Les violations de données sont stressantes, longues à résoudre et potentiellement coûteuses pour les particuliers et les entreprises – avec le risque de dommages à long terme sur la réputation et les finances. Quatre entreprises britanniques sur dix (39%) ont déclaré avoir subi des atteintes à la cybersécurité ou des attaques au cours des 12 derniers mois seulement, ce qui est beaucoup plus élevé parmi les moyennes entreprises (65%) et les grandes entreprises (64%)[1].
Préparer une réponse approfondie à toute violation potentielle de données est la meilleure chance que vous ayez de protéger vos consommateurs, de sauvegarder votre réputation et de minimiser les perturbations pour votre entreprise. Plus il faut de temps pour répondre à un vol de données, plus le risque d’endommager votre marque, de mettre en danger vos clients et de nuire à vos futurs prospects est grand. La préparation est tout; tout le monde dans votre entreprise doit comprendre les risques et être prêt à soutenir votre réponse.
Experian a compilé un guide complet pour aider les entreprises à développer de solides plans de réponse aux violations de données. Vous pouvez téléchargez le guide complet ici, mais dans ce blog, j’aimerais souligner les cinq actions clés qui permettront à votre entreprise de répondre en toute confiance à toute violation de données.
1. Soyez prêt
Être prêt signifie vous assurer de disposer des ressources nécessaires pour réagir rapidement et informer toutes les parties concernées si une violation est découverte. Une réponse aussi rapide n’est possible qu’avec une planification et une compréhension approfondies de vos données client. Notre rapport d’enquête 2019 sur les violations de données auprès des consommateurs a révélé que, à la suite d’une violation de données, 90% des consommateurs seraient plus indulgents envers les entreprises qui avaient un plan de réponse en place. Près de 70% ont déclaré qu’ils arrêteraient de faire affaire avec une entreprise qui a eu une mauvaise réponse.
Les entreprises de services financiers sont depuis longtemps la principale cible des cybercriminels, mais aujourd’hui, les entreprises de toute taille, dans n’importe quel secteur, sont vulnérables – en particulier avec la montée du commerce électronique et des transactions en ligne. Aucune entreprise ne peut se permettre d’être complaisante.
2. Créez votre plan
Tenez compte du type de données de vos processus métier et identifiez les zones où des attaques potentielles peuvent se produire. Votre plan doit indiquer comment vous allez enquêter sur toute violation de données et y remédier, comment vous informerez les consommateurs et leur fournirez rapidement les informations dont ils ont besoin, comment vous informerez les autorités compétentes et communiquerez avec le grand public. Vous devez préparer toutes les communications à l’avance afin de pouvoir les déployer rapidement si nécessaire. Pensez aux ressources dont vous aurez besoin pour contacter potentiellement des milliers de clients dans les heures ou les jours suivant une violation.
3. Construisez votre équipe d’intervention
Il est essentiel de constituer votre équipe d’intervention en cas de violation de données bien à l’avance. Cette équipe devrait comprendre:
- Responsable de l’incident – détermine quand une réponse complète doit être activée, coordonne la réponse globale, agit comme intermédiaire entre les membres de l’équipe.
- Service à la clientèle – aide à développer et à fournir des scripts et des notifications téléphoniques, enregistre les volumes d’appels, fournit un centre d’appels dédié et une réponse par e-mail.
- C-Suite – participe à la planification et à la mise en œuvre, maintient les communications avec les administrateurs, les parties prenantes et les investisseurs.
- Informatique – identifie les risques de sécurité, forme le personnel à la réponse aux violations de données, collabore avec des partenaires pour identifier les données compromises et éliminer les outils de piratage.
- PR / Communications – détermine les tactiques de notification et de gestion de crise, développe les communications avec les clients, suit la couverture médiatique et réagit de manière appropriée.
- RH – développe les communications internes et gère les requêtes des employés.
Vous devez également identifier les partenaires externes pertinents, qui pourraient inclure des spécialistes du droit, de la criminalistique, des communications de crise et de la réponse aux violations de données, ainsi que des influenceurs clés, des régulateurs et des assureurs.
4. Pratiquer et perfectionner
Une fois que vous avez établi votre équipe d’intervention et vos partenaires, vous devez organiser une formation spécifique au service et vous entraîner à mettre en œuvre votre plan. Chacun doit comprendre ses responsabilités, à la fois dans la préparation et la réponse à une violation. Ce n’est qu’en pratiquant à plusieurs reprises que vous pourrez identifier les faiblesses et les lacunes potentielles de vos ressources. Nous vous recommandons de mener des exercices de simulation tous les six mois, impliquant toute l’équipe d’intervention en cas de violation de données et des partenaires externes, couvrant plusieurs scénarios possibles. Terminez par un compte rendu pour discuter des leçons apprises et mettre en œuvre des améliorations si nécessaire.
5. Les premières 24 heures
Agir de manière décisive dans les 24 heures suivant une violation de données est essentiel pour regagner votre sécurité, préserver les preuves vitales et protéger vos clients. Dès qu’une brèche est identifiée, vous devez initier votre plan et mobiliser votre équipe. Il est essentiel que vous collectiez et enregistriez toutes les informations que vous pouvez sur la violation de données, y compris toutes les communications avec les organismes de réglementation et les professionnels du droit.
Donner la priorité aux clients
N’oubliez pas que les clients sont au cœur de tout ce que vous faites en réponse à une violation de données. Votre plan doit garantir que vous êtes prêt à les informer rapidement et avec sensibilité de tout incident. Vous devez être prêt à leur dire ce qui s’est passé et les mesures que vous prenez. Cela sera crucial pour minimiser la détresse, rassurer et protéger votre réputation. Assurez-vous que vous disposez des coordonnées à jour de tous les clients et que vous êtes prêt à améliorer rapidement le support de votre centre d’appels afin que les clients aient toujours un expert à qui parler.
Pour obtenir des conseils complets sur la création de votre propre plan, Téléchargez notre guide complet de planification des interventions en cas de violation de données. En tant que spécialistes des données, Experian travaille chaque jour avec des organisations de toutes tailles pour mettre en œuvre des plans de réponse avant et après la violation, y compris les notifications client et le ressourcement des centres d’appels, garantissant à nos clients d’agir de manière décisive, de protéger leurs clients et de récupérer rapidement de tout cyber -attaque.
[1] Enquête sur les violations de la cybersécurité, Département du numérique, de la culture, des médias et des sports (DCMS), mars 2021
