Politique de Gestion des Incidents de Sécurité et de Notification des Violations de Données

Introduction et Finalité

Humanics Global Advisors (HGA) s’engage à protéger la sécurité et la confidentialité des données sur la plateforme numérique HGA (anciennement DevTender) et sur tous les systèmes, appareils et outils tiers utilisés par ses consultants et collaborateurs. La présente politique de réponse et de notification des violations de données établit des procédures claires pour réagir à toute violation de données avérée ou suspectée. Elle est conforme aux engagements existants de HGA en matière de protection des données, de confidentialité, de surveillance de la sécurité et de traitement licite des données transfrontalières [1] . HGA respecte notamment les meilleures pratiques internationales (RGPD, CCPA, etc.) pour la protection des données personnelles et exige la notification immédiate de tout incident de sécurité impliquant des données personnelles [2] . L’objectif de cette politique est de garantir qu’en cas de violation, HGA puisse identifier, contenir, enquêter sur, corriger et se rétablir efficacement, tout en communiquant de manière appropriée avec ses équipes internes, les personnes concernées, les autorités et ses partenaires, conformément à la législation applicable.

Champ d’application : La présente politique s’applique à la plateforme numérique HGA et à tous les systèmes d’information, appareils, réseaux et services tiers utilisés par le personnel et les consultants HGA dans le cadre de leur travail. Elle couvre les incidents liés à l’accès non autorisé, à la perte, à la divulgation ou à la corruption de données sensibles (y compris les données personnelles des consultants, des clients ou du personnel, ainsi que toutes les données commerciales confidentielles). Tous les employés, consultants indépendants, sous-traitants et prestataires de services HGA sont tenus de respecter la présente politique en cas d’incident de sécurité ou de violation de données.

Objectifs clés :

Identification et confinement rapides : veiller à ce que les violations potentielles soient rapidement identifiées (par la surveillance ou le signalement) et que des mesures immédiates soient prises pour prévenir toute perte ou tout dommage supplémentaire aux données.
Enquête approfondie : Déterminer l’étendue, la cause profonde et l’impact de l’incident, notamment quelles données ont été compromises et quelles personnes ou quels systèmes sont touchés.
Remédiation efficace : corriger les vulnérabilités ou les défaillances de contrôle qui ont conduit à la violation, éliminer les menaces (par exemple, les logiciels malveillants) et prendre des mesures correctives pour éviter toute récidive.
Reprise et continuité : Restaurez les systèmes ou les données affectés (à partir de sauvegardes propres si nécessaire) pour reprendre les opérations normales avec un temps d’arrêt minimal, en utilisant les plans de reprise après sinistre de HGA.
Communication et notification claires : Établir des voies d’escalade internes et des protocoles de notification externes afin que toutes les parties prenantes (direction, personnel, personnes concernées, organismes de réglementation, clients/partenaires) soient informées en temps opportun et de manière appropriée, conformément aux exigences légales (par exemple, la règle des 72 heures du RGPD, les lois étatiques sur les violations) [3] [4] .
Responsabilisation et amélioration : Tenir à jour la documentation relative aux incidents et aux interventions, respecter toutes les obligations réglementaires en matière de tenue de registres et examiner chaque incident afin d’améliorer au fil du temps nos mesures de sécurité et nos processus d’intervention.

En appliquant cette politique, HGA cherche à minimiser les dommages résultant de toute violation de données, à respecter ses obligations contractuelles et légales et à préserver la confiance que lui accordent ses consultants, clients et partenaires.

Rôles et responsabilités

Une réponse efficace aux incidents de sécurité nécessite des rôles clairement définis. HGA maintiendra une équipe de réponse aux incidents (IRT), composée de personnel (par rôle, et non par nom) chargé de mettre en œuvre cette politique. Les rôles clés sont les suivants :

Responsable de la réponse aux incidents (RRI) : Il s’agit généralement du responsable des systèmes informatiques ou du responsable de la sécurité qui coordonne la réponse globale. Le RRI est chargé d’activer le plan de réponse aux incidents, de guider les membres de l’équipe tout au long des étapes d’identification, de confinement, d’investigation, de remédiation et de rétablissement, et de veiller au respect des protocoles de communication. Il met en œuvre et surveille les protocoles de sécurité sur la plateforme et traite toute menace ou violation de sécurité potentielle dans le cadre de ses fonctions de supervision.
Délégué à la protection des données (DPO) / Responsable de la conformité : Supervise la conformité en matière de protection des données. Garantit le respect des obligations légales de notification (RGPD, CCPA, etc.) et la bonne tenue des dossiers d’enquête. Le DPO (ou un responsable de la protection des données équivalent) assure la liaison avec les autorités de contrôle et les conseille sur la notification des personnes concernées conformément à la législation sur la protection des données. (Si HGA ne dispose pas de DPO désigné, ce rôle est assumé par un responsable de la conformité ou un conseiller juridique.)
Équipe de sécurité informatique / Administrateurs système : Ces personnes assurent le confinement technique et l’investigation. Elles surveillent en temps réel les systèmes de détection d’intrusion et les journaux , analysent les indicateurs de compromission et sécurisent l’infrastructure affectée. Elles mettent également en œuvre les correctifs techniques (mises à jour, modifications d’accès, etc.) lors de la remédiation. Elles veillent à ce que les outils de sécurité de HGA (pare-feu, logiciels anti-malware, etc.) et les systèmes de surveillance continue déclenchent des alertes en cas d’activités suspectes et effectuent l’analyse forensique des systèmes impactés.
Direction (Responsable exécutif) : Un cadre supérieur (par exemple, le directeur technique ou le directeur des opérations) assure la supervision, fournit les ressources et confère le pouvoir de décision. Il peut être chargé d’approuver les communications externes (par exemple, les notifications de violation de données aux clients ou les déclarations publiques) et de signaler les incidents majeurs à la direction générale ou au conseil d’administration de HGA. La direction veille à ce que la réponse aux incidents bénéficie d’un soutien suffisant et que toutes les mesures de continuité des activités (comme l’activation du plan de reprise après sinistre ou des systèmes de sauvegarde) soient mises en œuvre.
Conseiller juridique : Il apporte son aide pour comprendre et interpréter les lois relatives à la notification des violations de données dans différentes juridictions, ainsi que les obligations contractuelles envers les clients et partenaires. Il examine les communications afin de s’assurer qu’elles informent correctement la situation sans engager indûment la responsabilité du client. Il assure la coordination avec les forces de l’ordre ou les organismes de réglementation externes, le cas échéant.
Responsable de la communication : Gère la stratégie de communication interne et externe. Il peut s’agir d’un professionnel des relations publiques ou d’un membre de l’équipe de réponse aux incidents. Il rédige des notifications et des mises à jour claires et précises à destination des personnes concernées, des clients, des partenaires et des médias (le cas échéant), et veille à la cohérence des messages. Il gère également les demandes d’information (par exemple, celles des personnes concernées ou de la presse) suite à l’annonce d’une violation de données.
Consultants et personnel : Chaque consultant ou membre du personnel de HGA a la responsabilité de rester vigilant et de signaler immédiatement toute suspicion de violation de données ou d’incident de sécurité. Ils peuvent être les premiers intervenants à constater une activité inhabituelle, la perte d’appareils ou la réception de courriels suspects. Le personnel et les consultants doivent coopérer pleinement avec l’équipe d’intervention en cas d’incident (par exemple, en fournissant des informations ou en préservant les preuves) et ne doivent ni divulguer ni discuter de l’incident à l’extérieur sans autorisation. Ils sont également tenus de respecter la confidentialité des informations sensibles, conformément aux accords et politiques de HGA.

Remarque : En pratique, l’équipe de réponse aux incidents peut être composée d’un groupe central (responsable de la réponse aux incidents, responsable informatique/sécurité, DPO, etc.) et intégrer des membres supplémentaires au besoin (par exemple, les RH si des données d’employés sont concernées, un représentant des services cloud si des systèmes tiers sont impactés). Les rôles principaux sont décrits ci-dessus sans nommer de personnes spécifiques ; HGA affectera le personnel concerné à ces rôles en se basant sur une liste de contacts internes à jour pour la réponse aux incidents.

Procédure d'intervention en cas d'incident

HGA suit un processus structuré de réponse aux incidents comprenant cinq phases clés : identification, confinement, investigation, remédiation et rétablissement . Chaque phase est détaillée ci-dessous :

1. Identification et signalement

Détection des incidents potentiels : Les systèmes de HGA font l’objet d’une surveillance continue afin de détecter tout signe de faille de sécurité ou d’anomalie . Des outils de sécurité automatisés (systèmes de détection d’intrusion, observateurs de journaux, etc.) alertent l’équipe de sécurité informatique en cas d’activités inhabituelles (par exemple, tentatives de connexion infructueuses répétées, exportations de données anormales) . Par ailleurs, l’ensemble du personnel doit être vigilant face aux indicateurs potentiels de faille, tels que la perte ou le vol de matériel, un comportement inattendu du système, des fichiers manquants ou corrompus, ou encore la présence de données confidentielles dans des emplacements non autorisés.

Signalement interne : Tout employé ou consultant qui soupçonne une violation de données ou observe un incident de sécurité doit le signaler immédiatement au responsable de la réponse aux incidents (ou via la ligne d’assistance téléphonique/l’adresse e-mail dédiée). HGA encourage une culture du signalement. Un signalement interne rapide est essentiel pour permettre à l’équipe de réponse aux incidents d’intervenir au plus vite. Aucun sanction disciplinaire ne sera appliquée suite à un signalement de bonne foi d’une violation présumée.

Évaluation initiale : Le responsable de la réponse aux incidents (avec l’équipe de sécurité informatique) évalue rapidement les rapports d’incidents et les alertes reçus afin de déterminer si un événement de sécurité constitue une potentielle violation de données . Dans ce contexte, une « violation de données » désigne tout incident susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité d’informations sensibles – par exemple, un accès non autorisé, une divulgation, une altération ou une perte de données personnelles. En cas de doute, l’équipe considère l’événement comme une violation présumée jusqu’à preuve du contraire.

Si l’incident est confirmé (ou raisonnablement suspecté) comme impliquant la compromission de données personnelles ou d’autres données confidentielles, le responsable de la réponse aux incidents déclarera officiellement un incident de violation de données et activera le plan d’intervention. Cela comprend l’ouverture d’un registre d’incidents (voir annexe A) et la notification des membres de l’équipe de réponse aux incidents afin qu’ils se réunissent (virtuellement ou physiquement) pour une action immédiate.

2. Confinement

Dès qu’une brèche est identifiée, le confinement est la priorité absolue afin d’en limiter la portée et l’impact. L’équipe de réponse aux incidents interviendra rapidement pour empêcher tout accès non autorisé supplémentaire ou toute fuite de données.

Isolate Affected Systems: Immediately disconnect or shut down compromised servers, devices, or user accounts from the network if needed to halt an ongoing intrusion. For example, if malware is spreading or data exfiltration is in progress, the affected host or application is taken offline. (Caution: Do not power off systems unless necessary; instead, isolate from network to preserve forensic evidence.)
Secure Vulnerable Points: Change passwords or revoke credentials that may have been stolen (e.g. if an account was compromised). Implement temporary firewall rules or access control list updates to block malicious traffic. If an email account is sending phishing messages, disable it. HGA’s multifactor authentication (MFA) requirement for logins provides an extra layer of protection to limit unauthorized access, but if credentials are suspected to be exposed, those accounts will be locked and credentials reset.
Stop Data Loss: If the breach involves cloud storage or databases, restrict queries or exports. For example, suspend the database or storage bucket that was accessed. If data was posted publicly (e.g. on our website or a code repository), remove it immediately and work with the relevant platform to purge cached copies.
Preserve Evidence: While containing the issue, the team takes care to preserve logs, system images, and other evidence of the incident. For instance, before disconnecting a compromised server, a memory dump or disk image might be taken if possible. All containment actions are logged with timestamp and description in the incident report.
Temporary Workarounds: If needed (to maintain business continuity), put safe systems online to replace affected ones. For example, if a payroll system is taken down due to breach, switch to a backup system or offline process until it’s secure to restore the original.
Engage Third-Party Support: If a third-party service or vendor is involved (e.g. our cloud hosting or a SaaS tool) and they can assist in containment, contact them immediately. For example, notify the cloud provider’s security team to help isolate resources or the vendor of a compromised third-party tool to get their support and information.

Throughout containment, internal communication is key: the IR Lead will keep management and key stakeholders apprised of what’s being done to control the situation. If the incident might have immediate impact on users or clients (for instance, a public website breach), HGA may craft an initial holding statement to reassure that steps are being taken, even before full details are known – but generally, detailed external communications will wait until investigation yields clearer information (unless urgent notification is needed to prevent further harm).

3. Investigation and Analysis

With the immediate threat contained, the Incident Response Team will investigate the incident in depth to understand exactly what happened and what data or systems were impacted. The goals of the investigation are to determine the nature and scope of the breach, identify affected data/individuals, and uncover root causes.

Key Investigation Actions:

Forensic Analysis: The IT Security Team (or external forensic experts, if engaged) will analyze system logs, audit trails, alerts, and any preserved evidence from affected systems. All relevant security logs and reports are reviewed – for example, authentication logs, database access logs, API call logs, etc. – to trace the timeline of the incident. They determine how the intruder gained access, what actions were performed, and if any data was exfiltrated or modified. If malware was involved, it is analyzed to understand its capabilities (e.g. did it install a backdoor? capture keystrokes?).
Identify Affected Data and Individuals: The team compiles an inventory of what information was compromised. This includes identifying specific databases, files, or records accessed. We categorize the data (e.g. personal data like names, emails, IDs; financial data; client confidential documents; etc.) and estimate the number of individuals or records involved. For personal data breaches, this means determining the categories and number of data subjects affected (approximately) and what types of personal data were exposed. If the breach involves special sensitive data (financial info, health info, etc.), note that as it elevates the severity. This analysis will later inform whom we need to notify (e.g. all affected users) and what we tell them.
Impact Assessment: The DPO/Compliance Lead works with the technical team to assess risks to individuals and HGA resulting from the breach. We evaluate the likely consequences of the breach: Could individuals suffer identity theft, financial fraud, privacy harms, reputational harm, or other damage? For example, loss of a customer database with emails and passwords would carry risk of account compromise, whereas a leak of public information would pose minimal harm. This risk assessment is crucial for determining notification obligations – under GDPR, if the breach is unlikely to result in risk to individuals’ rights, it might not require authority notification, but if likely to result in high risk to individuals (e.g. exposure of sensitive personal data), we must inform those individuals without undue delay. We document this risk evaluation thoroughly.
Breach Classification: Based on scope and impact, the IR Lead assigns a severity level to the incident (see Appendix B: Data Breach Classification Chart). This classification (Low, Moderate, High, or Critical) helps prioritize response efforts and communication. For instance, a low-severity incident might involve a lost encrypted device with no evidence of misuse, whereas a high-severity breach might involve hackers exfiltrating sensitive personal data like Social Security numbers. This classification also guides whether regulatory or individual notifications are required. (Example: A lost laptop that was encrypted would be classified as Low severity and likely not notifiable under many laws, while theft of a database of client personal data would be High or Critical severity, requiring broad notification).
Root Cause Determination: The team identifies how and why the breach occurred. Was it due to a misconfiguration, a software vulnerability, credential theft (phishing), insider wrongdoing, or procedural failure? For example, investigation might reveal that an outdated software patch allowed an exploit, or that an employee’s weak password was compromised. Determining root cause is essential to plan effective remediation. If multiple factors contributed (common in complex incidents), note each one (technical and human factors).
Involve External Specialists if Needed: If the incident is sophisticated (e.g. advanced malware or a possible nation-state attack) or if HGA lacks certain forensic expertise, we may engage external incident response consultants to assist with the investigation. We also consider involving law enforcement at this stage if a crime is evident (e.g. data theft by external attackers) – law enforcement can sometimes provide indicators of compromise or information about known threat actors. (We coordinate such involvement via Legal Counsel to ensure it doesn’t conflict with our analysis.)
Investigation Documentation: From the start, we maintain a detailed incident log of all investigative steps and findings. This includes timelines of events, affected data lists, interview notes (if staff or users are interviewed for insight), and so forth. Article 33(5) of GDPR requires that the controller document the facts and effects of any personal data breach and remedial actions taken, and many laws similarly expect record-keeping. HGA’s incident report (Appendix A template) is used to capture this information, enabling after-action review and demonstrating compliance.

During investigation, internal updates are given regularly to HGA leadership. If at any point the investigation discovers that the incident is more severe than initially thought, containment actions are revisited (e.g. widen the scope of systems isolated) and notification plans may be accelerated.

Importantly, if the breach is ongoing or data is still at risk during analysis (for example, discovering a backdoor account still in the system), the team will loop back to Containment actions immediately to address it. Investigation and containment often run in parallel in the early stages.

4. Remediation (Eradication & Fix)

After understanding the breach and plugging any immediate holes, HGA will remediate the vulnerabilities and issues that led to the incident. The objective is to eradicate the threat from our environment and implement fixes so that the same type of breach cannot recur.

Remediation actions typically include:

Eliminate Threat Artifacts: Remove any malware, malicious files, or backdoor accounts left by attackers. For example, if a virus or ransomware was found, ensure all infected systems are cleaned and malware signatures are updated in anti-virus tools. If unauthorized user accounts or access tokens were created, delete or revoke them.
Apply Security Patches/Fixes: If the breach resulted from a software vulnerability, promptly apply the necessary patches or upgrades to fix that weakness on all relevant systems. HGA’s practice of regular updates and background patching will be accelerated as needed in response to the incident. We also scan other systems for similar vulnerabilities. For instance, if a web server was breached due to an outdated library, all servers are updated and tested.
Improve Access Controls: If credential theft or weak authentication was a factor, strengthen controls. This may involve enforcing stricter password policies, requiring password resets for affected users, expanding multi-factor authentication coverage (HGA already uses MFA for all logins), and reviewing user privileges. We ensure that least privilege principles are reinforced (e.g. limiting administrative access if that played a role).
Address Process or Configuration Gaps: If the root cause was a misconfiguration or process failure, correct it. For example, if a cloud storage bucket was accidentally left public, update its access settings and implement additional reviews for configurations. If an employee violated data handling procedures, provide remedial training or reinforcement of policies.
Amélioration de la surveillance et des alertes : Après une violation de données, nous renforçons systématiquement la surveillance afin de détecter d’éventuels incidents similaires. Cela peut impliquer l’ajout de nouvelles règles de détection d’intrusion (basées sur les schémas observés lors de l’attaque), l’augmentation de la durée de conservation ou de la visibilité des journaux, ou encore le déploiement d’outils de sécurité supplémentaires. La plateforme HGA intègre un module de gestion de la sécurité permettant l’analyse des journaux et des rapports d’événements de sécurité ; nous l’utilisons pour nous assurer que tout signe de violation passé inaperçu est désormais surveillé. Une analyse de sécurité continue est maintenue afin de détecter les menaces persistantes .
Tests d’intrusion (le cas échéant) : En cas de violations importantes, après l’application des correctifs, HGA peut effectuer des tests d’intrusion ciblés ou une analyse de vulnérabilité des systèmes affectés afin de vérifier que tous les problèmes connus ont été résolus et qu’aucune nouvelle faiblesse n’a été introduite.
Mesures correctives de la part de tiers : Si la faille de sécurité a impliqué ou aggravé un service ou un fournisseur tiers, coordonnez-vous avec ce dernier afin de garantir la mise en œuvre des mesures correctives nécessaires. Par exemple, si une faille s’est produite dans un logiciel que nous utilisons (par exemple, une exploitation de vulnérabilité zero-day dans un outil SaaS), collaborez avec le fournisseur pour obtenir la confirmation de la correction apportée. Si l’incident est dû à la compromission de l’appareil personnel d’un consultant, assurez-vous que cet appareil est nettoyé et sécurisé avant toute reconnexion aux systèmes HGA et mettez à jour les exigences de sécurité BYOD si nécessaire.

Toutes les mesures correctives prises sont consignées dans le journal des incidents, y compris la date d’achèvement. Le responsable de la gestion des incidents s’assure qu’aucun élément n’est négligé en comparant les causes profondes aux actions entreprises.

Avant de déclarer l’incident entièrement résolu, l’équipe de réponse aux incidents effectue une vérification : elle s’assure que les systèmes sont exempts de menaces et que les nouvelles mesures de contrôle sont efficaces. Cela peut impliquer un examen attentif des journaux système pendant un certain temps après la résolution de l’incident afin de confirmer l’absence d’activité anormale.

Si des données personnelles sont concernées, les mesures correctives prévoient également des dispositions pour atténuer le préjudice subi par les personnes concernées. Par exemple, si des numéros de carte de crédit ont été compromis, HGA pourrait, à titre de mesure corrective, mettre en place des services de surveillance du crédit pour les personnes touchées ou leur conseiller de geler leur crédit (cette mesure relève également de la notification, mais la décision fait partie du plan de remédiation).

5. Rétablissement et rétablissement

Une fois la menace neutralisée et les correctifs appliqués, HGA passe à la phase de récupération : remise en service normale des systèmes et assistance aux parties concernées pour se remettre de l’incident.

Restauration du système : Tous les systèmes et services mis hors service sont restaurés en toute sécurité. Cela peut impliquer la restauration de données à partir de sauvegardes si des données ont été corrompues ou perdues. HGA effectue des sauvegardes chiffrées régulières des données critiques et dispose d’un plan de reprise d’activité (PRA ) pour garantir la continuité des opérations. Si nous devons reconstruire des serveurs ou déployer de nouvelles instances (afin d’éliminer tout logiciel malveillant persistant), nous utilisons des sauvegardes propres et un code vérifié. Nous vérifions l’intégrité des données et des systèmes restaurés avant leur remise en service. Par exemple, après une attaque par rançongiciel, les systèmes sont effacés et reconstruits à partir de sauvegardes, testés, puis remis en ligne progressivement.

Validation des fonctions métier : Nous vérifions que tous les processus métier (en particulier ceux essentiels aux activités de conseil de HGA et au fonctionnement de la plateforme DevTender) fonctionnent correctement. Les tâches retardées (en raison d’une panne système) sont traitées en priorité dès le rétablissement des systèmes. L’équipe d’intervention en cas de panne (IRT) se coordonne avec les chefs de service pour garantir le bon fonctionnement de l’ensemble des opérations.

Communication pendant la reprise d’activité : En interne, le responsable de la réponse aux incidents informe le personnel de la reprise d’activité ou de la mise à jour de l’état des systèmes une fois rétablis, en fournissant toutes les instructions nécessaires (par exemple, la réinitialisation des mots de passe ou les nouvelles mesures de sécurité à suivre après l’incident). Si certains services étaient inaccessibles aux clients ou consultants pendant le confinement, un message est envoyé pour annoncer leur rétablissement.

Assistance aux personnes concernées : Si la violation de données a affecté des consultants, des utilisateurs ou d’autres personnes (par exemple, leurs données personnelles ont été volées), la récupération comprend l’aide apportée à ces personnes pour limiter les dommages. Notre notification (voir section suivante) leur aura fourni des instructions pour se protéger (comme changer leurs mots de passe, surveiller toute activité suspecte, etc.). HGA met en place des canaux d’assistance (ligne d’assistance téléphonique ou courriel) pour répondre aux questions des personnes concernées. En cas de violation grave, nous pouvons affecter du personnel pour contacter directement les clients ou les personnes clés afin de les aider dans les démarches de récupération (par exemple, en guidant l’équipe informatique d’un client dans la vérification de ses comptes). Dans certains cas, la récupération peut inclure la fourniture gratuite de services de surveillance du crédit ou de résolution des problèmes d’usurpation d’identité pendant une période déterminée, si des données personnelles sensibles (comme des numéros d’identification ou des informations financières) ont été compromises ; cette décision sera prise lors de la phase de remédiation et mise en œuvre lors de la récupération.

Surveillance continue : Après une intrusion, HGA met généralement en place une surveillance renforcée pendant un certain temps afin de détecter toute résurgence de la menace ou toute tentative d’imitation. L’équipe de sécurité reste en alerte maximale et peut être amenée à rédiger des rapports d’incident quotidiens à l’attention du responsable de la gestion des incidents. Nous tirons parti de notre surveillance continue de la sécurité et de notre système de détection d’intrusion pour vérifier qu’aucune autre activité malveillante liée à l’incident n’est en cours .

Clôture de l’incident : L’incident est officiellement clos uniquement après confirmation des points suivants : 1. Toutes les étapes nécessaires d’identification, de confinement, d’investigation, de remédiation et de rétablissement ont été réalisées ; 2. Les notifications (internes et externes) ont été envoyées conformément aux exigences ; 3. La sécurité et le bon fonctionnement des systèmes ont été vérifiés ; et 4. Toute la documentation relative à l’incident est finalisée.

Le responsable de la gestion des incidents préparera un rapport de clôture d’incident synthétique à destination de la direction, récapitulant l’incident et ses principaux résultats. Les enseignements tirés et les actions de suivi recommandées (telles que des modifications de politiques, des améliorations de la formation des utilisateurs ou des mises à niveau supplémentaires) y seront consignés.

6. Examen et améliorations post-incident

(Bien que la question porte sur l’identification par le biais du rétablissement, nous incluons cette dernière étape par souci d’exhaustivité.)

HGA croit en l’amélioration continue. Après chaque incident majeur, l’équipe de réponse aux incidents mène une analyse post-incident (parfois appelée « débriefing » ou « retour d’expérience »). L’équipe et les parties prenantes concernées se réunissent pour discuter du déroulement de l’incident et de l’efficacité de notre intervention. Nous abordons des questions telles que : Qu’est-ce qui a bien fonctionné ? Comment améliorer nos processus ou nos outils ? Avons-nous manqué des signaux d’alerte ? Notre équipe a-t-elle communiqué efficacement ?

Les conclusions de cet examen débouchent sur des actions concrètes : – Mettre à jour la présente politique de réponse aux violations de données ou les procédures connexes si des lacunes ont été identifiées. (Par exemple, si l’équipe ne disposait pas de certains outils ou autorisations lors de l’incident, adapter le plan.) – Améliorer les contrôles de sécurité et la surveillance en fonction des vecteurs d’attaque observés. (Par exemple, si la violation est due à une attaque de phishing, renforcer la formation anti-phishing et les filtres de messagerie.) – Dispenser une formation complémentaire au personnel et aux consultants si une erreur humaine a contribué à l’incident (rappeler les obligations de confidentialité et de sécurité qui leur incombent en vertu du contrat de consultant et des politiques internes). – Si nécessaire, organiser un exercice de simulation pour mettre en pratique les nouvelles procédures de réponse ou les modifications apportées à celles-ci. HGA s’engage à tester régulièrement son plan de réponse aux incidents ; les simulations et les exercices permettent de maintenir l’équipe prête et de mettre en évidence les problèmes potentiels avant qu’un incident réel ne survienne.

Enfin, le DPO/responsable de la conformité veille à ce que tous les documents relatifs à la violation (notes d’enquête, notifications, preuves, etc.) soient conservés en toute sécurité, conformément aux exigences réglementaires (par exemple, la LPRPDE du Canada exige la conservation d’un registre de toutes les violations pendant au moins deux ans , même celles qui n’ont pas été signalées, et les organisations doivent être en mesure de fournir ces documents sur demande ). Ces documents permettent également aux autorités de contrôle (telles que les autorités de surveillance du RGPD) de vérifier notre conformité aux obligations de notification .

Protocoles de communication et de notification

L’un des aspects les plus critiques de la gestion des violations de données réside dans notre communication, tant en interne chez HGA qu’en externe auprès des personnes concernées et des autorités compétentes. Cette section détaille les personnes à notifier, les délais et les modalités de notification , conformément aux obligations légales telles que le Règlement général sur la protection des données (RGPD) de l’UE, les lois des États américains (par exemple, la loi californienne sur la notification des violations de données en vertu du CCPA/CPRA) et autres cadres réglementaires internationaux. HGA privilégie une communication transparente et rapide , sans susciter d’inquiétude inutile, et s’engage à respecter, voire à dépasser, les exigences de notification prévues par la législation applicable.

Escalade interne et communication

Notifications externes et conformité réglementaire

HGA effectuera toutes les notifications externes requises conformément aux lois applicables et à ses obligations contractuelles . Ces notifications s’adressent à plusieurs publics : les personnes concernées (consultants, utilisateurs, employés ou toute personne dont les données ont été compromises), les autorités réglementaires, les clients et partenaires commerciaux, et potentiellement les forces de l’ordre ou le public/les médias . Vous trouverez ci-dessous les protocoles applicables à chaque public :

Notification aux personnes concernées

Si une violation de données est susceptible d’entraîner un préjudice ou un risque pour les données personnelles ou la vie privée des personnes concernées, HGA les en informera sans délai indu (dès que les faits essentiels seront connus et que des mesures de confinement seront mises en place). Conformément au RGPD, si une violation présente un « risque élevé pour les droits et libertés » des personnes concernées, nous sommes légalement tenus de les en informer directement et sans délai. Même en dehors du cadre du RGPD, la politique de HGA est d’informer les personnes concernées dans les meilleurs délais lorsque leurs informations personnelles sont compromises d’une manière susceptible de les impacter (par exemple, en cas de risque d’usurpation d’identité ou de fraude).

Contenu des avis individuels : Nos communications aux personnes concernées seront claires, concises et rédigées dans un langage accessible. Elles comprendront :

Que s’est-il passé ? : Description générale de l’incident, y compris la date de sa découverte. (Pour des raisons de sécurité, nous ne décrirons peut-être pas en détail le vecteur d’attaque précis, mais nous fournirons un contexte suffisant, par exemple : « accès non autorisé à notre base de données entre la date X et la date Y ».)
Quelles informations ont été compromises ? Les types de données personnelles affectées (par exemple, noms, coordonnées, dates de naissance, mots de passe de comptes, informations financières, etc.) seront précisés. Nous indiquerons si des données sensibles, telles que les numéros de sécurité sociale ou de carte bancaire, ont été divulguées. En cas de doute concernant des données spécifiques, nous indiquerons les catégories susceptibles d’être concernées.
Mesures prises : HGA a mis en œuvre les actions suivantes pour contenir et corriger la faille de sécurité et protéger les personnes concernées. Nous pouvons notamment indiquer que la vulnérabilité a été corrigée, décrire les mesures de sécurité renforcées et, le cas échéant, informer les autorités compétentes. Si nous proposons une assistance (comme un service de surveillance de crédit ou une protection contre l’usurpation d’identité) prise en charge par HGA, nous préciserons les modalités d’inscription.
Que faire : Mesures spécifiques à prendre pour se protéger. Nos conseils sont adaptés aux données concernées . Par exemple, si des mots de passe ont été compromis, nous recommandons de les réinitialiser (et nous pouvons imposer une réinitialisation sur notre plateforme). Si des données financières sont concernées, nous conseillons de surveiller ses relevés bancaires ou son rapport de solvabilité. En cas de numéros de sécurité sociale ou de pièces d’identité compromis, nous expliquons comment signaler une fraude ou bloquer son crédit . Nous fournissons souvent des liens vers des ressources fiables (comme celles de la FTC ou des autorités locales concernant l’usurpation d’identité) pour des démarches supplémentaires. L’avis contient également des mises en garde contre le phishing : par exemple, nous informons les personnes concernées que nous (HGA) ne les appellerons pas et ne leur demanderons pas d’informations supplémentaires par téléphone suite à cet incident. Tout contact prétendant être lié à l’incident pourrait donc être frauduleux (cela les aide à éviter d’être à nouveau victimes).
Informations de contact : Comment obtenir des informations complémentaires auprès de HGA. Nous fournissons un point de contact dédié – généralement une adresse électronique ou une ligne téléphonique directe – ainsi que le nom et les coordonnées de notre délégué à la protection des données ou de notre personne de contact en cas d’incident . Nous indiquons également si et où nous publierons des mises à jour (par exemple : « consultez la FAQ relative aux incidents sur notre site web pour les mises à jour » ou que les communications futures se feront exclusivement par courriel ou par courrier postal afin d’éviter toute confusion).
Excuses et engagement : Tout en restant factuels, nous exprimons généralement nos sincères regrets pour les désagréments ou les inquiétudes causés et affirmons que nous prenons cette affaire très au sérieux. Nous soulignons notre engagement en matière de sécurité et les mesures que nous prenons pour prévenir de tels incidents à l’avenir (afin de contribuer au rétablissement de la confiance).

Le format peut être conforme aux exigences légales applicables. Par exemple, certaines lois américaines (comme celle de la Californie) exigent que la notification comporte le titre « Notification de violation de données » et des rubriques telles que « Que s’est-il passé ? », « Quelles informations ont été compromises ? », « Que faisons-nous ? », « Que pouvez-vous faire ? », etc., rédigées en langage clair et dans une police de caractères spécifique . HGA respectera ces règles de formatage pour les notifications envoyées aux résidents de ces juridictions.

Mode de communication : Nous enverrons les notifications individuelles par le moyen le plus direct et le plus sécurisé possible. Généralement, il s’agit de l’envoi par courriel (si nous disposons de l’adresse électronique du destinataire) ou par courrier postal si le courriel n’est pas disponible ou approprié. Dans certains cas, d’autres méthodes comme les SMS ou un portail sécurisé dédié pourront être utilisées si elles sont autorisées et plus efficaces. Nous respectons toutes les obligations légales en vigueur ; par exemple, certaines lois autorisent la publication d’une notification de substitution (sur un site web ou dans les médias) si le contact direct avec les personnes concernées est impossible (par exemple, en cas d’absence de coordonnées ou de nombre trop important de personnes concernées). Cependant, nous privilégions la notification directe chaque fois que cela est possible. Les notifications seront envoyées au nom de Humanics Global Advisors et comprendront nos coordonnées afin que les destinataires sachent qu’il s’agit d’une communication officielle.

Délais : « Sans délai indu » signifie que nous n’attendrons pas inutilement pour informer les personnes concernées. Nous pouvons prendre un court délai raisonnable pour enquêter, évaluer l’étendue de la violation et mettre en œuvre des mesures de confinement initiales (afin de pouvoir communiquer des informations exactes aux personnes concernées et ne pas compromettre les efforts de sécurité en cours). Toutefois, tout retard injustifié doit être évité . En règle générale, HGA s’efforce d’informer les personnes concernées dès que nous disposons d’informations suffisantes pour rédiger une notification informative et au plus tard lors de la notification aux autorités de contrôle ou conformément aux exigences légales. (Par exemple, le RGPD exige des notifications individuelles « dès que possible » après la constatation d’un risque élevé .) En pratique, cela signifie souvent dans les quelques jours suivant la confirmation de la violation, sous réserve de consultation des autorités compétentes (voir ci-dessous).

Consultation avec les forces de l’ordre : Si les forces de l’ordre enquêtent sur la violation et nous demandent de différer la notification aux personnes concernées (afin d’éviter d’alerter les criminels ou d’entraver l’enquête), nous consignerons cette demande par écrit. De nombreuses lois autorisent un délai raisonnable de notification si les forces de l’ordre estiment qu’une divulgation immédiate nuirait à une enquête criminelle . Le service juridique de HGA obtiendra cette demande par écrit et nous nous y conformerons, puis nous informerons les personnes concernées une fois le délai de notification levé.

Nous conservons un modèle de lettre de notification de violation de données (voir annexe C). Avant l’envoi des notifications, le délégué à la protection des données (DPO) ou le service juridique s’assurera que le contenu est conforme aux exigences légales en vigueur dans les juridictions des personnes concernées. Par exemple, certains États exigent la communication d’informations sur les agences d’évaluation du crédit si des numéros d’identification spécifiques ont été compromis , ou la mise à disposition gratuite de services de protection contre l’usurpation d’identité pendant une période déterminée en cas de compromission du numéro de sécurité sociale ou du permis de conduire . Nous intégrerons ces éléments le cas échéant.

Une fois les notifications envoyées, nous conservons une trace de la date et du mode de notification de chaque personne, au cas où nous aurions besoin de démontrer la conformité ou d’effectuer un suivi.

Notification aux autorités réglementaires

Lorsque la loi l’exige, HGA informera les autorités gouvernementales compétentes ou les organismes de réglementation chargés de la protection des données de la violation. Les exigences varient selon les juridictions :

UE/Royaume-Uni (RGPD) : Si la violation concerne les données à caractère personnel de personnes physiques dans l’UE (ou au Royaume-Uni) et est susceptible d’entraîner un risque pour les droits et libertés de ces personnes, HGA (en tant que responsable du traitement des données) doit en informer l’autorité de protection des données (APD) compétente dans les 72 heures suivant la prise de connaissance de la violation. Nous respectons strictement ce délai. Le délégué à la protection des données ou le conseiller juridique préparera le rapport de notification à l’autorité de protection des données. Si HGA ne parvient pas à rassembler toutes les informations dans les 72 heures (ce qui peut arriver si l’incident est complexe), nous enverrons une notification initiale avec les informations dont nous disposons et indiquerons que des informations complémentaires suivront (une « notification par étapes » est autorisée). La notification à l’autorité de protection des données comprendra au moins : un résumé de la nature de la violation (par exemple, les catégories et le nombre approximatif de personnes concernées et d’enregistrements impliqués), le point de contact pour HGA (coordonnées du DPD), les conséquences probables de la violation et les mesures que nous avons prises ou prévoyons de prendre pour y remédier. Nous documentons le moment où nous avons pris connaissance de la violation et celui où nous l’avons notifiée, afin de démontrer que nous avons respecté l’exigence des 72 heures ou d’expliquer tout retard. Si la violation est peu susceptible de présenter un risque (risque vraiment faible), le RGPD n’exige pas de notifier l’autorité ; toutefois, nous continuerons à documenter notre évaluation des risques en interne en cas de contrôle ultérieur.
États-Unis (lois étatiques et lois sectorielles) : HGA opère à l’échelle mondiale, mais pour les données américaines, il n’existe pas d’autorité fédérale unique à laquelle signaler les violations (sauf dans certains secteurs tels que la santé ou la finance). Nous devons donc respecter les lois étatiques en matière de notification des violations. Presque tous les États exigent que les personnes concernées (mentionnées ci-dessus) soient informées et beaucoup exigent que les autorités réglementaires de l’État (souvent le procureur général ou le bureau de protection des consommateurs) soient informées si un certain nombre de résidents sont concernés. Par exemple, la loi californienne exige que si une violation affecte plus de 500 résidents californiens, HGA doit soumettre un exemplaire de l’avis de violation au bureau du procureur général de Californie. Nous nous conformerons à ces exigences étatiques : notre conseiller juridique tient à jour une liste des États ayant mis en place des notifications auprès du procureur général ou d’autres instances, ainsi que leurs seuils (par exemple, New York exige une notification auprès du procureur général si le nombre de résidents concernés est supérieur à 500, etc.). Nous enverrons ces notifications aux autorités réglementaires soit en même temps que les notifications individuelles, soit légèrement avant celles-ci. En règle générale, ces notifications consistent à fournir une copie de la lettre que nous envoyons aux personnes concernées et à remplir les formulaires en ligne fournis par le procureur général de l’État. En outre, certains États (comme le Massachusetts) exigent de notifier une agence d’État et éventuellement les agences d’évaluation du crédit si un grand nombre de numéros de sécurité sociale sont concernés. HGA identifiera tous les États concernés en fonction du lieu de résidence des personnes touchées et s’assurera de notifier les entités requises dans chacun d’entre eux.
CCPA/CPRA (Californie) : La loi californienne sur la protection de la vie privée des consommateurs (telle que modifiée par la CPRA) ne prévoit pas d’obligation distincte de notification des violations au-delà de la loi californienne existante en matière de violations (la CCPA prévoit principalement un droit d’action privé en cas de violation des données). L’obligation principale reste de notifier les personnes concernées sans délai déraisonnable et le procureur général si plus de 500 personnes sont touchées. Nous veillons à ce que ces obligations soient respectées. Si la violation entraîne une responsabilité potentielle au titre de la CCPA (par exemple, en raison de l’absence de mise en œuvre de mesures de sécurité raisonnables), le service juridique se tiendra prêt à donner suite (par exemple, en cas de réclamations de consommateurs) une fois que l’information aura été rendue publique.
Canada (LPRPDE) : En vertu de la LPRPDE du Canada, si la violation concerne des renseignements personnels sous le contrôle de HGA et qu’il est raisonnable de croire que la violation crée un « risque réel de préjudice important » pour les personnes concernées, nous devons la signaler au Commissariat à la protection de la vie privée du Canada (CPVP) et également informer les personnes concernées (sauf si la loi l’interdit). Le délai prévu par la LPRPDE est « dès que possible » après avoir déterminé que la violation a eu lieu. Nous ferons ce signalement via le formulaire de signalement du CPVP, en incluant des détails similaires à ceux du RGPD (description, cause, données concernées, nombre de personnes, mesures prises, etc.), et nous informerons les personnes concernées comme indiqué. Certaines provinces canadiennes ont leurs propres lois (comme la PIPA de l’Alberta, qui exige que les violations soient signalées sans délai au commissaire de l’Alberta). HGA se conformera à ces lois, le cas échéant.
Autres juridictions : Nous reconnaissons que de nombreux autres pays ont adopté des lois sur la notification des violations, par exemple l’Australie (système de notification des violations de données, selon lequel, en cas de risque de préjudice grave, l’OAIC et les personnes concernées doivent être informées « dès que possible »), Singapour (notification des violations de la PDPA dans les 3 jours à la PDPC en cas de préjudice important ou à grande échelle), etc. Si la violation de HGA concerne des données de personnes dans d’autres juridictions, le DPO/service juridique évaluera les exigences de ces pays et veillera à leur respect. Le principe général est similaire : notifier rapidement (souvent dans les 72 heures ou quelques jours) l’autorité chargée de la protection de la vie privée/des données si certains seuils de préjudice ou d’ampleur sont atteints, et informer les personnes concernées, sauf exception.
Nous vérifierons également si des organismes de réglementation spécifiques à certains secteurs doivent être informés. Par exemple, si la violation concerne des données de carte de crédit, nous devrons peut-être informer notre prestataire de services de paiement et tenir compte des obligations PCI-DSS. Si elle concerne des données de santé (peu probable pour HGA, mais hypothétiquement), les règles HIPAA/HITECH aux États-Unis exigeraient d’informer le HHS et éventuellement les médias si plus de 500 personnes sont concernées dans un État. Il s’agit là de cas extrêmes pour HGA, mais notre équipe juridique les couvre dans le cadre de sa diligence raisonnable.

Documentation des contacts avec les autorités réglementaires : Nous conservons des copies de toutes les notifications envoyées aux autorités et notons la date et l’heure de leur envoi. Si nous omettons par inadvertance d’envoyer une notification obligatoire, nous rectifions cette omission dès que nous la constatons et expliquons clairement cette erreur à l’autorité concernée.

Nous traitons également toutes les demandes de suivi émanant des autorités de réglementation. Après avoir été informées, une autorité de protection des données ou un procureur général peuvent avoir des questions ou demander des informations supplémentaires. Le délégué à la protection des données/service juridique coordonnera rapidement les réponses à ces demandes. Notre documentation exhaustive sur les incidents nous aide à répondre aux questions des autorités de réglementation sur les circonstances de la violation et les mesures que nous avons prises.

Notification aux clients et partenaires commerciaux

Au-delà des particuliers et du gouvernement, HGA a l’obligation d’informer certains partenaires, clients ou autres organisations avec lesquels nous travaillons, en particulier si la violation concerne des données que nous traitons pour leur compte ou affecte d’une autre manière leurs intérêts :

Notification au client (en tant que sous-traitant ou fournisseur) : Si HGA traite ou stocke des données pour un client (c’est-à-dire que, dans certains cas, nous pouvons agir en tant que sous-traitant pour les données d’un client) et que nous subissons une violation de ces données, nous sommes tenus d’en informer le client (le responsable du traitement) sans retard injustifié. Par exemple, si la plateforme de HGA contient des informations sur les projets ou des données personnelles d’un client et que celles-ci sont compromises, nous contacterons ce client dès que possible pour lui fournir des détails, afin qu’il puisse à son tour remplir ses obligations (telles que la notification de ses parties prenantes ou des autorités de réglementation). Cela est souvent exigé par contrat et conforme à l’article 33(2) du RGPD (qui oblige les sous-traitants à informer les responsables du traitement). La pratique standard de HGA, reflétée dans les contrats, consiste à informer rapidement les organisations partenaires des incidents les concernant ou affectant leurs données. La notification à un client professionnel est généralement effectuée par le responsable de compte ou le sponsor exécutif de HGA, par écrit (e-mail ou lettre), et contient un résumé de ce qui s’est passé, des données concernées et des mesures que nous prenons. Elle décrit également les mesures immédiates que le client pourrait devoir prendre de son côté.
Partenaires en amont/en aval : Si un fournisseur tiers ou un prestataire de services de HGA a été compromis et que cela a conduit à l’exposition de nos données, ce fournisseur est tenu de nous en informer (et nous l’exigeons dans nos contrats). Une fois que nous avons reçu cette notification, notre équipe IRT la traite comme une violation interne et nous informons alors toutes les parties concernées comme s’il s’agissait de notre propre incident. À l’inverse, si la violation de HGA pouvait avoir un impact sur une autre organisation (par exemple, si les identifiants d’un consultant HGA pour un système client étaient volés ou si les données que nous partageons avec un partenaire étaient exposées), nous en informerions cette organisation. Exemple : si HGA et un partenaire partagent un système intégré et que les données du partenaire en notre possession sont compromises, nous en informons le partenaire afin qu’il puisse prendre des mesures de protection.
Notification aux consultants : Nos consultants sont à la fois des personnes physiques et des membres de notre réseau professionnel. Si la violation concerne des données relatives aux consultants (par exemple, des informations personnelles fournies à HGA, ou encore leur CV ou leur base de données de références sur DevTender), nous en informerons les consultants concernés (en tant que « personnes concernées »). De plus, si la violation est susceptible d’affecter les missions de conseil en cours (par exemple, en cas de fuite de données relatives à un projet), nous pourrions être amenés à informer le client et éventuellement l’équipe travaillant sur ce projet. Nous coordonnons cette communication de manière à ce qu’elle soit claire et ne provoque pas d’inquiétude excessive. Le contrat de consultant exige explicitement la notification mutuelle des violations, ce que nous respectons à travers ces protocoles.
Notifications croisées internes : Si la violation de données provient de l’un de nos bureaux ou d’une filiale, HGA en informera la société mère ou toute entité affiliée concernée. (Cette procédure peut ne pas s’appliquer si HGA est une entité unique, mais en cas de pluralité d’entités juridiques ou de coentreprises, assurez-vous que toutes les entités ayant besoin d’en connaître soient informées.)

Toutes les notifications aux partenaires doivent être effectuées dès que possible après le confinement initial et la collecte des informations – généralement dans les jours qui suivent l’incident. Elles peuvent même intervenir plus tôt que les notifications individuelles si, par exemple, nous avons besoin de la coopération d’un client pour la gestion de la situation.

Nous désignerons généralement un représentant HGA spécifique (par exemple un gestionnaire de compte ou un cadre supérieur) comme interlocuteur pour chaque client ou partenaire important informé, afin de traiter directement leurs préoccupations.

Dans les notifications adressées à nos partenaires et clients, nous insisterons sur la confidentialité, le cas échéant (de nombreuses entreprises souhaiteraient que leur situation reste confidentielle). Nous pourrions mettre en place un plan de communication conjoint si l’incident concerne les deux organisations.

Forces de l’ordre et autres parties externes

Application de la loi : HGA envisagera de faire appel aux autorités compétentes, notamment lorsque la violation de données implique une activité criminelle (comme le vol de données par des pirates informatiques, la fraude ou une tentative d’extorsion de type rançongiciel). Dans de nombreux cas, il est recommandé, voire obligatoire, d’informer les forces de l’ordre. Par exemple, la Federal Trade Commission (FTC) des États-Unis conseille de signaler rapidement aux services de police locaux et, le cas échéant, au FBI ou aux services secrets américains, toute violation de données présentant un risque d’usurpation d’identité . Notre service juridique prendra généralement contact avec les autorités compétentes dès que possible.

En cas de suspicion de vol ou de fraude de données personnelles, déposez une plainte auprès de la police locale ou des unités nationales de lutte contre la cybercriminalité. Cela constitue un enregistrement officiel.
En cas d’intrusion informatique, il peut être approprié de contacter l’unité de lutte contre la cybercriminalité du FBI ou le service national de réponse aux incidents cybernétiques (aux États-Unis, ou des agences similaires dans d’autres pays), notamment pour les violations importantes.
Si l’incident implique un vol de courrier ou quelque chose de physique, éventuellement le Service d’inspection postale (selon le guide de la FTC) .
En cas de violation de données concernant certains secteurs (par exemple, si des données gouvernementales étaient impliquées), notifiez les autorités compétentes conformément aux exigences contractuelles ou légales.

Nous prenons en compte les obligations de déclaration réglementaires. La notification aux forces de l’ordre ne remplace pas la notification réglementaire ; il s’agit d’une étape supplémentaire. Nous suivons également les recommandations des forces de l’ordre concernant les informations à communiquer au public ou aux particuliers. Comme indiqué, si elles nous demandent de différer la communication publique ou individuelle afin de ne pas entraver l’enquête, nous nous y conformerons (dans les limites légales).

Assurance : Si HGA dispose d’une assurance responsabilité civile cyber ou d’une assurance contre les violations de données, une notification rapide à notre assureur est nécessaire (souvent dans un délai strict de 24 à 48 heures après la découverte du problème) afin de garantir la couverture. Le responsable de la réponse aux incidents ou le gestionnaire des risques veillera à ce que l’assureur soit informé conformément aux exigences de la police, et nous pourrons faire appel aux services de réponse aux incidents fournis par l’assureur.

Organismes professionnels ou autres instances de contrôle : Selon la nature des données, nous pourrions être amenés à informer d’autres parties. Par exemple, si la violation concerne des données personnelles de citoyens de l’UE et que nous avons désigné un représentant au sein de l’UE conformément au RGPD, nous l’en informerons. Si nous détenons des certifications (telles que la norme ISO 27001) qui exigent le signalement des incidents, nous nous en chargeons par l’intermédiaire de notre équipe de conformité.

Communication avec les médias et le public : Dans certains cas, notamment en cas de violations de données de grande ampleur, HGA peut publier un communiqué de presse ou une déclaration publique. La loi peut également exiger une notification aux médias (par exemple, aux États-Unis, en cas de violation de données dans le secteur de la santé concernant plus de 500 personnes dans un même État, il est obligatoire d’informer les principaux médias locaux). Même si cela n’est pas obligatoire, nous pouvons publier un communiqué de presse de notre propre initiative si nous anticipons une diffusion de l’information ou si nous souhaitons rassurer le public quant à nos actions. Le responsable de la communication, après validation par la direction et le service juridique, rédigera tout communiqué de presse. Ce dernier contiendra des informations similaires aux notifications individuelles, mais adaptées au grand public. Nous ne divulguerons pas plus de détails personnels que nécessaire et nous ferons preuve d’empathie et de maîtrise de la situation. Nous pourrons également publier une notification sur notre site web et/ou nos réseaux sociaux, le cas échéant.

Si HGA publie des mises à jour concernant une violation de données sur une page web, nous redirigerons les utilisateurs vers cette page pour suivre l’évolution de la situation. Cela permet de prévenir la désinformation et de réduire les demandes de renseignements directes.

Note concernant le calendrier de diffusion publique : Nous aviserons généralement les personnes concernées et les organismes de réglementation avant toute diffusion publique à grande échelle. Ainsi, nos parties prenantes directes seront informées en premier lieu par nous plutôt que par les médias. Nous ne diffuserons l’information publiquement qu’une fois ces notifications en cours ou terminées.

Considérations transfrontalières

Étant donné que HGA opère à l’échelle mondiale (avec des personnes concernées et des clients dans de multiples juridictions, et des données pouvant être stockées sur des serveurs cloud situés au-delà des frontières), nous accordons une attention particulière au respect des exigences en matière de transfert et de notification des données transfrontalières :

Comme indiqué dans notre contrat de consultant, HGA respecte les principes du RGPD, même si cela n’est pas strictement requis, et les consultants consentent au traitement transfrontalier des données avec des garanties appropriées . En cas de violation de données, c’est-à-dire si une violation survient dans une région mais concerne des données de personnes résidant dans une autre (par exemple, une violation d’un système américain exposant des données personnelles de l’UE), nous coordonnerons la notification conformément à la législation des deux régions (RGPD et législation américaine applicable).
Autorité chef de file : Conformément au RGPD, si nous exerçons nos activités dans plusieurs pays de l’UE, nous pourrions être amenés à traiter avec une autorité de contrôle chef de file. Notre délégué à la protection des données (DPO) déterminera si une autorité de contrôle chef de file est concernée et l’en informera. Celle-ci partagera ensuite les informations avec les autres autorités de contrôle concernées, le cas échéant (conformément aux mécanismes de coopération prévus par le RGPD).
Langue : Les notifications aux personnes concernées seront, dans la mesure du possible, rédigées dans une langue appropriée. (Par exemple, si un grand nombre de personnes concernées résident en France, nous envisagerons d’envoyer les notifications en français ou de fournir une traduction, afin d’en garantir la clarté.)
Différences de seuils : Nous tenons compte du fait que les seuils de notification aux autorités varient d’un pays à l’autre (certains pays considèrent tout risque comme avéré, d’autres comme exigeant un « risque réel de préjudice grave », à l’instar du Canada , etc.). En cas de doute, notre politique est généralement de privilégier la notification. Mieux vaut trop informer que pas assez, afin de préserver la confiance.
Bouclier de protection des données/Transferts (le cas échéant) : Bien que cela ne relève pas directement de la notification, si la violation concerne des données transférées de l’UE vers les États-Unis dans le cadre d’un mécanisme de transfert, nous pourrions être amenés à communiquer avec les instances concernées (par exemple, informer l’exportateur de données de l’UE ou respecter des engagements tels que ceux pris dans le cadre du Bouclier de protection des données – bien que ce cadre soit désormais caduc, des concepts similaires peuvent exister dans de nouveaux cadres). Point important : les violations transfrontalières impliquent souvent plusieurs autorités de régulation (comme l’autorité européenne de protection des données et un procureur général d’un État américain). Nous traiterons chaque cas et veillerons à la cohérence de nos communications.

En résumé, la stratégie de communication externe de HGA est exhaustive et conforme à la réglementation : nous informons les personnes concernées rapidement et efficacement, les autorités dans les délais impartis, nos clients et partenaires de manière proactive afin de gérer les risques partagés, les forces de l’ordre pour lutter contre la criminalité, et le public et les médias si nécessaire pour garantir la transparence. Toutes nos communications seront professionnelles, factuelles et viseront à protéger nos parties prenantes et l’intégrité de notre organisation.

Annexes

Les annexes suivantes fournissent des modèles et des outils pour faciliter la mise en œuvre de cette politique. Elles sont destinées à être adaptées selon les besoins lors d’un incident.

Annexe A : Modèle de registre des rapports d’incident

Chaque incident de sécurité doit être consigné dans un registre de rapports d’incidents. Vous trouverez ci-dessous un modèle des informations clés à enregistrer pour chaque incident :

Identifiant de l’incident : (Numéro ou code unique de référence.)
Date/Heure de découverte : (Date à laquelle l’incident a été détecté ou signalé pour la première fois.)
Date/Heure de début de l’incident (si connue) : (Début approximatif de l’incident, si déterminable.)
Nom/Contact du déclarant : (Qui a initialement signalé ou détecté l’incident.)
Description de l’incident : (Résumé des faits, par exemple : « Une attaque par injection SQL a entraîné une fuite de données. » Indiquez les systèmes ou les données affectés.)
Systèmes/Applications concernés : (Liste des serveurs, périphériques, bases de données ou services impactés.)
Données concernées (type et volume) : (Quelles informations sont compromises ? Par exemple : « Données personnelles de clients – noms et adresses électroniques de 5 000 utilisateurs ». Indiquez le niveau de sensibilité, le cas échéant.)
Personnes/Clients concernés : (Qui est concerné – personnel interne et personnel externe (clients, utilisateurs) ? Indiquez le nombre et les noms spécifiques si nécessaire. Par exemple : « Tous les consultants de notre base de données » ou « Les fichiers de projet du client X ».)
Classification de la gravité de l’incident : (Faible/Modéré/Élevé/Critique – voir l’annexe B pour les critères et la justification de cette classification.)
Mesures de confinement prises : (Quelles mesures immédiates ont été prises pour contrôler la propagation de l’incident ou les dommages, et à quel moment ? Ex. : « 10h30 – Désactivation du compte utilisateur compromis », « 11h00 – Mise hors service du serveur »).
Résultats de l’enquête : (Principaux résultats de l’analyse : vecteur d’attaque, cause première, vulnérabilités exploitées, etc. Liste à puces des résultats. Ex. : « Code malveillant détecté sur la page de paiement (script Magecart) », « Cause première : bibliothèque obsolète non corrigée ». Inclure la chronologie des activités de l’attaquant si elle est connue.)
Analyse des causes profondes : (Description détaillée de l’incident et des facteurs contributifs. Ex. : « Injection SQL due à une validation manquante des données du formulaire X », « Une mauvaise configuration du pare-feu a permis un accès non autorisé ».)
Mesures correctives : (Liste des correctifs mis en œuvre. Ex. : « Application du correctif KB1234 à tous les serveurs », « Suppression des logiciels malveillants des postes de travail », « Réinitialisation de tous les mots de passe des utilisateurs », « Amélioration des règles du pare-feu »).
Actions de récupération : (Comment les systèmes/données ont été rétablis à la normale. Ex. : « Restauration de la base de données à partir d’une sauvegarde datée du X », « Reconstruction du serveur », etc. Indiquez également si les activités commerciales ont repris intégralement.)
Notifications internes : (Qui au sein de HGA a été informé et quand ? Ex. : « Le directeur technique a été informé le 01/05/2025 à 14 h », « Tout le personnel a été informé de la panne de service le 02/05/2025 à 9 h ».)
Notifications externes : (Indiquer toutes les notifications externes effectuées ou requises. Inclure les organismes de réglementation (avec les dates de notification), les personnes concernées (dates d’envoi), les clients/partenaires (dates/personnes de contact), les forces de l’ordre (date du signalement, organisme, numéro de dossier le cas échéant), etc. Ex. : « Rapport de 72 heures à l’ICO soumis le 3/5/2025 », « Courriels envoyés à 2 300 utilisateurs concernés le 4/5/2025 », « Client ABC notifié le 2/5/2025 à 16 h par téléphone et courriel de suivi ».)
Évaluation d’impact : (Résumé de l’impact : perte de données quantifiée, coût financier estimé, interruption d’activité, préjudice potentiel pour les personnes identifié. Ex. : « Aucune preuve d’utilisation abusive des données à ce jour ; le risque potentiel est l’hameçonnage des adresses électroniques de 500 utilisateurs. »)
État de l’incident : (Ouvert/Contenu/Résolu/Clôturé – et date de clôture.)
Leçons apprises/Suivi : (Notes pour la prévention future : par exemple, « Nécessité de mettre en place une formation supplémentaire sur le phishing », « Déploiement d’un pare-feu d’application Web », « Mise à jour du plan de réponse aux incidents concernant les notifications aux tiers ». Inclure les actions de suivi prévues et les responsables.)

Ce journal doit être mis à jour en temps réel au fur et à mesure de l’évolution de l’incident. La tenue d’un journal complet facilite non seulement la coordination des interventions, mais témoigne également du professionnalisme de HGA et constitue une base de connaissances pour l’amélioration de la sécurité.

Annexe B : Tableau de classification des violations de données

Tous les incidents ne se valent pas. HGA classe les violations de données par niveau de gravité afin d’orienter les décisions relatives à l’urgence des interventions et aux notifications. Les critères ci-dessous constituent un cadre général :

Niveau de gravité	Description / Critères	Exemples d’incidents
Faible (mineur)	Portée : Incident isolé, faible volume de données, et sensibilité des données : informations non sensibles ou déjà publiques. Impact : Risque faible, voire nul, pour les personnes ou les opérations.	• Appareil perdu ou volé avec chiffrement complet du disque activé (aucune donnée accessible) <br>• Courriel envoyé par un seul membre du personnel à un destinataire interne erroné, sans données sensibles <br>• Défaçage mineur d’un site web sans perte de données
Modéré	Portée : Données ou systèmes limités, ou données peu sensibles d’un groupe plus large ; ou données sensibles d’un très petit nombre de personnes. Impact : Perturbations ou dommages potentiels, mais généralement contenus et peu susceptibles de causer des dommages graves.	• Attaque de phishing ayant entraîné l’accès à quelques comptes de messagerie d’employés, exposant potentiellement des courriels internes. <br> • Fuite d’une petite base de données (noms et adresses électroniques, par exemple) de clients. <br> • Détection rapide d’une infection par un logiciel malveillant sur certains ordinateurs de bureau ; exfiltration de données minimale.
Élevé (significatif)	Étendue : Exposition d’un volume important de données, ou de données personnelles hautement sensibles (informations personnelles, financières, de santé, d’identification) concernant un nombre quelconque de personnes ; ou compromission d’un système critique. Impact : Risque important de préjudice pour les personnes (usurpation d’identité, fraude) ou impact majeur sur l’activité. Susceptible d’entraîner des obligations de notification légale.	• Fuite de base de données exposant les données personnelles des clients (noms, coordonnées, identifiants de connexion ou numéros d’identification) [17] <br>• Attaque par rançongiciel chiffrant les serveurs critiques et perturbant les opérations (même si le vol de données n’est pas confirmé) <br>• Un employé a copié et exfiltré des fichiers clients confidentiels (données personnelles).
Critique (Grave)	Étendue : Violation de très grande ampleur (majorité des enregistrements du système compromis) ou données extrêmement sensibles (comptes financiers, données biométriques, données hautement réglementées) compromises. Impact : Conséquences graves, voire catastrophiques : préjudices importants pour les individus (usurpation d’identité, pertes financières), paralysie des activités commerciales ou divulgation publique de la violation. Une réponse globale et immédiate est nécessaire.	• Un groupe de pirates informatiques a exfiltré l’intégralité de la base de données clients, y compris les informations financières et les numéros de sécurité sociale, et l’a publiée en ligne. <br>• Intrusion dans la base de données de production de la plateforme à l’échelle régionale, affectant les données personnelles de tous les consultants et clients. <br>• Attaque de la chaîne d’approvisionnement compromettant le logiciel de HGA et entraînant par conséquent l’intrusion dans les systèmes de nombreux clients (impact en cascade important).

Utilisation : Lors de l’évaluation d’un incident, l’équipe de réponse aux incidents attribue un niveau de gravité selon les critères suivants. Ce niveau détermine l’escalade : les incidents graves et critiques requièrent une intervention immédiate de la direction, la mobilisation de tous les services et, vraisemblablement, des notifications externes (autorités de régulation et particuliers) sans délai. Les incidents modérés sont traités en urgence, mais peuvent être gérés en interne si le risque est faible (les partenaires ou les petits groupes peuvent toutefois être informés). Les incidents mineurs peuvent être gérés de manière routinière avec un minimum de notifications (éventuellement uniquement en interne). Cette classification permet également de prioriser l’allocation des ressources : par exemple, une violation de données de gravité critique peut déclencher une réponse 24 h/24 et 7 j/7 jusqu’à sa résolution.

Les exemples fournis sont illustratifs ; la classification définitive tiendra compte des spécificités de chaque incident (nombre d’enregistrements, implications juridiques, etc.). En cas de doute, HGA privilégiera une classification supérieure afin de garantir une réponse adaptée.

Annexe C : Exemple de lettre de notification de violation de données aux personnes concernées

Vous trouverez ci-dessous un modèle de lettre permettant d’informer les personnes concernées d’une violation de données. Ce modèle doit être personnalisé en fonction des détails spécifiques de l’incident tels qu’ils sont identifiés au moment de sa rédaction. Rédigé dans un style clair et concis, cet exemple contient les informations essentielles à communiquer.

[En-tête HGA] Avis de violation de données

Date : [Mois Jour, Année]

Cher/Chère [Nom de la personne concernée],

Que s’est-il passé ? Nous vous informons par la présente d’un incident de sécurité des données survenu récemment chez Humanics Global Advisors (HGA) et susceptible d’avoir compromis certaines de vos informations personnelles. Le [Date de découverte], nous avons constaté que [décrire brièvement l’incident – par exemple : « une personne non autorisée a accédé à l’une de nos bases de données utilisateurs »]. Notre enquête indique que l’incident s’est produit le [Date de l’incident, si connue] et a été détecté le [Date]. Dès sa découverte, nous avons immédiatement pris les mesures nécessaires pour contenir l’incident et sécuriser nos systèmes.

Quelles informations ont été compromises ? Cet incident a potentiellement concerné vos informations personnelles associées à la plateforme numérique HGA. Plus précisément, les données susceptibles d’avoir été exposées incluent : [liste des catégories de données personnelles – par exemple, votre nom, votre adresse e-mail, votre numéro de téléphone et votre date de naissance]. Il est important de noter qu’aucun mot de passe de compte bancaire ni numéro de sécurité sociale n’a été impliqué dans cet incident. (Si certaines données sensibles, comme votre numéro de sécurité sociale ou vos informations de paiement, ont été compromises, veuillez le mentionner clairement, par exemple : « vos [4 derniers chiffres] de votre numéro de sécurité sociale » ou « votre numéro de carte bancaire ». Si les données étaient chiffrées ou protégées d’une autre manière, veuillez également le préciser.)

Mesures prises : HGA a réagi rapidement à cet incident. Nous avons circonscrit la faille et mobilisé des experts en cybersécurité pour mener une enquête approfondie et garantir la sécurité de notre plateforme. Nous avons corrigé la vulnérabilité à l’origine de cet incident et mis en place des mesures de protection supplémentaires afin d’éviter qu’un tel événement ne se reproduise. Ces mesures comprennent, par exemple, le déploiement d’outils de surveillance renforcés et la réinitialisation obligatoire des mots de passe pour l’ensemble de la plateforme. Nous avons également informé les autorités compétentes et coopérons pleinement à l’enquête. De plus, nous avons signalé cet incident aux autorités de protection des données compétentes, conformément à la loi . La protection de vos données est notre priorité absolue et nous regrettons profondément que cet incident se soit produit malgré nos mesures de sécurité.

Que pouvez-vous faire ? À l’heure actuelle, nous n’avons aucune preuve d’utilisation abusive de vos informations ; toutefois, nous vous encourageons à rester vigilant. Veuillez prendre les mesures suivantes pour vous protéger :

Changez votre mot de passe : si vous utilisez le même mot de passe sur plusieurs plateformes HGA ou autres comptes, veuillez le modifier immédiatement. Choisissez un mot de passe fort et unique et évitez de réutiliser le même mot de passe sur différents sites.
Surveillez vos comptes : soyez attentif à tout courriel, appel ou activité suspecte. Méfiez-vous des communications non sollicitées vous demandant des renseignements personnels. Consultez vos relevés de compte et vos rapports de crédit au cours des prochains mois afin de détecter toute activité inhabituelle.
Activez les alertes de fraude ou bloquez votre dossier de crédit (le cas échéant) : Vos coordonnées ayant été divulguées, par mesure de précaution, vous pouvez activer gratuitement une alerte de fraude auprès des principales agences d’évaluation du crédit ou envisager un blocage de votre dossier auprès de ces agences. Cela peut empêcher d’éventuels usurpateurs d’identité d’ouvrir des comptes à votre nom. (Coordonnées des agences d’évaluation du crédit : Equifax : 1 800 525-6285, Experian : 1 888 397-3742, TransUnion : 1 800 680-7289.)
Restez vigilant : vous trouverez ci-joint une fiche contenant des conseils supplémentaires pour vous protéger après une fuite de données, notamment comment obtenir gratuitement des rapports de solvabilité et reconnaître les signes d’usurpation d’identité. Veuillez consulter ces recommandations et suivre celles qui s’appliquent à votre situation.

(Si HGA propose une assistance quelconque, veuillez l’indiquer ici, par exemple : « Surveillance de crédit gratuite : Nous vous offrons un abonnement gratuit de 12 mois à [Service], qui comprend la surveillance de votre crédit et une assurance contre le vol d’identité. Les instructions d’inscription sont jointes. Nous vous encourageons à profiter de ce service par mesure de précaution supplémentaire. »)

Pour plus d’informations : Nous comprenons que vous puissiez avoir des questions ou des inquiétudes. Vous trouverez davantage d’informations et de mises à jour concernant cet incident à l’adresse suivante : [URL de la page Web de HGA relative à l’incident] . Si vous avez besoin d’aide ou si vous avez d’autres questions concernant cet incident ou la protection de vos informations, veuillez contacter notre équipe d’intervention dédiée au [Numéro de téléphone] ou à l’adresse [Adresse courriel] . Notre équipe est à votre disposition pour vous aider et répondre à vos questions. Pour obtenir des informations générales sur l’usurpation d’identité et la prévention de la fraude, vous pouvez également consulter le site Web de la FTC à l’adresse IdentityTheft.gov.

Nous vous prions de bien vouloir accepter nos excuses pour cette situation et les désagréments qu’elle a pu vous causer. HGA accorde une grande importance à votre confiance et s’engage à renforcer sa sécurité afin d’éviter que ce genre d’incident ne se reproduise. Le respect de votre vie privée et la sécurité de vos données sont primordiaux pour nous.

Sincèrement,

[Nom] [Titre] Humanics Global Advisors

Modèle de lettre de fin.

Remarques : Lors de l’utilisation de ce modèle, insérez les informations appropriées aux endroits prévus à cet effet (par exemple, nature de la violation, types de données, dates). Adaptez les conseils de protection aux données concernées (par exemple, si des informations financières ont fuité, insistez sur la nécessité de contacter les banques ; si seules des adresses électroniques ont fuité, mettez l’accent sur la vigilance face au phishing). Adoptez un ton professionnel et empathique, et évitez tout langage spéculatif ou trop technique. Idéalement, la lettre devrait tenir sur une ou deux pages pour plus de clarté. Vérifiez toujours que le contenu final est conforme aux exigences légales en vigueur dans la juridiction du destinataire (telles que les mentions obligatoires ou les conseils spécifiques à un État).

Introduction et Finalité

Rôles et responsabilités

Procédure d'intervention en cas d'incident

Protocoles de communication et de notification

Escalade interne et communication

Notifications externes et conformité réglementaire

Annexes

Recevez les dernières actualités de Global Consulting

Directement vers

Directement vers

Aperçu

Objectif

Contact

Services

Industries

Études

Perspectives

Réflexion

Carrière

Humanics Global Advisors

Humanics Sénégal

Cadre Stratégique de HGA