webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

[VIDEO] Cyberattaque et violation de données personnelles - Episode 3, par Amira BOUNEDJOUM

Réflexions d'Experts

Amira BOUNEDJOUM nous livre ses conseils pour savoir comment réagir aux attaques actuelles, dans le contexte de la crise sanitaire.

Comment réagir aux attaques actuelles ?

La première des choses à faire c’est de professionnaliser la gestion de cet incident ; c’est très important parce qu’il faut absolument que les différentes parties prenantes en interne interviennent, soient mise au courant de l’attaque et qu’on adopte en interne une démarche unifiée et cohérente, c’est la base et si ça peut paraître futile de le préciser, en pratique ce n’est pas toujours évident. Donc le plus important, du moins à mon sens, c’est d’abord de monter une cellule de gestion crise puisque nous sommes en crise. Au sein de cette cellule, on doit retrouver des personnes clés, comme des membres de la direction générale, la direction juridique, la DSI, le digital, le cas échéant, la com et certains intervenants extérieurs. Au sein de la cellule, on va identifier les différents sujets à traiter et les actions à entreprendre.

En priorité on va retrouver les sujets suivants :

  • D’abord, quelle action immédiate (peut être provisoire, comme par exemple la mise en maintenance du site internet) on va pouvoir entreprendre ;

  • Les différentes investigations pour confirmer la compromission, identifier des impacts, les mesures correctives à mettre en place. Ces investigations doivent d’ailleurs être menées en interne, mais également par un prestataire extérieur car l’intervention d’un expert est souvent incontournable ;

  • On va aussi traiter de la question de la notification de violation de données à la CNIL. C’est une obligation légale depuis le RGPD. On dispose d’un délai de 72 heures pour faire cette notification qui commence à courir à compter du moment où on a identifié la violation de données, à noter donc qu’au moment où on est alerté d’une possible compromission tant qu’on n’a pas détecté véritablement l’incident et que nous ne l’avons pas confirmé, le délai de 72 heures ne commence pas encore à courir. Néanmoins il est tout de même vivement recommandé dans un contexte pareil de faire ce qu’on appelle une notification initiale et de la compléter par ailleurs en fonction des résultats des investigations ;

  • La communication avec les clients est aussi un sujet prioritaire. Il faut commencer à communiquer avec eux ne serait-ce que pour inviter ceux qui ne se sont pas encore rendus compte d’une fraude ou qu’ils ne l’ont pas encore subie, de redoubler de vigilance, de vérifier leurs comptes, faire éventuellement opposition à leur carte bancaire. A ce stade, nous n’en sommes pas encore à l’obligation de notification aux personnes tel que cela est prévu par le RGPD, là il faut surtout suffisamment éclairer ces personnes pour qu’elles puissent prendre toutes les mesures leur permettant de limiter au maximum les répercussions de cette prétendue attaque et leur préjudice. La notification aux personnes interviendra dès qu’on aura véritablement identifié ce qu’il s’est passé et qu’on aura mis en place les mesures correctives. Autrement, si on ne fait pas ce travail, on ne pourra pas respecter de toute manière le formalisme imposé par le RGPD.

  • Dans un second temps (et là c’est surtout une question d’heures ou de jours, ce n’est pas un second temps dans plusieurs semaines), on doit vérifier sa police d’assurance, décider du moment de la déclaration de sinistre éventuellement, préparer son dépôt de plainte car une attaque informatique caractérise aussi plusieurs infractions pénales dont notamment les atteintes aux STAD (les Systèmes de Traitement Automatisé de Données) et également des actes d’escroquerie. Il faut aussi envisager éventuellement les responsabilités de chaque acteur qui va intervenir : quand on est sur une attaque informatique qui a permis de dérober des numéros de cartes bancaires (qui plus est des cartes bancaires qui ne sont pas enregistrées et conservées par le cybermarchand), il faut réfléchir au degré d’implication de chaque acteur : l’éditeur du site, son prestataire qui a en charge l’administration et la maintenance du site, son prestataire de paiement, etc.

A ce titre, et ce sera mon mot de la fin, parmi les nombreuses précautions à prendre quand on fait face une telle attaque, il faut bien veiller à ne pas supprimer les preuves auxquelles on a accès durant ses investigations, et particulièrement lorsque l’on met en place des mesures correctives

VOIR AUSSI

La CJUE s’oppose à la conservation généralisée et indifférenciée des données de connexion

Affaires C-623/17, C-511/18, C-512/18 et C-520/18

- Vu : 2272

La CJUE s’oppose à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données de connexion à des fins de sauvegarde de la sécurité nationale et de lutte contre la criminalité.

> Lire la suite

Consécration d’une 5ème liberté du marché unique

- Vu : 1614

Article rédigé par Stéphane Baïkoff pour la revue Expertises de février 2019.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 8765
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 7797
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6261
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5764
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©