Signalement des incidents de sécurité liés à la confidentialité des données
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer ce qui constitue un incident de sécurité lié à la confidentialité des données
- Identifier les incidents potentiels de sécurité liés à la confidentialité des données
- Savoir quoi faire lorsque vous soupçonnez ou savez qu’un incident de sécurité lié à la confidentialité des données s’est produit
Qu’est-ce qu’un incident de sécurité ?
De nombreuses autorités dans le monde ont adopté des lois sur la déclaration des incidents de sécurité, de l’Union européenne (UE) à l’Amérique latine (LATAM), en passant par le Japon et l’Asie-Pacifique (JAPAC), ainsi que tous les États et territoires des États-Unis (US). Récemment aux États-Unis, le président a promulgué la loi Strengthening American Cybersecurity Act of 2022, qui oblige les entreprises d’infrastructures critiques à signaler les incidents de cybersécurité importants et tous les paiements de rançon à la CISA (Cybersecurity and Infrastructure Security Agency) du Département de la sécurité intérieure.
Selon le pays à partir duquel votre organisation opère, il existe de nombreuses lois et réglementations relatives au signalement des incidents pour des secteurs spécifiques tels que le gouvernement, les soins de santé, l’énergie, les télécommunications et les fournisseurs de services financiers, chacun adoptant sa propre définition de ce qui constitue un incident de sécurité (ou violation de données). En fonction des législations sur la déclaration des incidents de sécurité qui concernant votre organisation, vos accords de niveau de service client (SLA) ou vos contrats doivent contenir des exigences de déclaration des incidents de sécurité applicables aux données client.
Un incident de sécurité lié à la confidentialité des données correspond à toute utilisation non autorisée de données à caractère personnel ou de données client, qu’elle soit accidentelle ou intentionnelle. Voici des exemples d’incidents de sécurité courants.
- Un commercial envoie un e-mail contenant des données client au mauvais client.
- Un responsable imprime le CV d’un candidat, mais en rentrant chez lui, il oublie le document dans le train.
- Un ancien employé parti de l’entreprise a toujours accès aux systèmes de votre organisation et accède aux enregistrements des clients.
- Un stagiaire ouvre une pièce jointe d’un e-mail contenant un logiciel malveillant, ce qui entraîne la suppression ou le chiffrement des informations de contact des clients.
- Un disque dur partagé dispose d’autorisations trop larges, ce qui permet à un trop grand nombre de personnes d’accéder à des données à caractère personnel.
- Les informations d’identification ou les clés secrètes d’un client sont exposées sur un référentiel GitHub public.
- L’appareil de travail d’un employé (par exemple, un ordinateur portable ou un smartphone) est perdu ou volé.
- Un employé divulgue accidentellement des données à caractère personnel dans une réponse à un e-mail qui s’avère faire partie d’une attaque d’hameçonnage.
Tous ces incidents sont considérés comme des incidents de sécurité potentiels et doivent être signalés à l’équipe sécurité de votre organisation.
Signalement d’un incident de sécurité
Si vous suspectez un incident potentiel lié à la confidentialité des données, signalez-le immédiatement, même si vous n’êtes pas totalement sûr qu’il puisse être qualifié de violation de données ou d’incident de sécurité. Si votre organisation a mis en place un programme annuel de formation en sensibilisation à la sécurité, assurez-vous de le consulter pour obtenir des informations à jour sur la manière de signaler une activité suspecte ou des suspicions d’incidents de sécurité dans votre organisation.
Lorsque vous signalez un incident, vous devez fournir autant d’informations que possible, notamment :
- ce qui est arrivé ;
- les individus ou groupes impliqués ;
- l’heure, la date et le fuseau horaire où l’incident s’est produit ;
- les services qui ont été impliqués ou potentiellement impactés ;
- l’interlocuteur à contacter en cas de questions supplémentaires.
Délais de signalement des incidents de sécurité
Votre organisation peut avoir l’obligation légale de signaler les incidents de confidentialité des données dans un court laps de temps aux législateurs, aux clients et aux personnes touchées. Vous avez l’obligation de signaler immédiatement les incidents de sécurité à votre équipe sécurité interne, afin de lui laisser le temps d’enquêter sur l’incident et de répondre aux exigences de signalement externes. Dans certains cas, le fait de ne pas informer les parties concernées d’un incident lié à la confidentialité des données dans les délais requis peut entraîner des amendes conséquentes, une violation potentielle de vos obligations contractuelles, une atteinte à la confiance des clients et une atteinte à la réputation de votre organisation.
Comme vous pouvez le voir, il est essentiel de signaler immédiatement tous les incidents de sécurité potentiels, même si vous avez commis l’erreur qui a conduit à l’exposition de données à caractère personnel ou client.
Conclusion
Dans ce module, nous vous avons présenté les lois et principes relatifs à la confidentialité des données. Vous avez également appris à identifier les données client et qui est autorisé à les gérer. Enfin, vous avez appris les exigences en matière de signalement des incidents liés à la confidentialité des données.
Vous souhaitez en savoir plus sur les carrières et les technologies de la cybersécurité ? Consultez le centre de formation sur la cybersécurité pour explorer d’autres sujets en lien avec la sécurité et lire les témoignages de véritables professionnels de la sécurité.
Ressources
-
Site externe : IT Governance États-Unis : Lois sur la déclaration des violations de données par État
-
Site externe : Siteimprove : Qu’est-ce qu’une violation de données et comment la signaler dans le cadre du RGPD ?
-
Site externe : JDSUPRA : La nouvelle loi sur la cybersécurité obligera au signalement des cyberincidents pour les infrastructures critiques