5 étapes pour se préparer à une violation de données personnelles

Les PME, ces oubliées de la cybersécurité... A l'heure où le risque cyber occupe la première place des risques émergeant, la prévention doit devenir un fer de lance, notamment à destination des PME et ETI. Un an après, le RGPD est toujours un sujet d'actualité pour ces petites structures et peut faire peur.

Il est cependant possible d'avoir une approche simple et la cybersécurité et, en respectant quelques bonnes pratiques, d'éviter une fuite de données à caractère personnel.

Les menaces de cyberattaques figurent aujourd’hui parmi les principales préoccupations des entreprises qui se voient confrontées à des actes malveillants d’un niveau de complexité et de sophistication croissant.
Les conséquences peuvent se révéler critiques pour les organismes concernés : divulgation d’informations confidentielles, pertes financières, atteinte à la réputation et à l’image de marque …
Lorsque des données personnelles sont en jeu, vient s’ajouter un risque de sanction. En effet, le Règlement Général sur la Protection des Données (RGPD) impose désormais aux organisations de notifier les violations de données sous 72 heures à l’autorité de protection des données compétente et de démontrer qu'elles ont pris des mesures de sécurité adaptées au risque, sous peine de se voir infliger de lourdes amendes allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial (le montant le plus élevé des deux étant retenu).
Plus de 1200 violations de données personnelles ont déjà été notifiées à la CNIL depuis l’entrée en application du RGPD en mai dernier. La prévention est donc fondamentale pour accroitre la capacité des organisations à faire face au risque cyber et ainsi limiter les dommages si un incident de sécurité devait avoir lieu.
Voici 5 étapes pour se préparer efficacement à une potentielle violation de données personnelles.

1/ Analyser les risques

Avant d’établir un plan de réponse à un incident, il est essentiel de savoir quelles données détient l’entreprise et quels sont les risques encourus.
Il est important pour toute organisation de tenir un registre recensant l’ensemble des données personnelles traitées, les finalités des traitements, les destinataires des données, les durées de conservation et les mesures de sécurité mises en place. Ce premier travail de cartographie permettra d’identifier les traitements susceptibles de comporter un risque pour les droits et libertés des personnes et ceux qui portent sur des données sensibles. 
Une analyse d’impact relative à la protection des données (AIPD ou PIA en anglais) devra par la suite être menée pour étudier plus en détail les risques propres à ces traitements. Cette analyse permettra d’identifier les dangers et les vecteurs d’attaques potentiels afin de mettre en place des mesures de prévention adéquates.

2/ Mettre en place une procédure de gestion des violations de données

Pour réagir efficacement et être en mesure de respecter le délai de notification de 72 heures imposé par le RGPD, une approche minutieusement planifiée et documentée est nécessaire et peut être décisive en cas d’incident. 
La seconde étape est donc d’établir une procédure de gestion des violations de données. 
Cette procédure devra prévoir un système de signalement en interne (envoi d’un e-mail, ouverture d’un ticket, etc.) permettant aux collaborateurs de lever l’alerte rapidement sur les violations de données qu’ils pourraient découvrir ou dont ils pourraient être informés. 
La composition de l’équipe interne en charge de traiter l’incident devra également figurer dans la procédure et les rôles de chacun devront y être précisés (cf. Etape 3). 
Enfin, il ne faudra pas oublier d’y intégrer les modalités de notification à l’autorité de protection des données dans les 72 heures et dans certains cas aux personnes concernées dans les meilleurs délais.
Cette procédure pourra être rattachée à la procédure de gestion des incidents de sécurité si celle-ci existe déjà au sein de l’organisation et devra être diffusée à l’ensemble des salariés.  

3/ Définir les rôles et les responsabilités

Les membres de l’équipe de réponse en cas de violations de données personnelles doivent être identifiés et leurs rôles définis afin qu’ils soient prêts à intervenir le jour où un incident a lieu. 
Cette équipe doit être composée de membres du service informatique qui pourront identifier les failles et mettre en place les mesures techniques appropriées pour corriger ou stopper la violation de données. 
D’autres collaborateurs vont également jouer un rôle crucial, notamment le Data Protection Officer (DPO) qui devra déterminer si une notification à l’autorité de contrôle doit être réalisée après avoir évalué le nombre de personnes concernées et l’impact de la violation sur ces personnes. Il sera également en mesure d’accomplir cette notification, le cas échéant, après avoir récolté toutes les informations nécessaires pour y procéder. 
Par ailleurs, il ne faudra pas oublier d’inclure les personnes chargées de la communication et des relations publiques afin de protéger la réputation de l’entreprise et son image de marque. En effet, une violation de données personnelles, même sans risque majeur, peut entrainer la perte de confiance des partenaires et clients. Une bonne gestion de la communication au public sera d’autant plus importante en cas de violation de données engendrant un risque élevé pour les personnes concernées. Le RGPD impose en effet que, dans ce cas, une information sur cette violation soit adressée directement à ces personnes dans les meilleurs délais. 

4/Simuler une violation de données pour tester sa capacité à faire face à un réel incident

Une fois les procédures rédigées et les rôles attribués, il est important de tester régulièrement le dispositif mis en place en organisant des exercices de crises et en établissant des scénarios de violations de données réalistes et adaptés au contexte de l’organisation.
Les résultats de ces exercices seront essentiels pour identifier les éventuelles faiblesses des procédures de gestion des violations de données et s’assurer que tous les membres de la cellule de crise connaissent bien leurs rôles et responsabilités. 

5/ Sensibiliser son personnel aux enjeux de la sécurité des données

Les cybercriminels exploitent de plus en plus le facteur humain pour générer leurs attaques. En effet, ils profitent de l’inattention ou de la négligence des utilisateurs pour installer des programmes malveillants, infecter les systèmes et accéder à des informations confidentielles.
Ainsi, un mot de passe trop faible ou un simple clic par un employé sur une pièce jointe corrompue peuvent avoir des impacts préoccupants sur l’activité de son entreprise. 
La sensibilisation régulière de tous les collaborateurs est donc essentielle et doit être une priorité pour toute organisation afin d’éviter de tomber dans le piège des pirates. Il est important de responsabiliser chaque collaborateur en leur expliquant quels sont les risques et comment chacun d’entre eux peuvent agir pour s’en prémunir.  
Les programmes de sensibilisation doivent s’étaler tout au long de l’année pour être efficace. Ces actions de sensibilisation pourront prendre la forme de communications sur les cybermenaces et de rappels sur le bon comportement à adopter, de lettres d'information régulières, d’affiches dans des endroits visibles, d’e-learning… Les tests de phishing sont également un bon moyen d’identifier les lacunes et de faire une prévention plus ciblée. 
La menace des attaques liées à la cybercriminalité n’a jamais été aussi forte et présente. Les entreprises ne peuvent plus ignorer les enjeux liés aux fuites de données. 
L’impact financier introduit par le RGPD pousse les entreprises à une réelle prise de conscience et la mise en conformité de leurs processus est en route…