6 choses à ne pas faire après une violation de données

Le maintien et le renforcement de la sécurité informatique sont abordés sous plusieurs angles, en particulier les tendances en matière de sécurité et l'évolution de la sécurité. Il s'agit certainement d'informations que vous devez digérer de manière approfondie. En outre, vous devez vous assurer que votre entreprise est bien équipée pour se protéger et se défendre contre les cyberattaques, notamment via une protection des points de terminaison de qualité informatique et une gestion granulaire de l'identité et des mesures de contrôle d'accès. Un processus de sauvegarde des données solide et testé est également indispensable. Malheureusement, le livret d'une violation de données change constamment, ce qui signifie que certaines de vos actions lors d'une catastrophe pourraient être aussi dommageables qu'elles sont utiles. C'est là que cette pièce entre en jeu.

, nous discutons de ce que les entreprises devraient éviter de faire une fois qu’elles réalisent que leurs systèmes ont été endommagés. Nous avons rencontré plusieurs experts de sociétés de sécurité et de sociétés d’analyse du secteur afin de mieux comprendre les pièges et les scénarios de catastrophe pouvant survenir à la suite de cyberattaques.

1. Ne pas improviser

En cas d'attaque, votre premier instinct vous dira de commencer le processus de rectification de la situation. Cela peut inclure la protection des ordinateurs d'extrémité ciblés ou le retour à des sauvegardes précédentes pour fermer le point d'entrée utilisé par vos attaquants. Malheureusement, si vous n'aviez jamais élaboré de stratégie, les décisions hâtives que vous prendrez après une attaque pourraient aggraver la situation.

"La première chose à ne pas faire après une violation est de créer votre réponse à la volée", a déclaré Mark Nunnikhoven, vice-président de Cloud Research chez le fournisseur de solutions de cybersécurité, Trend Micro. "La préparation est un élément essentiel de votre plan de réponse aux incidents. Les contacts clés doivent être définis à l'avance et archivés sous forme numérique. Ils doivent également être disponibles en copie papier en cas d'infraction catastrophique. La dernière chose à faire Il faut essayer de déterminer qui est responsable de quelles actions et qui peut autoriser diverses réponses."

Ermis Sfakiyanudis, président et directeur général de la société de services de protection des données Trivalent, souscrit à cette approche. Il a déclaré qu'il était essentiel que les entreprises "ne paniquent pas" après avoir été touchées par une brèche. "Si le manque de préparation face à une violation de données peut causer des dommages irréparables à une entreprise, la panique et la désorganisation peuvent aussi être extrêmement préjudiciables", a-t-il expliqué. "Il est essentiel qu'une entreprise en infraction ne s'éloigne pas de son plan de réponse aux incidents, qui devrait inclure, dans un premier temps, l'identification de la cause présumée de l'incident. Par exemple, l'infraction a-t-elle été provoquée par une attaque réussie par un ransomware, un programme malveillant Pare-feu avec port ouvert, logiciel obsolète ou menace interne non intentionnelle? Ensuite, isolez le système concerné et supprimez la cause de la violation pour vous assurer que votre système est hors de danger."

M. Sfakiyanudis a déclaré qu'il était essentiel que les entreprises demandent de l'aide quand elles étaient débordées. "Si vous déterminez qu'une violation a bien eu lieu à la suite de votre enquête interne, faites appel à une tierce partie pour l'aider à gérer et à atténuer les retombées", a-t-il déclaré. "Cela inclut des conseillers juridiques, des enquêteurs externes pouvant mener une enquête judiciaire approfondie, ainsi que des experts en relations publiques et en communication capables de créer une stratégie et de communiquer avec les médias en votre nom.

"Grâce à ces conseils combinés, les entreprises peuvent rester calmes malgré le chaos, en identifiant les vulnérabilités qui ont provoqué la violation des données, en remédiant afin que le problème ne se reproduise plus et en s'assurant que leur réponse aux clients affectés est appropriée et opportune. également travailler avec leur avocat pour déterminer si et quand les forces de l'ordre devraient être notifiées."

2. Ne restez pas silencieux

Une fois que vous avez été attaqué, il est réconfortant de penser que personne en dehors de votre entourage ne sait ce qui vient de se passer. Malheureusement, le risque ici ne vaut pas la récompense. Vous souhaiterez communiquer avec les membres du personnel, les fournisseurs et les clients pour que chacun sache ce qui a été consulté, ce que vous avez fait pour remédier à la situation et quels plans vous avez l'intention de mettre en place pour éviter des attaques similaires à l'avenir. "N'ignorez pas vos propres employés", a conseillé Heidi Shey, analyste principale de la sécurité et des risques chez Forrester Research. "Vous devez communiquer avec vos employés à propos de l'événement et fournir des conseils à vos employés sur ce qu'ils doivent faire ou dire s'ils ont posé des questions sur l'infraction."

Shey, comme Sfakiyanudis, a déclaré que vous voudriez peut-être envisager de recruter une équipe de relations publiques pour vous aider à contrôler le message derrière votre réponse. Cela est particulièrement vrai pour les violations de données volumineuses et coûteuses impliquant des consommateurs. "Idéalement, vous souhaiteriez qu'un tel fournisseur soit identifié à l'avance dans le cadre de votre planification de la réponse aux incidents afin d'être prêt à donner le coup d'envoi à votre réponse", a-t-elle expliqué.

Le simple fait de signaler de manière proactive au public que votre entreprise a été violée ne signifie pas que vous pouvez commencer à émettre des déclarations et des proclamations sauvages. Par exemple, lorsqu'un pirate informatique a accédé à toymaker VTech, des photos d'enfants et des journaux de discussion ont été consultés. Une fois la situation terminée, le fabricant de jouets a modifié ses conditions de service pour se dégager de toute responsabilité en cas de violation. Inutile de dire que les clients n'étaient pas contents. "Vous ne voulez pas avoir l'air de vouloir vous cacher derrière des moyens légaux, que ce soit pour éviter la responsabilité ou pour contrôler le récit", a déclaré Shey. "Mieux vaut mettre en place un plan de réponse aux violations et de gestion de crise pour faciliter les communications liées aux violations."

3. Ne faites pas de déclarations fausses ou trompeuses

C’est une évidence, mais vous voudrez être aussi précis et honnête que possible lorsque vous vous adresserez au public. Ceci est bénéfique pour votre marque, mais également pour le montant d'argent que vous récupérerez de votre police de cyberassurance, le cas échéant. "Ne publiez pas de déclarations publiques sans prendre en compte les implications de ce que vous dites et de votre son", a déclaré Nunnikoven.

"S'agissait-il vraiment d'une attaque 'sophistiquée'? Le fait de le qualifier de tel ne le rend pas nécessairement vrai", a-t-il poursuivi. "Votre PDG doit-il vraiment appeler cela un" acte de terrorisme "? Avez-vous lu les petits caractères de votre police de cyber-assurance pour comprendre les exclusions?"

Nunnikhoven recommande de rédiger des messages «no-bulls, fréquents, et qui indiquent clairement les actions qui sont entreprises et celles qui doivent être prises». Essayer de faire tourner la situation, dit-il, tend à aggraver les choses. "Lorsque les utilisateurs entendent parler d'une violation par une tierce partie, cela détruit immédiatement la confiance durement gagnée", a-t-il expliqué. "Mettez-vous en face de la situation et restez en tête, avec un flux constant de communications concises dans tous les canaux où vous êtes déjà actif."

4. Rappelez-vous le service client

Si votre violation de données concerne un service en ligne, l'expérience de vos clients ou tout autre aspect de votre entreprise susceptible de permettre à des clients de vous envoyer des demandes de renseignements, veillez à ce que ce problème soit traité séparément et de manière importante. Ignorer les problèmes de vos clients ou même tenter ouvertement de transformer leur malchance en votre profit peut rapidement transformer une faille informatique grave en une perte cauchemardesque de revenus et d’affaires.

Prenant l'exemple de la violation d'Equifax, la société avait initialement indiqué à ses clients qu'ils pourraient bénéficier d'une année de rapports de crédit gratuits s'ils ne poursuivaient pas. Elle a même tenté de transformer la faille en centre de profit lorsqu'elle souhaitait facturer des frais supplémentaires aux clients si ceux-ci demandaient que leurs rapports soient gelés. C'était une erreur et cela a nui à long terme aux relations avec les clients de l'entreprise. Ce que la compagnie aurait dû faire était de placer ses clients au premier plan et de simplement leur offrir à tous des rapports inconditionnels, peut-être même gratuitement, pour la même période afin de souligner leur engagement à assurer la sécurité de leurs clients.

5. Ne fermez pas les incidents trop tôt

Vous avez fermé vos points d'extrémité corrompus. Vous avez contacté vos employés et vos clients. Vous avez récupéré toutes vos données. Les nuages ​​se sont séparés et un rayon de soleil a cascadé sur votre bureau. Pas si vite. Bien que votre crise puisse sembler terminée, vous souhaiterez continuer à surveiller votre réseau de manière agressive et proactive pour vous assurer qu'il n'y aura pas d'attaque ultérieure.

"Il y a une énorme pression pour restaurer les services et récupérer après une violation", a déclaré Nunnikhoven. "Les attaquants évoluent rapidement sur les réseaux une fois qu'ils ont pris pied. Il est donc difficile de déterminer de manière concrète que vous avez résolu le problème dans son ensemble. Rester diligent et surveiller de manière plus agressive est une étape importante jusqu'à ce que vous soyez certain."

Sfakiyanudis est d'accord avec cette évaluation. "Après la résolution d'une faille de données et la reprise des activités commerciales normales, ne présumez pas que la même technologie existe et que les plans que vous aviez en place avant la faille seront suffisants", a-t-il déclaré. "Votre stratégie de sécurité comporte des lacunes qui ont été exploitées et, même une fois que ces lacunes ont été corrigées, cela ne signifie pas qu'il n'y en aura plus dans l'avenir. Pour adopter une approche plus proactive de la protection des données, votre plan de réponse aux violations de données en tant que document évolutif. À mesure que les individus changent de rôle et que l'organisation évolue par le biais de fusions, d'acquisitions, etc., le plan doit également être modifié."

6. N'oubliez pas d'enquêter

"Lorsque vous enquêtez sur une violation, documentez tout", a déclaré Sfakiyanudis. "La collecte d'informations sur un incident est essentielle pour valider l'existence d'une violation, les systèmes et les données qui ont été affectés et la manière dont les mesures d'atténuation ou de réparation ont été prises en compte. Consigner les résultats des enquêtes dans un système de saisie et d'analyse des données afin qu'elles soient disponibles pour un examen post mortem.

"Assurez-vous également d'interroger toutes les personnes impliquées et documentez soigneusement leurs réponses", a-t-il poursuivi. "La création de rapports détaillés avec des images de disque, ainsi que des informations détaillées sur qui, quoi, où et quand l'incident s'est produit, vous aidera à mettre en œuvre toute mesure d'atténuation des risques nouvelle ou manquante ou de protection des données."

De telles mesures ont évidemment des conséquences juridiques après coup, mais ce n’est pas la seule raison pour enquêter sur une attaque. Pour les avocats, il est essentiel que les avocats sachent qui est responsable et qui a été touché. Toutefois, les informations clés pour le service informatique et votre personnel de sécurité sont la manière dont la violation est survenue et ciblée. Quelle partie du périmètre doit être améliorée et quelles parties de vos données sont (apparemment) utiles pour les foutus? Assurez-vous d’examiner tous les angles précieux de cet incident et assurez-vous que vos enquêteurs le savent bien dès le début.

Si votre entreprise est trop analogique pour mener cette analyse seule, vous voudrez probablement engager une équipe externe pour mener cette enquête à votre place (comme Sfakiyanudis l’a mentionné plus tôt). Prenez également des notes sur le processus de recherche. Notez quels services vous ont été proposés, à quels fournisseurs vous avez parlé et si vous étiez satisfait du processus d’enquête. Ces informations vous aideront à déterminer si vous souhaitez rester avec votre fournisseur, choisir un nouveau fournisseur ou engager du personnel interne capable de mener à bien ces processus si votre entreprise avait la malchance de subir une deuxième infraction.