Victime d’une cyberattaque : Quoi faire ?
Dans le cas où le pire se produit et que votre entreprise est victime d’une cyberattaque, certaines actions sont requises par les différents paliers gouvernementaux.
Au Québec, le projet de loi 25 vise à améliorer la protection des renseignements personnels par les organismes publics et les entreprises privés. Elle encadre les différentes obligations qui doivent être respectées en matière de gestion de données confidentielles. Son objectif étant de mieux contrôler les incidents de confidentialité et limiter leur impact.
La loi 25 prévoit qu’une personne qui exploite une entreprise doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents, de même nature, ne se produisent. Le tout lorsqu’il y a motif de croire qu’il s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient.
Voici les étapes à suivre lors d’un vol de renseignements personnels ;
- Évaluation préliminaire de la situation: Définir le contexte, désigner une personne responsable de la gestion de la situation, informer les intervenants internes concernés
- Limiter l’atteinte à la vie privée: Récupérer les données, modifier les codes d’accès, contrôler les lacunes
- Évaluer les risques: considérer la sensibilité des renseignements personnels en cause, déterminer les préjudices potentiels, déterminer les actions à prendre en priorité
- Aviser les personnes concernées: déterminer qui doit être avisé et comment
- Évaluation approfondie de la situation et prévention: analyser les circonstances de l’évènement, formuler des recommandations sur les directives internes à mettre en place
- Suivi