Dans le monde interconnecté d'aujourd'hui, l'innovation prend des données (que, jusqu'à récemment, les consommateurs étaient disposés à partager avec des marques de confiance en échange d'expériences améliorées et personnalisées). Mais la violation de données chez Facebook met en évidence la façon dont les administrateurs et les dirigeants de toute entreprise, publique ou privée, peuvent être tenus responsables de l'utilisation abusive des données des clients.
Dès 2014, Cambridge Analytical, un cabinet de consultants politiques qui utilise des données pour prédire l'intérêt des électeurs, a commencé à recueillir des renseignements personnels auprès des utilisateurs de Facebook pour donner des informations sur les profils d’électeur. Aujourd'hui, les utilisateurs et les actionnaires y réfléchissent à deux fois, et le PDG de Facebook, Mark Zuckerberg, en prend pour son rhume, comme tous les administrateurs et dirigeants.
Malheureusement, Facebook et Zuckerberg ne sont pas des cas uniques. Ils ne sont que le tout dernier chapitre de la saga mondiale des violations de données. En 2017, il y a eu 1579 violations de données connues.1 Selon l'étude de 2017 sur le coût de la violation des données du Ponemon Institute, le coût moyen d'une violation de données au Canada est de 4,4 millions de dollars américains, un coût plus élevé que la moyenne mondiale de 3,9 millions de dollars américains2. Ce qui est encore plus inquiétant pour les entreprises victimes est la probabilité de près de 30% d'avoir une violation de données récurrente au cours des deux prochaines années.
Bien que les violations de données d'entreprise ne puissent pas être complètement évitées, il existe quelques protocoles qui peuvent minimiser les risques à la fois pour l'entreprise et ses décideurs:
Posez-vous les bonnes questions. Bien que chaque entreprise et ses administrateurs et dirigeants soient confrontés à des défis différents en ce qui concerne les violations de données, il existe certaines questions que les dirigeants devraient se poser chaque année pour identifier les risques.
- Quels sont les plus grands risques de violation de données/cyberrisques de l'entreprise? Quelles mesures sont prises pour les anticiper, les gérer et les réduire?
- Est-ce que chaque composante du programme de gestion des risques est documentée, testée et vérifiée périodiquement pour s'assurer qu'elle répond aux besoins des risques en évolution de notre entreprise?
- Quels sont les protocoles établis pour réagir à une violation de données/cyberrisque lorsqu'elle se produit?
- Quelle couverture d'assurance la société a-t-elle en cas de violation de données/cyberrisque et cette couverture est-elle adéquate??
Élaborer un programme de gestion des risques. Ce programme comprendra des procédures permettant d'identifier, de protéger, de détecter, de répondre et de se remettre des violations de données. Les exemples incluent l'établissement de la sécurité sur les appareils mobiles des employés, l’élaboration d’un plan d’intervention aux incidents avec les exigences de notification et des protocoles sur la façon de limiter les dommages, la mise en place d’un contrôle d'accès interbureaux et l’embauche du personnel informatique qualifié pour gérer les risques potentiels.
Communiquer et éduquer. Les employés sont la première ligne de défense lorsqu'il s'agit de diminuer les risques. Assurez-vous que votre personnel est formé sur la manière de se protéger et de protéger l'entreprise contre une violation de données, notamment en respectant les pratiques de sécurité de base et les directives d'utilisation d'Internet. Établir des conséquences pour les employés qui ne respectent pas les pratiques de sécurité établies.
Soyez prêt à intervenir. En cas de violation de données, maintenez la transparence avec les autorités de réglementation, les investisseurs, le procureur général de la province, les agences de protection des consommateurs et les bureaux de crédit. Désignez des employés pour interagir avec les clients, les médias, les régulateurs et les actionnaires et assurez-vous que chacun connaît les points à discuter et la personne à contacter en cas de demandes imprévues.
Assurez-vous d’avoir la bonne couverture. Une assurance de la responsabilité civile des administrateurs et dirigeants (A&D) distincte et des polices de cyberresponsabilité fourniront la plus grande protection. La consultation d'un courtier indépendant tiers comme HUB offrira un certain nombre de services préventifs et post-violation tout en aidant les administrateurs et les dirigeants à revoir toutes les options.
Contactez un consultant en gestion des risques HUB pour en savoir davantage sur la manière dont les administrateurs et les dirigeants peuvent se protéger et réduire la gravité des cyberrisques en instituant des contrôles de prévention appropriés et en s’assurant d’avoir la bonne couverture.
2 https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03130WWEN
