CYBERATTAQUE
Notification à la CNIL des failles de sécurité
Pas une semaine ne se passe sans que la presse ne se fasse écho d’une cyberattaque. Grande ou petite entreprise, quel que soit les secteurs, tout le monde est concerné.
Quels sont les réflexes à adopter en cas de cyberattaque – faille de sécurité ?
En cas de cyberattaque ou de détection d’une faille de sécurité vous disposez d’un délai de 72 heures pour notifier la CNIL. Vous devez également dans certains cas informer les personnes dont les données ont été potentiellement compromises.
En cas de cyberattaque, l’entreprise doit ainsi gérer simultanément quatre priorités :
- Identifier l’origine de la faille et tenter de la colmater
- Réunir les informations nécessaires à la notification de la CNIL
- Évaluer la nécessité d’informer les personnes concernées
- Informer les clients et partenaires pour lesquels l’entreprise agit en tant que sous-traitant, de la survenance de la faille.
Faut-il notifier la faille à la CNIL dans les 72 heures ?
OUI
Sauf si vous vous trouvez dans une des exceptions prévues par le RGPD, la notification à la CNIL dans les 72 heures est obligatoire.
Certaines entreprises hésitent à procéder à la notification en partant du principe qu’en notifiant, elles reconnaissent implicitement avoir commis une faute.
Cette analyse est totalement erronée dès lors qu’aucune entreprise n’est aujourd’hui à l’abri d’une cyberattaque. Le fait d’être victime d’une faille de sécurité ne signifie ainsi pas que l’entreprise a commis une faute.
Inversement, en s’abstenant de notifier la faille à la CNIL, l’entreprise commet une violation du RGPD et met en danger toutes les personnes dont les données ont potentiellement été compromises.
Il sera en particulier compliqué de justifier l’absence de notification si la cyberattaque est rendue publique. Il vaut donc mieux prendre les devants et notifier la faille dans les délais.
A noter qu’il est également possible de dépasser ce délai, lorsque des raisons objectives le permettent.
Comment notifier la faille à la CNIL en cas de cyberattaque ?
La notification à la CNIL se fait via un formulaire en ligne qu’il est relativement simple de remplir.
Le véritable travail se fait en amont, afin d’identifier les causes de la faille, son origine, et la nature des données compromises.
Une fois ces informations identifiées, la notification se fait de manière relativement simple.
La notification n’entraîne pas nécessairement de contrôle de la CNIL, si celle-ci estime que l’incident est clos.
Faut-il récompenser
les bounty hunters ?
De plus en plus de failles sont révélées par des bounty hunters qui informent « spontanément » l’entreprise de leur existence, en demandant à être récompensés pour leur découverte.
Certains n’hésitent pas à indiquer qu’ils rendront la faille publique si l’entreprise ne les paye pas.
L’attitude à adopter dépend évidemment de chaque entreprise. Il convient néanmoins de souligner que quelle que soit la réponse faite, il ne faut pas perdre de vue que la première obligation de l’entreprise est de notifier la faille dès lors qu’elle est informée de son existence.
Pour le reste, la réponse à une cyberattaque ou à une faille est également une question de communication.
Comment communiquer l’existence de la faille ou de la cyberattaque à ses clients ?
Si la faille représente un risque potentiel pour la vie privée des personnes concernées, les clients doivent obligatoirement en être informés. De même, si les données compromises sont gérées en qualité de sous-traitant, les clients responsables de traitement doivent être avertis.
Il convient par conséquent d’identifier avec soin les données concernées et les origines de la faille, afin de pouvoir rassurer immédiatement ses interlocuteurs et être en mesure de répondre à toutes leurs questions.
La notification de la faille aux personnes concernées revêt ainsi un caractère particulièrement délicat. Elle doit être faite dans les délais et conformément aux obligations légales, tout en répondant aux règles de la communication de crise afin de ne pas aggraver la situation.
Là encore, il convient de se rappeler qu’il vaut mieux maîtriser sa communication plutôt que d’espérer que la faille ne soit jamais rendue publique. L’expérience montre en effet qu’en cas de cyberattaque, les pirates sont prompts à communiquer sur leurs méfaits.
Mieux vaut donc anticiper.
En cas de cyberattaque, nous travaillons avec des sociétés spécialisées en cybersécurité, habituées à gérer ces situations.
services
Nos Offres
Contactez nous
Vous avez un projet, une interrogation
pour la mise en place d’un DPO
Prenons le temps d’en parler.
Contactez nous
Vous avez un projet, une interrogation
pour la mise en place d’un DPO
Prenons le temps d’en parler.