Hécatombe dans vos données : savez-vous quoi faire?
Jean-francois Parent
2022-06-21 14:15:00
Dans ce dernier cas, la fuite de données peut durer jusqu’à 9 mois avant d’être découverte, et colmatée, indique Mark Evans, directeur des ventes chez ActiveNav, une société américaine spécialisée dans la protection de données.
« Le coût d’un incident où les données sont compromises est jusqu’à 10 fois supérieur au coût de sa prévention », ajoute pour sa part John Salloum, associé chez Osler dans le groupe Respect de la vie privée et gestion de l’information.
Tous les deux menaient un séminaire sur les violations de données et la gouvernance de l’information lors du tout dernier colloque de l’Association canadienne des conseillers juridiques d’entreprise (ACCJE), auquel Droit-Inc a assisté en mai dernier.
« Savez-vous si votre entreprise s’est dotée d’un protocole à suivre lorsque la sécurité des données est compromise? Et, surtout, est-ce que ce protocole est à jour ? », demande John Salloum, selon qui beaucoup trop de départements juridiques d’entreprise n’ont pas de politique de gouvernance claire quant à la gestion des données.
Les ingrédients de la gestion du risque
La gestion des risques que posent l’absence de sécurité quant à la production, à l’utilisation et à la gestion des données nécessite de se doter d’une vue d’ensemble de la situation, expose Mark Evans.
« Cela exige un cadre opérationnel. Ce cadre s’articule autour de quatre grands axes, qui constitueront les piliers sur lesquels une politique de gestion du risque s’appuiera. »
La structure : C’est l’organigramme des personnes et des départements de gestion des données. Qui est responsable de quoi, à quel moment, et dans quelles situations?
L’idée est de cartographier les différentes parties impliquées et d’identifier les besoins et les manques dans l’organisation pour implanter la gestion du risque.
La stratégie : planifier une stratégie, qui permet de savoir où l’on en est et de déterminer ce qui manque pour se doter d’un une politique de gestion des données et d’un protocole de gestion des incidents.
L’inventaire des connaissances : faire le point sur les connaissances techniques et opérationnelles de chacune des parties impliquées dans la gestion du risque est également essentielle : trop souvent, une entreprise intègre une nouvelle technologie sans vraiment savoir les compétences pour en tirer profit, ce qui mine la gestion du risque.
« On veut que les gens sachent comment utiliser l’information et les outils nécessaires pour la générer de la bonne façon, afin de gérer le risque en amont », poursuit John Salloum.
Les outils : bien connaître le système par lequel les données sont générées et s’accumulent : les outils de gestion de la preuve électronique, les suites bureautiques, les bases de données, l’infonuagique, il faut que tout le monde dans la chaîne sache comment les utiliser.
Les processus à mettre en place
Inventaire des données : détailler d’où elles proviennent et où elles vont, comment elles sont conservées, etc. Dans la cacophonie des nombreuses exigences réglementaires qui s’appliquent, et varient selon le type de données colligées, se doter d’une cartographie claire et détaillée des intrants et des extrants de toutes les données utilisées par l’entreprise est crucial.
Processus de destruction des données : il faut également savoir quand et comment se débarrasser des données. « Accumuler des données est très facile mais cette accumulation augmente le risque que des données soient volées ou égarées », selon John Salloum.
Suivi et révision : En outre, la révision et le suivi des mises à jour des outils et des systèmes de protection est évidemment une procédure primordiale dans la gestion du risque.
Révision continue : Ces processus doivent également être revus en continu afin de les adapter aux nouvelles situations et aux risques émergents.
Se préparer à un incident
« Déployer une stratégie pour gérer un incident ne doit pas se faire dans le feu de l’action », affirme John Salloum.
Qui? Les communications, les TI, le juridique, et la direction doivent participer à une équipe d’intervention, d’autant qu’il est possible la fuite de données force l’entreprise à prendre une décision d’affaires.
Quoi? Avoir une bonne compréhension des données affectées ne suffit pas. Il faut un plan d’action. Comment gère-t-on le problème? Qui informera les clients, et avec quelles informations? D’où viennent les décisions finales? Voilà le genre de détails qu’il faut connaître en amont d’une urgence.
Un plan de communication interne et externe est bien sûr nécessaire.
Comment? Mais il faut également faire des simulations de situation. Comment gérer un client vraiment mécontent? Que faire si un gestionnaire commence à microgérer tout le monde? C’est le genre de scénario qu’il faut pouvoir anticiper, car tout peut arriver : un vol de données par un employé ne se gère pas de la même façon qu’une cyberattaque.
Préparation : Par ailleurs, faire des simulations d’incidents et des exercices de préparation permet d’identifier les lacunes.
Réagir à la catastrophe
La catastrophe survient? La première chose à faire est d’endiguer la fuite et de colmater la brèche. Il faut arrêter les dégâts d’abord et avant tout.
C’est ensuite qu’on doit évaluer les risques—et les dommages—qui peuvent découler de l’incident. A-t-on volé des information financières ou les données personnelles des clients? « Savoir d’emblée de quoi il retourne va conditionner les actions subséquentes », explique John Salloum.
Il faudra ensuite informer les interlocuteurs de l’entreprise : les autorités réglementaires, les clients, les fournisseurs… et pour faire cela, il faut pouvoir expliquer ce qui s’est passé, ce qui a été fait pour contenir la situation, et ce que les parties affectées peuvent faire de leur côté pour mitiger le risque posé par la fuite de données.
Enfin, les suites d’une alerte à la fuite de données doivent donner lieu à un retour sur l’événement : qu’est-ce qui a fait défaut? Y a-t-il eu des lacunes dans l'intervention ou la préparation?
Et enfin, quelles mesures doivent être prises pour l’avenir?