Depuis le 25 mai, date d’entrée en vigueur du règlement général sur la protection des données (RGPD), les organisations sont contraintes de se manifester pour notifier toute violation de données dans un délai de 72 heures. Rich Turner, vice-président des ventes EMEA de CyberArk détaille en 4 points comment, dans le temps imparti, un dirigeant peut montrer que son entreprise a fait tout son possible pour protéger les données, contrôler sa communication interne et externe, et rassurer ainsi ses clients, partenaires et employés.
Les dirigeants des entreprises sont directement responsables de la communication relative à la violation dans ce court laps de temps, et ils doivent être en mesure de fournir rapidement à leurs clients plusieurs garanties fondamentales – même si la véritable nature de l’attaque n’est pas connue.
Cependant, ces derniers mois, nous avons vu que répondre aux questions insistantes des media et des clients est un exercice compliqué, même pour les PDG les plus accomplis. La façon dont ils gèrent les crises impacte directement non seulement l’entreprise, mais aussi sur leur propre réputation. Qu’ils le veuillent ou non, les PDG seront directement associés à une violation de données, et ces trois courtes journées marqueront un moment décisif dans leur carrière.
Alors, comment les chefs d’entreprise peuvent-ils garder le contrôle lorsque commence le compte à rebours de 72 heures ? Et comment peuvent-ils se mettre dans la meilleure position pour assurer à leurs clients qu’ils ont fait tout ce qui était en leur pouvoir pour protéger les données critiques ?
S’assurer que l’entreprise maîtrise correctement les bases – Pour gérer efficacement les questions insistantes, les PDG doivent connaître les réponses à certaines questions fondamentales. Avez-vous une vue d’ensemble des données clients de votre entreprise ? Et pouvez-vous assurer à vos clients que toutes les mesures ont été prises pour minimiser les dommages une fois qu’un attaquant s’est introduit dans le réseau ?
En mettant en place une couche de sécurité destinée à protéger les comptes à privilèges – soit les comptes administrateurs qui permettent d’accéder à l’ensemble du réseau, des informations qui s’y trouvent et d’en prendre le contrôle – les PDG pourront signaler sans délai l’instauration de niveaux de contrôles élevés afin de protéger les données les plus sensibles au cœur de l’entreprise : admettre que des pirates ont violé les systèmes de l’entreprise tout en affirmant qu’ils n’ont pas eu accès aux données critiques est en effet un message fort. Et en tant que responsable, le fait de savoir que vous avez pris toutes les mesures nécessaires pour protéger les données du client favorisera un dialogue ouvert au sujet de la violation qui s’est produite.
Tester son état de préparation – Dans un contexte de menaces en constante évolution, il est essentiel de s’assurer que le plan de crise est régulièrement revu et mis à jour afin de prévenir, avant toute chose, les violations de données. Les simulations sont un bon point de départ, car elles permettent de tester périodiquement l’état de préparation d’une organisation. Le recours aux « pirates éthiques » peut également être un excellent moyen de repérer les incohérences dans la stratégie de sécurité établie avant que les attaquants ne puissent les exploiter.
En cas d’incident, l’élaboration d’un plan d’intervention, documenté et évalué, démontre aux clients et aux organismes de régulation que l’entreprise prend des mesures responsables pour anticiper et atténuer le risque de menaces. Il s’agira d’un message important à communiquer à la suite d’une violation de données.
Mettre en place une procédure d’intervention clairement définie – En cas de violation, les PDG devront agir rapidement, ce qui implique de disposer d’un plan d’action clair. Par exemple, ils devront dans un premier temps annuler toutes les réunions prévues et organiser un briefing avec le DSI/RSSI pour comprendre l’ampleur de l’attaque. Ils devront également consacrer du temps à l’équipe de communication afin de préparer les communications internes et externes, ainsi que pour gérer le processus formel de notification des clients et des autorités. Ce processus, étape par étape, peut être mis en place dès maintenant par les organisations, de sorte que les rôles et responsabilités de chacun soient clairement définis et que l’entreprise ne perde pas de temps lorsque le compte à rebours aura commencé.
Établir une voie de communication directe avec les RSSI – Les PDG ne sont pas des experts en cybersécurité, mais en tant que chef d’entreprise, ils devront jouer le rôle de porte-parole de la cybersécurité en cas de violation de données. Ce rôle ne s’improvise pas, raison pour laquelle ils doivent rester proches de leur équipe de sécurité pour veiller à être toujours au fait des pratiques de l’entreprise en la matière.
Pour les PDG dont l’entreprise sera – malheureusement – directement associée à une violation de données, le RGPD n’est pas seulement un simple moyen d’éviter des amendes. Le délai de notification de 72 heures revêt également un caractère hautement personnel. En s’assurant qu’ils peuvent dire en toute confiance que leur organisation a fait tout ce qui était en son pouvoir pour protéger les informations sensibles de ses clients, et en disposant d’une procédure clairement définie à suivre, en cas de violation de données, ils seront non seulement en mesure d’informer les clients de manière responsable et en temps opportun, mais ils seront aussi aptes à instaurer la confiance et à démontrer qu’ils sont des gardiens fiables pour leurs données.