Savoir comment réagir adéquatement à une fuite de données est essentiel pour toute entreprise. Après tout, le temps c’est de l’argent, et il a été démontré qu’un plan bien pensé et éprouvé permet aux entreprises d’économiser des sommes importantes.
Une étude réalisée en 2018 par le Ponemon Institute indique que le déploiement d’une équipe d’intervention est particulièrement bénéfique pour les entreprises, leur faisant économiser 14 $ en moyenne par fichier compromis (sur un coût unitaire moyen de 148 $). Les experts internes et internes peuvent jouer un rôle central dans votre plan d’intervention.
Téléchargez notre document technique sur la façon de réagir à une fuite de données.
Aperçu de votre plan d’intervention
Un plan d’intervention en cas de fuite de données comporte quatre étapes clés, mais chacune d’elle comprend de nombreux éléments. Vous devez donc pouvoir compter sur une équipe bien préparée. Le fait d’être bien préparé augmente vos chances d’éviter les dommages à votre entreprise, à sa réputation et à sa rentabilité.
Étape 1 : Limiter les dégâts
Après une atteinte à la protection des données, la première chose à faire est de limiter les dégâts.
Il est important de faire part de la situation à un conseiller juridique le plus tôt possible. En cas de problème de confidentialité, cet expert vous aidera à protéger toute information découverte pendant cette étape et à empêcher sa divulgation.
Étape 2 : Faire enquête
Au début de votre enquête, vous devez vous poser les trois questions suivantes :
- Quelles données ont été compromises?
- Comment l’incident s’est-il produit?
- Pouvez-vous régler le problème vous-même?
Si vous êtes en mesure de répondre de façon claire et simple à ces questions, vous êtes sur la bonne voie.
Restez calme
Il est important de ne pas agir impulsivement; toutefois, adopter une attitude passive n’est pas une approche qui convient à tous les types d’atteintes. Si vous n’êtes pas certain des mesures à prendre, vos spécialistes de la cybersécurité et votre conseiller juridique vous aideront à décider de la meilleure approche à adopter.
Protégez vos données privilégiées
Votre conseiller juridique est un allié important lors d’une fuite de données. Il peut vous aider à protéger l’information privilégiée et mettre au fait les personnes concernées.
Étape 3 : Communiquer
Depuis le 1er novembre 2018, la Loi sur la protection des renseignements personnels et les documents électroniques du gouvernement fédéral canadien oblige les entreprises à informer les personnes et les entreprises touchées par une atteinte et qui courent un risque réel de préjudice grave.
Cette loi rend plus important que jamais pour les entreprises de déterminer leurs obligations juridiques. Les communications contenant des renseignements essentiels peuvent prendre les formes suivantes :
- Envoyer les communications internes et externes : Une équipe des relations publiques peut recueillir les renseignements importants et collaborer avec les conseillers juridiques pour rédiger un message approprié à l’intention du public. Votre équipe des ressources humaines supervise quant à elle la communication avec vos employés.
- Informer les administrateurs, les organismes de réglementation et les intervenants : Vos équipes des relations publiques, des TI et des services juridiques doivent transmettre l’information rendue publique aux membres de votre conseil d’administration, et les tenir informés de l’évolution de la situation par des mises à jour régulières.
- Désigner un responsable : La gestion d’une atteinte à la protection des données est une lourde tâche qui peut prendre des semaines, voire des mois. C’est pourquoi il est important qu’une personne supervise l’ensemble des mesures que votre entreprise devra prendre.
Étape 4 : Restaurer
Après avoir mis fin à toute fuite de données, vous pourrez commencer à vous rétablir. Vous devrez d’abord récupérer les données perdues, travailler à prévenir les pertes futures et comprendre les différentes répercussions de l’incident. En règle générale, vous aurez besoin des conseils d’un expert et d’une aide pratique.
Proposez des services de surveillance du crédit
Il est courant d’offrir des services de surveillance du crédit aux parties potentiellement touchées. Cela pourrait également jouer en votre faveur en cas de poursuite.
Choisissez vos partenaires avec grand soin
De l’aide extérieure peut être grandement utile; toutefois, faites preuve de jugement dans le choix de vos partenaires. Si vous décidez de faire appel à des fournisseurs pour soutenir vos efforts de reprise, assurez-vous qu’ils possèdent l’expérience nécessaire pour gérer le type d’atteinte dont vous êtes victime.
Un plan en cas de litige
L’identité des personnes à aviser de l’incident est peut-être régie par la loi. Il serait donc judicieux de vous en assurer avant tout, afin de savoir quoi faire une fois que vous aurez signalé l’incident aux autorités.
Vous voulez en apprendre plus?
La gestion d’une cyberattaque peut être stressante et coûteuse. C’est pourquoi la préparation à un tel incident est si importante. Vous voulez en savoir plus sur les mesures à prendre pour protéger votre entreprise?
Téléchargez notre document technique sur la façon de réagir à une fuite de données!
Voici comment nous pouvons vous aider
Même si vous prenez les précautions nécessaires, les choses peuvent mal tourner. C’est à ce moment que la bonne solution d’assurance pourrait venir à votre rescousse.
En ayant recours à une assurance adaptée à votre situation, vous pourriez éviter d’avoir à assumer seul les frais juridiques, les amendes, les coûts de réparation et les frais de reprise des activités de votre entreprise. Pour cette raison, Les assurances Federated, en partenariat avec CyberScout, a mis au point un produit d’assurance des cyberrisques pour vous aider à protéger vos bénéfices en cas de cyberattaque.
Pour en savoir plus, visitez dès aujourd’hui notre page consacrée à l’assurance des entreprises!
Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements qu’il contient. Nous ne pourrons en aucun cas être tenus responsables des pertes pouvant découler de l’utilisation de ces renseignements.