Les incidents de cybers\u00e9curit\u00e9 et les violations de donn\u00e9es surviennent sans crier gare. Peut-\u00eatre que votre organisation a \u00e9t\u00e9 victime d\u2019une cyberattaque ou qu\u2019un de vos fournisseurs vous a inform\u00e9 qu\u2019il avait \u00e9t\u00e9 la cible d\u2019une attaque de ce genre. Il est \u00e9galement possible qu\u2019un employ\u00e9 cl\u00e9 ait perdu un appareil non crypt\u00e9 pouvant contenir des renseignements commerciaux confidentiels ou des donn\u00e9es sur les clients. Les exemples ne manquent pas pour illustrer la t\u00e2che colossale que doit accomplir une organisation pour enqu\u00eater sur un incident, communiquer avec les intervenants et colmater les br\u00e8ches qui ont donn\u00e9 lieu \u00e0 la situation.<\/p>\n
Ces incidents n\u00e9cessitent la mise en place de mesures rapides et \u00e9nergiques dans un contexte souvent marqu\u00e9 par un manque de renseignements ou de certitude de toutes sortes. Les diff\u00e9rents intervenants, aussi bien en interne qu\u2019\u00e0 l\u2019externe, peuvent avoir des int\u00e9r\u00eats divergents. Cela peut para\u00eetre banal de dire qu\u2019il faut r\u00e9agir avec sang-froid, mais c\u2019est bien ce que nous avons constat\u00e9.<\/p>\n
Nous vous pr\u00e9sentons ci-apr\u00e8s une liste de t\u00e2ches qui vous aideront \u00e0 mettre au point une approche d\u2019intervention en cas d\u2019incident. Nous soulignons \u00e9galement certaines choses qu\u2019il ne faut pas faire. Certaines de ces t\u00e2ches doivent \u00eatre men\u00e9es en parall\u00e8le; il ne s\u2019agit pas d\u2019une liste d\u2019\u00e9tapes \u00e0 franchir de fa\u00e7on s\u00e9quentielle.<\/p>\n
Si vous observez des signes d\u2019activit\u00e9 suspecte ou d\u2019intrusion, ne les n\u00e9gligez pas. Au contraire, transmettez rapidement les probl\u00e8mes de s\u00e9curit\u00e9 aux responsables en interne, par exemple, \u00e0 votre responsable de la s\u00e9curit\u00e9 des donn\u00e9es, responsable de la gestion des risques, conseiller juridique ou responsable de la protection de la vie priv\u00e9e.<\/p>\n
Une \u00e9quipe d\u2019intervention en cas d\u2019incident se compose d\u2019acteurs cl\u00e9s de votre organisation, d\u2019experts externes en cybers\u00e9curit\u00e9 ainsi que de votre conseiller juridique ou de la personne qui vous fournit de l\u2019encadrement en cas de violation.<\/p>\n
Si vous n\u2019avez pas de proc\u00e9dure ou de plan \u00e0 suivre, d\u00e9signez les personnes en interne qui doivent prendre part \u00e0 la gestion de cet incident. Il peut s\u2019agir du chef de la direction, du responsable de la s\u00e9curit\u00e9 des donn\u00e9es, du responsable de la gestion des risques, d\u2019un conseiller juridique de votre entreprise ou du responsable de la protection de la vie priv\u00e9e.<\/p>\n
Si vous disposez d\u2019un plan d\u2019intervention en cas d\u2019incident et que vous avez enclench\u00e9 la proc\u00e9dure appropri\u00e9e, suivez les \u00e9tapes. Elles ont \u00e9t\u00e9 d\u00e9finies \u00e0 des fins pr\u00e9cises.<\/p>\n
Il est important qu\u2019une personne soit charg\u00e9e de la gestion de l\u2019incident en interne. On ne peut pas externaliser la responsabilit\u00e9 de ce type de t\u00e2che.<\/p>\n
Si vous avez d\u00e9j\u00e0 retenu les services d\u2019experts externes en cybers\u00e9curit\u00e9 et d\u2019un conseiller juridique, contactez-les d\u00e8s que possible.<\/p>\n
Parlez \u00e0 votre assureur et passez en revue les polices d\u2019assurance qui peuvent prendre en charge les co\u00fbts de l\u2019incident. Votre assureur peut \u00e9galement vous aider \u00e0 trouver des experts qualifi\u00e9s en cybers\u00e9curit\u00e9 si vous n\u2019avez pas encore mis sur pied une \u00e9quipe et adopt\u00e9 un plan.<\/p>\n
Les experts externes en cybers\u00e9curit\u00e9 devront d\u00e9terminer la fa\u00e7on de prot\u00e9ger les syst\u00e8mes et les donn\u00e9es contre tout autre incident et rep\u00e9rer la faille de s\u00e9curit\u00e9 qui a permis \u00e0 l\u2019attaque de survenir. Ils prendront les mesures n\u00e9cessaires pour colmater la br\u00e8che et m\u00e8neront une enqu\u00eate sous l\u2019angle de la cybers\u00e9curit\u00e9.<\/p>\n
Un conseiller juridique veillera \u00e0 ce que votre organisation comprenne ses obligations l\u00e9gales en mati\u00e8re de protection de la vie priv\u00e9e impos\u00e9es par les autorit\u00e9s f\u00e9d\u00e9rales, provinciales, internationales et sectorielles. Il peut s\u2019agir notamment d\u2019obligations en mati\u00e8re de d\u00e9claration, de notification et de tenue de dossiers.<\/p>\n
La communication est un \u00e9l\u00e9ment important d\u2019une intervention en cas d\u2019incident \u2013 on ne peut pas simplement balayer les incidents sous le tapis en esp\u00e9rant que personne ne s\u2019en rendra compte. Cependant, gardez \u00e0 l\u2019esprit qu\u2019il est important de ne pas se h\u00e2ter \u00e0 envoyer des communications d\u00e9taill\u00e9es. \u00c9vitez les sp\u00e9culations dans les communications \u2013 il est parfaitement acceptable d\u2019\u00eatre transparent sur le fait qu\u2019une enqu\u00eate est en cours et qu\u2019elle prendra du temps.<\/p>\n
Si ce n\u2019est d\u00e9j\u00e0 fait, avisez le conseil d\u2019administration, s\u2019il y a lieu, et informez les employ\u00e9s qu\u2019un incident s\u2019est produit.<\/p>\n
D\u00e9finissez qui sont les principaux intervenants externes, qui peuvent comprendre des clients cl\u00e9s que vous souhaitez informer avant qu\u2019ils n\u2019apprennent la nouvelle d\u2019une autre source.<\/p>\n
Remplissez vos obligations d\u2019informer les personnes dont les renseignements personnels ont \u00e9t\u00e9 compromis.<\/p>\n
Vous pouvez \u00eatre tenu d\u2019informer des personnes en vertu d\u2019obligations contractuelles. Ces obligations peuvent s\u2019appliquer ou non par suite de l\u2019incident et elles peuvent pr\u00e9voir ou non des d\u00e9lais stricts. Si ces contrats n\u2019ont pas \u00e9t\u00e9 examin\u00e9s \u00e0 l\u2019avance, d\u00e9signez une personne qui peut les examiner et fournir un avis juridique sur l\u2019incidence que cette situation peut avoir sur les mesures d\u2019intervention.<\/p>\n
En plus des obligations contractuelles, il y a des obligations l\u00e9gales en mati\u00e8re de protection de la vie priv\u00e9e impos\u00e9es par les autorit\u00e9s f\u00e9d\u00e9rales, provinciales, internationales et sectorielles. Ces obligations varient selon que les renseignements vis\u00e9s sont de nature personnelle ou m\u00e9dicale, par exemple. En vertu de la l\u00e9gislation sur la protection de la vie priv\u00e9e, il peut \u00e9galement \u00eatre n\u00e9cessaire d\u2019informer les commissaires \u00e0 la protection de la vie priv\u00e9e selon le risque de pr\u00e9judice que repr\u00e9sente l\u2019incident. Consultez votre conseiller juridique afin de d\u00e9terminer ces obligations et informez les personnes qui doivent l\u2019\u00eatre.<\/p>\n
Il est important de consigner les actions et les d\u00e9cisions prises pendant l\u2019incident, de conserver les preuves et de maintenir le privil\u00e8ge de communication. Si jamais un proc\u00e8s est intent\u00e9 ou une enqu\u00eate est ouverte par un commissaire \u00e0 la protection de la vie priv\u00e9e, ces mesures seront utiles \u00e0 votre organisation.<\/p>\n
Les cyberincidents suscitent souvent l\u2019attention des m\u00e9dias, ce qui peut nuire \u00e0 votre entreprise. Surveillez ce qui se dit dans les m\u00e9dias et pr\u00e9parez-vous \u00e0 faire d\u2019\u00e9ventuelles d\u00e9clarations r\u00e9actives ou proactives. Vous aurez tout int\u00e9r\u00eat \u00e0 r\u00e9diger ces d\u00e9clarations de concert avec la personne qui vous fournit de l\u2019encadrement en cas de violation.<\/p>\n
De m\u00eame, si des auteurs malveillants sont en cause, surveillez le Web et le Web clandestin pour vous assurer que les renseignements vol\u00e9s ne se retrouvent pas sur Internet.<\/p>\n
Lorsque les activit\u00e9s sont revenues \u00e0 la normale, r\u00e9fl\u00e9chissez au processus. Qu\u2019est-ce qui a bien fonctionn\u00e9? Qu\u2019est-ce qui a mal fonctionn\u00e9? R\u00e9digez un plan d\u2019intervention en cas d\u2019incident ou int\u00e9grez ces \u00e9l\u00e9ments \u00e0 votre plan d\u2019intervention en cas d\u2019incident actuel afin que votre organisation soit mieux outill\u00e9e advenant une nouvelle attaque.<\/p>\n
Prenez connaissance des renseignements fournis par les experts en cybers\u00e9curit\u00e9 pour renforcer vos syst\u00e8mes et am\u00e9liorer leur s\u00e9curit\u00e9, notamment en y ajoutant des dispositifs de protection technologiques, en offrant \u00e0 vos employ\u00e9s une formation sur la cybers\u00e9curit\u00e9 et en effectuant r\u00e9guli\u00e8rement la maintenance de vos syst\u00e8mes. Conservez une trace de ces am\u00e9liorations.<\/p>\n