Objectif d'un plan d'intervention
Un plan de réponse à une violation de données fournit une feuille de route à suivre lorsqu'une violation est découverte.
C'est un outil de réduction du stress et du gain de temps. Une fois votre plan en place, vous n'aurez plus à perdre votre temps et votre énergie à décider quoi faire chaque fois qu'une violation se produit. Vous suivez simplement les étapes que vous avez établies à l'avance. Un plan d'intervention bien pensé peut vous aider à éviter les erreurs que vous risquez de commettre en situation de crise.
Éléments d'un plan de réponse
Pour être efficace, un plan de réponse à une violation de données doit inclure les éléments suivants:
- Une définition de la violation
- Une liste des membres de l'équipe de réponse
- Les étapes d'action pour gérer la violation
- Une procédure de suivi
Définir une brèche
Une étape importante dans l'élaboration d'un plan d'intervention consiste à décider ce qui constitue une violation . C'est-à-dire, quels types d'incidents activeront votre plan? Certains événements, tels qu'un e-mail d'hameçonnage, peuvent avoir peu ou pas d'effet sur les opérations de votre entreprise. D'autres, comme une infection ransomware ou une attaque par déni de service, peuvent provoquer une perturbation grave.
Bien que la définition de violation puisse varier d'un plan à l'autre, elle comprend généralement tout vol ou intrusion de fichiers de données électroniques contenant des informations sensibles sur les clients, les patients, les clients ou les employés. Il devrait également inclure tout vol (ou tentative de vol) d'informations sensibles de l'entreprise telles que les brevets, les secrets commerciaux et autres droits de propriété intellectuelle.
Votre équipe de réponse
Votre plan de réponse doit identifier les membres de votre équipe d'intervention. Ce sont les personnes qui exécuteront votre plan d'intervention en cas de violation. Ils devraient être des employés de confiance qui connaissent votre entreprise. Ils doivent prendre leurs responsabilités en tant que membres de l'équipe au sérieux.
La taille de votre équipe et sa composition dépendent de plusieurs facteurs. Cela inclut la taille de votre entreprise, l'industrie dans laquelle vous travaillez et la complexité de votre entreprise. Dans de nombreuses entreprises, l'équipe d'intervention comprend au moins un représentant de chacun des domaines suivants:
- Ressources humaines
- Technologie de l'information ou sécurité des données
- Communications
- Gestion des risques
- Légal
- La haute direction
Certaines violations de données peuvent être trop importantes ou trop complexes pour que vos employés puissent les gérer seuls. Pour faire face à ces événements, votre équipe aura besoin de l'aide d'experts externes. Ces consultants externes doivent être identifiés dans votre plan de réponse. Ils peuvent inclure des avocats, des membres des forces de l'ordre et des spécialistes de la sécurité ou de la récupération de données.
Les étapes de votre plan
Votre plan de réponse doit fournir des instructions pas à pas aux membres de votre équipe d'intervention sur ce qu'il faut faire en cas de violation de données. Chaque membre devrait se voir attribuer un rôle qui reflète son expertise.
Par exemple, la responsabilité de déterminer comment la violation s'est produite doit être attribuée à un employé de la sécurité des données. De même, la tâche de notifier l' assureur qui a émis votre politique de responsabilité cybernétique devrait être confiée à un employé de la gestion des risques. Le plan devrait permettre à votre équipe d'analyser la violation, de déterminer ce qui s'est passé, de limiter les dégâts et d'apporter les améliorations nécessaires pour éviter que des événements similaires ne se reproduisent à l'avenir.
Les membres de votre équipe de réponse doivent documenter soigneusement toutes les actions qu'ils ont entreprises après l'incident. Ceci est important pour plusieurs raisons. Tout d'abord, les enregistrements vérifieront que les membres de l'équipe ont suivi les instructions décrites dans votre plan. Deuxièmement, la documentation fournira des informations précieuses lorsque vous effectuez votre évaluation post-violation.
Troisièmement, les documents peuvent être exigés par les autorités étatiques ou fédérales si la violation concerne des données protégées par la loi. Certains types d'informations personnelles identifiables (tels que les numéros de carte de crédit ou les informations de santé) sont soumis à la législation fédérale ou nationale en matière de protection de la vie privée. Si vous stockez des données sensibles sur des clients, des patients ou des employés sur votre système informatique et que l'information est compromise, la loi vous obligera peut-être à aviser les personnes dont les données ont été piratées. Vous pouvez également être tenu de signaler la violation à un organisme public ou fédéral. De nombreuses lois spécifient un délai pour la notification. Les exigences de notification, y compris qui doit être notifié et la période de temps prescrite, doivent être indiquées dans votre plan d'intervention.
Suivre
Une fois que votre plan a été entièrement mis en œuvre et que la violation a été contenue, vous devriez mener une séance de débriefing avec votre équipe d'intervention. Demandez à tous les membres de suivre les étapes qu'ils ont suivies et les leçons qu'ils ont tirées du processus. Les membres doivent décrire les problèmes qu'ils ont rencontrés en cours de route afin que le plan puisse être ajusté au besoin.