Mon organisation a été victime de phishing, comment réagir ?

par Juin 18, 2020Métier

Sommaire de l’article mon organisation à été victime de phishing, comment réagir ?

  • Définition du phishing
  • Les différents types de violations
  • Comment réagir face à une violation de données ?
  • Les bonnes pratiques à mettre en place

Le phishing ou hameçonnage est une technique utilisée par des fraudeurs pour obtenir des données personnelles dans le but de perpétrer une usurpation d’identité.

Ce phishing constitue une violation de données au sens du RGPD :

« l’article 4, paragraphe 12 : une «violation de données à caractère personnel» désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, en qualité de responsables du traitement, ou l’accès non autorisé à de telles données ».

Il convient de noter que tout incident lié à la sécurité de l’information n’est pas nécessairement une violation de données à caractère personnel, mais toute violation de données à caractère personnel est un incident lié à la sécurité de l’information.

Replay webinar : mon organisation a été victime de phishing, comment réagir ?

Les différents types de violations

Il existe 3 types de violation :

Violation de la confidentialité» – en cas de divulgation ou d’accès non autorisés ou accidentels à des données à caractère personnel, à savoir lorsqu’une entité non autorisée à disposer de ces connaissances obtient l’accès à ces données à caractère personnel

Violation de la disponibilité» – en cas de destruction ou de perte accidentelles ou non autorisées de l’accès à des données à caractère personnel, à savoir une perte du contrôle de l’accès à des données à caractère personnel ou une suppression inappropriée de données à caractère personnel;

Violation de l’intégrité» – en cas d’altération non autorisée ou accidentelle de données à caractère personnel, à savoir des modifications inadéquates de données à caractère personnel.

Comment réagir face à une violation de données ? 

Ce graphique permet de résumer les comportements à adopter face à une violation de données. 

Conformément aux recommandations du G29 dans ses lignes directrices, les facteurs à prendre en considération lors de l’évaluation des risques sont les suivants :

  • Le type de violation,
  • La nature, le caractère sensible et le volume de données à caractère personnel;
  • La facilité d’identification des personnes concernées;
  • La gravité des conséquences pour les personnes concernées;
  • Les caractéristiques particulières des personnes concernées;
  • Les caractéristiques particulières du responsable du traitement;
  • Le nombre de personnes concernées

Ces critères permettent ensuite de mettre en place les actions adéquates.

Replay webinar : mon organisation a été victime de phishing, comment réagir ?

L’obligation de notification dépend du niveau de risque pour la ou les personnes dont les données ont été violées:

  • En cas de risque improbable, il n’existe aucune obligation de notification. Toutefois, le responsable du traitement doit en informer son DPO et documenter la violation, notamment grâce à une plateforme de gouvernance;
  • En cas de risque, le responsable du traitement doit notifier la violation à l’autorité dans un délai de 72 heures. Une explication doit être présentée en cas de non-respect du délai de 72 heures;
  • En cas de risque élevé, l’obligation de communiquer une violation de données à caractère personnel à la personne concernée s’applique en plus de la notification à l’autorité de contrôle.

La communication contient les coordonnées du DPO et décrit, en des termes clairs et simples, au moins : 

  • La nature de la violation de données à caractère personnel;
  • Les conséquences probables de la violation de données à caractère personnel;
  • Les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives sur les personnes

Les bonnes pratiques à mettre en place

Voici une liste de bonnes pratiques à mettre en œuvre dans votre organisation pour faire face aux menaces de violation de données :

  • Mise en place un dispositif de veille sur les menaces actuelles ;
  • Mise en place des dispositifs de détection et de remontée d’alertes, permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des « évènements de sécurité ».
  • Sensibiliser le personnel et ne pas oublier les clients également
phishing webinar

Article écrit par notre Data Protection Specialist Thibaut Vergne

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *