Une atteinte aux données est une urgence organisationnelle qui doit être gérée rapidement et efficacement pour atténuer les pertes et rester du bon côté de la conformité. Lorsqu’un tel événement se produit, de nombreuses organisations font appel à un accompagnateur en atteinte aux données : le « premier répondant » appelé à diriger l’intervention et le rétablissement.
Habituellement, un accompagnateur en matière d’atteinte aux données est un avocat spécialisé en cybersécurité et en droit à la vie privée. Il agit à titre de gestionnaire de projet et oriente l’organisation en ce qui a trait à la meilleure marche à suivre, avec l’aide d’une équipe qu’il constitue à partir d’une diversité de disciplines. L’équipe peut compter des experts en TI, en criminalistique, en droit, en réglementation et en communication, dont la contribution peut être requise pour aider à gérer l’atteinte.1
Pourquoi travailler avec un accompagnateur en matière d’atteinte aux données? Comme dans bien d’autres situations de gestion de crise, votre personnel interne n’a peut-être pas l’expertise nécessaire pour gérer une atteinte aux données ou il se peut que vous préfériez que vos employés clés demeurent concentrés sur leurs responsabilités habituelles.
Le fait de confier à un expert juridique le soin de gérer la situation est avantageux, puisque celui-ci comprend les lois relatives aux exigences de notification et a de l’expérience pour travailler avec les organismes de réglementation sur les enjeux comme les amendes et les pénalités. De plus, comme l’a souligné un expert juridique, en tant qu’avocats, les accompagnateurs en matière d’atteinte aux données peuvent préserver la confidentialité de vos renseignements grâce au secret professionnel, ce qui peut bonifier davantage la protection et la sécurité de vos communications. 2
Les accompagnateurs en matière d’atteinte aux données interviennent dans trois principaux domaines :
- Enquêtes relatives aux atteintes : Un accompagnateur en matière d’atteinte aux données peut vous aider à retenir les services d’une entreprise de criminalistique informatique pour enquêter sur la cause et la portée de l’atteinte. Les équipes de criminalistique travaillent à identifier le type de piratage, les approches utilisées, la source et l’échéancier, de même qu’à déterminer la meilleure façon de récupérer des données compromises. 3 Elles préservent également toutes les preuves nécessaires et peuvent travailler avec l’accompagnateur en matière d’atteinte aux données pour repérer les éventuels enjeux juridiques et questions de conformité.4
- Exigences en matière de notification : Un accompagnateur en matière d’atteinte aux données analysera les faits révélés par les ressources en criminalistique pour déterminer quelles mesures vous devez prendre dans un contexte juridique afin de faire en sorte que votre entreprise demeure conforme à la réglementation. Les obligations juridiques peuvent notamment comprendre l’envoi d’un avis signalant l’atteinte aux personnes touchées et aux organismes de réglementation, selon la nature des renseignements compromis. Par exemple, au Canada, une atteinte impliquant un « risque réel de préjudice grave » pour des personnes doit être déclarée au Commissariat à la protection de la vie privée du Canada. La notion de risque réel de préjudice grave est déterminée selon la nature sensible des renseignements visés par l’atteinte et la probabilité d’une mauvaise utilisation de ceux-ci.5
- Communications en situation de crise : Un accompagnateur en matière d’atteinte aux données peut retenir les services de professionnels en communications en situation de crise pour veiller à la planification et à la gestion appropriées de toute communication se rapportant à une atteinte aux données. Cela peut notamment contribuer à la réduction de risques comme les atteintes à la réputation de votre entreprise. 6 L’équipe peut déterminer comment les personnes touchées par l’atteinte doivent être alertées, quelles déclarations doivent être faites à la population et aux médias et comment communiquer avec les autorités. Elle peut aussi fournir leurs coordonnées et gérer les demandes de renseignements des clients et des médias. 7,8
En cas d’atteinte aux données, il est important de répondre rapidement et correctement. Si votre organisation n’a pas les ressources internes nécessaires pour gérer les enjeux juridiques et les questions de conformité, il serait avisé de confier la démarche à un accompagnateur en matière d’atteinte aux données. Les accompagnateurs en matière d’atteinte aux données sont de précieuses sources d’information et d’expertise et peuvent contribuer à alléger le poids qui pourrait peser sur vos épaules en période de crise. Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité, Commissariat à la protection de la vie privée du Canada, octobre 2018
Sources :
1“Data Breach: Frequently Asked Questions,” Siskinds, Mai 2020
2,6“Why Your Company Should Secure A Data Breach Coach,” Forbes, 29 juillet 2019
3,4“Digital Forensics: Identifying the Who, What, When and How of Cyber Attacks,” Secure Cyber Defense
5 “What you need to know about mandatory reporting of breaches of security safeguards,” Office of the Privacy Commissioner of Canada, octobre 2018
7“A Crisis Communications Plan for Data Breaches,” Pushkin PR
8“Why Your Company Needs a Data Breach Communications Plan,” Medium, 9 mars 2020
