Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Piratage : comment notifier et gérer efficacement une violation de données

août 2018 par Pierre-Louis Lussan, Country Manager France, chez Netwrix

Après l’opérateur américain T-Mobile victime d’une cyberattaque le 20 août dernier, qui a prévenu les autorités et ses 2 millions de clients victimes avant de faire la Une des journaux, c’est au tour du site de location de voitures du distributeur français Système U d’être touché. Le groupement a en effet annoncé le mardi 28 août dans un communiqué avoir a été victime d’un piratage. Les hackers auraient ainsi pu accéder à des données d’identification, des coordonnées et des informations en lien avec la réservation de véhicules et de matériels. Le distributeur indique avoir notifié cette violation à la CNIL et avoir pris les mesures nécessaires pour identifier les causes et les neutraliser afin d’en limiter l’impact.

Selon Pierre-Louis Lussan, Country Manager, chez Netwrix, ce nouveau cas de piratage montre que les entreprises ont fait des efforts significatifs en matière de notification de violation de données, des améliorations largement encouragées en Europe par le Règlement Général sur la Protection des Données (RGPD) :

« De nombreuses entreprises ont pris conscience de l’importance de sécuriser leur système informatique et de la valeur des données à leur disposition, faisant ainsi de la cybersécurité une priorité. Toutefois, malgré les moyens qu’elles développent pour protéger leurs ressources, elles ne sont pas à l’abri des hackers qui utilisent des méthodes de plus en plus sophistiquées. C’est pourquoi elles redoutent parfois le RGPD, qui oblige de notifier les violations de données dans un délai de 72 heures aux autorités compétentes. Plus facile à dire qu’à faire. Les infrastructures informatiques étant devenues plus complexes, il est désormais plus difficile de suivre les flux de données et de garantir que les fichiers sensibles ne sont pas surexposés.

Dans ce contexte, dans un souci de conformité et pour une gestion “post-attaque” maîtrisée, chaque organisation devrait être en mesure de détecter rapidement une violation de données. Pour relever ce défi, la mise en place d’une surveillance de l’activité au sein de l’infrastructure IT est un moyen efficace qui permet d’identifier toute anomalie, et de la signaler rapidement aux personnes concernées en cas de problème réel, tout en collectant les éléments nécessaires pour analyser l’incident. Il est également important de pouvoir évaluer l’impact de la violation sur les individus, et donc d’identifier les données sensibles, qui y a accès, où elles se trouvent, et enfin, comment elles sont classées en fonction de leur niveau de risque. Cela permet de connaître avec précision les informations qui ont été compromises et les conséquences éventuelles pour les personnes affectées.

Dans un second temps, les clients victimes d’une fuite de données doivent être informés dès que possible, soit par email ou bien via une note sur le site internet officiel de l’entreprise, comme l’a fait U-Enseigne. Cette étape est primordiale pour rassurer les consommateurs. Dans cette notification, il est fondamental que l’organisation communique un maximum d’informations, et explique, dans la mesure du possible, l’étendue de la violation, y compris les types de données compromises, le nombre de personnes concernées et le statut de l’enquête. Les recommandations à destination des utilisateurs sur la manière de se protéger contre les conséquences de l’attaque sont également essentielles.

Par ailleurs, dans le cadre du RGPD, il est nécessaire de signaler la violation auprès d’une autorité de régulation compétente. Les organisations basées en France doivent ainsi reporter à la Commission Nationale de l’Informatique et des Libertés (CNIL), une démarche suivie par le distributeur Système U suite à son piratage. Celles situées dans d’autres pays Européens doivent quant à elles se référer à l’autorité locale compétente. Enfin, pour les entreprises en dehors de l’Europe, cette responsabilité incombe à leurs représentants européens, qui sont également tenus de reporter à leur autorité locale de protection des données.

Le respect de ces différentes étapes contribue à gérer efficacement une violation de données lorsqu’elle survient, à condition que tous les employés soient au courant des obligations en vertu du RGPD, et qu’ils coopèrent avec l’équipe IT pour s’y conformer. Il est également important que les organisations puissent avoir une visibilité complète sur les activités au sein de l’environnement IT afin de contrôler leurs données, et ainsi avoir une connaissance approfondie de l’endroit où elles se trouvent et qui y a accès. De cette manière, elles pourront réagir immédiatement si une menace est avérée, et donc limiter les conséquences qui peuvent être très graves, aussi bien d’un point de vue financier que pour l’image et la réputation de l’entreprise. »


Voir les articles précédents

    

Voir les articles suivants