La mise en place d’un plan de gestion des violations de données permet de s’assurer que le personnel et les procédures adéquats sont en place pour faire face efficacement à une menace.

Imaginez la panique lorsque l’on détecte une violation massive de données, qui dure peut-être depuis des mois. En 2017, Equifax a alerté le monde sur le vol de plusieurs millions d’enregistrements de données qui étaient sous sa surveillance.

Le vol a été initié par une vulnérabilité dans Apache Struts, un cadre de développement largement utilisé. Equifax connaissait cette vulnérabilité, mais l’employé chargé de la corriger ne l’a pas fait. Il s’en est suivi une série d’événements malheureux, notamment l’incapacité des scanners de correctifs à localiser d’autres vulnérabilités multiples, exacerbée par plusieurs défaillances de l’opérateur humain.

Depuis, Equifax a dépensé environ 1,4 milliard de dollars (1 milliard de livres sterling) pour améliorer sa sécurité. L’entreprise a également été condamnée à une amende d’un demi-million de livres sterling par l’Information Commissioner’s Office (ICO) du Royaume-Uni, et l’ex-CIO d’Equifax a été condamné à une peine de prison de quatre mois pour avoir utilisé la violation à des fins personnelles. La violation de données d’Equifax est un véritable cauchemar pour les entreprises.

En se mettant à la place de quelqu’un d’autre, on peut comprendre comment chaque partie d’une organisation gère efficacement les violations de données. En réfléchissant à la manière dont chaque service peut contribuer à désamorcer la chaîne d’événements qui conduit à une violation de données, l’exposition aux données peut être gérée plus efficacement.

Le comment et le pourquoi de la gestion des violations de données

Les violations de données affectent tous les membres d’une organisation. De même, chacun peut contribuer à prévenir ou à minimiser l’impact d’une violation de données. Vous trouverez ci-dessous un aperçu des différentes responsabilités de cinq secteurs clés d’une organisation et du type de responsabilités de chacun dans la gestion d’une violation de données.

L’équipe chargée des incidents de sécurité

La gestion et la prévention des violations de données constituent le pilier de l’équipe chargée des incidents de sécurité. Cette équipe est de plus en plus sollicitée à mesure que les violations de données augmentent en nombre et en intensité. Son rôle est central dans la gestion d’une violation de données et l’équipe s’appuie sur un processus solide pour l’aider dans cette tâche. L’équipe de sécurité doit pouvoir s’appuyer sur un plan d’intervention en cas d’incident et sur un plan de reprise après sinistre pour l’aider à contenir la violation. Ces plans permettent d’orienter les mesures à prendre une fois que la violation a eu lieu.

Les étapes typiques de l’endiguement et de la gestion d’une brèche sont les suivantes :

Confirmer la violation

Cette étape peut sembler évidente, mais confirmez que la violation a bien eu lieu et si elle concerne des données confidentielles ou sensibles. Les données collectées lors de l’analyse de la violation seront utilisées si la violation est suffisamment grave pour qu’une autorité de contrôle en soit informée. Les informations qui doivent être collectées et documentées sont les suivantes :

  • Comment la violation a-t-elle été détectée ?

  • Lieu de survenance

  • Qui est concerné (y compris les fournisseurs de l’écosystème) ?

  • Qui a signalé la violation

  • Date(s) à laquelle les infractions ont été commises

  • le niveau de risque que la violation représente pour l’organisation, les clients, etc.

  • La brèche est-elle désormais entièrement maîtrisée ?

Comment la violation s’est-elle produite ?

Une analyse de la violation n’est pas seulement nécessaire pour des raisons de conformité, mais elle peut également contribuer à atténuer l’exposition future aux données. La dynamique des violations est variée. Les données peuvent être exposées par divers mécanismes accidentels ou malveillants. Identifiez ces mécanismes : s’agit-il de l’exposition accidentelle d’un employé ou d’un piratage malveillant ? Comprendre les vecteurs et les tactiques utilisés peut aider à atténuer l’exposition et à limiter l’attaque.

Le type de données concernées

Il est essentiel de pouvoir identifier le niveau de risque des données concernées, à la fois pour la notification de la violation et la conformité, et pour comprendre l’impact global sur l’entreprise. Documentez le type et le niveau de risque des données ayant fait l’objet d’une violation. Une organisation devrait déjà avoir développé un système de classification basé sur une norme telle que l’ISO 27001. Cette norme définit quatre catégories de données :

  1. Confidentiel (seuls les cadres supérieurs y ont accès)

  2. Restreint (la plupart des employés y ont accès)

  3. Interne (tous les employés y ont accès)

  4. Information publique (tout le monde y a accès)

Confinement et récupération

Une fois qu’une brèche a été détectée, il est vital de l’endiguer le plus rapidement possible. Les mesures prises au cours de l’analyse de la violation permettront d’élaborer une stratégie d’endiguement. Les violations impliquant des employés peuvent nécessiter une révision de la formation de sensibilisation à la sécurité. Les violations impliquant des pirates externes malveillants nécessiteront un examen plus approfondi des systèmes et des mesures d’atténuation. Des plans de reprise doivent être mis en place pour minimiser l’impact de la violation.

Juridique et conformité

Toutes les preuves documentaires rassemblées sur la violation sont utilisées par les services juridiques et de conformité pour gérer les suites de la violation. Par exemple, en vertu de l’article 67 de la loi britannique sur la protection des données de 2018 (DPA 2108), une notification de violation de données doit être faite à l’ICO dans les 72 heures suivant le moment où l’entreprise a pris connaissance de la violation. Toutes les preuves documentées sur la violation, le où, le pourquoi et la façon dont elle est atténuée, recueillies par l’équipe de sécurité, seront utilisées dans cette divulgation. Il peut également être nécessaire de divulguer la violation à toute personne affectée. Cela peut nécessiter une lettre de divulgation publique complète publiée sur le site web de l’entreprise.

Règles de notification

La clé du traitement juridique d’une violation de données est de prendre une décision éclairée quant à l’opportunité et au moment de notifier la violation à l’autorité de contrôle. Seul un personnel qualifié et bien informé peut répondre à des questions telles que : existe-t-il un impératif réglementaire de signaler la violation ? Cette décision peut nécessiter que la violation soit rendue publique : cela a des effets évidents et durables sur la réputation et impliquera probablement le service marketing afin de minimiser l’impact sur la marque. Voici quelques exemples d’avis de violation publique :

Violation d’Equifax

Brèche dans CapitalOne

Brèche dans Twitter

Les règles relatives à la notification des violations varient d’une réglementation à l’autre. Par exemple, selon le règlement général sur la protection des données (RGPD) de l’UE, la notification d’une violation doit être effectuée dans les 72 heures suivant l’identification d’une violation. Toutefois, en vertu du Règlement sur la protection de la vie privée et les communications électroniques (PECR, règlement qui s’applique aux fournisseurs de services Internet et de télécommunications), une violation de données personnelles doit être signalée à l’ICO au plus tard 24 heures après avoir été détectée.

Le personnel

En intégrant le personnel dans le processus de gestion des violations, il devient une ressource de première ligne dans la lutte contre les cyber-attaques. Le personnel et la sécurité couvrent un large éventail de vulnérabilités potentielles, de l’exposition accidentelle de données au phishing en passant par la collusion avec des pirates informatiques externes.

Selon le Data Breach Investigation Report 2020 (DBIR) de Verizon, environ 17 % des violations de données peuvent être attribuées à de simples erreurs. Par exemple, le fait que les employés partagent leurs mots de passe ou les réutilisent dans plusieurs applications constitue une mauvaise pratique en matière de sécurité.

Le phishing reste l’arme de prédilection des cybercriminels, qui adorent imiter des marques telles que Microsoft pour inciter les utilisateurs à leur communiquer des informations d’identification de l’entreprise. La formation de sensibilisation à la sécurité enseigne aux employés les nombreuses façons positives dont ils peuvent contribuer à maintenir une bonne posture de sécurité dans l’entreprise.

En termes de gestion des violations, la sensibilisation du personnel doit s’étendre à la compréhension de ses responsabilités dans le cadre de diverses réglementations, par exemple en veillant à ce que les données des clients soient respectées et utilisées dans le cadre de législations telles que le RGPD 2018 et le GDPR. En comprenant où une violation pourrait se produire, ainsi que les responsabilités en vertu de diverses réglementations pertinentes, une organisation peut coopter le personnel dans le processus de gestion des violations.

Il est toutefois important de former le personnel au niveau approprié. Certains membres du personnel, comme les techniciens, peuvent avoir besoin d’une formation spécialisée en matière de sécurité et/ou d’une certification.

Les nouvelles recrues doivent être intégrées aux programmes de formation à la sécurité de l’organisation dès le premier jour. Des examens réguliers de la formation du personnel en matière de sensibilisation à la sécurité dans des domaines tels que :

  • Hameçonnage

  • Hygiène de la sécurité

  • Sensibilisation à la responsabilité en matière de sécurité des données

…doit être permanent pour rester efficace.

La formation à la sensibilisation à la sécurité doit être intégrée à la politique de sécurité de l’entreprise dans le cadre d’un processus de gestion des violations de données.

Fournisseurs tiers

Les écosystèmes de fournisseurs peuvent être complexes et impliquer des quatrième et cinquième parties. Un récent rapport d’Accenture, intitulé « State of Cyber Resilience 2020« , a révélé que 40 % des atteintes à la sécurité commencent par des attaques indirectes au niveau de la chaîne d’approvisionnement. La gestion des risques liés aux fournisseurs fait partie de la gestion efficace d’une violation de données. Les violations de données liées aux fournisseurs sont une considération à double sens. Outre l’analyse de la vulnérabilité des liens avec les fournisseurs pour atténuer les cyberattaques, lorsqu’une violation se produit, l’écosystème des fournisseurs doit être analysé pour voir si la violation a un impact sur le fournisseur.

Le conseil d’administration

Selon un rapport du gouvernement britannique intitulé « Cyber Security Breaches Survey 2021« , 77 % des entreprises estiment que la cybersécurité est une priorité pour leurs directeurs ou cadres supérieurs. En raison de la médiatisation des violations de données, de plus en plus de conseils d’administration comprennent aujourd’hui des experts en sécurité. Lorsqu’une violation de données se produit, un conseil d’administration bien informé peut aider le reste de l’organisation à gérer la violation, à s’assurer que les exigences réglementaires sont respectées et à veiller à ce qu’un budget soit disponible pour gérer la violation et atténuer les risques d’autres attaques.

Les employés savent-ils ce qu’ils doivent faire en cas de violation de données ?

La mise en place de mesures de gestion des violations de données est une tâche qui concerne l’ensemble de l’entreprise. L’un des éléments clés d’une gestion efficace des violations de données réside dans la manière dont vous formez votre personnel. La pertinence est essentielle pour garantir que la gestion des incidents fonctionne pour votre organisation. Chaque organisation doit développer sa propre approche, pertinente et unique, du signalement et de la gestion d’une faille de sécurité.

L’approfondissement de la sensibilisation commence au niveau des personnes et des processus. Chaque aspect, du plus petit détail à la vue d’ensemble, doit être suffisamment approfondi pour garantir que votre politique de réponse aux incidents est solide et compréhensible par l’ensemble du personnel. Cela doit inclure

Les communications: Des numéros de téléphone utilisés à l’adresse électronique ou à tout autre système utilisé pour signaler une infraction.

Rôles et responsabilités: Mise en évidence des responsables d’incidents concernés et de leurs responsabilités

Actions: Qui fait quoi, quand et comment ils jouent leur rôle dans la gestion d’une violation de données.

Remédiation: Comment remédier à la violation et les enseignements tirés, y compris toute mise à jour de la formation à la sensibilisation à la sécurité.

Dans les grandes entreprises multinationales, ces lignes de communication doivent se refléter dans l’ensemble de l’organisation, en réunissant les départements et les bureaux de l’entreprise.

Tout le monde doit adhérer à ce plan, qu’il s’agisse des employés, des cadres ou des membres du conseil d’administration.

La sensibilisation à la cybersécurité pour les nuls