SécuritéUne fuite de données peut gravement nuire à la réputation de votre entreprise, mais surtout avoir des conséquences désagréables pour les personnes concernées. La prévention est toujours préférable à la guérison, mais que faire si le malheur frappe néanmoins ?
L’attaque informatique contre Limburg.net le démontre une fois de plus : le danger est constamment présent. Le 13 décembre, la société de gestion des déchets limbourgeoise a reçu la visite indésirable de pirates informatiques du groupe russe Medusa. Initialement, cela a surtout créé le chaos dans les parcs à conteneurs, mais ces dernières semaines, il est devenu clair que les conséquences sont beaucoup plus importantes : les données personnelles de plus de trois cent mille citoyens sont désormais exposées, des noms aux numéros de registre national et même aux documents notariaux. On parle même déjà du ‘plus grand piratage de l’histoire’ dans notre pays.
Limburg.net n’est certainement pas la première organisation belge à tomber victime de pirates informatiques, et ne sera pas non plus la dernière. Il y a un an, une cyberattaque contre la ville d’Anvers a provoqué l’émoi nécessaire. Les fuites de données augmentent dans le monde entier et prennent également des proportions de plus en plus importantes. Mais même les fuites de données d’une ampleur plus limitée peuvent avoir de graves conséquences. La manière dont votre organisation gère une fuite de données déterminera l’ampleur des dommages que vous subirez suite à l’incident. Chaque décision que vous prenez (ou ne prenez pas) est cruciale à cet égard.
Pas un instantané
Les cyberattaques font presque quotidiennement la une de l’actualité de nos jours. On pourrait penser que les risques sont désormais bien connus, mais de nombreuses entreprises se font encore piéger. Lodi Hensen, VP Security Operations chez Eye Security, une entreprise néerlandaise de cybersécurité également active en Belgique, donne une explication possible. « La cybersécurité n’est pas un instantané. De nombreuses entreprises font effectuer un test de pénétration une seule fois et suivent les recommandations, mais cela s’arrête là. Vous devez constamment surveiller les faiblesses de vos systèmes pour maintenir les portes fermées. Ce n’est que lorsque vous savez ce que vous avez que vous pouvez également savoir comment tout sécuriser. »
Ce n’est pas la seule erreur de sécurité que Hensen voit commettre par les entreprises. « Le cloud est aujourd’hui largement utilisé, mais les entreprises supposent trop facilement que tout est bien sécurisé. C’est à vous, en tant qu’utilisateur, de vous assurer que tout est correctement configuré pour tenir les pirates à l’écart, et d’apprendre à vos collaborateurs à utiliser correctement le cloud. Les trois piliers de la sécurité sont people, process et technology : ils doivent travailler ensemble pour protéger continuellement votre entreprise. »
Ne vous voilez pas la face
Parfois, même les meilleures mesures de précaution ne suffisent pas à éviter une attaque. Au cours des premières heures, il est important de dresser un ‘inventaire’ de ce que les intrus ont exactement dérobé. Ce n’est pas toujours simple, déclare Hensen. « Les entreprises ne sont souvent au courant d’une cyberattaque que lorsque les pirates menacent de les faire chanter. À ce moment-là, elles doivent enquêter en toute hâte sur ce qui s’est passé, comment cela est arrivé et quelles données ont pu être volées. Cette enquête peut tout aussi bien révéler que rien n’a été volé, mais il est presque impossible de connaître immédiatement l’impact de l’attaque. »
Au milieu du chaos, votre entreprise devra souvent déjà communiquer sur l’incident. Ce n’est pas non plus une sinécure, comme le montre l’incident chez Limburg.net. L’organisation a d’abord indiqué qu’aucune donnée personnelle n’avait été dérobée : des paroles qu’il a fallu ensuite rétracter.
« Nous conseillons toujours à nos clients de faire appel à un expert juridique et en communication », déclare Hensen. « Les situations de crise comme les cyberattaques peuvent provoquer la panique. Les journalistes et surtout les personnes concernées voudront des réponses que vous ne pourrez peut-être pas encore donner à ce moment-là. De nouveaux éléments apparaissent toujours au cours de l’enquête, mais c’est un processus qui prend du temps. »
« La pire chose à faire est de minimiser les choses », déclare Herman Bogaerts, PDG de KMO Legal, une entreprise de Flandre orientale qui fournit des conseils juridiques aux PME. « C’est peut-être une réaction humaine de vouloir rassurer, mais vous ne faites qu’alarmer tout le monde si cela s’avère ensuite plus grave que ce que vous aviez dit initialement. Ne vous voilez pas la face et ne faites pas comme si rien ne s’était passé. L’incertitude éventuelle sur ce qui a été volé ne doit pas être une excuse pour se cacher derrière. »
Dans un plan de communication, deux éléments sont essentiels : le contenu et le timing. KMO Legal recommande d’adopter une stratégie du ‘besoin de savoir’, où l’on se limite aux informations qu’il est nécessaire de partager. Le calendrier dépend en grande partie des obligations légales auxquelles vous êtes tenu – nous allons l’examiner plus en détail dans un instant – bien que vous deviez être préparé aux questions des parties externes.
La pire chose que vous puissiez faire est de minimiser les faits pour rassurer les gens. Vous ne faites qu’alarmer tout le monde si la situation s’avère par la suite plus grave. Herman Bogaerts, PDG de KMO Legal
Qui dois-je informer ?
Après une cyberattaque, il est important pour les organisations de ne pas se contenter d’une communication réactive. Dans certaines situations, il existe une obligation de notification. Si la fuite de données présente un risque pour les droits et libertés des personnes concernées, vous devez signaler la violation de données dans les 72 heures à l’Autorité de protection des données (via le formulaire en ligne). Ces facteurs doivent être pris en compte :
- Quelle est la nature et l’ampleur des données divulguées ?
- Quel est le niveau de ‘sensibilité’ ?
- Les personnes peuvent-elles être facilement identifiées à partir des données ?
- Quelle est la gravité des conséquences possibles de la violation de données pour les personnes concernées ?
- Des données de mineurs ou d’autres personnes vulnérables sont-elles impliquées ?
Quelle que soit l’ampleur, il est toujours obligatoire de faire inscrire la violation de données dans un ‘registre’, explique par écrit Inanna Pringels, experte en confidentialité chez KMO Legal. La notification doit contenir une description de la violation de données (y compris le nombre de personnes concernées et une classification des données divulguées), les conséquences possibles de la violation et les mesures prises pour les limiter autant que possible. Dans la plupart des situations, vous devrez également informer les personnes concernées. Il existe cependant quelques exceptions à cela, par exemple s’il est ‘disproportionnellement difficile’ de prévenir chaque personne individuellement. Dans ce cas, une annonce publique suffit, ajoute Pringels.
Bogaerts ajoute : « Néanmoins, il est toujours préférable de communiquer une fois de trop que pas assez. Par crainte d’une enquête, les organisations osent parfois dissimuler des choses qui finissent par être révélées par la suite. Ne pas agir peut tout aussi bien être considéré comme de la négligence. Les autorités de contrôle peuvent imposer des amendes après une violation de données, mais ce ne sont pas non plus des pitbulls qui mordent sans raison. Elles préfèrent voir les entreprises assumer leurs responsabilités lors d’un incident. Cette obligation de responsabilité est d’ailleurs également incluse dans la loi RGPD. La bonne foi joue donc effectivement un rôle. »
Payer ou ne pas payer ?
Il est fort probable que les pirates exigeront une rançon pour ne pas rendre les données publiques. Hensen ne conseillera jamais aux organisations de payer une rançon, mais comprend que les entreprises ne voient parfois pas d’autre issue. « Payer ou ne pas payer est une considération que chaque victime doit faire. Ce n’est pas simple, car on ne sait pas ce que les attaquants vont faire après le paiement, bien qu’ils cherchent généralement une nouvelle victime. Parfois, le paiement est le dernier recours pour protéger les clients, on ne peut donc pas toujours le reprocher aux entreprises. »
« Le paiement d’une rançon est souvent une ‘voie rapide’ vers une solution pour permettre à l’organisation concernée de poursuivre ses activités le plus rapidement possible », déclare Pringels. « Cependant, d’un point de vue juridique et moral, nous ne le jugeons pas judicieux. Tout d’abord, le paiement n’offre aucune garantie que l’attaque sera effectivement arrêtée et/ou que les données seront restituées. De plus, cela encourage les criminels : non seulement leur plan a réussi, mais ils disposent également de nouveaux moyens pour de futures attaques grâce au paiement. »
« Il est difficile d’avancer des chiffres précis, mais au niveau européen, nous constatons que les entreprises cèdent de moins en moins souvent au paiement de rançons », poursuit Hensen sur une note plus positive. « Les raisons en sont que les entreprises disposent de meilleures sauvegardes et font de meilleures évaluations de la sensibilité des données. Les assurances y participent aussi de moins en moins. » « Pourtant, nous pensons que les entreprises paient encore plus souvent que ce que les médias laissent entendre, précisément parce qu’il y a si peu d’informations disponibles à ce sujet », note Bogaerts.
Atteinte à la réputation et fraude
Une violation de données peut avoir un coût financier élevé pour les victimes. Plus ennuyeux encore est peut-être l’atteinte à la réputation que subissent les entreprises. Hensen : « Après une violation de données, des données personnelles sont exposées auxquelles en principe tout le monde peut accéder. Les pirates utilisent ces données pour chercher de nouvelles victimes. Les violations de données sont une mine d’or pour quiconque souhaite nuire. »
Si vous êtes victime d’une violation de données en tant qu’individu, la fraude est votre plus grande préoccupation, poursuit Hensen. Cela ne signifie pas que vous devez le subir passivement. « Tâchez de déterminer quelles données ont été divulguées. Soyez également un bon citoyen et avertissez les personnes de votre entourage qui pourraient être impliquées. En tant qu’employeur, il est de votre devoir d’informer vos employés. Après une fuite de données, il est préférable d’être particulièrement vigilant : validez l’identité de vos correspondants par courriel ou téléphone. »
Pringels : « Si, en tant que victime d’une cyberattaque, vous vous demandez quelles données vous concernant sont effectivement traitées par l’organisation impliquée, vous pouvez demander l’accès à vos données personnelles. C’est l’un de vos droits conformément au RGPD. Le responsable du traitement doit y répondre dans un délai d’un mois suivant la réception. Dans l’hypothèse où la fuite de données serait imputable au fait que l’organisation a agi en violation des règles de protection des données et que vous avez subi un préjudice en conséquence, vous pourriez avoir droit à une indemnisation. »
« Le meilleur conseil que je puisse donner est de ne pas attendre que les pirates informatiques abusent de vos données. En cas de moindre doute, il est préférable d’agir de manière proactive en modifiant vos mots de passe et/ou en bloquant votre carte. Cela peut être momentanément désagréable, mais c’est peu de chose comparé aux conséquences d’une usurpation d’identité », déclare Bogaerts.
Les fuites de données sont une mine d’or pour quiconque a de mauvaises intentions.Lodi Hensen, VP Security Operations Eye Security
Assurez les fondamentaux
Le meilleur remède contre les fuites de données reste naturellement de les prévenir au mieux. « En ayant vos principes de base en ordre, vous pouvez déjà aller loin. Ne connectez vos systèmes les plus critiques à Internet que si c’est nécessaire et activez l’authentification multifactorielle. Les sauvegardes sont également cruciales contre les rançongiciels. Investissez non seulement dans la surveillance et la détection, mais aussi dans la réponse. Ceci est encore trop souvent négligé : vous pouvez avoir une bonne serrure, mais si des cambrioleurs brisent une fenêtre et que vous n’avez pas d’alarme, vous serez quand même cambriolé », conclut Hensen.
Si la sécurité n’était pas encore en tête de l’agenda, elle deviendra bientôt non seulement une obligation morale, mais aussi légale pour de nombreuses entreprises. La loi NIS2 étend les directives de son prédécesseur à plusieurs secteurs, de sorte que les entreprises relevant de cette législation n’auront plus d’excuses. De même, la loi européenne sur la cyber-résilience (Cyber Resilience Act) amènera les entreprises du secteur informatique à mieux réfléchir si elles ont tout en ordre. Ces législations devraient – espérons-le – permettre de réduire à nouveau le nombre annuel d’incidents cybernétiques. La négligence dans le traitement des données personnelles peut déjà rendre les entreprises responsables des incidents de sécurité.
« Tout commence par la prévention et la sensibilisation, mais assurez-vous d’être en règle non seulement techniquement mais aussi juridiquement, sinon vous risquez quand même d’avoir des problèmes », conseille Bogaerts. « Cependant, j’ai l’impression que la PME belge moyenne ne s’en préoccupe pas encore suffisamment. Le RGPD existe depuis plus de cinq ans maintenant : vous ne pouvez tout simplement plus vous en tirer si vous n’êtes pas en conformité. Ce sont peut-être des investissements qui ne rapportent pas immédiatement, mais considérez-les comme un mal nécessaire. Je ne veux pas paraître pessimiste, mais je pense que nous n’avons vu que la partie émergée de l’iceberg. Nous ne pourrons plus nous débarrasser des cyberattaques, ni des réglementations. »
