Sécurité

La communication est importante, en particulier lors d’un incident de sécurité

Les incidents de cybersécurité augmentent considérablement dans tous les secteurs, tandis que les facilités de communication nous rendent plus vulnérables aux risques de sécurité que jamais. Comment assurons-nous la protection des données en entreprise ?

Que se passerait-il si une personne affiliée à votre entreprise, un membre du conseil par exemple, était victime d’une fraude ? Imaginez que votre entreprise ait subi un incident de sécurité. Il se peut que les dossiers aient été compromis, mais vous n’en avez pas la certitude. En fait, vous n’êtes même pas certain qu’il y ait eu une intrusion dans le réseau. Peut-être qu’un employé a accédé à une base de données non autorisée.

Quand un incident de sécurité se produit, la première réaction est souvent de crier « violation de données », ce qui va être rapporté aux membres du conseil d’administration et répété par ces derniers. Cette expression, sortie de son contexte et prononcée publiquement par une personne influente et d’importance majeure au sein de l’entreprise, peut créer un effet boule de neige des mesures juridiques, de conformité et de relations publiques qui peuvent finir par coûter cher à l’entreprise.

Pourquoi le langage pour les problèmes de sécurité est si important

En discutant d’un prétendu problème de sécurité, le mot « violation » est souvent employé. Et en entendant parler de « violation », beaucoup de gens ont tendance à envisager le pire (des données bancaires volées, par exemple, mettant en danger les comptes bancaires). Mais toutes les violations ne sont pas si graves. De fois, changer de mot de passe suffit pour remédier le problème.

La clé pour maîtriser la publicité faite autour de telles violations de sécurité impose souvent de prendre de l’avance sur les évènements et de faire en sorte que toute utilisation du mot « violation » s’accompagne d’excuses et d’informations claires sur les mesures prises par l’entreprise pour résoudre le problème de sécurité.

« Appliquer un modèle de crise type ne fonctionne pas pour les attaques modernes », souligne l’International Association of Privacy Professionals. « Faites attention lorsque vous affirmez que le problème est entièrement résolu ; communiquez les chiffres avec prudence », car l’une des pires choses qui puisse se produire est que les membres du conseil d’administration assurent publiquement aux clients que le problème a été maîtrisé, alors qu’il est pire qu’il n’y paraît.

Envisager d’autres formulations comme protection des données en entreprise

De quelles façons les entreprises devraient-elle réagir à un événement de sécurité ? Lors d’une table ronde à l’Enfuse Conference 2016, des experts tels qu’Ed McAndrew, ex-membre du ministère de la Justice des États-Unis, a reconnu que le terme « violation » est un terme fort qui ne devrait pas être employé en raison des problèmes de panique et juridiques qu’il déclenche. À moins d’être la personne qui enquête sur la menace, vous ne savez pas exactement quels éléments sont compromis et en utilisant le terme « violation », vous pouvez communiquer de fausses informations.

« Il existe d’autre types d’incidents de sécurité, comme l’usurpation d’identité, le déni de service et le défacement de sites Web qui n’impliquent aucun vol de données personnelles sensibles et qui sont très différents aux yeux de la loi et en matière de conformité réglementaire », a écrit Kate Brew pour le blog d’Alien Vault.

Les entreprises devraient envisager plutôt d’utiliser des termes comme « incident » ou « évènement », moins forts que « violation ». Même si ces termes ont des significations différentes.

  • Une violation de sécurité implique des données volées ou compromises et a des conséquences juridiques.
  • Un incident de sécurité est « un événement de violation de la sécurité d’une entreprise ou de ses politiques de confidentialité impliquant des informations sensibles tels que les numéros de sécurité sociale ou des renseignements médicaux confidentiels » selon la publication de Mahmood Sher-Jan pour ID Experts.
  • Un événement de sécurité est « une occurrence identifiée de l’état d’un système ou d’un réseau » selon le National Institute of Standards and Technology.

Les entreprises ne sont pas obligées d’informer les forces de l’ordre ni la population des incidents de sécurité. Cependant, une violation de données doit être signalée. Aux États-Unis, les 47 états, ainsi que Washington D.C., Guam et Porto Rico, ont des lois qui obligent les entreprises à signaler toute violation de données ayant entraîné la compromission d’informations de consommateurs, selon la National Conference of State Legislatures.

Un processus transparent est toujours exigé

Si l’on étudie les violations de données qui ont été portées à la connaissance du public, il est évident que les entreprises qui ont suivi un processus continu et transparent obtiennent davantage la confiance de la population et peuvent mieux assurer la protection des données en entreprise. Lorsque les membres du conseil discutent des informations concernant un incident de sécurité, ils doivent aborder la situation avec toute la prudence requise. Au lieu de communiquer toutes les informations qui ont été perdues ou volées, expliquez les conséquences sur la population et les répercussions sur l’entreprise. De plus, les citoyens doivent être informés des mesures qu’ils doivent prendre pour protéger des données en entreprise. Enfin, lorsqu’ils parlent au nom de l’entreprise, les membres du conseil doivent employer des termes qui représentent clairement l’incident tel qu’il est présenté par le service informatique et le personnel de sécurité et ne pas s’éloigner en utilisant des termes génériques comme « violation de données ».

Il est indispensable pour une organisation de bien comprendre les nuances de la cybersécurité et les différents rôles que doivent jouer les différents services dans la protection des données en entreprise. Mieux ils savent et plus ils comprennent que les mots comptent, plus ils seront à même de prendre les mesures appropriées qui peuvent sauver la renommée de l’entreprise et réduire ses coûts.

BLOGS À NE PAS MANQUER