A violation de données, également appelé atteinte à la sécurité, est l'expression utilisée pour décrire un problème de sécurité lorsque la divulgation intentionnelle ou non intentionnelle d'informations a lieu. Habituellement, les informations sont des informations privées, confidentielles ou personnelles qui ont été données en fiducie à l'organisation.
Pourquoi une violation de données se produit
Une violation de données peut survenir pour plusieurs raisons. Par exemple, une violation de données pourrait résulter de l'acquisition non autorisée d'informations personnelles par négligence des employés (c.-à-d. Photocopie) sur des disques durs d'ordinateur non correctement éliminés, permettant à des pirates d'accéder aux données par le biais d'un exploit ou d'une autre attaque malveillante.
Lois de notification de violation de données
De nombreux pays ou états / provinces ont adopté un certain type de loi sur la notification des violations de sécurité et de données. Ces lois exigent que les agences gouvernementales et autres organisations qui collectent des informations personnelles (y compris un nom combiné avec un SSN, un permis de conduire ou une pièce d'identité, des numéros de compte, etc.) informent les individus des violations de sécurité.
L'exigence exacte des lois sur la notification change d'un endroit à l'autre, ainsi que la définition juridique de ce qui constitue une violation, les exigences et le calendrier de notification et d'exemptions. En général, s'il existe un risque perçu à la suite d'une violation de données, les personnes concernées et les organismes gouvernementaux de réglementation doivent être informés.
Liste de sécurité
Bien qu'il n'y ait pas d'ensemble de règles spécifiques à suivre, la plupart des organisations créeront une liste de contrôle pour garantir une réponse rapide pour gérer et atténuer une violation.
La première étape consiste à créer une politique qui définit la définition de l organisation d une violation et à identifier ce qui constitue une violation, en veillant à ce qu'elle soit conforme à toutes les définitions légales définies dans votre emplacement géographique.
Ensuite, un plan identifiera les responsabilités du personnel et expliquera comment conserver correctement les enregistrements de signalement et de suivi des violations. Le plan doit identifier les processus de soutien et d'approbation de la direction et définir les responsabilités des employés pour normaliser le comportement.
Enfin, les organisations devront mettre en place une procédure d'infraction, dérivée du plan et de la politique. Cela uniformise les responsabilités et les actions qui font partie de l'effort de réponse et devrait identifier la haute direction responsable de la mise en œuvre des procédures.
La procédure de violation de données est généralement revue, testée et adoptée dans le cadre de la procédure globale de continuité des activités et de reprise après sinistre d'une organisation. La section des liens connexes ci-dessous offre des ressources supplémentaires pour aider les entreprises à créer des listes de contrôle et des politiques de violation de données.