J'espère que vous lisez ceci alors que vous ne faites pas face à une brèche réelle, mais plutôt de votre propre chef, pendant une période de calme relatif. Si les gens font des recherches sur Internet pour savoir « que faire après une brèche de sécurité » afin d'apprendre ce qu'il faut faire en cas d'urgence, je crois que les problèmes de sécurité informatique ne sont qu'un symptôme parmi leurs problèmes professionnels. Que vous ayez déjà été piraté ou non, le meilleur moment pour commencer à concevoir et mettre en pratique votre réponse en cas de brèche se situe bien avant qu'une attaque ne soit découverte. Il n'y a pas de meilleurs moments qu’aujourd’hui pour commencer à vous préparer en cas d'urgence.
Après avoir parcouru le récent sondage d'Ernst & Young sur la sécurité globale de l'information, il m'est apparu évident que le fait de ne pas être prêt à faire face à des violations de données est un problème très courant pour toutes sortes d'organisations. Parmi les répondants à l'enquête, 56% affirment qu'ils ont modifié leurs stratégies d'entreprise pour tenir compte des risques posés par les cybermenaces ou qu'ils sont sur le point de revoir leur stratégie dans ce contexte. Toutefois, seulement quatre pour cent des organisations sont convaincues qu'elles ont pleinement pris en compte les répercussions de leurs stratégies actuelles sur la sécurité de l'information et que leur paysage des risques intègre tous les risques et menaces pertinents. Bien que cela puisse en partie refléter la complexité du paysage de la menace, cela montre combien d'organisations se sentent complètement dépassées par l'énormité de la tâche.
En effet, 35% des personnes interrogées décrivent leur politique de protection des données comme étant ponctuelle ou inexistante. Bien que la plupart des organisations aient mis en place certains processus pour déterminer si elles ont été attaquées - seulement 12% n'avaient pas de programme de détection des violations en place - beaucoup d'organisations peuvent être confondues avec leurs responsabilités juridiques : 17% des répondants disent qu'ils n'alerteraient pas tous les clients, même si une violation touchait l'information sur leurs clients, et 10% n'alerteraient même pas les clients touchés. Il y a peu de pays où cela n'entraînerait pas d'amendes réglementaires ou légales potentiellement catastrophiques, sans parler de la perte de loyauté des clients.
La façon la plus morale, éthique et logique de gérer le risque est de ne pas se taire en espérant que personne ne s'en apercevra. La meilleure façon de faire face à une tâche titanesque, c’est de l’attaquer un pas à la fois; pas de la cacher sous le tapis jusqu'à ce que sa taille effrayante fasse fuir tout le monde.
Prendre le temps de réfléchir logiquement et consciemment au sujet de vos actifs peut vous aider à déterminer ce qui doit être protégé. Se préparer au pire peut vous aider à déterminer la meilleure façon de prévenir ces situations d'urgence dans le présent.
Créer un modèle de réponse dès maintenant permettra aux intervenants d'urgence de se concentrer À OFFRIR des renseignements eacts et opportuns.
Je suis sûre que nous avons tous vu des variations sur le thème des messages d'intérêt public, qui nous encouragent à préparer une trousse remplie de choses utiles en cas d'urgence, qu'il s'agisse d'un incendie, de tremblements de terre ou d'une panne de voiture en cas de tempête de neige. Bien que les atteintes aux données puissent s’avérer un peu moins graves que n'importe laquelle de ces situations, cela ne veut pas dire que nous devrions reporter le traitement de ces incidents jusqu'à ce que nous soyons en pleine situation d'urgence.
Comme nous venons de faire nos adieux à 2017, nous devons admettre que l'année dernière a apporté plusieurs douloureux exemples d'entreprises qui ont réagi de manière sous-optimale à leurs propres violations, ce qui a eu des conséquences bien plus graves pour leur réputation. Comme pour toute sorte de crise, plus vous êtes informé et sensibilisé, mieux vous pourrez la surmonter. Cela est vrai que vous soyez la cible principale de l'attaque ou que vous soyez un client dont les renseignements ont été volés.
Voici quelques éléments à prendre en considération lors de la planification de votre trousse de préparation à une brèche potentielle :
-
Dressez une liste des mesures à prendre et tenez-la à jour
Cette liste est similaire aux informations que vous fourniriez à une gardienne. Qui faut-il contacter en cas d'urgence et dans quel ordre? Quelles actions doivent être accomplies dans quelles circonstances spécifiques? Cet article de ma collègue Denise Giusto Bili pourrait vous aider à comprendre les types d'actions qui doivent être accomplies, que vous pouvez ensuite adapter aux besoins de votre propre organisation.
Cette liste doit être mise à jour régulièrement afin que vous ne donniez pas d'instructions pour des processus qui n'existent plus, ou que vous ne demandiez pas aux intervenants d'urgence de communiquer avec une personne qui a changé de poste, qui a quitté l'entreprise ou qui est en vacances. Il doit être conservé (et chiffré s’il vous plaît, afin d’éviter que les voleurs puissent y jeter un regard indiscret!) quelque part où il serait facile à trouver et à réviser, pour que les gens n'aient pas à consacrer un temps précieux à le retracer.
-
Messages d'information
Il n'est pas surprenant de constater que l’envoi de messages qui annoncent de mauvaises nouvelles représente une tâche délicate et délicate. Ce n'est peut-être pas une tâche que vous voulez déléguer à quelqu'un au milieu d'une situation chaotique, et c'est certainement quelque chose que vous devriez créer en consultation avec votre service juridique ou un avocat qui a de l'expérience dans la loi sur la notification des violations de données. Créer un modèle de réponse dès maintenant permettra aux intervenants d'urgence de se concentrer à offrir des renseignements exacts et opportuns.
Beaucoup d'entreprises se trompent du côté de l'attente d'aviser les gens jusqu' à ce que les enquêtes soient terminées, ce qui tend à laisser les clients se sentent tout à fait ressentiment. Avant même que vous ayez toute l'information sur ce qui s'est passé, vous pouvez faire savoir aux gens qu'il y a eu un problème afin qu'ils puissent prendre des mesures pour se protéger. Ne sous-estimez pas la puissance du réconfort que peuvent apporter des mises jour régulières à vos clients affectés, même si ces missives ne fournissent pas beaucoup de nouvelles informations. Il suffit de dire que c'est une bonne idée d'exécuter n'importe quel texte par un éditeur; de sorte que vous ne finissez pas à envoyer quelque chose qui comprend encore des champs à remplir.
Rappelez-vous que les clients considèrent souvent les violations de données comme une atteinte à la confiance. Il est donc important que vous les teniez à jour régulièrement avec des informations à jour, si vous voulez rétablir cette confiance.
-
Site Web de réponse en cas d'infraction
Comme pour toute sorte de crise, plus vous êtes informé et sensibilisé, mieux vous pourrez la surmonter.”
Comme dans le cas d'un modèle de message, c'est une bonne idée d'avoir une page web configurée et stockée (presque) prête à l'emploi, de sorte que la majeure partie du levage lourd est déjà terminée. Cela vous fera gagner du temps et réduira les erreurs potentielles, puisque vous pourrez vérifier et tester le code de façon approfondie et évaluer la clarté de votre texte à un moment qui précède l'effraction, alors que les gens sont probablement encore calmes et rassemblés. Que vous choisissiez d'utiliser un domaine entièrement distinct ou simplement une page de votre site existant, prenez cette décision à l'avance et communiquez-la clairement en cas d'urgence. C'est une bonne idée d’utiliser une URL assez courte, pour qu'elle puisse être facilement envoyée sur une variété de plateformes de messagerie différentes et lue sur de courts clips radiophoniques ou télévisés. Vous devriez probablement aussi enregistrer tout domaine qui semble similaire ou qui pourrait être mal tapé, afin de réduire les risques d'hameçonnage et d’escroqueries de la part des criminels.
-
Mesures de protection des clients
Après une violation de données, les entreprises offrent souvent à leurs clients des mesures de sécurité améliorées, afin d'aider à atténuer tout dommage qui aurait pu être causé. Dans le cas de la surveillance du crédit, il est logique de ne l'offrir qu'après une attaque. Mais si vous êtes prêt à envisager d'offrir quelque chose comme des options d'authentification améliorées après une violation, vous pourriez vous épargnez nombre de problèmes en ajoutant ces options avant qu'un problème ne se produise. La mise en œuvre et ensuite la publicité de votre utilisation de mesures de sécurité et de protection de la vie privée peut être un facteur de différenciation du marché pour améliorer la fidélité à la marque. La plupart des gens peuvent ne pas comprendre Salting & Hashing ou Network Segmentation, mais ils se réjouissent néanmoins que personne d'autre ne puisse accéder à leurs mots de passe et autres informations sensibles.
-
Mettez vos politiques et procédures à l’épreuve
Une ou deux fois par an, testez votre programme d'intervention en cas de violation de données en simulant un incident, puis passez à l'étape de la réponse à un incident simulé, sauf pour avertir les clients et d'autres organisations externes. Certaines entreprises le font déjà de concert avec des consultants en gestion de crise. Injecter des scénarios issus d'études de cas d'autres entreprises peut rendre les vôtres plus réalistes et aider à mieux préparer votre entreprise. Gardez à l'esprit que ces tests vous inciteront probablement à envisager d'apporter des changements à vos politiques et procédures; en fait, il est souhaitable d'apporter (et de tester à nouveau!) des modifications réfléchies qui conviennent à votre environnement. Lorsque vous mettez de telles idées en pratique, vous pouvez trouver des moyens de rendre votre intervention d'urgence plus efficace et efficiente.
Aucune entreprise n'est trop grande ou trop petite pour être la cible d'attaques. Si vous possédez des renseignements utiles pour quiconque - que vous compreniez ou non comment ces données peuvent être monétisées ou utilisées comme arme – ceux-ci pourrait faire la joie d’un criminel.