Vous êtes responsable de la sécurité dans une entreprise qui vient de détecter une activité suspecte indiquant une très probable violation de données à caractère personnel. Quelle est l’action prioritaire que vous devez entreprendre dans cette situation ?

[A] Éteindre les systèmes impactés

[B] Enquêter sur la source de la violation

[C] Informer la direction générale de l’entreprise

[D] Notifier l’incident à la CNIL


reponse linkedin

CBK7 Q11 LINK


Éteindre les systèmes impactés risque d’entrainer la perte d’informations vitales pour l’enquête et peut causer d’importantes perturbations dans le fonctionnement du SI de l’entreprise sans pour autant que cela soit utile ou justifié.

Investiguer sur la source de la violation est essentiel pour identifier et corriger la faille de sécurité, mais cela ne doit intervenir qu’après avoir informer le management de l’entreprise et avoir sécuriser à minima l’environnement.

Informer la direction générale est bien souvent la première étape recommandée dans la gestion d’un incident de sécurité. Cela permet de s’assurer que la réponse à l’incident est gérée de manière appropriée et en conformité avec les lois et régulations, facilitant ainsi une approche coordonnée et efficace.

Informer le régulateur (en France la CNIL) est une obligation réglementaire et le délai fixé par le RGPD est de 72h. Il conviendra d’abord d’enquêter à minima sur la violation de données. Est-elle clairement caractérisée ? Quelle est la volumétrie ? Y-a-t-il des données sensibles (santé, génétique,…). C’est ensuite à la direction générale qu’il appartiendra la décision d’informer la CNIL et ce n’est généralement pas le CISO (RSSI) qui aura cette tâche mais le DPO si bien sûr l’organisme a nommé un délégué à la protection des données. Et puis n’oublions pas qu’une violation de données pourra être considérée par le régulateur comme une infraction au RGPD pour non-respect de l’article 32. En effet, cet article exige que le responsable du traitement garantisse la sécurité des données. Peut-on imaginer un seul instant un instant qu’un manager puisse déclarer une violation de données au régulateur alors qu’en tant que responsable de la sécurité, ce n’est pas dans ses attributions et cela sans même avertir au préalable la direction de l’entreprise ?

La bonne réponse est la proposition [C]

Dans la réalité, la plupart des professionnels confrontés à cette situation investigueront sur l’incident et essaieront d’identifier la source de la violation de données avant d’informer le management. Ce n’est pas la réponse attendue dans l’examen du CISSP ou vous devez adopter le mindset « Think like a manager ». Avec cet état d’esprit, on informe en priorité le management en cas d’incident de sécurité grave. Rappelons qu’en application du RGPD, l’entreprise encourt une sanction financière de 10M€ ou de 2% de son CA mais également des risques juridiques et réputationnels.

tip

Pour en savoir plus sur la réponse à incident nous vous recommandons de suivre le module n°17 de la formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE