Comment gérer une violation de données ?

A l’heure où de plus en plus d’établissements sont victimes d’attaques informatique, se pose la question. Comment gérer une violation de données?

Une gestion de violation de données personnelles se gère en amont, pour être prêt si cela arrive.

Un manque de préparation pourrait rendre la violation encore plus grave et entraîner des conséquences désastreuses pour la société visée et les personnes touchées.

Quelles étapes mettre en œuvre pour prévenir et gérer une faille de sécurité ?

revoir son système d’alerte en amont
Corriger la faille
Informer les usagers et les autorités
Documenter et anticiper

1. Revoir son système d’alerte

Il faut détecter une violation de données au plus vite pour la réparer. Pour cela des systèmes d’alerte sont nécessaires. Les systèmes d’alerte peuvent être les systèmes intégrés aux systèmes informatiques (surveillance des logs, alerte en cas de tentative de mot de passe infructueuse, connexion via l’étranger, etc.).

Un système d’alerte ne doit pas non plus laisser de côté l’humain. En effet, un certain nombre de failles ou de violation des données sont repérées par des employés ou des utilisateurs. Comme par exemple un accès à des données qu’ils ne devraient pas recevoir par exemple.

Il faut donc bien s’assurer que chacun de ces maillons puisse faire remonter rapidement l’information quand découverte, et que cette information remonte au plus vite aux référents techniques.

2. Corriger la faille

Dès que la faille est remontée, il faut au plus vite l’analyser et la corriger pour limiter le risque et sécuriser ce qui peut encore l’être.

En cas de faille très technique il peut être utile de prendre contact au plus vite avec l’ANSSI.

3. Informer

Le RGPD rappelle qu’une information rapide des autorités et des usagers est capitale.

On l’a vu (notamment dans notre article sur les mentions obligatoires), l’information des utilisateurs en amont, puis en cas de problème est primordiale.

Une bonne information permet également de limiter le risque. Un utilisateur informé que son compte a été corrompu, que son mot de passe est dans la nature ou encore ses informations bancaires pourra mieux se protéger (opposition à sa carte, changement de mot de passe) s’il est informé au plus vite.

L’entreprise doit également contacter la CNIL dans un délai de 72h maximum. Il ne sert à rien de chercher à cacher la faille, en cas de non prévenance le risque de sanction financière est important.

Pour contacter la CNIL il suffit de se rendre sur leur site à cette adresse.

4. Documenter

Une fois la faille corrigée et les personnes informées, il convient de documenter ce qui a été fait dans un registre des violations de données.

Cela peut également être l’occasion de revoir ses process internes afin d’éviter de nouveaux risques.

Une faille de sécurité est possible, même pour les sociétés les plus développées en terme informatique. Mais des bonnes pratiques sont nécessaires pour limiter au maximum ce risque.

C’est pourquoi il est possible de retrouver un certain nombre de ressources sur le site de l’ANSSI et notamment sur son MOOC : https://secnumacademie.gouv.fr/

Florian BOYENVAL

Juriste de formation, basé à Bordeaux, certifié à l’exercice de la profession de DPO par le CNAM, membre de l’AFCDP. J’accompagne les sociétés et collectivités dans la mise à niveau de leurs traitements de données personnelles (RGPD) en tant que DPO ou simple conseil sur des problématiques et projets en gestation.