Visualisez votre campagne de notifications
La première étape consiste à déterminer combien de clients vous devrez peut-être informer suite à une violation de données et comment vous les contacterez. La préférence de nombreuses entreprises est de contacter leurs clients par e-mail, auquel cas vous devez vous assurer que vous disposez des adresses e-mail de chaque client. Si ce n’est pas le cas, vous aurez besoin d’une adresse postale ou d’un numéro de téléphone. Pensez au temps qu’il vous faudra pour contacter tous vos clients. Votre souhait est peut-être de contacter tout le monde dans les 24 heures suivant une violation, mais si vous avez un million de clients, cela ne sera tout simplement pas possible. Trois à cinq jours sont plus réalistes. Si vous le savez à l’avance, vous pouvez définir vos attentes et vous préparer de manière appropriée.
Préparez vos messages
Ensuite, vous devez réfléchir à ce que vous direz aux clients. Dans une certaine mesure, cela devra être adapté suite à une violation, pour refléter la nature spécifique de l’incident. Cependant, de nombreux messages clés peuvent être convenus à l’avance, et ceux-ci devront être approuvés au sein de votre organisation, notamment par les équipes juridiques.
Quelle entité ou marque utiliserez-vous ? Avez-vous plusieurs marques au-delà des frontières internationales, par exemple ? Avez-vous besoin de messages différents pour différents groupes de cohortes, tels que les employés, les clients, les titulaires de pension et autres ? Si vous pouvez pré-approuver à l’avance les messages et les modèles pour tous les groupes, vous gagnerez beaucoup de temps suite à une violation de données.
Préparez vos ressources
Après avoir déterminé comment vous allez contacter les clients et ce que vous direz, vous devez réfléchir aux ressources nécessaires pour mener à bien cette campagne de communication. Avez-vous les compétences et les ressources nécessaires pour gérer cela en interne, ou aurez-vous besoin d’un soutien externe ? Avez-vous besoin de former les gens à l’avance pour qu’ils soient prêts à réagir rapidement en cas de crise ?
Qu’en est-il des ressources dont vous aurez besoin pour traiter les requêtes des clients concernés ? Si vous informez des milliers de personnes d’une violation de données, comment allez-vous gérer potentiellement des centaines d’appels entrants ? Que diriez-vous aux gens ? Si votre clientèle est internationale, avez-vous besoin d’agents capables de répondre aux requêtes dans différentes langues ? Idéalement, vous devez préparer des scripts à l’avance pour vous assurer de transmettre des messages cohérents aux personnes concernées. Ne pas répondre aux requêtes entrantes pourrait être extrêmement préjudiciable à votre organisation. Après avoir informé les clients que leurs données ont été compromises, vous aggraverez l’anxiété et l’incertitude des gens si vous n’êtes pas en mesure de répondre rapidement à leurs questions.
Quelle est votre attitude face au risque ?
Après avoir compris les implications et les exigences de réponse, vous devez alors réfléchir à votre appétit pour le risque. Combien souhaitez-vous investir dans la préparation à l’avance et combien êtes-vous prêt à laisser au hasard ? Si vous avez besoin de ressources de centre d’appels externes pour gérer votre réponse, êtes-vous heureux qu’elles soient fournies dans la mesure du possible ? Cela signifie que votre prestataire de réponse aux crises fera tout son possible pour vous fournir les ressources dont vous avez besoin, mais sans fournir aucune garantie.
Les ressources de réponse sont limitées, et s’il y a une autre violation à l’échelle du Exploitation de MOVEit, ces ressources pourraient être rares. Une alternative consiste à payer une provision pour un service de « réponse réservée », qui garantit que les ressources dont vous avez besoin seront disponibles en cas de violation de données.
Implications pour toute votre organisation
Il y a de nombreux équilibres à trouver dans la planification et la préparation d’une réponse à une crise. Une chose qui devient rapidement claire est qu’il s’agit d’un problème commercial, et pas seulement d’un problème informatique. L’impact d’une violation de données affecte l’ensemble de l’organisation et tous ses clients ou utilisateurs de services. De toute évidence, subir une cyberattaque est extrêmement perturbateur pour les opérations commerciales, nécessitant un travail important pour remettre les systèmes informatiques en état de marche. Mais en outre, gérer la réponse de vos clients et contribuer à minimiser les dommages financiers et de réputation est tout aussi complexe et semé d’embûches. Les enjeux sont importants, il est donc important de bien faire les choses.
Tout au long de notre travail de conseil, nous visons à servir une dose de réalité et d’illumination. Nous aidons les organisations à évaluer ce qu’elles devront faire dans la pratique, combien de temps cela prendra de manière réaliste et ce qu’elles peuvent faire pour se préparer à une réponse efficace et professionnelle. Le résultat est un résultat mûrement réfléchi.plan de réponse aux consommateurs» qui peut être approuvé par le conseil d’administration et qui permet à chacun dans l’entreprise de comprendre son rôle en cas de violation de données. Comment garantir que ce plan soit résilient et puisse être mis en pratique sera le sujet de mon prochain blog.
