Imaginons que votre fournisseur de services ou de produits informatiques (par exemple votre hébergeur) soit victime d’une violation de données. Quelles sont les difficultés auxquelles vous devrez faire face ?
Si les données de votre fournisseur de services ont été volées, vous pourriez être confronté à un ensemble de défis. En effet les sujets liés à une violation de données (investigation forensique, respect des obligations règlementaires, information des clients) deviennent plus délicats lorsque la faille de sécurité provient d'un sous-traitant.
Il est essentiel de réagir rapidement même si vous n’entretenez pas une relation pérenne avec votre fournisseur.
En tant que responsable de traitement, vous devez alors vous renseigner sur l’ampleur de la violation chez votre sous-traitant et être en mesure d'identifier et informer les personnes concernées. Ceci est nécessaire afin de respecter les obligations légales.
Que faire immédiatement ?
En général les organisations prennent connaissance de ces incidents lorsqu'elles en sont informées par leur sous-traitant ou lorsque l'incident est rendu public. Cependant, nous avons aussi observé des cas où les organisations ont été informées directement par les cyber criminels.
Nous vous recommandons d'avertir l’équipe Cyber Services de Beazley dès que vous prendrez connaissance de la violation de données même si la violation reste potentielle. Ayant aidé nos assurés à résoudre plus de 2 000 incidents de violation de données, l’équipe Cyber Services est très bien placée pour vous accompagner dans la gestion de l’incident. Leur premier objectif reste une réduction du délai d’investigation et d’intervention.
Il est parfois difficile de comprendre l’origine d’une fuite de données chez un sous-traitant. Cependant nous avons l’habitude de traiter plusieurs incidents tous liés à une même et unique fuite de données (par exemple : chez un prestataire commun). Ceci nous permet d’apporter notre savoir-faire et d’aider nos assurés à adapter leur réponse à l’incident. La coordination d’intervention d’avocats spécialisés dans les violations de données et/ou les prestataires de services forensique font également partie de notre offre.
Contrôler la situation
Dans le cas d’un incident impliquant un fournisseur, l’une des principales difficultés sera de contrôler les investigations forensiques. En effet, il se peut que le contrat vous liant avec ce fournisseur n’exige pas de délai pour vous informer d’une fuite de données dont il a été victime. Il est donc parfaitement possible qu’il ait déjà consacré un certain temps aux investigations. Dans cette hypothèse, les avocats spécialisés pourraient vous accompagner et identifier les informations, que vous devrez obtenir de votre fournisseur, afin de respecter vos obligations en matière de notification.
Comprendre les exigences légales
Un autre défi issu de ces incidents est d’appréhender les exigences règlementaires. La législation en vigueur sur la protection des données renvoie généralement l'obligation de notification au responsable de traitement, c’est-à-dire à votre organisation, plutôt qu'au fournisseur sous-traitant. Toutefois, selon le contrat que vous avez conclu avec votre fournisseur, il peut être tenu de vous prêter assistance aux fins d’entreprendre la notification. Il est donc essentiel de disposer d'un contrat dédié pour définir les relations entre votre organisme, responsable du traitement, et le fournisseur, sous-traitant.
Enfin, la procédure de notification est variable. Dans certains cas, le fournisseur se contentera de vous fournir une liste approximative des personnes concernées par la violation des données. Si c’est le cas, l’équipe Cyber Services de Beazley vous accompagnera dans l’accomplissement des démarches de notification, grâce à notre centre d'appel. Nous constatons, par retour d’expérience, que les fournisseurs se chargent des démarches de notification avec l’objectif de maintenir un service client de qualité. Si vos clients sont impactés, il est important de vous impliquer dans les processus qui s’ensuivent afin de préserver vos bonnes relations ainsi que votre réputation. Un avocat spécialisé vous aidera à anticiper et résoudre ce type de problématique pour gérer au mieux la situation.
Gérer les risques liés aux fournisseurs
Il est évident que la sélection des fournisseurs de services et de produits informatiques ainsi que la formalisation de vos relations contractuelles avec eux, vous permettront d’optimiser la protection de votre organisation. Les assurés cyber de Beazley peuvent obtenir des conseils supplémentaires sur notre portail de gestion des risques :Beazley : Solutions pour les violations de données (beazleybreachsolutions.com)
Jad Nehmé
Client Experience Manager