La technologie a apporté de multiples avantages aux entreprises, mais aussi différentes menaces qui peuvent mettre en danger la sécurité des données et des informations stockées, principalement sous forme de cyberattaques.

En effet, depuis l’entrée en vigueur du nouveau règlement général sur la protection des données (RGPD), l’Agence espagnole de protection des données (AEPD) a reçu plus de 400 notifications de la part d’entreprises qui ont subi une atteinte à la sécurité.

Conscients de cette tesitura, nous vous donnerons ensuite, dans AYCE Laborytax, les clés pour agir correctement faceà une faille de sécurité, sans paniquer dans votre entreprise. Faites attention et prenez note.

Qu’est-ce qu’une faille de sécurité?

Comme le prévoit le RGPD lui-même, les atteintes à la sécurité sont des atteintes à la sécurité d’une entreprise qui pourraient entraîner la destruction, la perte ou la modification des données personnelles et confidentielles de tiers, stockées par l’entreprise elle-même.

Indépendamment du cadre réglementaire, la gestion des lacunes doit être prise en compte dès la conception des activités de traitement, dans le cadre des mesures de sécurité visant à garantir les droits et libertés des personnes.

Si l’on peut tenir compte du fait que l’objectif principal du RGPD est d’assurer une plus grande confidentialité des données des utilisateurs, si votre entreprise souffrait d’une faille de sécurité, elle devrait être corrigée leplus rapidement possible et de la manière la plus efficace possible. Sinon, vous pourriez faire face à des sanctions économiques allant jusqu’à 20 millions d’euros.

Les failles de sécurité apparaissent généralement en raison de défaillances des systèmes informatiques des entreprises, d’incidentsinattendus ou du vol d’informations par des cybercriminels ou même des travailleurs eux-mêmes.

Étapes pour corriger une faille de sécurité dans votre entreprise

Détection, identification et classification de la faille de sécurité

La première chose à faire pour remédier à une faille de sécurité dans votre entreprise est d’identifier la cause qui l’a provoquée,et pour ce faire, vous devez analyser à la fois les sources internes à votre entreprise et externes.

  • Sources internes: vérifiez les mesures de sécurité prises dans votre entreprise pour savoir s’il y a eu une défaillance de la sécurité des données.
  • Sources externes: toute communication avec des clients, des fournisseurs ou des organismes publics devra être revue.

Une fois la cause détectée, il faudra déterminer s’il s’agit vraiment d’une faille de sécurité affectant la protection des données à caractère personnel. Si tel est le cas, il s’agit d’analyser la dangerosité de l’écart à travers les points suivants:

  • Niveau des dommages au sein de l’entreprise.
  • Nature, volume et catégories des données concernées.
  • Conséquences pour les personnes concernées.

En fonction du niveau de dangerosité, il faudra classer la faille de sécurité comme suit:

  • Violation de confidentialité: elle survient lorsqu’il y a eu un accès non autorisé aux informations de l’entreprise.
  • Manque d’intégrité: lorsque les informations originales ont été modifiées de manière préjudiciable.
  • Écart de disponibilité: c’est le plus grave, car il ne permet pas l’accès aux données originales. Il peut être temporaire ou permanent.

Gestion des failles de sécurité

L’étape suivante consisterait à élaborer un plan d’action portant sur les quatre points suivants:

  1. Confinement: afin de contenir les dégâts, il faudra isoler les réseaux et désactiver toutes les fonctions, limitant ainsi l’expansion de l’incident.
  2. Éradication: essentielle pour résoudre les effets éventuels de l’incident de sécurité, tels que la suppression d’un virus informatique ou la désactivation de tous les comptes violés.
  3. Récupération: lorsque l’incident a été résolu, il convient de confirmer que les activités concernées ont repris un fonctionnement correct, en effectuant une série de contrôles périodiques.
  4. Notification: enfin, si la faille de sécurité a affecté des données à caractère personnel de tiers, l’AEPD doit être informée de l’existence de la violation, au plus tard 72 heures après son existence, conformément à l’article 33 du RGPD.

Le GDPR oblige les entreprises à signaler la faille de sécurité dans un délai maximal de 72 heures à compter de sa connaissance.

La notification au DEPD doit comporter les informations suivantes:

  • Nature de la violation de la sécurité.
  • Conséquences possibles.
  • Mesures prises ou proposées par l’entreprise pour y trouver une solution.
  • Si la violation présente un risque élevé pour l’utilisateur, il faudra lui communiquer l’existence de la faille de sécurité, d’une manière claire et simple pour assurer sa compréhension.

 

Conclusion

Si, dans votre entreprise, vous souffrez d’une faille de sécurité, il est important que vous preniez les choses en main et que vous essayiez d’y remédier le plus rapidement possible en appliquant les mesures nécessaires. Cela dit, vous devrez informer l’Agence espagnole de protection des données de l’existence de l’écart d’une durée maximale de 72 heures.