Qu'elles soient accidentelles ou dues à une pénétration délibérée des systèmes d'information, les violations de données - bien qu'elles ne soient pas uniquement un phénomène du 21e siècle - constituent un casse-tête de plus en plus sophistiqué pour les entreprises internationales. Les informations personnelles et les données d'entreprise étant devenues des marchandises, les marchés légaux, gris et noirs de l'information ont vu l'essor exponentiel d'un secteur dont la fonction principale est la gestion réactive des violations de données, leur correction et leur atténuation. Après une violation de données, les principaux objectifs d'une organisation sont de se conformer à l'obligation réglementaire d'informer les personnes potentiellement touchées tout en limitant son exposition financière. Cela nécessite l'examen de plusieurs milliers - parfois des millions - de documents. Pour de nombreuses entreprises, l'action de remédiation des données s'arrête lorsque toutes les notifications requises sont envoyées. Cette complaisance peut avoir de graves conséquences ; il existe d'autres risques commerciaux importants après une violation des données qui doivent être évalués. Il est dans l'intérêt d'une entreprise d'utiliser ses ressources spécialisées pour aider à atténuer ces risques tout en remplissant les exigences légales de correction et de notification.
Pour comprendre les risques commerciaux d'une violation de données au-delà des coûts de remédiation, les entreprises doivent connaître le paysage actuel de la cybercriminalité d'entreprise. En août 2020, INTERPOL a évalué l'impact de COVID-19 sur les incidents de cybercriminalité, notant qu'ils observaient une évolution spectaculaire des attaques contre les particuliers et une augmentation significative des attaques contre les grandes entreprises. Dans un communiqué de presse connexe, INTERPOL a indiqué que " les organisations et les entreprises déployant rapidement des systèmes et des réseaux à distance pour aider le personnel travaillant à domicile, les malfaiteurs profitent de l'augmentation des failles de sécurité pour voler des données, générer des profits et causer des perturbations "[1] Les malfaiteurs et les organisations criminelles sophistiqués sont passés maîtres dans l'art de repérer l'évolution des conditions culturelles, politiques et de marché pour tirer parti des opportunités qui maximisent les gains financiers illicites. La pandémie a entraîné une vague d'incertitude et d'anxiété qui traverse les hiérarchies des entreprises. L'instabilité des conditions économiques mondiales qui en résulte, ainsi que la volatilité sociopolitique déjà troublante, ont laissé les institutions moins préparées que jamais à faire face à l'assaut soudain d'attaques en ligne par des pirates hautement qualifiés qui ont souvent une longueur d'avance sur les programmes de sécurité informatique les plus protecteurs.
Le fait que les risques de violation des données soient toujours imminents, quel que soit le niveau de menace, n'est pas nouveau. Les entreprises qui y ont déjà été confrontées sont bien conscientes du coût potentiellement énorme des mesures correctives. Les avocats spécialisés dans la protection de la confidentialité des données savent particulièrement bien ce qu'une violation de données signifie pour leurs clients et connaissent l'existence de réglementations agressives émanant de multiples juridictions qui dictent la manière et le délai de notification des personnes dont les informations personnelles identifiables (PII) ont été compromises. Les organismes de réglementation sont souvent inflexibles, et la vitesse à laquelle les entreprises doivent mettre en œuvre un plan de correction et de notification est souvent plus rapide que ce que l'on pourrait considérer comme raisonnable. Dès qu'une violation est identifiée, les entreprises sont en mode triage pour protéger leur réputation et atténuer leur exposition financière, tout en isolant les serveurs touchés pour atténuer les dommages d'une attaque, en renforçant leur cyber-résilience pour aider à prévenir d'autres attaques et en mettant en œuvre une révision de la réparation de la violation des données pour envoyer les notifications requises aux individus.
Cependant, la perte de confiance et le préjudice financier ne se limitent pas au vol de DPI. Les entreprises savent que ce sont leurs données exclusives et confidentielles qui donnent de la valeur à ce qu'elles vendent. Ces informations seraient exceptionnellement précieuses pour les concurrents et, si elles étaient volées, elles pourraient être rendues publiques pour mettre dans l'embarras ou vendues à des fins lucratives. Selon une étude IBM de 2020, il faut en moyenne 200 jours avant qu'une entreprise ne se rende compte qu'une cyberattaque a eu lieu, et il peut alors être presque impossible de se remettre de la perte de secrets d'entreprise. Les informations concurrentielles exposées, telles que les prix ou les frais négociés avec d'autres entreprises, les plans de marketing et les documents relatifs au développement de produits, ne sont qu'un exemple des types d'informations qui peuvent circuler dans le cyberespace pendant des mois à l'insu d'une entreprise. En outre, les conversations privées internes ou externes par courrier électronique ou par chat peuvent être source d'embarras - voire d'intérêt réglementaire - si elles sont rendues publiques.
Indépendamment des informations internes, les données confidentielles appartenant à d'autres entités comme les fournisseurs, les partenaires, les clients, etc. contribuent à la rentabilité et au bon fonctionnement des entreprises. La protection de ces relations est essentielle, et elles peuvent être facilement endommagées si une entreprise a mis en danger les informations d'une autre entreprise. Identifier les données commerciales sensibles violées dès qu'une intrusion est repérée est un premier pas vers la prévention d'une rupture irrémédiable des relations commerciales. À quelques exceptions près - comme les cabinets d'avocats - la réglementation n'exige pas nécessairement qu'une entreprise fasse quoi que ce soit pour atténuer les risques pouvant découler de la perte des informations d'une autre entreprise. Toutefois, les obligations légales ne sont pas les seules à entrer en ligne de compte. Les relations commerciales sont presque invariablement régies par des contrats entre les parties, qui contiennent souvent des exigences en matière de sécurité des données, prévoient une cyberassurance et - s'ils sont rédigés de manière appropriée - comportent des clauses d'indemnisation strictes. Compte tenu de cette exposition accrue, il incombe aux entreprises d'être proactives en identifiant les données commerciales compromises et en informant leurs propriétaires.
Si une entreprise est préparée à l'aide d'un plan complet d'examen de la violation des données qui permet d'identifier les IIP pour y remédier et les notifier, ainsi que d'identifier les données internes de l'entreprise et les données appartenant à des tiers, elle sera en bien meilleure position pour limiter l'exposition financière, l'atteinte à la réputation et la perte de relations essentielles. Pour y parvenir de la manière la plus efficace et efficiente possible, il est important de disposer d'une équipe d'examen de la correction des données dont les membres sont non seulement compétents pour identifier de manière exhaustive tous les types de DPI ainsi que les coordonnées des personnes concernées pour les notifications requises par la loi, mais aussi pour identifier les données commerciales essentielles et les classer dans des rapports afin que les services internes et les entreprises extérieures puissent être informés avec précision des données potentiellement compromises. Les délais serrés pour la correction et la notification des IPI ne signifient pas que les données commerciales doivent être mises de côté. Les équipes chargées de l'examen de la correction des données sont en mesure d'examiner simultanément les documents à la recherche de DPI et d'informations commerciales si elles ont la formation et l'expérience nécessaires pour savoir ce qu'il faut identifier. Un seul examen avec ce double objectif permet aux entreprises d'accomplir ce qui pourrait autrement être négligé ou retardé avec un minimum de temps et de coûts supplémentaires.