1.Les Premiers réflexes en cas d’incident
a. Le signalement de l’incident
Lorsqu’un incident de sécurité est constaté, il convient de mettre en place une chaîne d’alerte permettant la prise en charge de l’incident, le contrôle de l’existence ou non d’une violation de données à caractère personnel et la gestion de cette violation.
Toute personne qui a connaissance d’un incident de sécurité ou qui soupçonne une violation de données sur une des ressources composant le système d’informations doit le remonter :
- Aux personnes en charge de la sécurité des systèmes d’information. Cette information peut également être portée
- Au délégué à la protection des données et aux personnes en charge de la protection des données personnelles.
L’information doit être portée immédiatement et au maximum dans les 24 heures suivant la constatation de l’incident, afin que, le cas échéant, le délai de 72 heures imparti pour notifier la violation auprès de la CNIL soit respecté.
Le signalement de l’incident doit inclure, autant que faire ce peut, les catégories d’information suivantes :
- L’outil ou le service concerné et la localisation de l’hébergement ;
- La date et l’heure de constatation de l’incident ;
- Le cas échéant, la durée et la date de fin de l’incident ;
- Les caractéristiques constatées de l’incident.·
b. La qualification de l’incident
Toutes les violations de données personnelles sont considérées comme des incidents de sécurité, mais tous les incidents de sécurité ne se traduisent pas nécessairement par des violations de données personnelles. Par conséquent, dès qu’un incident de sécurité survient, il est crucial de déterminer immédiatement s’il y a eu une violation de données personnelles afin de prendre rapidement les mesures nécessaires pour y remédier.
Il convient de déterminer :
- Si les données impactées par la violation de données se rapportent, directement ou indirectement, à une personne physique identifiée ou identifiable(4 (1) RGPD);
- Quelle est la typologie de la violation.
Violation de confidentialité : divulgation ou accès non autorisés de données à caractère personnel. Par exemple, envoi de données personnelles au mauvais destinataire ; publication involontaire de données personnelles sur Internet ;intrusion par un tiers dans les systèmes d’informations.
Violation de l’intégrité : altération de données à caractère personnel. Par exemple: altération de données personnelles sans autorisation.
Violation de disponibilité : destruction ou perte, accidentelles ou illicites, de données à caractère personnel. Par exemple: perte ou vol d’un ordinateur, d’une clé USB non chiffrée ; suppression accidentelle de données personnelles par un membre du personnel ; attaque par rançongiciel (ransomware) avec chiffrement des données personnelles ; indisponibilité des données personnelles, même temporaire, suite à une panne de courant.
Selon les circonstances, une violation peut concerner à la fois la confidentialité, la disponibilité et l’intégrité des données personnelles, ou une combinaison des trois. Si les données personnelles ne sont pas impactées, l’on peut conclure qu’il n’y a pas de violation de données personnelles.
c. La Mobilisation de la cellule de crise
Dès qu’une crise liée à une violation de données survient, la cellule de crise doit être immédiatement activée selon le plan de gestion de crise établi. Cette cellule regroupe des membres clés de l’entreprise, sélectionnés en fonction de la nature spécifique de la crise et de leurs domaines d’expertise.
Dans cette cellule de crise peuvent figurer le Responsable de la Sécurité des Systèmes d’Information (RSSI), le Délégué à la Protection des Données (DPO), le Directeur juridique et le Directeur de communication. Elle peut faire appel aux différents experts internes et externes en capacité de l’accompagner dans cette gestion de crise.
d. Évaluation de l’incident
L’évaluation de l’ampleur de l’incident est une étape déterminante. Elle dépendra des critères suivants :
- Le type de violation (atteinte à l’intégrité, la confidentialité, la disponibilité des données),
- La nature de données affectées ( Données sensibles, données relatives aux infractions et condamnations, données à caractère hautement personnel),
- Le volume de données ou de personnes concernées
- La facilité d’identifier les personnes concernées grâce aux données faisant l’objet de la violation
- Les conséquences possibles pour ces personnes (gravité et vraisemblance)
- Les catégories de personnes concernées (personnes vulnérables, etc.)
e. Élaboration d’un plan d'action
La cellule de crise élabore un plan qui identifie les actions spécifiques à entreprendre pour :
- Identifier le périmètre de la violation de donnée,
- Définir les différentes issues techniques et juridiques à mettre en place,
- Déterminer la stratégie de communication à adopter que ce soit, en interne, vis-à-vis de la CNIL, des personnes concernées mais également des médias.
En parallèle, si la violation de données impacte une ou plusieurs activités critiques de l’organisme, la cellule de crise peut décider de déclencher le plan de continuité d’activité.
f. Mise en œuvre d’un plan de remédiation
Il convient de mettre en œuvre les mesures nécessaires pour remédier à l’incident dans la mesure du possible, à tout le moins limiter ses conséquences négatives.
Les actions suivantes peuvent être mises en œuvre, quelle que soit la nature de l’incident :
- Vérifier la configuration du profil des comptes à l’origine de l’incident ;
- Retirer momentanément les droits associés aux comptes à l’origine de l’incident ;
- Transmettre au(x) sous-traitant(s) des informations relatives à l’incident,
- Procéder à la désactivation et/ou à la suspension des comptes concernés par l’incident.
D’autres mesures immédiates pourront être décidées, en fonction de la nature et des caractéristiques de l’incident (exemple : génération de nouveaux mots de passe pour les comptes concernés).
2.Le Pilotage de la crise
a. La Constitution des preuves
Le RSSI doit tenir un journal de suivi dès le début de l’incident et tout au long de la gestion de crise afin de recenser tous les éléments et mesures techniques liés à la violation; les décisions et les actions mises en œuvre pour aider à résoudre la crise. Ce journal de suivi a aussi pour but de faciliter le suivi des opérations et la coordination entre les différents membres de la cellule de crise.
Un dossier de preuves techniques devra également être mis en place. Il peut être composé de la copie du système qui n’est ni en exploitation ni en analyse ; du rapport d’incident et logs de connexions au serveur ; et du procès-verbal de constat d’huissier. En effet, un constat d’huissier peut être opéré dans certains cas pour attester de la nature de la violation et des mesures correctives mises en place.
A la suite de cela un rapport d’investigation doit être rédigé. L’objet de ce rapport est de documenter précisément les actions menées pour remédier à la violation, ou le cas échéant pour en atténuer les conséquences négatives.
b. Notification et communication
Communication interne et externe
Une communication interne ( au personnel) et externe (aux médias) peut être mise en place. Elle peut prendre la forme d’une lettre d’information ; d’un bandeau informatif sur l’intranet ; d’un message électronique; d’un bandeau informatif sur le site internet ; d’une information sur les réseaux sociaux ; ou d’un communiqué de presse.
Si les circonstances l’exigent, la direction n’a pas d’obligation de communiquer sur l’évènement en interne. Il en va de même de la communication externe, sauf dans le cadre des prévisions de l’article 34 du RGPD.
Notification à la CNIL
La notification de la violation de données est une obligation légale (article 33 du RGPD). Il en ressort que si la violation présente un risque pour les droits et les libertés des personnes physiques, elle doit être notifiée à la Cnil. Il faut notifier la violation de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. En cas d’un retard de notification, des motifs doivent être apportés afin de justifier ce dernier.
Ainsi, l’article 33 du RGPD exige que cette notification contienne à minima les informations suivantes :
- La nature des données (personnelles ou sensibles) ;
- Les catégories et le nombre approximatif des personnes concernées ;
- Le nombre approximatif des enregistrements des données personnelles ;
- Les coordonnées du DPO auprès duquel les informations complémentaires peuvent être obtenues ;
- Les mesures envisageables ou prises par le responsable de traitement afin de remédier ou atténuer l’impact de l’incident.
Dans l’hypothèse où l’organisme n’a pas la capacité de transmettre l’ensemble des informations au moment de la notification, celle-ci peut être complétée a posteriori.
Le site internet de la Cnil dispose d’une page dédiée expliquant comment procéder la notification et permettant d’accéder au formulaire en ligne de notification des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles.
Communication aux personnes concernées
Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et les libertés de personnes physiques(4. Article 34, 1 du RGPD), il est alors nécessaire d’informer ces personnes dès que possible, pour leur permettre de prendre les mesures nécessaires pour se protéger des conséquences de la violation.
Il est nécessaire de décrire, en des termes clairs et simples, la nature de la violation de données personnelles et d’indiquer au moins :
- Le nom et les coordonnées du DPO ou d’un autre point de contact ;
- Une description des conséquences probables de la violation de données personnelles ;
- Une description des mesures prises ou envisagées pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Une communication spécifique doit être mise en place pour les besoins de l’information des personnes concernées. Elle ne doit pas être envoyée groupée avec d’autres informations (mises à jour régulières, newsletters ou messages d’informations standards).
Aucune condition de forme n’est prévue pour la communication. Aussi, la communication aux personnes concernées n’est pas nécessaire lorsqu’elle exigerait des efforts disproportionnés. Toutefois, dans une telle situation, il est impératif d’opter pour une communication publique ou une mesure équivalente garantissant une information tout aussi efficace des personnes impliquées.
c. La déclaration à l’assurance
Lorsque la violation de données personnelles est établie, une déclaration à l’assurance doit être faite dans les meilleurs délais, selon les modalités décrites dans la police d’assurance souscrite.
La déclaration de sinistre comprend une brève description des faits compte tenu du niveau d’information dont dispose l’organisme à la date de la déclaration.
Il est important de souligner que selon les dispositions de l’article L. 12-10-1 du code des assurances, pour pouvoir bénéficier du contrat d’assurance cyber risque, l’assuré doit déposer plainte dans un délai de 72 heures après avoir eu connaissance de l’atteinte.
d. Le Dépôt de plainte
Si la violation est liée à des faits susceptibles d’être qualifiés d’infractions pénales, il est conseillé de déposer plainte au commissariat de police ou à la gendarmerie la plus proche et de tenir à disposition des enquêteurs tous les éléments de preuves techniques.
Il est également possible de prévoir le dépôt de plainte auprès de la section J3 (cybercriminalité) du parquet du Tribunal judiciaire de Paris, qui dispose d’une compétence concurrente en la matière (article 706-72-1 du Code de procédure pénal).
3.La Sortie de crise
a. Le Registre des violations de données
L’obligation de tenue d’un registre des violations de données résulte du principe d’accountability, auquel le responsable de traitement est tenu, et permettra à la CNIL, en cas de contrôle, de vérifier que celui-ci se conforment bien au respect de ce principe.
Le registre de violations de données doit être tenu en toutes circonstances et indépendamment des obligations de notification et de communication des violations de données. Il doit contenir :
- Le descriptif de la violation de données ;
- La description de l’incident de sécurité, (mode opératoire de l’attaquant s’il y a lieu) ;
- Leseffets de la violation de données;
- Lesmesures techniques et organisationnelles mises en œuvre pour y remédier ;
- Les notifications et communications effectuées, ainsi que la clôture par l’envoi de la notification définitive.
b. La sécurisation des traitements
Un ensemble de mesures doit être pris afin de renforcer la sécurité des traitements affectés.
Dans ce cadre certaines procédures peuvent être mises à jour. Cela peut passer par une analyse des outils techniques afin de monter en robustesse ceux qui se seraient révélés défaillants.
C’est aussi l’opportunité de mettre en place des procédures internes et des opérations de sensibilisation afin de faire acquérir les bons réflexes en matière de sécurité au personnel.
c. Retour d’expérience
Quand survient une violation de données il est nécessaire de mener des investigations, afin de déterminer si la violation résulte ou non d’une erreur humaine ou d’un problème systématique et de voir comment une récidive peut être évitée.
Une gestion efficace de la crise implique donc de tirer des leçons de l’incident et de mettre en place des mécanismes d’amélioration continue. Cela peut inclure la révision des processus internes, la formation du personnel et la mise en place de protocoles pour répondre plus efficacement aux violations futures.
La gestion d’une violation de données est une responsabilité cruciale pour toute entreprise moderne. À la lumière des défis croissants liés à la sécurité informatique, il est impératif pour les directions d’adopter des stratégies robustes et proactives pour minimiser les risques et atténuer les conséquences en cas de violation.
Une stratégie de gestion de crise bien définie, incluant des plans d’actions clairs et une communication efficace avec les parties prenantes, est indispensable pour gérer au mieux les conséquences d’une violation de données.
Étapes de la Gestion de la Violation de données personnelles
Si vous recherchez un cabinet pour vous accompagner dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de sécurité des systèmes d’information ( Plan de reprise d’activités/ Plan de continuité d’activités) ;
- Le pilotage de l’Intégration de la Cybersécurité et de la Protection des données dans les Projets Stratégiques ;
- La formation et la sensibilisation de vos collaborateurs conformément à une série de normes en vigueur (RGPD, NIS 2, DORA, ISO 27001).
Et bien plus encore, contactez nous à l’adresse suivante : information@alcees.com ou en remplissant le formulaire de contact !
Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !
Alcees Confirme sa Participation à La Plage aux Entrepreneurs 2024 et vous y donne rendez-vous
Alcees participe à l’INSUR TOUR MARSEILLE 2024 : L’Évènement Incontournable pour les Professionnels de l’Assurance
Alcees participe au REGTECH DAY 2024 : L’Évènement Incontournable de l’Innovation dans les Fonctions de Contrôle du Secteur Financier
Alcees Confirme sa Participation aux Universités d’Eté de la Cybersécurité & du Cloud de Confiance et vous y donne rendez-vous
5 Informations Clés pour Bien Gérer la Conformité au Règlement Européen sur l’Intelligence Artificielle
Alcees Participe au Kick Off du RISK SUMMIT 2025
Partager cette publication à un collègue ou une connaissance
Insights liés
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.
La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.
L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.
Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.
Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.