Préparation à la violation de données : où sont vos angles morts ?

Les violations de données nécessitent un temps et des ressources considérables pour être résolues, et les dommages peuvent être importants, allant des coûts financiers et des temps d’arrêt opérationnels aux atteintes à la réputation incalculables. Avec des conséquences aussi vastes, il vaut la peine d’être préparé. Malgré cela, seulement 19 % des entreprises de notre étude étaient tout à fait d’accord* pour dire qu’elles étaient prêtes à répondre à une violation de données causée par leur main-d’œuvre distante, par exemple.

Sous-estimer les risques

La plupart des entreprises ne comprennent pas parfaitement les conséquences d’une violation de données et la rapidité avec laquelle elles devront réagir. Même les entreprises qui pensent être bien préparées sont susceptibles d’avoir des angles morts. Les entreprises sous-estiment la difficulté de se remettre d’une violation ; la complexité de la notification des clients, de la gestion des canaux de communication, de la notification des régulateurs, de la consultation d’avocats et de l’exécution rapide d’une série de décisions essentielles pour atténuer les risques et minimiser l’impact commercial.

Face à la menace de la cybercriminalité, les entreprises ont tendance à se concentrer sur la prévention – en investissant dans des systèmes informatiques et des logiciels pour minimiser le risque d’attaque. Mais peu vont plus loin et se préparent à la réponse requise en cas de violation. Les cyberattaques peuvent survenir à tout moment dans n’importe quelle entreprise, quelle que soit sa taille. Les attaques et les pertes de données peuvent prendre de nombreuses formes, des attaques de ransomware au vol direct de données. Aucune entreprise n’est protégée à 100 %, peu importe combien elle investit dans la cybersécurité.

Technicien informatique sur une tablette

Pourquoi se préparer à une violation de données ?

Se préparer à une violation de données signifie que vous êtes prêt à réagir immédiatement. En travaillant à l’avance sur les scénarios potentiels, vous aurez moins de surprises. Vos équipes et partenaires spécialisés comprendront leurs rôles et responsabilités.

Votre entreprise aura une meilleure appréciation des décisions qui doivent être prises rapidement. Beaucoup d’entre eux – et la réflexion qui les sous-tend – peuvent être faits à l’avance. Cela vous enlèvera beaucoup de pression lorsque vous vous retrouverez dans une situation post-violation stressante. Réduisez le nombre de décisions que vous devez prendre en cas de violation, économisant ainsi un temps et des ressources précieux. Vous saurez qui consulter – des équipes juridiques et d’assurance aux spécialistes des relations publiques et de la réponse aux crises – et comment faire rapport aux régulateurs.

Vous pouvez également préparer à l’avance les communications essentielles avec les clients ou les employés. Vous pouvez planifier ce que vous voulez dire à différents types de clients ou d’employés, dans différentes situations, et préparer vos modèles de communication.

La préparation implique d’avoir des ressources du centre de contact en attente pour être déployées en cas de besoin. Communiquer de manière précise et complète avec toute personne touchée par la violation est l’un des éléments critiques et évite la diffusion d’informations au goutte-à-goutte qui peuvent causer de l’anxiété et éroder la confiance.

Vous devez également être prêt à gérer les requêtes entrantes des clients ou des employés. Si vous n’êtes pas en mesure de répondre rapidement et avec confiance aux questions, cela peut créer des défis plus importants et nuire davantage à votre réputation. Il est donc essentiel de disposer des bonnes ressources, y compris des personnes possédant les compétences, les connaissances et les capacités linguistiques appropriées.

Pourquoi plus d’entreprises ne sont-elles pas préparées ?

La réponse simple est que les entreprises sont confrontées à tant de priorités concurrentes, en particulier à l’ère de Covid-19, qu’il peut être difficile de trouver le temps et les ressources à consacrer à la planification de la réponse aux violations de données.

Les entreprises se méfient également des coûts. Cependant, en réalité, la plupart des entreprises pourraient construire un plan de relance de base pour peu ou pas de frais en utilisant un outil tel que le logiciel gratuit Centre de préparation Experian. Cela fournit des conseils et des modèles pour aider les entreprises à créer un plan de réponse simple. Avec un peu plus d’investissement, les entreprises peuvent accéder à des conseils de conseil approfondis. Et pour un coût relativement bas, Experian peut créer un programme de préparation à la réponse aux violations de données, comprenant réponse réservée garantie ressources, prêtes à être mises en service immédiatement en cas de violation.

Découvrez comment Experian peut aider votre entreprise à se préparer en cas de violation de données

En savoir plus

Quelles mesures pratiques les entreprises peuvent-elles prendre dès maintenant ?

La première étape consiste à examiner les données que vous détenez sur les clients et les employés. En vertu du RGPD, le minimum que vous devez faire est d’informer les personnes concernées si elles sont considérées comme présentant un risque élevé d’usurpation d’identité, ainsi que d’informer le régulateur.

Ensuite, réfléchissez à la façon dont vous communiqueriez avec toute personne touchée par une violation de données. Serait-il facile d’informer toutes les personnes concernées ? Réfléchissez aux différentes manières dont vous avez besoin pour communiquer avec différents types de personnes. Quelles sont vos coordonnées et quels canaux de communication devez-vous utiliser ? Avez-vous les ressources en place pour mettre en œuvre ce type de communication de masse ?

Réfléchissez ensuite à la façon dont vous réagiriez aux différents types d’attaques. Votre stratégie de réponse à une attaque de ransomware sera très différente de votre réponse aux données perdues suite à un vol d’ordinateur portable, par exemple. Avez-vous besoin de catégoriser les risques en fonction de différents niveaux de perte de données ?

Ici, les scénarios deviennent plus complexes. Plus vous examinez ces scénarios et planifiez votre réponse de manière approfondie, meilleures seront vos stratégies de déploiement pour différentes éventualités.

La préparation apporte la tranquillité d’esprit

Avoir ces entretiens en amont avec des spécialistes, en dehors du feu de la situation de crise, est extrêmement rassurant pour les entreprises. Travailler avec les bons spécialistes juridiques, d’investigation informatique, de communication de crise et de réponse aux consommateurs vous permettra de couvrir vos angles morts, de vous préparer minutieusement à toute violation et de disposer des bonnes ressources en place pour réagir efficacement si le pire se produit.

Vous pouvez en savoir plus sur la planification de la réponse aux données sur notre site Internet, connectez-vous avec moi sur LinkedIn ou brècheresponse@experian.com pour parler à l’un de nos spécialistes des violations de données afin d’explorer la meilleure façon de se préparer.

* Huitième étude annuelle d’Experian sur la préparation aux violations de données, Ponemon Institute, juin 2021. Votre entreprise est-elle prête pour une violation de Big Data ?

Vous pourriez également aimer...