Le bilan de la CNIL sur les cinq ans de mise en œuvre du RGPD montre que le secteur privé est à l’origine de deux tiers des violations de données signalées, avec 39 % provenant de PME. Les secteurs financier et assurantiel représentent 10,9 % des notifications de violations de données. Dans un contexte numérique en constante évolution, les violations de données personnelles représentent une menace sérieuse pour les entreprises. Ces incidents, souvent coûteux et nuisibles pour la réputation, exigent une réponse rapide et efficace de la direction. Cet article explore les solutions clés pour prévenir et gérer ces violations, en mettant l'accent sur les meilleures pratiques et la conformité réglementaire, telles que le RGPD, afin de protéger les données et renforcer la confiance des parties prenantes.

Partager cet article

1.Les Premiers réflexes en cas d’incident

a. Le signalement de l’incident

Lorsqu’un incident de sécurité est constaté, il convient de mettre en place une chaîne d’alerte permettant la prise en charge de l’incident, le contrôle de l’existence ou non d’une violation de données à caractère personnel et la gestion de cette violation.

Toute personne qui a connaissance d’un incident de sécurité ou qui soupçonne une violation de données sur une des ressources composant le système d’informations doit le remonter :  

  • Aux personnes en charge de la sécurité des systèmes d’information. Cette information peut également être portée
  • Au délégué à la protection des données et aux personnes en charge de la protection des données personnelles.

L’information doit être portée immédiatement et au maximum dans les 24 heures suivant la constatation de l’incident, afin que, le cas échéant, le délai de 72 heures imparti pour notifier la violation auprès de la CNIL soit respecté.

Le signalement de l’incident doit inclure, autant que faire ce peut, les catégories d’information suivantes :

  • L’outil ou le service concerné et la localisation de l’hébergement ;
  • La date et l’heure de constatation de l’incident ;
  • Le cas échéant, la durée et la date de fin de l’incident ;
  • Les caractéristiques constatées de l’incident.·

b. La qualification de l’incident

Toutes les violations de données personnelles sont considérées comme des incidents de sécurité, mais tous les incidents de sécurité ne se traduisent pas nécessairement par des violations de données personnelles. Par conséquent, dès qu’un incident de sécurité survient, il est crucial de déterminer immédiatement s’il y a eu une violation de données personnelles afin de prendre rapidement les mesures nécessaires pour y remédier.

Il convient de déterminer :

  1. Si les données impactées par la violation de données se rapportent, directement ou indirectement, à une personne physique identifiée ou identifiable(4 (1) RGPD);
  2. Quelle est la typologie de la violation.

Violation de confidentialité : divulgation ou accès non autorisés de données à caractère personnel. Par exemple, envoi de données personnelles au mauvais destinataire ; publication involontaire de données personnelles sur Internet ;intrusion par un tiers dans les systèmes d’informations.

Violation de l’intégrité : altération de données à caractère personnel. Par exemple: altération de données personnelles sans autorisation.

Violation de disponibilité : destruction ou perte, accidentelles ou illicites, de données à caractère personnel. Par exemple: perte ou vol d’un ordinateur, d’une clé USB non chiffrée ; suppression accidentelle de données personnelles par un membre du personnel ; attaque par rançongiciel (ransomware) avec chiffrement des données personnelles ; indisponibilité des données personnelles, même temporaire, suite à une panne de courant.

Selon les circonstances, une violation peut concerner à la fois la confidentialité, la disponibilité et l’intégrité des données personnelles, ou une combinaison des trois. Si les données personnelles ne sont pas impactées, l’on peut conclure qu’il n’y a pas de violation de données personnelles.

c. La Mobilisation de la cellule de crise

Dès qu’une crise liée à une violation de données survient, la cellule de crise doit être immédiatement activée selon le plan de gestion de crise établi. Cette cellule regroupe des membres clés de l’entreprise, sélectionnés en fonction de la nature spécifique de la crise et de leurs domaines d’expertise.

Dans cette cellule de crise peuvent figurer le Responsable de la Sécurité des Systèmes d’Information (RSSI), le Délégué à la Protection des Données (DPO), le Directeur juridique et le Directeur de communication. Elle peut faire appel aux différents experts internes et externes en capacité de l’accompagner dans cette gestion de crise.

d. Évaluation de l’incident

L’évaluation de l’ampleur de l’incident est une étape déterminante. Elle dépendra des critères suivants :

 

  • Le type de violation (atteinte à l’intégrité, la confidentialité, la disponibilité des données),
  • La nature de données affectées ( Données sensibles, données relatives aux infractions et condamnations, données à caractère hautement personnel),
  • Le volume de données ou de personnes concernées
  • La facilité d’identifier les personnes concernées grâce aux données faisant l’objet de la violation
  • Les conséquences possibles pour ces personnes (gravité et vraisemblance)
  • Les catégories de personnes concernées (personnes vulnérables, etc.)

e. Élaboration d’un plan d'action

La cellule de crise élabore un plan qui identifie les actions spécifiques à entreprendre pour :

 

  • Identifier le périmètre de la violation de donnée,
  • Définir les différentes issues techniques et juridiques à mettre en place,
  • Déterminer la stratégie de communication à adopter que ce soit, en interne, vis-à-vis de la CNIL, des personnes concernées mais également des médias.

En parallèle, si la violation de données impacte une ou plusieurs activités critiques de l’organisme, la cellule de crise peut décider de déclencher le plan de continuité d’activité.

f. Mise en œuvre d’un plan de remédiation

Il convient de mettre en œuvre les mesures nécessaires pour remédier à l’incident dans la mesure du possible, à tout le moins limiter ses conséquences négatives.

Les actions suivantes peuvent être mises en œuvre, quelle que soit la nature de l’incident :

 

  • Vérifier la configuration du profil des comptes à l’origine de l’incident ;
  • Retirer momentanément les droits associés aux comptes à l’origine de l’incident ;
  • Transmettre au(x) sous-traitant(s) des informations relatives à l’incident,
  • Procéder à la désactivation et/ou à la suspension des comptes concernés par l’incident.

D’autres mesures immédiates pourront être décidées, en fonction de la nature et des caractéristiques de l’incident (exemple : génération de nouveaux mots de passe pour les comptes concernés).

Les premiers réflexes en cas d'incident

2.Le Pilotage de la crise

a. La Constitution des preuves

Le RSSI doit tenir un journal de suivi dès le début de l’incident et tout au long de la gestion de crise afin de recenser tous les éléments et mesures techniques liés à la violation; les décisions et les actions mises en œuvre pour aider à résoudre la crise. Ce journal de suivi a aussi pour but de faciliter le suivi des opérations et la coordination entre les différents membres de la cellule de crise.

Un dossier de preuves techniques devra également être mis en place. Il peut être composé de la copie du système qui n’est ni en exploitation ni en analyse ; du rapport d’incident et logs de connexions au serveur ; et du procès-verbal de constat d’huissier. En effet, un constat d’huissier peut être opéré dans certains cas pour attester de la nature de la violation et des mesures correctives mises en place.

A la suite de cela un rapport d’investigation doit être rédigé. L’objet de ce rapport est de documenter précisément les actions menées pour remédier à la violation, ou le cas échéant pour en atténuer les conséquences négatives.

b. Notification et communication

Communication interne et externe

Une communication interne ( au personnel) et externe (aux médias) peut être mise en place. Elle peut prendre la forme d’une lettre d’information ; d’un bandeau informatif sur l’intranet ; d’un message électronique; d’un bandeau informatif sur le site internet ; d’une information sur les réseaux sociaux ; ou d’un communiqué de presse.

Si les circonstances l’exigent, la direction n’a pas d’obligation de communiquer sur l’évènement en interne. Il en va de même de la communication externe, sauf dans le cadre des prévisions de l’article 34 du RGPD.

Notification à la CNIL

La notification de la violation de données est une obligation légale (article 33 du RGPD). Il en ressort que si la violation présente un risque pour les droits et les libertés des personnes physiques, elle doit être notifiée à la Cnil. Il faut notifier la violation de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. En cas d’un retard de notification, des motifs doivent être apportés afin de justifier ce dernier.

Ainsi, l’article 33 du RGPD exige que cette notification contienne à minima les informations suivantes :

  • La nature des données (personnelles ou sensibles) ;
  • Les catégories et le nombre approximatif des personnes concernées ;
  • Le nombre approximatif des enregistrements des données personnelles ;
  • Les coordonnées du DPO auprès duquel les informations complémentaires peuvent être obtenues ;
  • Les mesures envisageables ou prises par le responsable de traitement afin de remédier ou atténuer l’impact de l’incident.

 

Dans l’hypothèse où l’organisme n’a pas la capacité de transmettre l’ensemble des informations au moment de la notification, celle-ci peut être complétée a posteriori.  

Le site internet de la Cnil dispose d’une page dédiée expliquant comment procéder la notification et permettant d’accéder au formulaire en ligne de notification des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles. 

Communication aux personnes concernées

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et les libertés de personnes physiques(4. Article 34, 1 du RGPD), il est alors nécessaire d’informer ces personnes dès que possible, pour leur permettre de prendre les mesures nécessaires pour se protéger des conséquences de la violation.

Il est nécessaire de décrire, en des termes clairs et simples, la nature de la violation de données personnelles et d’indiquer au moins :

  • Le nom et les coordonnées du DPO ou d’un autre point de contact ;
  • Une description des conséquences probables de la violation de données personnelles ;
  • Une description des mesures prises ou envisagées pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Une communication spécifique doit être mise en place pour les besoins de l’information des personnes concernées. Elle ne doit pas être envoyée groupée avec d’autres informations (mises à jour régulières, newsletters ou messages d’informations standards).

Aucune condition de forme n’est prévue pour la communication. Aussi, la communication aux personnes concernées n’est pas nécessaire lorsqu’elle exigerait des efforts disproportionnés. Toutefois, dans une telle situation, il est impératif d’opter pour une communication publique ou une mesure équivalente garantissant une information tout aussi efficace des personnes impliquées.

c. La déclaration à l’assurance

Lorsque la violation de données personnelles est établie, une déclaration à l’assurance doit être faite dans les meilleurs délais, selon les modalités décrites dans la police d’assurance souscrite.

La déclaration de sinistre comprend une brève description des faits compte tenu du niveau d’information dont dispose l’organisme à la date de la déclaration.

Il est important de souligner que selon les dispositions de l’article L. 12-10-1 du code des assurances, pour pouvoir bénéficier du contrat d’assurance cyber risque, l’assuré doit déposer plainte dans un délai de 72 heures après avoir eu connaissance de l’atteinte.

d. Le Dépôt de plainte

Si la violation est liée à des faits susceptibles d’être qualifiés d’infractions pénales, il est conseillé de déposer plainte au commissariat de police ou à la gendarmerie la plus proche et de tenir à disposition des enquêteurs tous les éléments de preuves techniques.

Il est également possible de prévoir le dépôt de plainte auprès de la section J3 (cybercriminalité) du parquet du Tribunal judiciaire de Paris, qui dispose d’une compétence concurrente en la matière (article 706-72-1 du Code de procédure pénal).

Le Pilotage de la crise dans le cadre d'une violation de données

3.La Sortie de crise

a. Le Registre des violations de données

L’obligation de tenue d’un registre des violations de données résulte du principe d’accountability, auquel le responsable de traitement est tenu, et permettra à la CNIL, en cas de contrôle, de vérifier que celui-ci se conforment bien au respect de ce principe.

Le registre de violations de données doit être tenu en toutes circonstances et indépendamment des obligations de notification et de communication des violations de données. Il doit contenir :

 

  • Le descriptif de la violation de données ;
  • La description de l’incident de sécurité, (mode opératoire de l’attaquant s’il y a lieu) ;
  • Leseffets de la violation de données;
  • Lesmesures techniques et organisationnelles mises en œuvre pour y remédier ;
  • Les notifications et communications effectuées, ainsi que la clôture par l’envoi de la notification définitive.

b. La sécurisation des traitements

Un ensemble de mesures doit être pris afin de renforcer la sécurité des traitements affectés. 

Dans ce cadre certaines procédures peuvent être mises à jour. Cela peut passer par une analyse des outils techniques afin de monter en robustesse ceux qui se seraient révélés défaillants. 

C’est aussi l’opportunité de mettre en place des procédures internes et des opérations de sensibilisation afin de faire acquérir les bons réflexes en matière de sécurité au personnel.

c. Retour d’expérience

Quand survient une violation de données il est nécessaire de mener des investigations, afin de déterminer si la violation résulte ou non d’une erreur humaine ou d’un problème systématique et de voir comment une récidive peut être évitée.

Une gestion efficace de la crise implique donc de tirer des leçons de l’incident et de mettre en place des mécanismes d’amélioration continue. Cela peut inclure la révision des processus internes, la formation du personnel et la mise en place de protocoles pour répondre plus efficacement aux violations futures.

La gestion d’une violation de données est une responsabilité cruciale pour toute entreprise moderne. À la lumière des défis croissants liés à la sécurité informatique, il est impératif pour les directions d’adopter des stratégies robustes et proactives pour minimiser les risques et atténuer les conséquences en cas de violation.

Une stratégie de gestion de crise bien définie, incluant des plans d’actions clairs et une communication efficace avec les parties prenantes, est indispensable pour gérer au mieux les conséquences d’une violation de données.

La sortie de crise dans le cadre d'une violation de données

Étapes de la Gestion de la Violation de données personnelles

Étapes de la Gestion de violation de données personnelles

Si vous recherchez un cabinet pour vous accompagner dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de sécurité des systèmes d’information ( Plan de reprise d’activités/ Plan de continuité d’activités) ;
  • Le pilotage de l’Intégration de la Cybersécurité et de la Protection des données dans les Projets Stratégiques ;
  • La formation et la sensibilisation de vos collaborateurs conformément à une série de normes en vigueur (RGPD, NIS 2, DORA, ISO 27001).

Et bien plus encore, contactez nous à l’adresse suivante : information@alcees.com ou en remplissant le formulaire de contact !

Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !

 

Partager cette publication à un collègue ou une connaissance

Insights liés

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.

L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.

Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.

Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.

Nos derniers articles