Que faire en cas de vol de données ?

La fuite de données est un incident de cybersécurité courant qui peut avoir des répercussions importantes sur l’entreprise. Malgré un encadrement strict par le RGPD, aucune société n’est à l’abri d’un tel incident. Que faire en cas de vol de données ? Nous vous donnons les clés.

Qu'est-ce qu'une fuite de données personnelles ?

Qu'appelle-t-on fuite de données personnelles ?

Le RGPD (Règlement Général sur la Protection des Données) définit la fuite de données au sens plus large sous l’appellation « violation des données à caractère personnel ». Ces données concernent toute information relative à une personne physique identifiée ou identifiable. Lorsque vous êtes victime d’une fuite de données personnelles, il s’agit d’un acte illégal conduisant à la violation de vos données, de manière intentionnelle ou non, dirigé par une malveillance externe (piratage, par exemple) ou en raison d’un incident informatique.

Comment arrive une fuite de données ?

Une fuite de données peut intervenir de manière accidentelle ou malveillante, en interne ou en externe (c’est-à-dire à l’intérieur du système de stockage des données ou depuis l’extérieur). Il existe deux catégories de fuite :

Quelles formes peuvent prendre les fuites de données ?

À l’intérieur de ces deux catégories de fuite (Data Breach et Data Leak), on retrouve jusqu’à 7 formes de fuites de données.

Quelles sont les conséquences d'une fuite de données ?

Le vol des données elles-mêmes

Même accidentelles et involontaires, les fuites de données personnelles peuvent avoir des conséquences désastreuses, notamment si ces informations tombent en main de cybercriminels. Ainsi, la fuite de données peut entraîner la violation :

La vulnérabilité de l’entreprise

Si vous êtes victime d’une fuite de données personnelles, les hackers peuvent utiliser vos informations pour réaliser différentes attaques comme le hameçonnage (phishing), une tentative d’extorsion ou d’escroquerie, l’usurpation d’identité, ou encore un piratage de vos comptes en ligne. Les hackers peuvent également utiliser la vulnérabilité de l’entreprise pour s’immiscer dans d’autres systèmes informatiques ou logiciels pour effectuer des attaques plus importantes.

L’impact financier

Les répercussions financières sont immédiates lors d’un vol de données : coûts liés à la résolution de l’incident, mise en place de mesures pour stopper la fuite et éviter un nouvel incident, notification des personnes concernées. L’entreprise peut également subir des pertes de revenus sur le long terme en raison d’une baisse d’activité liée à la perte potentielle de clients.

Les sanctions

En cas de vol de données d’entreprise dans des secteurs réglementés comme les services financiers ou la santé, les sanctions peuvent être lourdes. En effet, ces informations ultra confidentielles nécessitent une protection optimale, et les entreprises sont soumises à des réglementations strictes en matière de protection des données. En cas de fuite de données, l’entreprise peut être punie par la loi et écoper d’amendes, de poursuites judiciaires ou de frais de justice.

La réputation de l’entreprise

Conséquence souvent silencieuse, la réputation de l’entreprise est impactée lorsqu’une fuite de données personnelles est constatée. Même s’il s’agit d’une fuite d’informations involontaire et accidentelle, la confiance est ébranlée et l’activité de l’entreprise peut être compromise, et ce, à long terme.

La culture d’entreprise

En interne, le vol de données peut créer un vent de peur ou de baisse de motivation auprès des employés. La culture de l’entreprise peut être impactée, avec une impression d’insécurité des employés envers la direction et leur lieu de travail lui-même.

La concurrence déloyale

Une fuite de données peut ouvrir la voie à l’espionnage industriel de la part de concurrents peu scrupuleux. Les informations sensibles de l’entreprise ne concernent pas seulement les clients, mais également les stratégies marketing, les plans de produits, les solutions commerciales, etc. Les données volées peuvent ainsi être exploitées par d’autres sociétés.

Comment savoir si on s'est fait voler des données ?

La prise de contact est l’un des éléments clés qui peut prouver que vous vous êtes fait dérober vos données. Dans la majorité des cas, vous recevez un mail ou une lettre postale pour vous informer que vos informations ont été compromises. Cependant, ce n’est pas toujours le cas, et il existe d’autres façons de vérifier la fuite de données.

Faire une recherche de fuite

Pour vérifier que vos données n’ont pas été compromises, vous pouvez utiliser un site ou un moteur de recherche spécifique comme Have I Been Pwned. Gratuits, ces plateformes vous permettent d’entrer votre adresse email ou votre numéro de téléphone et de vérifier si vos données ont été dérobées.

Utiliser un gestionnaire de mots de passe

Votre gestionnaire de mots de passe (si vous en avez un) peut vous proposer un service de suivi et d'alerte des violations de vos données. Ainsi, vous pouvez être prévenu en cas de mise à disposition de vos informations personnelles au public ou sur le Dark Web.

Se servir de la RIFI

La RIFI, Recherche sur Internet de Fuites d’Informations, permet de détecter toute violation de données qu’elle soit intentionnelle ou accidentelle. La RIFI implique l’automatisation de la recherche de fuites éventuelles à l’aide de mots-clés. Attention, ce protocole doit cependant être réalisé en conformité avec le RGPD.

Qui contacter en cas de vol de données ?

S’assurer de la fuite de données et analyser les risques

Avant de contacter qui que ce soit, soyez sûr de votre fuite de données personnelles. Pour cela, vous pouvez utiliser l’un des moyens de vérification proposés ci-dessus. Une fois la fuite avérée, vous devez procéder à l’analyse des risques encourus notamment en regard des droits et libertés des personnes concernées par ce vol d’informations.

Prévenir la CNIL

En parallèle, toutes les mesures techniques et organisationnelles doivent être mises en place le plus tôt possible pour stopper immédiatement la violation des données (selon l’article 32 du RGPD). Toujours selon le RGPD, l’article 33 impose au responsable de traitement d’avertir la CNIL dans les 72 heures suivant la connaissance du vol d’informations, surtout s’il existe un risque d’atteinte aux droits et libertés des personnes physiques.

Mentionner tous les éléments

Certains éléments doivent absolument être mentionnés lors du contact avec la CNIL.

En cas de retard dans la signalisation de l’incident auprès de la CNIL, le motif doit être mentionné. Sans raison légitime, la CNIL peut juger nécessaire de prononcer une sanction.

Prévenir les personnes concernées

En dehors de la CNIL, vous devez prévenir les personnes concernées par le vol de leurs données selon l’article 34 du RGPD. Cette notification doit intervenir si la fuite de données « est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne ». Dans le cas où la fuite de données n’entraîne pas de conséquence sur ces personnes et/ou que toutes les mesures ont été prises pour que les données dérobées ne puissent pas être utilisées, vous n’avez pas l’obligation de prévenir les personnes concernées.

Vous pouvez prévenir les personnes impactées par la violation de données, toujours de manière claire et en termes simples, directement auprès d’elles ou via une communicationpublique.

Le vol de données peut entraîner de lourdes conséquences pour l’entreprise victime. En cas de fuite, vous devez donc prévenir immédiatement la CNIL et mettre en place toutes les solutions possibles pour vous prémunir de nouvelles attaques ou nouveaux incidentssimilaires. Pour cela, n’hésitez pas à réaliser un audit pour vous former et former vos employés aux différents risques informatiques.