Vous pensiez peut-être que les systèmes de votre entreprise étaient parfaitement protégés, mais des pirates ont réussi à accéder à la base de données de vos clients et ont volé des informations personnelles et financières ? Vous venez de détecter une fuite de données ? L’heure tourne et vous devez réagir vite. Quelles sont les mesures à prendre immédiatement ?
La protection des données des citoyens de l’UE relève de la compétence du RGPD. Si votre entreprise traite les données de ces citoyens, elle doit se conformer aux exigences du RGPD. Par conséquent, en cas de fuite de données, vous devez prendre des mesures prédéfinies pour protéger les données des personnes concernées.
Dans de telles situations, non seulement vous devez vous confronter aux autorités et aux amendes qu’elles vous infligeront mais c’est aussi votre réputation qui est en jeu. En effet, bien souvent les pirates publient les bases de données volées sur le dark web, et il est évident que vous ne pouvez pas vous permettre d’ignorer la situation.
Alors, comment faire face aux fuites de données des clients ?
1) Informez votre responsable de la protection des données et l’autorité de contrôle de votre pays.
En cas de fuite de données, vous êtes tenu d’informer l’autorité de protection des données (APD), qui est l’autorité publique indépendante établie par chaque État membre de l’UE pour garantir et appliquer les lois sur la confidentialité et les données personnelles. Vous devez prendre cette mesure dès que vous avez connaissance de la fuite de données, en la signalant dans les 72 heures. Si les activités de votre entreprise impliquent le traitement de données sensibles à grande échelle ou le suivi régulier et systématique des informations personnelles, des comptes, des transactions, etc. de personnes physiques, votre équipe de sécurité doit d’abord informer votre délégué à la protection des données (DPD). Le DPD doit alors notifier l’autorité chargée de la protection des données, sauf s’il est peu probable que la fuite de données personnelles entraîne un risque pour les droits et les libertés des personnes concernées.
EN SAVOIR PLUS
Combien une fuite de données peut-elle vous coûter ? Consultez ces quelques exemples bien connus.
2) Corrigez les éventuelles failles de votre sécurité réseau.
De nombreuses mesures peuvent être prises après la découverte d’une fuite de données, notamment :
- Modifiez ou mettez à jour les identifiants de connexion des appareils de l’entreprise et mettez en place une authentification à deux facteurs. Si vous n’utilisez pas encore de système de 2FA, ajoutez ce puissant outil de vérification des identifiants à vos mesures de sécurité.
- Recherchez des traces de la faille de sécurité dans tous les segments du réseau. Il est probable que le pirate se soit infiltré via plusieurs segments. Pour empêcher une attaque de se propager, vous pouvez réacheminer le trafic réseau, filtrer ou bloquer le trafic, ou isoler tout ou partie du réseau compromis.
- Travaillez avec une équipe d’experts de la cybersécurité et des enquêtes approfondies pour déterminer comment la fuite s’est produite, et prenez les mesures nécessaires pour y mettre fin et éliminer toute autre fuite potentielle.
EN SAVOIR PLUS
Évaluez votre cyber-risque. Pour en savoir plus, consultez l’article suivant.
3) Déterminez quel type de données client a été exposé.
Pour évaluer l’ampleur et l’impact d’une fuite de données, vous avez besoin d’un processus de gestion des risques, de haut niveau et doté d’outils robustes de détection et de signalement des fuites. Si vous êtes déjà confronté à une fuite de données, déterminez d’abord le type de données exposé. Il faut parfois plusieurs jours pour déterminer l’étendue d’une attaque, donc commencez ce processus tout de suite. Recherchez les impacts sur les emails, les numéros de téléphone, les dossiers médicaux, les données de cartes bancaires ou les identifiants personnels tels que les numéros de sécurité sociale. Estimez le nombre de clients dont les données personnelles sont exposées. La fuite des données est-elle susceptible d’avoir un impact sur l’exercice des droits des personnes concernées ?
EN SAVOIR PLUS
Quelles précautions pouvez-vous prendre pour protéger les données des clients ? Vous pouvez le découvrir dans l’article 6 conseils clés à prendre en compte pour le traitement des données des clients.
4) Contactez les clients dont les données personnelles sont exposées.
Les entreprises doivent minutieusement se préparer au fait qu’en cas de fuite des données personnelles, elles devront contacter dans certains cas des centaines de milliers de personnes, ce qui peut facilement paralyser une entreprise. Il est nécessaire d’informer les personnes (voir les exceptions dans l’encadré ci-dessous), et d’impliquer une équipe de relations publiques ou de communication dans ce processus. Une fois que vous savez ce qui s’est passé avec ces données, présentez des excuses directement aux personnes concernées et répondez aux questions suivantes : que s’est-il passé ? Quelles étaient les informations concernées ? Que fait l’entité touchée ? Que pouvez-vous faire si vous avez été impacté ?
5) Révisez les mesures de sécurité existantes.
Une fois la fuite des données personnelles traitée, il est fortement recommandé d’envisager différentes manières de renforcer les mesures de sécurité de votre entreprise. Actualisez votre stratégie de cybersécurité et mettez en œuvre de meilleures solutions de sécurité pour le chiffrement des données, la surveillance des réseaux et les politiques de mots de passe et investissez dans la formation des employés à la cybersécurité.
