Déclaration des incidents de sécurité informatique, comment signaler un cyber incident ?

NancyLe 5 janvier 2023

Déclaration des incidents de sécurité informatique : comment signaler un cyber incident ?

Moins de la moitié des entreprises ne sont pas assez préparées pour faire face à une attaque de cybersécurité. C’est en tout cas ce que révèle une récente étude signée PricewaterhouseCoopers, menée auprès de 3 000 dirigeants d’entreprises issus de 80 pays. Dans un contexte où les incidents de cybersécurité sont presque quotidiens, provoquant souvent des pertes financières importantes, il est plus urgent que jamais pour les entreprises de mettre en place les mesures qui leur permettent de se protéger efficacement et savoir comment réagir. Cela comprend la procédure de déclaration d’incident de sécurité informatique.

Rappel de quelques bonnes pratiques de sécurisation

Avant tout, il faut garder à l’esprit que les hackers exploitent à la fois des failles techniques mais aussi les vulnérabilités humaines. Par exemple, il est recommandé de sauvegarder ses données (avec une sauvegarde hors ligne), ou encore de gérer les mises à jour système et applicative. Les mises à jour sont particulièrement importantes car elles intègrent les correctifs des dernières vulnérabilités détectées. Régulièrement, il est essentiel d’auditer le système d’information pour mesurer le niveau de vulnérabilité. Pour protéger efficacement l’entreprise, il faut commencer par identifier les risques de cybersécurité et mesurer leur impact éventuel.

Pour réduire les erreurs humaines, il est important de sensibiliser les collaborateurs aux risques d’incidents. Il est essentiel de mettre en place une politique informatique claire, qui peut être assimilée par l’ensemble des équipes. Il s’agit, par exemple, de mettre en place des mots de passe forts et d’expliquer à vos collaborateurs les enjeux de cybersécurité, ou encore de les sensibiliser aux tentatives de phishing.

Déclaration d’incident de cybersécurité : quelles obligations légales ?

Nombreuses sont les entreprises qui hésitent à déclarer un incident de cybersécurité, préoccupées qu’elles sont par l’impact médiatique d’une telle révélation sur leur image de marque. Faut-il donc déclarer publiquement un incident de sécurité informatique ou le passer sous silence ? Tout dépend de son ampleur. Lorsqu’il s’agit d’un petit incident que vous n’aurez aucun mal à maîtriser en interne, nulle obligation de le rendre public. En revanche, gardez à l’esprit qu’il peut y avoir une obligation légale de déclaration, notamment en cas de violation des données personnelles des clients de l’entreprise. En effet, il est obligatoire de notifier les violations de données à caractère personnel à la CNIL (NDLR : Cela fait penser à l’affaire Uber jugé tout récemment aux Etats-Unis. L’ancien responsable de la sécurité informatique d’Uber vient d’être jugé coupable par un tribunal américain… pour ne pas avoir déclaré un incident de cybersécurité impliquant un vol des données des clients de l’entreprise.).

En règle générale, les obligations de notification des incidents de sécurité informatique sont tributaires du secteur d’activité de l’entité concernée, mais aussi de son rapport à la sécurité nationale, le type de traitement et la nature des données en question. Outre les notifications des violations de données à caractère personnel à la CNIL, voici un aperçu des obligations de notification des incidents de sécurité informatique :

  • Centres de santé (centres de soins, hôpitaux, cliniques…) : obligation de notification des incidents graves de sécurité informatique aux Agences régionales de santé ;

  • Les notifications des incidents de sécurité à l’ANSSI : les Opérateurs d’Importance Vitale (OIV), les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN) ont obligation de notifier les incidents de sécurité de leur système d’information à l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi) ;

  • Les notifications d’incidents à la Banque de France : les Prestataires de Services de Paiement (PSP) doivent notifier les incidents majeurs de sécurité informatique à l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) et à la Banque de France.

Comment signaler un cyber incident à AlgoSecure ?

Pour être en mesure de réagir, il va de soi qu’il faut d’abord détecter le cyber incident pour le qualifier. C’est pour cette raison qu’il est vivement conseillé de faire appel à un CERT (Computer Emergency Response Team), spécialisé dans la réponse aux incidents de sécurité informatique.

Composée d’une équipe d’experts en sécurité informatique et en administration système et réseaux, la structure privée d’alerte et de réaction aux attaques informatiques d’AlgoSecure propose ses services aux entreprises privées, aux organisations non-gouvernementales et aux collectivités : anticipation des menaces de sécurité, protection du système d’information, surveillance et détection des attaques, mise en place d’une réponse adaptée aux incidents de sécurité pour éradiquer le problème et rétablir vos opérations.

Vous subissez ou vous pensez subir un incident de cybersécurité ? N’hésitez pas à contacter AlgoSecure). Grâce à son expertise (CERT et le label ExpertCyber par la plateforme gouvernementale de lutte contre la cybermalveillance), nos équipes sauront vous accompagner en cas d’incidents de sécurité.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.