Accueil » [VIDEO] Cyberattaque et violation de données personnelles – Episode 3, par Amira BOUNEDJOUM

[VIDEO] Cyberattaque et violation de données personnelles – Episode 3, par Amira BOUNEDJOUM

4 minute(s) de lecture
2249 vues
Data / Données personnelles
Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Réflexions d'Experts

Amira BOUNEDJOUM nous livre ses conseils pour savoir comment réagir aux attaques actuelles, dans le contexte de la crise sanitaire.

Comment réagir aux attaques actuelles ?

La première des choses à faire c’est de professionnaliser la gestion de cet incident ; c’est très important parce qu’il faut absolument que les différentes parties prenantes en interne interviennent, soient mise au courant de l’attaque et qu’on adopte en interne une démarche unifiée et cohérente, c’est la base et si ça peut paraître futile de le préciser, en pratique ce n’est pas toujours évident. Donc le plus important, du moins à mon sens, c’est d’abord de monter une cellule de gestion crise puisque nous sommes en crise. Au sein de cette cellule, on doit retrouver des personnes clés, comme des membres de la direction générale, la direction juridique, la DSI, le digital, le cas échéant, la com et certains intervenants extérieurs. Au sein de la cellule, on va identifier les différents sujets à traiter et les actions à entreprendre.

En priorité on va retrouver les sujets suivants :

  • D’abord, quelle action immédiate (peut être provisoire, comme par exemple la mise en maintenance du site internet) on va pouvoir entreprendre ;
  • Les différentes investigations pour confirmer la compromission, identifier des impacts, les mesures correctives à mettre en place. Ces investigations doivent d’ailleurs être menées en interne, mais également par un prestataire extérieur car l’intervention d’un expert est souvent incontournable ;
  • On va aussi traiter de la question de la notification de violation de données à la CNIL. C’est une obligation légale depuis le RGPD. On dispose d’un délai de 72 heures pour faire cette notification qui commence à courir à compter du moment où on a identifié la violation de données, à noter donc qu’au moment où on est alerté d’une possible compromission tant qu’on n’a pas détecté véritablement l’incident et que nous ne l’avons pas confirmé, le délai de 72 heures ne commence pas encore à courir. Néanmoins il est tout de même vivement recommandé dans un contexte pareil de faire ce qu’on appelle une notification initiale et de la compléter par ailleurs en fonction des résultats des investigations ;
  • La communication avec les clients est aussi un sujet prioritaire. Il faut commencer à communiquer avec eux ne serait-ce que pour inviter ceux qui ne se sont pas encore rendus compte d’une fraude ou qu’ils ne l’ont pas encore subie, de redoubler de vigilance, de vérifier leurs comptes, faire éventuellement opposition à leur carte bancaire. A ce stade, nous n’en sommes pas encore à l’obligation de notification aux personnes tel que cela est prévu par le RGPD, là il faut surtout suffisamment éclairer ces personnes pour qu’elles puissent prendre toutes les mesures leur permettant de limiter au maximum les répercussions de cette prétendue attaque et leur préjudice. La notification aux personnes interviendra dès qu’on aura véritablement identifié ce qu’il s’est passé et qu’on aura mis en place les mesures correctives. Autrement, si on ne fait pas ce travail, on ne pourra pas respecter de toute manière le formalisme imposé par le RGPD.
  • Dans un second temps (et là c’est surtout une question d’heures ou de jours, ce n’est pas un second temps dans plusieurs semaines), on doit vérifier sa police d’assurance, décider du moment de la déclaration de sinistre éventuellement, préparer son dépôt de plainte car une attaque informatique caractérise aussi plusieurs infractions pénales dont notamment les atteintes aux STAD (les Systèmes de Traitement Automatisé de Données) et également des actes d’escroquerie. Il faut aussi envisager éventuellement les responsabilités de chaque acteur qui va intervenir : quand on est sur une attaque informatique qui a permis de dérober des numéros de cartes bancaires (qui plus est des cartes bancaires qui ne sont pas enregistrées et conservées par le cybermarchand), il faut réfléchir au degré d’implication de chaque acteur : l’éditeur du site, son prestataire qui a en charge l’administration et la maintenance du site, son prestataire de paiement, etc.

A ce titre, et ce sera mon mot de la fin, parmi les nombreuses précautions à prendre quand on fait face une telle attaque, il faut bien veiller à ne pas supprimer les preuves auxquelles on a accès durant ses investigations, et particulièrement lorsque l’on met en place des mesures correctives

Retour
Sommaire

Autres articles

some
Data / Données personnelles
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
nombre de vus 1734 vues
3 minute(s) de lecture
some
Data / Données personnelles
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
nombre de vus 1647 vues
1 minute(s) de lecture
some
Data / Données personnelles
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
nombre de vus 1698 vues
3 minute(s) de lecture
some
Data / Données personnelles
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
nombre de vus 1862 vues
3 minute(s) de lecture
some
Data / Données personnelles
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
nombre de vus 3010 vues
7 minute(s) de lecture
some
Data / Données personnelles
Démarchage téléphonique et dispositif Bloctel : la DGCCRF multiplie contrôles et sanctions
Le démarchage téléphonique est régi par les dispositions du Code de la consommation, lesquelles imposent, d’une part, une information claire relative au droit de s’opposer au démarchage téléphonique lors de la collecte de numéros de téléphone et, d’autre part, l’obligation…
nombre de vus 2611 vues
5 minute(s) de lecture
Newsletter
Contact
Archives de la lettre du numérique