Si votre entreprise a été piratée, les mauvaises nouvelles ne font que commencer. Vous êtes sans doute dans l’obligation juridique d’avertir les actionnaires, les clients et les autorités réglementaires, risquant ainsi de ternir la réputation de votre entreprise. Néanmoins, vous faire prendre alors que vous tentez d’étouffer l’affaire peut coûter encore plus cher.
Les sociétés américaines cotées en Bourse, par exemple, sont tenues de signaler les attaques auprès de la Securities and Exchange Commission (SEC). La nouvelle réglementation européenne sur la notification des violations de données oblige les fournisseurs de services de communications électroniques à dénoncer une violation de données aux autorités compétentes dans les 24 heures suivant sa constatation. Si les données personnelles d’un client sont en jeu, les individus concernés doivent être informés « sans retard injustifié ». Le Japon inflige quant à lui des amendes sévères aux entreprises qui omettent de divulguer une attaque. Enfin, en Amérique latine, le Brésil envisage une loi de notification des violations qui exige également que toutes les données clients soient conservées au sein des frontières nationales.
DES LOIS PLUS SÉVÈRES
Selon Becky Pinkard, directrice des opérations de sécurité chez Pearson PLC, éditeur basé à Londres, la plupart des observateurs de l’Union Européenne (UE) estiment que les autorités de contrôle font pression en faveur d’une loi de notification des violations de données à l’échelle de l’UE. L’UE a également proposé un cadre plus complet : la directive sur la sécurité des réseaux et de l’information (SRI). La SRI a établi plusieurs groupes composés de membres privés et commandités par les entreprises en vue d’adopter cette directive, explique B. Pinkard. « Les entreprises au sein de l’UE tendent davantage à signaler des violations de données car elles font l’objet d’un examen réglementaire et s’exposent à une amende en cas de non-respect de ces obligations », déclare-t-elle. « D’après mon expérience avec des professionnels de la cyber-sécurité,les entreprises qui n’ont pas le couteau sous la gorge ne communiquent aucune information sur le sujet. »
Le Japon a déjà adopté des lois de divulgation strictes imposant de lourdes sanctions aux contrevenants, affirme Hendrik Adrian, PDG de KLJTech Co. Ltd., concepteur de dispositifs de sécurité basé à Tokyo. « Les entités ou individus mécontents peuvent dénoncer les attaques auprès du gouvernement et aller devant le juge », explique-t-il. « Le dénonciateur a de fortes chances de gagner son procès, tandis que le hacker peut écoper de trois ans de prison maximum et d’une amende d’environ US$10 000, les victimes malchanceuses peuvent réclamer le dédommagement qu’elles souhaitent. »
En Amérique latine, le Brésil semble être le premier à jeter les bases d’une loi nationale de notification des violations de données, explique William Beer, directeur général de la cyber-sécurité pour le département brésilien du cabinet de consultants Alvarez & Marsal. « Cette proposition est source d’inquiétude, non seulement par rapport aux dispositions liées aux violations de données, mais aussi parce que les entreprises qui exercent des activités au Brésil seraient tenues de conserver les données sur les citoyens brésiliens dans le pays », affirme-t-il. « Cette proposition a de bonnes chances d’être adoptée, mais il sera intéressant de voir si elle sera appliquée. »
LE TRIBUNAL DE L’OPINION PUBLIQUE
Les répercussions juridiques ne sont pas le seul risque menaçant les entreprises qui tentent d’étouffer une attaque. L’opinion publique peut se montrer encore plus sévère, affirme Wim Remes, consultant chez IoActive, fournisseur mondial de services de sécurité présent en Europe et en Amérique. « Personne n’acceptera une lettre stéréotypée ou une réponse vidéo préfabriquée. »
Pourtant, peu d’entreprises rapportent les incidents dont elles sont victimes, déclare Kevin Lawrence, principal adjoint à la sécurité chez Stach & Liu, cabinetconseil en sécurité basé aux États-Unis. « On peut logiquement comprendre pourquoi une entreprise n’est pas obligée de dénoncer une attaque », explique-t-il. « De nombreuses organisations sont compromises chaque jour et ne le signalent pas pour éviter tout simplement de perdre leur crédit auprès de l’opinion publique. »
En février 2013, Bit9, une entreprise américaine de sécurité du Massachusetts (États-Unis), a révélé que ses réseaux avaient été piratés dans le cadre d’une attaque en plusieurs étapes destinée à compromettre les clients utilisant le logiciel anti-malwarede Bit9. La société a immédiatement alerté les forces de l’ordre et engagé une équipe externe d’investigation pour mener l’enquête. L’entreprise a choisi d’alerter ses clients, non seulement parce que c’était la bonne chose à faire, mais également pour couvrir ses arrières.
« LES AVANTAGES DU PARTAGE DE RENSEIGNEMENTS ET DE LA TRANSPARENCE VIS-À-VIS DES CLIENTS ET DU PUBLIC SONT SOUVENT SUPÉRIEURS À LA RÉACTION NÉGATIVE QUE PEUT CAUSER UNE ATTAQUE. »
HARRY SVERDLOVE
DIRECTEUR DES TECHNIQUES INFORMATIQUES, BIT9
« C’est important d’un point de vue juridique car on ne sait jamais où va mener l’enquête », avance Harry Sverdlove, directeur de la technologie chez Bit9. « Si l’on apprend que quelqu’un de la maison est responsable ou qu’un procès aura lieu, la présence d’enquêteurs tiers est essentielle sur le plan juridique et leurs découvertes sont plus difficiles à mettre en cause, surtout quand l’équipe externe s’assure que les règles de procédure sont respectées. »
H. Sverdlove recommande aux entreprises de ne pas se soucier des risques potentiels de divulgation. « Les avantages du partage de renseignements et de la transparence vis-à-vis des clients et du public sont souvent supérieurs à la réaction négative que peut causer une attaque », conclut-il.