Comment réagir à une cyberattaque entraînant une violation de données

données sur l'écran de l'ordinateur

Les politiques de réponse aux violations de données sont essentielles pour les organisations de toute taille. Une politique d'intervention doit décrire la manière dont votre entreprise réagira en cas de violation de données, et établir un plan d'action qui sera utilisé pour enquêter sur les violations potentielles afin d'atténuer les dommages en cas de violation.

Définition d'une violation de données

Une violation de données est un incident au cours duquel des informations d'identification personnelle (IPI) sont consultées et/ou volées par une personne non autorisée. Voici quelques exemples d'IPI

Numéro d'assurance sociale
Informations relatives aux cartes de crédit (numéros de cartes de crédit - en tout ou en partie -, dates d'expiration des cartes de crédit, noms des titulaires de cartes, adresses des titulaires de cartes)
Numéro d'identification fiscale (numéro d'assurance sociale, numéro d'identification de l'entreprise, numéro d'identification de l'employeur)
- Enregistrements biométriques (empreintes digitales, ADN, motifs rétiniens et autres mesures de caractéristiques physiques utilisées pour vérifier l'identité des personnes)
Informations relatives à la paie (chèques de paie, fiches de paie)
Informations médicales concernant un employé ou un client (noms des médecins et demandes de remboursement ; demandes d'assurance ; ordonnances ; toute information médicale personnelle connexe)
Autres informations personnelles d'un client, d'un employé ou d'un contractant (dates de naissance, adresses, numéros de téléphone, noms de jeune fille, noms, numéros de client)

Confinement des brèches et évaluation préliminaire

Toute violation ou suspicion de violation d'IPI doit faire l'objet d'une enquête immédiate et être circonscrite. Toutes les IPI étant de nature hautement confidentielle, seul le personnel nécessaire à l'enquête sur la violation de données doit être informé de la violation. Les informations suivantes doivent être communiquées au personnel d'encadrement approprié :

Quand (date et heure) la violation s'est-elle produite ?
Comment la violation s'est-elle produite ?
Quels types d'informations nominatives ont pu être compromises (soyez aussi précis que possible : nom ; nom et numéro d'assurance sociale ; nom, compte et mot de passe ; etc.)
Combien de clients peuvent être concernés ?

Évaluation des risques associés à la brèche

Une fois que les informations de base sur la violation ont été établies, la direction doit consigner les événements et les personnes impliquées, ainsi que toute découverte faite au cours de l'enquête afin de déterminer s'il y a eu violation ou non.

Une fois que la violation a été vérifiée et circonscrite, procédez à une évaluation des risques qui porte sur les éléments suivants :

Sensibilité des IIP perdues (les coordonnées des clients peuvent en elles-mêmes représenter une menace beaucoup moins importante que les informations financières)
Quantité d'informations nominatives perdues et nombre de personnes concernées
Probabilité que les IPI soient utilisables ou puissent causer des dommages
Probabilité que les IIP aient été ciblées intentionnellement (augmentation du risque d'utilisation frauduleuse)
la force et l'efficacité des technologies de sécurité protégeant les IPI (par exemple, les IPI cryptées sur un ordinateur portable volé, qui sont techniquement des IPI volées, seront beaucoup plus difficiles d'accès pour un criminel).
Capacité de votre entreprise à atténuer le risque de préjudice

Notification

Les dispositions relatives à la notification d'une violation de données diffèrent d'une juridiction à l'autre. Dans certaines juridictions, les clients concernés doivent être informés avant qu'un certain délai ne se soit écoulé. Renseignez-vous auprès d'un conseiller juridique ou de votre représentant au sein du groupe Axis Insurance sur les réglementations en vigueur dans votre juridiction.

Outre les clients concernés, une entreprise victime d'une violation de données est également encouragée à notifier le(s) commissaire(s) à la protection de la vie privée compétent(s). Dans certaines juridictions, la notification au Commissaire à la protection de la vie privée est obligatoire. Dans d'autres, elle est seulement recommandée.

Évaluations cybernétiques :

Avec l'utilisation croissante de la technologie dans la vie des gens pour rester connectés tout en travaillant la plupart du temps à domicile, les menaces de cybersécurité sont également devenues un problème croissant et nécessitent des évaluations appropriées pour gérer les lacunes et les risques de sécurité qui peuvent nuire à votre entreprise.

C'est pourquoi il est important de procéder à des cyberévaluations appropriées afin de limiter les risques de violation du système de cybersécurité de l'entreprise.

Obtenez une évaluation GRATUITE des cyber risques pour savoir si vous protégez correctement votre entreprise contre les cyberrisques :

L'industrie

Solutions

Comment réagir à une cyberattaque entraînant une violation de données ?

Plus d'informations

Comptabilité et administration

Comment réagir à une cyberattaque entraînant une violation de données ?

Plus d'informations

Les cyberattaques pilotées par l'I.A. entraînent une augmentation de 149 % des incidents liés aux ransomwares au début de l'année 2025. Nos conseils pour garder une longueur d'avance sur la prochaine brèche.

La cybersécurité dans le secteur de la santé : Sauvegarder les données et la confiance des patients