Que ce soit là que ce soit une rançon ou non, les violations de données ont toujours des implications financières. Les organisations peuvent faire face à des sanctions réglementaires, à des pertes opérationnelles et à des atteintes à leur réputation. Une planification minutieuse peut vous faire gagner du temps et de l'argent.
L'impact d'une violation de données
Les violations de données se produisent lorsqu'il existe une faiblesse de la sécurité conduisant à l'exposition de données privées. Parfois, c'est un travail à l'intérieur. Le personnel peut faire une erreur, garder rancune et divulguer des données par malveillance, ou quelqu'un peut être un dénonciateur. Mais les violations de données sont le plus souvent causées par des cyberattaques. Les attaques de ransomware, les campagnes de hacktivisme, les attaques de doxxing et l'espionnage industriel peuvent tous conduire à des violations de données.
CONNEXES Comment se préparer et combattre une attaque de ransomware
L'impact financier d'une violation de données peut être énorme. Par exemple, les attaques de ransomware font perdre des revenus aux entreprises dès qu'elles sont touchées. Même si certaines parties d'une entreprise sont capables de fonctionner, elle peut quand même perdre des revenus. Lors de l'attaque du ransomware Colonial Pipeline de mai 2021, les dépôts de production de carburant ont pu fonctionner, mais cela n'a pas aidé. Colonial Pipeline avait perdu ses systèmes de facturation. Ils pouvaient produire des carburants, mais ils ne pouvaient ni les livrer ni les facturer.
Si des informations personnellement identifiables (PII) sont violées, il est probable que la législation locale, nationale ou même internationale sur la protection des données vous imposera une amende. Les amendes tiennent compte de facteurs tels que le nombre de personnes concernées et les circonstances de la violation. Même si aucune donnée ne quitte votre réseau, une attaque de ransomware est considérée comme une violation car vous avez perdu le contrôle de vos données.
Publicité
Les revenus perdus et les rançons sont faciles à énumérer. Tout comme le coût de l'assainissement et de la récupération. Il est beaucoup plus difficile de quantifier l'impact d'une baisse de confiance de la part des clients et des employés sur votre organisation. Les atteintes à la réputation et à la marque peuvent faire chuter les stocks, les meilleurs employés quittent le navire et les clients partent.
Les violations de données sont en augmentation et des attaques notables sont signalées presque tous les jours. Pour chaque tête d'affiche, il existe de nombreuses autres violations à petite échelle dans les petites organisations. Pour minimiser les dommages financiers, vous devez être capable de réagir rapidement en cas de violation. Cela signifie que vous devez vous préparer de manière proactive à un tel incident.
Comprendre votre parc informatique
RELATED< /strong>Le pouvoir au peuple ? Pourquoi l'hacktivisme est de retour
L'époque du parc informatique classique sur site est révolue. Très peu d'organisations conservent l'infrastructure entièrement sur site d'avant les années 2000. Même s'il ne s'agit que d'une sauvegarde hors site, d'un référentiel Git distant ou de Microsoft 365, il est presque impossible de ne pas avoir une sorte de composant cloud dans vos opérations informatiques.
Et tandis que le cloud l'informatique peut apporter des avantages en termes de coût, d'évolutivité et de disponibilité, elle peut également apporter ses propres complexités. Lorsque vous ajoutez des conteneurs, des microservices, des appareils mobiles, des appareils intelligents et des API, votre surface d'attaque devient beaucoup plus grande. Cela rend votre informatique et vos réseaux difficiles à défendre, et il devient plus compliqué de les restaurer en cas de catastrophe.
C'est pourquoi il est impératif de faire le point et de quantifier exactement en quoi consiste votre parc informatique. Documentez tous les systèmes d'exploitation, les applications et le matériel. Créez des registres d'actifs matériels et logiciels, et incluez les rôles et les fonctions des actifs. Cela vous aidera dans la création de votre plan de réponse aux incidents. Ce sera le guide que vous suivrez lorsqu'un incident se produit.
CONNEXES : Comment se préparer et combattre une attaque de ransomware
Que restaurez-vous en premier ?
Si tout est en panne, que restaurez-vous en premier ? Plus vite vous pouvez restaurer la capacité opérationnelle, plus vite vous pouvez réactiver vos sources de revenus. C'est pourquoi vos registres d'actifs informatiques doivent inclure les rôles et les fonctions des applications, des serveurs et des logiciels. Ces informations guideront la création de votre plan de réponse aux incidents (IRP).
La répétition du plan de réponse aux incidents avec toutes les parties prenantes appropriées présentes et engagées révélera les systèmes critiques qui doivent être restaurés avant que quoi que ce soit ne fonctionne. Une fois cela fait, vous pouvez déterminer conjointement l'ordre dans lequel les fonctions ou départements vitaux doivent être restaurés.
Publicité
Un plan de réponse aux incidents vous aidera à minimiser votre temps d'arrêt global. Cela ne peut pas être réduit au-delà de certaines limitations pratiques, dictées par la taille et la complexité de votre infrastructure informatique et la gravité de l'attaque. Le mieux que vous puissiez faire est d'établir l'ordre dans lequel les équipes ou les départements financièrement critiques sont remis en ligne.
Si vous faites une hémorragie d'argent d'un endroit particulier, c'est là que vous appuyez sur le bouton fer chaud.
Un IRP est un document commercial
Votre plan de réponse aux incidents n'est pas seulement un document de l'équipe informatique ou de sécurité. Il s'agit d'une politique et d'une procédure commerciales essentielles. Il est essentiel que, lorsqu'il est examiné, approuvé et répété, toutes les parties prenantes de l'entreprise soient impliquées. En plus de fournir des commentaires et des conseils, ils acquerront une compréhension des problèmes et des défis d'un incident réel.
CONNEXESQu'est-ce que le Doxxing et comment est-il utilisé comme arme ?
Cette compréhension aura deux avantages majeurs. La première est qu'ils comprendront qu'en cas d'incident réel, l'équipe de sécurité doit être autorisée à s'occuper des problèmes et à gérer l'incident. Se tenir au-dessus d'eux n'aidera pas. La seconde est que l'entreprise appréciera le besoin d'une expertise spécialisée. Et si cette expertise n'est pas disponible en interne, ils devraient voir l'intérêt de trouver un fournisseur compétent et de s'engager avec lui, maintenant, et non au milieu d'un incident.
Il est trop tard pour rechercher une expertise extérieure en temps de crise. Si vous trouvez quelqu'un, vous paierez les tarifs d'urgence. D'un point de vue technique, ils seront moins efficaces à froid que s'ils ont été engagés, en réserve, à l'avance, et qu'on leur a laissé le temps de se familiariser avec votre fonctionnement.
Bien sûr, il ne s'agit peut-être pas uniquement de la sécurité ou d'autres compétences techniques auxquelles vous devez faire appel. Les relations publiques, les ressources humaines, les centres d'appels et les fonctions de médias sociaux peuvent nécessiter un soutien externe.
Préparer la documentation réglementaire
Lorsqu'une brèche survient, une horloge se met à tourner. En fonction de la législation sur la protection des données qui entre en jeu, dictée par la résidence des personnes concernées, et non par l'emplacement de votre organisation, vous disposerez d'un court laps de temps pour effectuer plusieurs étapes obligatoires. Ne pas effectuer ces étapes ou ne pas respecter les délais augmentera les amendes qui vous seront imposées.
Publicité
Par exemple, le délai dans lequel vous devez informer l'organisme de protection des données approprié & l'autorité de contrôle de la violation peut être aussi court que 72 heures. De toute évidence, vous devez comprendre toute la législation sur la protection des données qui s'applique à vous, et ce que chacune exige de vous.
Si vous traitez les données personnelles de citoyens britanniques, vous devez satisfaire à la Data Protection Act 2018, qui contient la version britannique du RGPD. Si vous traitez les données personnelles de citoyens de pays de l'UE, vous devez satisfaire à la version européenne du RGPD. Si vous répondez aux critères d'éligibilité du CCPA et tombez sous son champ d'application, votre organisation doit également satisfaire au CCPA. Et ainsi de suite, pour chaque loi applicable. Votre responsable de la protection des données ou votre DSI doit avoir contribué au plan de réponse aux incidents afin que les actions et les délais requis par chaque législation soient clairs.
Les notifications envoyées aux autorités de contrôle et aux personnes concernées les informant de la violation doivent inclure des sections obligatoires et des détails suffisants pour satisfaire l'autorité de contrôle. Cela rend impossible la préparation à l'avance de relevés pré-remplis. Mais vous pouvez préparer des documents avec les informations obligatoires sur vos systèmes informatiques et l'organisation. Avec un ensemble de documents prêts pour les incidents pour chaque législation, le défi de remplir les exigences réglementaires dans les délais est réduit à une série d'exercices de collecte de données et de remplissage de formulaires.
Peut-être vous’ ;ll sera condamné à une amende pour la violation de données. S'assurer que les aspects de conformité de l'incident sont bien maîtrisés évite d'augmenter inutilement les amendes.
CONNEXES : Le CCPA n'est pas réservé aux entreprises californiennes. Voici ce dont vous avez besoin pour être conforme
Responsabilités en amont et en aval
Les organisations qui traitent des données pour le compte d'autres organisations sont appelées sous-traitants. Les organisations qui s'engagent avec eux sont des contrôleurs de données. Les sous-traitants et les contrôleurs de données ont la responsabilité conjointe des données. En cas de violation d'un processeur de données, la législation moderne sur la protection des données considère les deux parties comme responsables. Le responsable du traitement a choisi le sous-traitant et le sous-traitant a commis la violation.
Publicité
Les deux parties peuvent recevoir des amendes et les personnes concernées peuvent vous poursuivre tous les deux. si le sous-traitant dit que la raison de la violation est due à une omission ou un oubli de la part du responsable du traitement, il peut poursuivre le responsable du traitement.
Il est important d'avoir un sous-traitant accords en place avec tous vos sous-traitants. Et si vous êtes un sous-traitant, assurez-vous que les conditions des accords de sous-traitance auxquels vous êtes lié ne sont pas injustement punitives financièrement.
La prévention, c'est mieux Than Cure
Mais la préparation vaut mieux que le pandémonium si le pire devait arriver. Avoir un plan de match holistique régissant les équipes techniques internes, l'aide de spécialistes externes et les équipes de conformité et juridiques vous guidera à travers une violation de données d'une manière qui contribuera à réduire les implications financières.