général sur la protection des données (RGPD) de l'UE, la notification de la violation doit être effectuée dans les 72 heures suivant l'identification de la violation. Toutefois, en vertu du règlement sur la confidentialité et les communications électroniques (PECR), une violation de données personnelles doit être signalée à l'ICO (Information Commissioner’s Office) au plus tard 24 heures après sa détection.

Le personnel

En intégrant le personnel au processus de gestion des violations, il devient une ressource de première ligne dans la lutte contre les cyberattaques.

Selon le Data Breach Investigation Report 2020 (DBIR) de Verizon, environ 17 % des violations de données peuvent être attribuées à de simples erreurs. Par exemple, le fait que des employés partagent des mots de passe ou réutilisent des mots de passe dans plusieurs applications constitue une mauvaise pratique de sécurité.

L'hameçonnage (phishing) demeure l'arme privilégiée des cybercriminels, qui n'hésitent pas à se faire passer pour des marques telles que Microsoft afin d'inciter les utilisateurs à divulguer les informations d'identification de l'entreprise. La sensibilisation à la sécurité permet de former les employés aux différentes manières dont ils peuvent contribuer de manière positive à maintenir une posture de sécurité efficace pour l'entreprise.

En termes de gestion des failles, la sensibilisation du personnel doit s'étendre à la compréhension de ses responsabilités dans le cadre de diverses réglementations, telles que s'assurer que les données des clients sont respectées et utilisées dans les limites de la législation telle que la DPA 2018 et le GDPR. En comprenant où une violation pourrait se produire, ainsi que les responsabilités en vertu de diverses réglementations pertinentes, une organisation peut coopter le personnel dans le processus de gestion des violations.

Cependant, il est crucial de dispenser une formation en sécurité adaptée au niveau de chaque membre du personnel. Certains, tels que les employés techniques, peuvent nécessiter une formation spécialisée en sécurité et/ou obtenir une certification.

Les nouvelles embauches doivent être incluses dans les programmes de formation à la sécurité de l'organisation dès leur premier jour. Il convient également d'effectuer régulièrement des examens de la formation de sensibilisation à la sécurité du personnel dans des domaines tels que :

• Phishing (hameçonnage)
• Sensibilisation à la cybersécurité
• Sensibilisation à la responsabilité en matière de sécurité des données

La formation à la sensibilisation à la sécurité doit être intégrée à la politique de sécurité de l'entreprise dans le cadre d'un processus de gestion des violations de données.

En savoir plus : Les avantages d’une formation de sensibilisation à la cybersécurité basée sur les rôles des employés

Les vendeurs tiers

Les écosystèmes de fournisseurs peuvent être complexes et impliquer des quatrième et cinquième parties. Selon un rapport récent d'Accenture intitulé "State of Cyber Resilience 2020", 40 % des violations de la sécurité commencent par des attaques indirectes au niveau de la chaîne d'approvisionnement. La gestion des risques liés aux fournisseurs fait partie intégrante de la gestion efficace d'une violation de données. Les violations de données liées aux fournisseurs sont une préoccupation à double sens. En plus d'effectuer une analyse de vulnérabilité des liens entre les fournisseurs pour atténuer les cyberattaques, lorsqu'une violation se produit, l'écosystème du fournisseur doit être analysé pour déterminer si la violation a un impact sur le fournisseur.

En savoir plus : Vos fournisseurs sont-ils vraiment certifiés ISO 27001 ?

Le conseil d’administration

Selon un rapport du gouvernement britannique intitulé "Cyber Security Breaches Survey 2021", 77 % des entreprises estiment que la cybersécurité est une priorité élevée pour leurs directeurs ou leurs cadres supérieurs. De plus en plus de conseils d'administration comprennent désormais des experts en sécurité en raison de l'importance des violations de données. Lorsqu'une violation de données se produit, un conseil d'administration bien informé peut aider le reste de l'organisation à gérer la violation, à s'assurer que les exigences réglementaires sont respectées et à garantir qu'un budget est disponible pour gérer la violation et atténuer les attaques ultérieures.

En savoir plus : Élaboration d’un programme de sensibilisation à la cybersécurité destiné aux cadres supérieurs

Les employés savent-ils ce qu'il faut faire en cas de data breach ?

La mise en place de mesures de gestion des violations de données est une tâche à part entière. L'un des éléments clés d'une gestion efficace des violations de données réside dans la manière dont vous formez votre personnel. La pertinence est essentielle pour garantir que la gestion des incidents fonctionne pour votre organisation. Chaque organisation doit développer sa propre approche pertinente et unique pour signaler et gérer une violation de la sécurité.

L'approfondissement pour optimiser la sensibilisation commence au niveau des personnes et des processus. Chaque aspect, du plus petit détail à la vue d'ensemble, doit être suffisamment approfondi pour garantir que votre politique de réponse aux incidents est solide et compréhensible par l'ensemble du personnel. Cela doit inclure :

Communications : il est essentiel d'inclure les numéros de téléphone, les adresses e-mail ou tout autre système utilisé pour signaler une violation.

Rôles et responsabilités : il convient de mettre en évidence les gestionnaires d'incidents concernés et leurs responsabilités respectives en cas de violation de données.

Actions : il est important de préciser qui fait quoi, quand et comment les employés doivent jouer leur rôle dans la gestion d'une violation de données.

Mesures correctives : il est crucial de déterminer comment réparer la violation de sécurité, ainsi que les enseignements tirés de l'incident, y compris les mises à jour de la formation en sensibilisation à la sécurité.

Tout le monde doit adhérer à ce plan, des employés aux managers en passant par les membres du conseil d'administration. Dans les grandes entreprises multinationales, ces lignes de communication doivent se refléter dans l'ensemble de l'organisation, en réunissant les départements et les bureaux de l'entreprise.

Nous espérons que cet article sur les violations de données (data breach) vous a été utile, et nous vous invitons également à en savoir plus sur MetaIncident, notre logiciel de gestion des incidents conçu pour simplifier votre gestion des réponses aux incidents.