[VIDEO] Cyberattaque et violation de données personnelles – Episode 3, par Amira BOUNEDJOUM

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Réflexions d'Experts

Amira BOUNEDJOUM nous livre ses conseils pour savoir comment réagir aux attaques actuelles, dans le contexte de la crise sanitaire.

Comment réagir aux attaques actuelles ?

La première des choses à faire c’est de professionnaliser la gestion de cet incident ; c’est très important parce qu’il faut absolument que les différentes parties prenantes en interne interviennent, soient mise au courant de l’attaque et qu’on adopte en interne une démarche unifiée et cohérente, c’est la base et si ça peut paraître futile de le préciser, en pratique ce n’est pas toujours évident. Donc le plus important, du moins à mon sens, c’est d’abord de monter une cellule de gestion crise puisque nous sommes en crise. Au sein de cette cellule, on doit retrouver des personnes clés, comme des membres de la direction générale, la direction juridique, la DSI, le digital, le cas échéant, la com et certains intervenants extérieurs. Au sein de la cellule, on va identifier les différents sujets à traiter et les actions à entreprendre.

En priorité on va retrouver les sujets suivants :

  • D’abord, quelle action immédiate (peut être provisoire, comme par exemple la mise en maintenance du site internet) on va pouvoir entreprendre ;
  • Les différentes investigations pour confirmer la compromission, identifier des impacts, les mesures correctives à mettre en place. Ces investigations doivent d’ailleurs être menées en interne, mais également par un prestataire extérieur car l’intervention d’un expert est souvent incontournable ;
  • On va aussi traiter de la question de la notification de violation de données à la CNIL. C’est une obligation légale depuis le RGPD. On dispose d’un délai de 72 heures pour faire cette notification qui commence à courir à compter du moment où on a identifié la violation de données, à noter donc qu’au moment où on est alerté d’une possible compromission tant qu’on n’a pas détecté véritablement l’incident et que nous ne l’avons pas confirmé, le délai de 72 heures ne commence pas encore à courir. Néanmoins il est tout de même vivement recommandé dans un contexte pareil de faire ce qu’on appelle une notification initiale et de la compléter par ailleurs en fonction des résultats des investigations ;
  • La communication avec les clients est aussi un sujet prioritaire. Il faut commencer à communiquer avec eux ne serait-ce que pour inviter ceux qui ne se sont pas encore rendus compte d’une fraude ou qu’ils ne l’ont pas encore subie, de redoubler de vigilance, de vérifier leurs comptes, faire éventuellement opposition à leur carte bancaire. A ce stade, nous n’en sommes pas encore à l’obligation de notification aux personnes tel que cela est prévu par le RGPD, là il faut surtout suffisamment éclairer ces personnes pour qu’elles puissent prendre toutes les mesures leur permettant de limiter au maximum les répercussions de cette prétendue attaque et leur préjudice. La notification aux personnes interviendra dès qu’on aura véritablement identifié ce qu’il s’est passé et qu’on aura mis en place les mesures correctives. Autrement, si on ne fait pas ce travail, on ne pourra pas respecter de toute manière le formalisme imposé par le RGPD.
  • Dans un second temps (et là c’est surtout une question d’heures ou de jours, ce n’est pas un second temps dans plusieurs semaines), on doit vérifier sa police d’assurance, décider du moment de la déclaration de sinistre éventuellement, préparer son dépôt de plainte car une attaque informatique caractérise aussi plusieurs infractions pénales dont notamment les atteintes aux STAD (les Systèmes de Traitement Automatisé de Données) et également des actes d’escroquerie. Il faut aussi envisager éventuellement les responsabilités de chaque acteur qui va intervenir : quand on est sur une attaque informatique qui a permis de dérober des numéros de cartes bancaires (qui plus est des cartes bancaires qui ne sont pas enregistrées et conservées par le cybermarchand), il faut réfléchir au degré d’implication de chaque acteur : l’éditeur du site, son prestataire qui a en charge l’administration et la maintenance du site, son prestataire de paiement, etc.

A ce titre, et ce sera mon mot de la fin, parmi les nombreuses précautions à prendre quand on fait face une telle attaque, il faut bien veiller à ne pas supprimer les preuves auxquelles on a accès durant ses investigations, et particulièrement lorsque l’on met en place des mesures correctives

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
Démarchage téléphonique et dispositif Bloctel : la DGCCRF multiplie contrôles et sanctions
Le démarchage téléphonique est régi par les dispositions du Code de la consommation, lesquelles imposent, d’une part, une information claire relative au droit de s’opposer au démarchage téléphonique lors de la collecte de numéros de téléphone et, d’autre part, l’obligation…