La survenue d’un incident de sécurité entraînant une intrusion de pirate informatique est, sans aucun doute, l’un des plus grands cauchemars pour toute entreprise aujourd’hui. Outre l’impact immédiat sur les entreprises, il existe des implications juridiques et réputationnelles qui peuvent durer des mois, voire des années. Au Brésil, la loi générale sur la protection des données (LGPD) établit une série d’exigences que les entreprises doivent respecter après que de tels incidents se produisent.
Selon un rapport récent de Federasul – Fédération des entités commerciales du Rio Grande do Sul –, plus de 40 % des entreprises brésiliennes ont déjà été la cible d’une forme ou d’une autre de cyberattaque. Cependant, bon nombre de ces entreprises rencontrent encore des difficultés pour se conformer aux exigences légales établies par la LGPD. Les données de l'Autorité nationale de protection des données (ANPD) révèlent que seulement environ 30 % des entreprises piratées ont officiellement déclaré l'incident. Cet écart peut être attribué à un certain nombre de facteurs, notamment le manque de sensibilisation, la complexité des processus de conformité et la crainte de répercussions négatives sur la réputation de l’entreprise.
Le lendemain de l'incident : premiers pas
Après avoir confirmé une intrusion de pirate, la première étape consiste à contenir l’incident pour éviter qu’il ne se propage. Cela comprend l’isolement des systèmes affectés, l’arrêt des accès non autorisés et la mise en œuvre de mesures de contrôle des dommages.
Parallèlement, il est important de constituer une équipe d’intervention en cas d’incident, qui doit comprendre des experts en sécurité de l’information, des professionnels de l’informatique, des avocats et des consultants en communication. Cette équipe sera chargée de prendre une série de décisions, principalement celles impliquant la continuité de l’activité dans les jours suivants.
En termes de conformité LGPD, il est nécessaire de documenter toutes les actions entreprises lors de la réponse à l'incident. Cette documentation servira de preuve que l'entreprise a agi conformément aux exigences légales et pourra être utilisée dans tout audit ou enquête de l'ANPD.
Au cours des premiers jours, l’équipe d’intervention doit effectuer une analyse médico-légale détaillée pour identifier la source de l’intrusion, la méthode utilisée par les pirates et l’étendue de la compromission. Ce processus est essentiel non seulement pour comprendre les aspects techniques de l’attaque, mais également pour recueillir les preuves qui seront nécessaires pour signaler l’incident aux autorités compétentes et également à la compagnie d’assurance – si celle-ci a souscrit une cyberassurance.
Il y a ici un aspect très important : l'analyse forensique sert également à déterminer si les attaquants sont toujours présents dans le réseau de l'entreprise – une situation qui, malheureusement, est très courante, d'autant plus si, après l'incident, l'entreprise subit une sorte de chantage financier par la divulgation de données que les criminels auraient pu voler.
En outre, la LGPD, dans son article 48, exige que le responsable du traitement communique à l'Autorité nationale de protection des données (ANPD) et aux personnes concernées la survenance d'un incident de sécurité susceptible d'entraîner un risque ou un dommage pertinent pour les personnes concernées. Cette communication doit être effectuée dans un délai raisonnable, conformément à la réglementation spécifique de l'ANPD, et doit inclure des informations sur la nature des données concernées, les personnes concernées, les mesures techniques et de sécurité utilisées pour protéger les données, les risques liés à l'incident et les mesures qui ont été ou seront adoptées pour inverser ou atténuer les effets du dommage.
Sur la base de cette exigence légale, il est essentiel, immédiatement après l’analyse initiale, de préparer un rapport détaillé qui comprend toutes les informations mentionnées par la LGPD. À cet égard, l’analyse médico-légale permet également de déterminer si une extraction et un vol de données ont eu lieu, dans la mesure où des criminels pourraient le prétendre.
Ce rapport doit être examiné par des professionnels de la conformité et les avocats de l'entreprise avant d'être soumis à l'ANPD. La législation prévoit également que l'entreprise doit fournir une communication claire et transparente aux personnes concernées, expliquant ce qui s'est passé, les mesures prises et les prochaines étapes pour assurer la protection des données personnelles.
La transparence et une communication efficace sont en effet des piliers fondamentaux lors de la gestion d’un incident de sécurité. La direction doit maintenir une communication constante avec les équipes internes et externes, en veillant à ce que toutes les parties impliquées soient informées de l’avancement des actions et des prochaines étapes.
L’évaluation des politiques de sécurité est une action nécessaire
Parallèlement à la communication avec les parties prenantes, l’entreprise doit entamer un processus d’évaluation et de révision de ses politiques et pratiques de sécurité. Cela comprend la réévaluation de tous les contrôles de sécurité, de l’accès et des informations d’identification de haut niveau, ainsi que la mise en œuvre de mesures supplémentaires pour prévenir de futurs incidents.
Parallèlement à l’examen et à l’analyse des systèmes et processus affectés, l’entreprise doit également se concentrer sur la récupération des systèmes et la restauration de ses opérations. Cela implique le nettoyage de tous les systèmes affectés, l’application de correctifs de sécurité, la restauration des sauvegardes et la revalidation des contrôles d’accès. Il est essentiel de s’assurer que les systèmes sont complètement sécurisés avant de les remettre en service.
Une fois les systèmes à nouveau opérationnels, un examen post-incident doit être effectué pour identifier les leçons apprises et les domaines à améliorer. Cet examen doit impliquer toutes les parties concernées et aboutir à un rapport final mettant en évidence les causes de l'incident, les mesures prises, les impacts et les recommandations pour améliorer la posture de sécurité de l'entreprise à l'avenir.
Outre les actions techniques et organisationnelles, la gestion d’un incident de sécurité nécessite une approche proactive de la gouvernance et de la culture de sécurité. Cela comprend la mise en œuvre d’un programme continu d’améliorations de la cybersécurité et la promotion d’une culture d’entreprise qui valorise la sécurité et la confidentialité.
Répondre à un incident de sécurité nécessite un ensemble d’actions coordonnées et bien planifiées, alignées sur les exigences de la LGPD. Du confinement initial et de la communication avec les parties prenantes à la récupération des systèmes et à l’examen post-incident, chaque étape est essentielle pour minimiser les impacts négatifs et garantir la conformité légale. Plus que cela, il est nécessaire d’examiner les défaillances de front et de les corriger – avant tout, un incident doit amener la stratégie de cybersécurité de l’entreprise à un nouveau niveau.
