Qu’est-ce qu’une politique de violation de données et pourquoi vous en avez besoin –
Les violations de données ont toujours été désastreuses, et les nouvelles lois sur la confidentialité des données obligent les organisations à protéger les personnes concernées, ce qui aggrave encore l’impact des violations. Une politique de violation de données vous aidera à vous protéger.
Sommaire
Législation sur la protection des données et de la vie privée
Les organisations qui détiennent ou traitent des données personnelles ont le devoir de protéger et de sauvegarder ces données. La législation moderne inclut généralement des restrictions sur la vente et l’achat de données personnelles et sur les finalités de la collecte des données. La personne concernée ou le consommateur a des droits liés à ses données personnelles, et d’autres obligations sont imposées aux organisations de faire respecter et de respecter ces droits.
Le non-respect de votre législation locale en matière de protection des données ou de confidentialité, ou de toute autre législation similaire d’autres régions géographiques qui vous concerne, aura de graves conséquences. La perte de confiance des clients nuit à ce qui est souvent le plus grand atout d’une organisation: sa réputation.
Bien sûr, il y a aussi des dommages plus quantifiables. La plupart des législations ont le pouvoir d’imposer des sanctions financières. Le règlement général sur la protection des données (RGPD) peut imposer des amendes de 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’année précédente, selon le cas plus grand– imposé pour les infractions les plus graves. Ces amendes sont imposées par l’Autorité de contrôle de la protection des données du pays européen concerné, ou par la Commission européenne si la violation affecte les citoyens de plusieurs pays.
Le California Consumer Privacy Act (CCPA) prévoit également des amendes pour non-conformité. Ils sont appliqués par le bureau du procureur général de Californie. Des sanctions civiles de 2500 USD pour chaque violation ou de 7500 USD pour chaque violation ultérieure suivant le premier incident, après une fenêtre d’opportunité de 30 jours pour appliquer des mesures correctives pour corriger le défaut technique ou procédural qui a conduit à la non-conformité initiale.
Vraisemblablement avoir un impact plus important, la CCPA prévoit également que les plaignants privés intentent une action civile contre l’organisation si l’incident était une violation – accès et exfiltration non autorisés, vol ou divulgation de données personnelles – survenue en raison d’un défaut de mise en œuvre des procédures et pratiques de sécurité raisonnables proportionnelles à la nature des renseignements personnels perdus.
La CCPA est considérée comme un modèle pour les autres États de promulguer leurs propres lois sur la protection des données et de la vie privée. Le Nevada a déjà adopté quelques changements. Le New York Privacy Act (NYPA) et le Washington State Privacy Act (WSPA) n’ont pas réussi à passer leurs sessions législatives en 2019, mais on s’attend à ce qu’ils soient soumis à nouveau avec des modifications.
Enquêtes sur les violations de données
De toute évidence, tous les efforts doivent être faits pour éviter que des violations de données ne se produisent. Mais quelle que soit la sécurité de votre réseau, des violations de données peuvent se produire. Les violations peuvent résulter d’une cyberattaque réussie telle qu’un doxxing. Et en Europe, il convient de noter que le RGPD considère une attaque de ransomware comme une violation de données parce que vous avez perdu le contrôle des données. Les violations de données peuvent résulter des intentions malveillantes d’un initié mécontent ou d’un départ du personnel. Ils peuvent résulter d’une erreur humaine ou d’une erreur innocente.
Si vous subissez une violation suffisamment grave pour attirer l’attention de l’autorité responsable de votre législation sur la protection des données, une enquête sera ouverte. En règle générale, les enquêteurs prendront en considération certains ou tous les points suivants. Leurs conclusions dans chaque cas seront soit un point en votre faveur, soit un point contre vous. Dans certains cas, le montant des amendes peut être réduit ou augmenté en fonction de la note qu’ils attribuent à la sécurité de votre réseau, à la gouvernance et à la protection des données et aux faits de l’incident lui-même.
- La gravité de la violation Que s’est-il passé et qu’est-ce qui a permis à la violation de se produire? Combien de personnes concernées ont été concernées? S’il s’agissait de données de catégorie spéciale telles que des informations médicales ou politiques, ou des données personnelles d’enfants, l’incident sera considéré comme plus grave.
- Cause fondamentale de la violation Un examen plus approfondi des circonstances qui ont permis à la violation de se produire. Par exemple, la sécurité du réseau a-t-elle été pénétrée ou les procédures opérationnelles ont-elles été ignorées par un initié? Quelle était la défaillance de la sécurité et comment aurait-elle pu être évitée? Dire que c’était un employé qui ne suivait pas la procédure ne suffit pas pour vous en sortir. En raison des concepts juridiques de responsabilité du fait d’autrui et Responsable supérieur une organisation peut être responsable des actions de l’un de ses employés.
- Communication et atténuation Y a-t-il eu des mesures que vous auriez pu prendre pour atténuer l’impact de la violation pour les personnes concernées, et les avez-vous prises? Avez-vous alerté les personnes concernées dans les plus brefs délais et leur avez-vous conseillé? Savaient-ils ce qui s’était passé, comment cela était susceptible de les affecter, ce que vous faisiez à ce sujet et quelles mesures ils devraient prendre?
- Sécurité Internet Quelles mesures aviez-vous prises pour renforcer et protéger votre réseau? Cela sera évident pour les enquêteurs si vous prenez la cybersécurité au sérieux – en utilisant des mesures technologiques, des politiques et des procédures, et une formation de sensibilisation du personnel – ou si vous gérez un réseau simple et espérez simplement que les mauvaises choses ne vous arriveront pas.
- Enregistrement précédent Avez-vous des antécédents de violations de données? S’il s’agit de votre première violation de données, vous serez dans une position légèrement meilleure que s’il s’agissait de la dernière d’une série de violations.
- La coopération Votre volonté de coopérer avec les enquêteurs et l’autorité de surveillance sera notée. Une approche ouverte et honnête est préférable. Ne traitez pas les enquêteurs comme des ennemis. Ils seront en mesure de vous donner d’excellents conseils pour cueillir les fruits à portée de main afin de renforcer votre sécurité. Une sécurité renforcée ne doit pas coûter une fortune. Obtenez leur avis et agissez en conséquence. Et donnez-leur l’accès et les informations qu’ils demandent.
- Rapports formels Avez-vous signalé l’infraction à l’Autorité de surveillance dans les délais prescrits? Le pire des cas est lorsqu’une personne concernée le signale avant vous. Si la violation résulte d’une action malveillante – interne ou externe – n’oubliez pas de la signaler aux forces de l’ordre.
- Certification Êtes-vous certifié selon un système de qualité pertinent tel que ISO / CEI 27001 ou Cyber Essentials du Royaume-Uni? Il n’y a pas de système de certification pour les législations sur la protection des données, y compris CCPA et GDPR, il est donc difficile de prouver que vous êtes conforme. Vous devez mettre en place la documentation et la gouvernance, les avis sur votre site Web et améliorer votre sécurité et vos pratiques d’exploitation selon les besoins, mais personne ne viendra derrière vous et approuvera vos efforts. Avoir une certification dans un système qualité de cybersécurité ou de gestion de la sécurité habitude prouvez que vous êtes conforme à la législation mais cela montrera que vous êtes sérieux en matière de protection des données et de confidentialité et que vous utilisez un système approuvé et reconnu.
Planification de votre politique
Fait à fond, il y a beaucoup de spadework et de collecte d’informations à faire avant que la politique de gestion des violations puisse même être rédigée. Certaines de ces étapes devront être répétées périodiquement car les situations changent. Et s’ils changent, votre politique devra peut-être refléter l’impact de ces changements.
Identifiez vos plus grands risques
Cela vous montre à quoi ressembleront les scénarios de violation les plus probables. Pendant que vous y êtes, faites les mesures correctives ou atténuantes possibles pour minimiser les risques. Vous pouvez choisir de segmenter votre réseau, d’utiliser le chiffrement, de mettre en œuvre un système de détection d’intrusion, de configurer la collecte et l’analyse automatiques des journaux, ou une autre étape technologique qui fournira des alertes indiquant que quelque chose ne va pas et un degré de confinement en cas d’incident.
Effectuer des exercices de cartographie
Créez ou mettez à jour votre registre des actifs matériels et mappez votre réseau. Comprenez à quoi ressemble votre parc matériel, comment il vieillit, ce qui devra être remplacé ou mis à niveau, et quand.
Effectuez un exercice de cartographie des données, également appelé aménagement paysager des données, et enregistrez où se trouvent vos données, ce qu’elles contiennent, qui y a accès et toutes les autres informations requises sur vos données que la législation exige. Vous devrez peut-être enregistrer vos objectifs de collecte, de traitement ou de stockage des données, et avec qui vous les partagez. Vous devrez peut-être enregistrer et conserver une preuve de consentement si vous n’avez pas d’autre base légale pour avoir ces données. Tout cela constituera votre registre des actifs de données.
Identifiez et rationalisez les droits et privilèges des utilisateurs. Limitez-les autant que possible. Assurez-vous de disposer d’une procédure de «nouveau starter / quittant / changement de rôle» pour régir la manière dont vous créez ou ajustez les privilèges pour les nouveaux comptes et les changements de rôle, et pour verrouiller les anciens comptes lorsque quelqu’un quitte l’organisation.
La détection précoce est vitale
L’infiltration d’un réseau peut passer inaperçue. À moins que la violation ne soit détectée et alertée au personnel informatique, les acteurs de la menace peuvent se cacher dans votre réseau pendant des jours, des semaines ou des mois.
Un système de détection d’intrusion (IDS) est une bonne idée, il existe d’excellentes offres open-source telles que Snort. Il est important d’établir une base d’activité normale afin que les activités suspectes puissent être identifiées.
Si votre IDS détecte des tentatives de connexion suspectes, vous pourrez peut-être arrêter la violation avant qu’elle ne se produise. Si l’analyse des journaux révèle des connexions inexplicables – mais réussies – établies en dehors des heures ou à partir d’adresses IP géographiquement déroutantes, cela peut indiquer que les acteurs de la menace ont réussi à y accéder.
L’objectif est de détecter et d’agir sur les menaces dès qu’elles surviennent, d’empêcher l’accès en temps réel et de détecter les comportements suspects pour identifier les accès non autorisés s’ils ont réussi à se connecter.
Répétitions générales
Une fois que vous avez rédigé votre politique, essayez-la. En pleine crise, vous avez besoin de personnel pour la suivre, pas pour partir hors piste. Répéter le plan avec les parties prenantes et les autres acteurs – l’équipe chargée de l’incident – aide à faire comprendre que la meilleure stratégie est de suivre la politique, et non d’avoir des personnes dispersées et surexcitées agissant de manière indépendante et souvent contre-productives. Les véritables brèches peuvent avoir un effet « occupé mais paralysé ».
Faire des visites et des simulations d’incident pour répéter la politique permet de la peaufiner et de l’améliorer. Il établit qui est responsable de quoi et dans quel ordre les étapes doivent être exécutées. Cela n’a guère de sens d’alerter votre autorité de surveillance, par exemple, avant d’avoir caractérisé la violation. Attendez de savoir combien d’enregistrements ont été exposés et quel type de données personnelles ils contiennent.
La communication est vitale
N’oubliez pas la communication. C’est une façon dont vous serez évalué par l’Autorité de surveillance, les clients et les personnes concernées. Attribuez la responsabilité des communications à une équipe ou à un service. Assurez-vous que seuls les canaux officiels sont utilisés pour fournir des mises à jour et disposer d’un point de communication unique. Mettez à jour tôt et souvent et utilisez un anglais simple et clair. Soyez honnête et transparent.
N’oubliez pas d’informer votre propre personnel de ce qui s’est passé. Après tout, leurs propres données se trouvent sur votre réseau et peuvent donc également être affectés par la violation. Au minimum, ils doivent en savoir suffisamment pour répondre aux demandes de renseignements et diriger les appelants concernés vers la déclaration officielle sur votre site Web.
Vous devrez également tenir le C-suite ou le conseil d’administration informé de l’incident et de l’avancement du processus de résolution.
Fournir des conseils détaillés
Lorsqu’une violation potentielle est soupçonnée, l’équipe chargée des incidents doit être informée en guise d’avertissement et la politique suivie pour vérifier si la violation est réelle. Si c’est le cas, l’équipe peut être brouillée et commencer à évaluer la portée et l’impact. Des données personnelles ont-elles été impliquées dans la violation, dans l’affirmative, combien de personnes concernées sont-elles impliquées? Des données personnelles de catégorie spéciale ont-elles été exposées?
Forte de ces connaissances, l’équipe informatique peut passer au confinement et à l’assainissement, et l’équipe de communication peut démarrer son cycle de mises à jour et de conseils. Il peut être nécessaire, en fonction de la législation sous laquelle vous opérez, de contacter directement toutes les personnes concernées. Le RGPD l’exige.
Les étapes doivent être détaillées et claires, mais pas si longues que les équipes passent leur temps à lire au lieu de faire. Les organigrammes et les listes à puces prioritaires sont meilleurs que les pages de texte dense.
Les violations sont parfois inévitables, mais un plan de réponse solide vous aidera à minimiser la perturbation des opérations commerciales, les effets sur les personnes concernées et les mesures punitives de l’Autorité de surveillance.