Le vieil adage "Si tu ne planifies pas, tu prévois d'échouer" se vérifie dans de nombreux domaines ; la sécurité de l'information et la réponse aux violations de données ne font pas exception. Les informations sont un atout précieux pour chaque entreprise, et lorsque la sécurité de ces informations est violée, les organisations sont confrontées à un champ de mines de responsabilités potentielles et d'atteintes à la réputation.
Après avoir aidé nos assurés à répondre à plus de 30 000 incidents de sécurité des données, l'équipe des services cybernétiques de Beazley sait que les organisations dotées d'un plan de réponse aux incidents bien conçu négocient généralement ce champ de mines bien mieux que les organisations qui n'ont pas de plan en place. Une réponse désordonnée aggrave souvent les conséquences d'une violation de données.
Un plan d'intervention en cas d'incident (IRP) est une feuille de route écrite qui permet aux organisations d'accueillir, d'évaluer et de répondre à une violation présumée ou réelle des systèmes informatiques ou au vol, à la perte ou à la divulgation non autorisée d'informations personnelles. Un PRI se distingue d'un plan de continuité des activités ou d'un plan de reprise après sinistre. Contrairement à ces documents, l'objectif principal d'un PRI est de gérer les incidents liés à la protection de la vie privée ou à la sécurité de manière à limiter les dommages, à accroître la confiance des parties prenantes externes, à satisfaire aux obligations légales et à réduire les coûts.
Les PRI les plus efficaces sont également rédigés de manière à être déclenchés en cas de suspicion de violation de données dans l'ensemble de l'organisation et de ses systèmes, quel que soit le service ou l'emplacement des données ; les données relatives aux ressources humaines, les données relatives au régime de santé des employés et les données conservées par les fournisseurs doivent toutes être couvertes par le PRI. Le PIR doit également couvrir les données de l'organisation sur les appareils mobiles et personnels, les données sur tout appareil médical et les données stockées dans les photocopieurs, les télécopieurs ou les scanners.
Nous pensons que la principale raison d'élaborer un PIR est la valeur considérable qu'il apporte lorsqu'il s'agit de répondre à un incident réel de sécurité de l'information ; mais avoir un PIR n'est pas seulement une bonne gestion des risques, c'est aussi une exigence d'un certain nombre de lois, de réglementations et de normes industrielles. Que ton organisation accepte des cartes de paiement¹, qu'elle soit une entité couverte par le Health Insurance Portability and Accountability Act (HIPAA)², qu'elle soit une entreprise de services financiers réglementée³, ou qu'elle opère simplement dans certains états⁴, un certain type d'IRP est une nécessité.
En général, les organisations commencent le processus de rédaction du PIR en nommant d'abord une équipe d'intervention en cas d'incident (IRT) - c'est-à-dire les personnes qui effectueront effectivement les tâches importantes à accomplir. Sachant qu'il n'y a pas deux organisations identiques, nous recommandons de désigner un représentant principal et un représentant secondaire d'au moins chacune des parties prenantes suivantes :
D'autres personnes en dehors du noyau de l'IRT peuvent certainement être appelées si nécessaire ; cependant, les départements décrits ci-dessus ont tendance à être les plus impliqués dans les scénarios d'intervention en cas d'incident. Un bon plan d'intervention en cas d'incident ne se contente pas d'identifier les principales parties prenantes, il établit également des procédures pour déterminer quand un service doit intervenir auprès d'un autre. Le plan d'intervention en cas d'incident doit définir les rôles et responsabilités respectifs de la cellule de crise, fournir les coordonnées des personnes à contacter sur plusieurs canaux (courrier électronique, numérotation directe, téléphone portable et hors bande dans le cas où les communications de l'entreprise sont interrompues) et indiquer quand les membres permanents de la cellule de crise font appel à d'autres membres internes et externes pour apporter leur aide.
Le service informatique découvre un drapeau rouge et décide d'enquêter en interne avant de prévenir qui que ce soit d'autre. L'enquête dure 32 jours et révèle que des informations personnelles sensibles ont été compromises. Le service informatique informe alors le service juridique de la situation, pour apprendre que le délai fixé par la loi de l'État pour informer les personnes concernées était de 30 jours à compter du moment de la découverte. La date limite a été dépassée, et les autorités de régulation vont se demander pourquoi.
Le prochain domaine clé sur lequel il faut se concentrer est la classification des incidents. Lorsqu'il s'agit d'incidents liés à la sécurité de l'information, il n'y en a pas deux qui se ressemblent totalement, et chacun d'entre eux nécessitera des mécanismes de réponse différents et la participation des membres de l'IRT. Un bon PIR prévoit cela et classe les types d'incidents en fonction d'un ensemble de critères faciles à utiliser. Voici, par exemple, trois niveaux de menace simples :
Les niveaux de menace ne doivent pas être trop rigides. Il est impossible d'appréhender tous les types d'incidents potentiels, et le fait de prendre trop de temps pour déterminer où se situe un incident spécifique ne fait que gaspiller un temps précieux. De plus, la réponse aux incidents est fluide : un incident peut commencer au niveau 1 et, après une certaine analyse, passer au niveau 2. Le principal avantage des niveaux de menace définis est l'orientation qu'ils fournissent pour les étapes suivantes de chaque phase de la réponse.
Par exemple, une bonne PRI utilisant les critères ci-dessus indiquerait qu'en cas de découverte d'un incident de niveau 2, les premiers intervenants convoqueraient immédiatement l'ERI, préviendraient leur assureur et commenceraient à préparer le réseau et les systèmes concernés en vue d'une analyse médico-légale.
La préservation des preuves en vue d'une analyse médico-légale peut être cruciale lors d'une intervention en cas d'incident, et un bon PRI reconnaît que dans certaines situations, le désir de rétablir les opérations doit passer au second plan par rapport à la préservation de l'environnement en vue d'une analyse médico-légale.
Le service informatique identifie un serveur qui a été infecté par un logiciel malveillant. Le logiciel malveillant semble être capable d'exfiltrer des données, et l'équipe travaille rapidement pour éradiquer le logiciel malveillant et reconstruire le serveur affecté à partir d'une sauvegarde récente. Quelques jours plus tard, une société d'expertise judiciaire externe est engagée pour aider à déterminer ce qui s'est passé. Malheureusement, l'équipe informatique n'a pas pris d'image légale du serveur avant de le reconstruire. De plus, des journaux importants qui auraient permis de mieux comprendre l'attaque ne sont plus disponibles car l'entreprise ne les conserve que pendant 48 heures. Les preuves qui auraient pu montrer que seul un petit nombre d'enregistrements avait été affecté ou qu'aucune donnée n'avait été exfiltrée ont maintenant disparu pour de bon.
Un IRP bien pensé ne s'arrête cependant pas à la composante technique de l'enquête⁵. Il continue à fournir une feuille de route sur la façon d'aller de l'avant une fois que l'enquête technique a confirmé le vol, la perte ou l'accès non autorisé à des informations personnelles identifiables. À cette fin, un PRI bien conçu parle de la méthodologie réelle derrière la réponse à une "violation de données" confirmée, comme ce terme est défini en vertu des lois qui s'appliquent à l'organisation et au type de données.
Le PIR n'est pas destiné à remplacer l'analyse juridique ou les conseils en matière de relations publiques, mais il doit décrire ce que l'organisation doit accomplir lorsqu'il apparaît qu'une violation de données peut nécessiter une notification aux personnes concernées, aux organismes de réglementation ou aux médias. En l'absence de directives précises dans l'IRP, les organisations ont du mal à savoir quoi dire, comment le dire et quand le dire. Très souvent, même les intentions bien intentionnées qui ne sont pas filtrées par le PRI entraînent des dommages inutiles pour l'organisation.
Ton entreprise découvre un logiciel malveillant sur les appareils de point de vente de l'un de tes magasins. Avant que l'IRT n'ait eu le temps d'analyser les capacités du logiciel malveillant ou d'examiner les lois relatives à la notification des violations de données, ton PDG décide que l'entreprise doit publier un communiqué de presse le lendemain, déclarant que les cartes de 200 000 clients ont pu être affectées.
Après avoir contacté ta compagnie d'assurance et fait appel à un expert judiciaire externe, tu détermines que le logiciel malveillant installé sur ton environnement de point de vente n'a pas réussi à voler des données de cartes, qu'il s'agit d'un non-événement et qu'il n'est pas nécessaire d'en informer le public. Entre-temps, le cours de l'action a pris un coup et de nombreux clients mettront des mois à revenir⁶.
Si tu en es aux premières étapes de l'élaboration d'un PIR pour ton organisation, il n'est pas nécessaire de réinventer la roue. Mais que tu commences à peine ou que tu aies déjà un plan élaboré, nous te recommandons d'éviter les questions suivantes qui, selon nous, posent régulièrement des problèmes aux organisations.
Le mot "B
Le PRI est un plan d'intervention en cas d'"incident", et non un plan en cas de "violation de données". "Violation de données" est un terme juridique qui a une signification précise. Un bon PRI évite complètement d'utiliser ce terme. Les membres de l'IRT ne doivent pas qualifier un incident de "violation" par écrit ou au cours de l'enquête. Le fait de laisser une trace écrite ou électronique des références à la "violation" pourrait être particulièrement problématique si l'enquête conclut qu'une notification n'est pas nécessaire parce qu'il n'y a pas eu de violation en vertu de la loi applicable. Ne donne pas de munitions aux organismes de réglementation ou aux avocats des plaignants.
"Doit" ou "doit"
Le PRI doit éviter de suggérer que les étapes du processus sont obligatoires. Chaque incident est différent, et il se peut que tu doives suivre différentes étapes en fonction de la situation. Fais preuve de souplesse et ne te mets pas dans une position où un organisme de réglementation ou un avocat pourrait te demander pourquoi une certaine étape n'a pas été suivie.
Trop long
Le PIR doit être facile à utiliser en cas de crise. S'il est trop long ou trop détaillé, les membres de l'équipe d'intervention risquent de ne pas s'y retrouver.
Trop court
D'un autre côté, le PRI doit contenir suffisamment d'informations pour être utile, afin que chaque membre de l'équipe comprenne son rôle et qu'il sache comment faire appel à des ressources extérieures à l'organisation en cas de besoin.
"Ce n'est que du papier"
Bien que les organisations se concentrent souvent sur les incidents électroniques, les documents papier sont protégés par un certain nombre de lois d'État, ainsi que par des lois fédérales telles que HIPAA pour les informations de santé et Family Educational Rights and Privacy Act (FERPA) pour les dossiers des étudiants. Le PIR doit couvrir les données quel que soit le format dans lequel elles sont stockées, afin que tu puisses réagir tout aussi rapidement.
"Parti à la pêche"
Les incidents sont garantis d'être découverts au moment le moins propice - un vendredi après-midi ou un week-end, ou lorsqu'une personne essentielle est en voyage. Assure-toi d'inclure les moyens de joindre les membres de l'équipe 24 heures sur 24 et de prévoir des sauvegardes pour les membres au cas où ils ne seraient pas disponibles.
La réalité de la sécurité de l'information aujourd'hui est que l'idée d'un périmètre de réseau "imprenable", capable de tenir les intrus à distance, est révolue depuis longtemps. Qu'elle soit le fait d'un pirate déterminé et compétent ou d'une simple erreur humaine, une violation de données n'est plus un "si" mais un "quand"... Supposer le contraire, et ne pas se préparer à ce champ de mines, nuira grandement à la marque, au bilan et aux affaires de ton organisation. Mais avec un PIR bien pensé qui suit les principes décrits ci-dessus, un plan que tu testes et mets à jour régulièrement, ton organisation sera mieux équipée pour transformer une crise potentielle en une bosse gérable sur la route.
¹ Norme de sécurité des données de l'industrie des cartes de paiement (PCI), exigences et procédures d'évaluation de la sécurité § 12.10.1 (ver. 4.0.1 juin 2024), https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0_1.pdf
² 45 C.F.R. § 164.308(a)(6), discuté dans U.S Dep't of Health & Hum. Svcs, HIPAA Security Series no. 2, Security Standards : Administrative Safeguards, http://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/ securityrule/adminsafeguards.pdf
³ Interagency Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice I.A.2(c), 70 Fed. Reg. 15,736 (29 mars 2005), https://www.gpo.gov/fdsys/pkg/FR-2005-03-29/pdf/05-5980.pdf
⁴ Voir, par exemple, Standards for Protection of Personal Information of Residents of the Commonwealth, 201 Code Mass. Regs.§ 17
⁵ En effet, pour les informations détenues dans certains formats (par exemple, papier) ou impliquant des divulgations simples et involontaires, les membres techniques de l'IRT peuvent être tout à fait inutiles
⁶ Selon KPMG, 19 % des acheteurs au détail ne reviendraient pas après un piratage compromettant les informations personnelles, et près de 50 % des autres mettraient trois à six mois avant de revenir. KPMG, Baromètre des pertes des consommateurs (juillet 2016), disponible sur https://info.kpmg.us/consumer-loss-barometer.html