Les incidents de cybersécurité et les violations de données surviennent sans crier gare. Peut-être que votre organisation a été victime d’une cyberattaque ou qu’un de vos fournisseurs vous a informé qu’il avait été la cible d’une attaque de ce genre. Il est également possible qu’un employé clé ait perdu un appareil non crypté pouvant contenir des renseignements commerciaux confidentiels ou des données sur les clients. Les exemples ne manquent pas pour illustrer la tâche colossale que doit accomplir une organisation pour enquêter sur un incident, communiquer avec les intervenants et colmater les brèches qui ont donné lieu à la situation.
Ces incidents nécessitent la mise en place de mesures rapides et énergiques dans un contexte souvent marqué par un manque de renseignements ou de certitude de toutes sortes. Les différents intervenants, aussi bien en interne qu’à l’externe, peuvent avoir des intérêts divergents. Cela peut paraître banal de dire qu’il faut réagir avec sang-froid, mais c’est bien ce que nous avons constaté.
Nous vous présentons ci-après une liste de tâches qui vous aideront à mettre au point une approche d’intervention en cas d’incident. Nous soulignons également certaines choses qu’il ne faut pas faire. Certaines de ces tâches doivent être menées en parallèle; il ne s’agit pas d’une liste d’étapes à franchir de façon séquentielle.
Ne négligez pas les signaux d’alerte et transmettez toute activité suspecte aux responsables en interne
Si vous observez des signes d’activité suspecte ou d’intrusion, ne les négligez pas. Au contraire, transmettez rapidement les problèmes de sécurité aux responsables en interne, par exemple, à votre responsable de la sécurité des données, responsable de la gestion des risques, conseiller juridique ou responsable de la protection de la vie privée.
Mettez sur pied une équipe d’intervention en cas d’incident
Une équipe d’intervention en cas d’incident se compose d’acteurs clés de votre organisation, d’experts externes en cybersécurité ainsi que de votre conseiller juridique ou de la personne qui vous fournit de l’encadrement en cas de violation.
Si vous n’avez pas de procédure ou de plan à suivre, désignez les personnes en interne qui doivent prendre part à la gestion de cet incident. Il peut s’agir du chef de la direction, du responsable de la sécurité des données, du responsable de la gestion des risques, d’un conseiller juridique de votre entreprise ou du responsable de la protection de la vie privée.
Si vous disposez d’un plan d’intervention en cas d’incident et que vous avez enclenché la procédure appropriée, suivez les étapes. Elles ont été définies à des fins précises.
Il est important qu’une personne soit chargée de la gestion de l’incident en interne. On ne peut pas externaliser la responsabilité de ce type de tâche.
Si vous avez déjà retenu les services d’experts externes en cybersécurité et d’un conseiller juridique, contactez-les dès que possible.
Parlez à votre assureur
Parlez à votre assureur et passez en revue les polices d’assurance qui peuvent prendre en charge les coûts de l’incident. Votre assureur peut également vous aider à trouver des experts qualifiés en cybersécurité si vous n’avez pas encore mis sur pied une équipe et adopté un plan.
Colmatez la brèche et menez une enquête
Les experts externes en cybersécurité devront déterminer la façon de protéger les systèmes et les données contre tout autre incident et repérer la faille de sécurité qui a permis à l’attaque de survenir. Ils prendront les mesures nécessaires pour colmater la brèche et mèneront une enquête sous l’angle de la cybersécurité.
Comprenez vos obligations légales
Un conseiller juridique veillera à ce que votre organisation comprenne ses obligations légales en matière de protection de la vie privée imposées par les autorités fédérales, provinciales, internationales et sectorielles. Il peut s’agir notamment d’obligations en matière de déclaration, de notification et de tenue de dossiers.
Communiquez avec les principaux intervenants et les employés
La communication est un élément important d’une intervention en cas d’incident – on ne peut pas simplement balayer les incidents sous le tapis en espérant que personne ne s’en rendra compte. Cependant, gardez à l’esprit qu’il est important de ne pas se hâter à envoyer des communications détaillées. Évitez les spéculations dans les communications – il est parfaitement acceptable d’être transparent sur le fait qu’une enquête est en cours et qu’elle prendra du temps.
Si ce n’est déjà fait, avisez le conseil d’administration, s’il y a lieu, et informez les employés qu’un incident s’est produit.
Définissez qui sont les principaux intervenants externes, qui peuvent comprendre des clients clés que vous souhaitez informer avant qu’ils n’apprennent la nouvelle d’une autre source.
Informez les personnes concernées
Remplissez vos obligations d’informer les personnes dont les renseignements personnels ont été compromis.
Vous pouvez être tenu d’informer des personnes en vertu d’obligations contractuelles. Ces obligations peuvent s’appliquer ou non par suite de l’incident et elles peuvent prévoir ou non des délais stricts. Si ces contrats n’ont pas été examinés à l’avance, désignez une personne qui peut les examiner et fournir un avis juridique sur l’incidence que cette situation peut avoir sur les mesures d’intervention.
En plus des obligations contractuelles, il y a des obligations légales en matière de protection de la vie privée imposées par les autorités fédérales, provinciales, internationales et sectorielles. Ces obligations varient selon que les renseignements visés sont de nature personnelle ou médicale, par exemple. En vertu de la législation sur la protection de la vie privée, il peut également être nécessaire d’informer les commissaires à la protection de la vie privée selon le risque de préjudice que représente l’incident. Consultez votre conseiller juridique afin de déterminer ces obligations et informez les personnes qui doivent l’être.
Conservez les preuves et maintenez le privilège de communication
Il est important de consigner les actions et les décisions prises pendant l’incident, de conserver les preuves et de maintenir le privilège de communication. Si jamais un procès est intenté ou une enquête est ouverte par un commissaire à la protection de la vie privée, ces mesures seront utiles à votre organisation.
Surveillez
Les cyberincidents suscitent souvent l’attention des médias, ce qui peut nuire à votre entreprise. Surveillez ce qui se dit dans les médias et préparez-vous à faire d’éventuelles déclarations réactives ou proactives. Vous aurez tout intérêt à rédiger ces déclarations de concert avec la personne qui vous fournit de l’encadrement en cas de violation.
De même, si des auteurs malveillants sont en cause, surveillez le Web et le Web clandestin pour vous assurer que les renseignements volés ne se retrouvent pas sur Internet.
Tirez des leçons à appliquer la prochaine fois et effectuez une évaluation postincident
Lorsque les activités sont revenues à la normale, réfléchissez au processus. Qu’est-ce qui a bien fonctionné? Qu’est-ce qui a mal fonctionné? Rédigez un plan d’intervention en cas d’incident ou intégrez ces éléments à votre plan d’intervention en cas d’incident actuel afin que votre organisation soit mieux outillée advenant une nouvelle attaque.
Prenez connaissance des renseignements fournis par les experts en cybersécurité pour renforcer vos systèmes et améliorer leur sécurité, notamment en y ajoutant des dispositifs de protection technologiques, en offrant à vos employés une formation sur la cybersécurité et en effectuant régulièrement la maintenance de vos systèmes. Conservez une trace de ces améliorations.
Si vous avez des questions sur les mesures d’intervention en cas d’incident, notre groupe Protection de la vie privée et des données et cybersécurité sera ravi de vous aider!