Les nouvelles propositions de notification en cas d’atteinte à la protection des données présentées par le président Obama et d’autres chefs politiques ne feront qu’exacerber l’impact de ces incidents.
Les enjeux entourant la cybersécurité ne font pas qu’augmenter, ils se multiplient.
Depuis maintenant des années, les chefs d’entreprise ont compris que toute atteinte à la protection des données est un problème sérieux que les sociétés doivent s’efforcer d’éviter à tout prix. Après tout, ces incidents peuvent causer directement la perte de la propriété intellectuelle, ce qui a pour effet de réduire la compétitivité d’une entreprise dans son secteur. Du même coup, une atteinte à la protection des données attirera souvent l’attention sur les cas de non-conformité en matière de sécurité des données, entraînant de lourdes amendes et d’autres sanctions de la part des organismes de réglementation gouvernementaux.
« La loi exigerait que les entreprises avisent les victimes dans un délai de 30 jours de l’incident. »
Notifications exigées
Plus tôt ce mois-ci, le président Obama a présenté sa proposition lors d’un discours prononcé devant la Commission fédérale du commerce. Le président a notamment demandé qu’une nouvelle loi nationale régissant la notification en cas d’atteinte à la protection des données soit adoptée afin d’obliger les entreprises à informer les victimes éventuelles dans les 30 jours de l’incident.
Comme l’a souligné PC World, une telle proposition n’est pas nouvelle, le président Obama militant pour l’adoption d’une telle loi depuis plusieurs années. Néanmoins, un certain nombre d’atteintes à la protection des données qui ont récemment retenu l’attention du public, y compris la fuite désormais tristement célèbre de courriels et d’autres informations de Sony Entertainment, donne à penser qu’une telle loi a désormais de meilleures chances d’être adoptée que jamais auparavant.
À l’heure actuelle, la majorité des États ont leurs propres lois régissant ce genre d’atteinte. En revanche, ces lois n’ont pas de cohérence entre elles, notamment en ce qui a trait aux délais de notification des victimes.
« C’est une source de confusion non seulement pour les consommateurs, mais aussi pour les entreprises, outre le fait qu’il est très coûteux de devoir se conformer à cette mosaïque de lois », a souligné le président Obama. « Il arrive parfois qu’une victime ne s’aperçoive du vol de ses données de carte de crédit que lorsqu’elle découvre les frais portés à son compte, mais il est alors trop tard. »
Le coût réel des atteintes à la protection des données
Même si toutes ces propositions sont formulées en termes de protection des consommateurs, ce sont les gens d’affaires qui doivent en prendre acte. Si ces nouvelles exigences de notification entrent en vigueur, le coût lié à une atteinte à la protection des données augmentera de façon exponentielle.
« C’est la réputation de l’organisation qui est la plus touchée advenant une atteinte à la protection des données. »
Cela s’explique par le fait que, comme d’innombrables dirigeants et propriétaires d’entreprises commencent à le réaliser, c’est la réputation de l’organisation qui est la plus touchée advenant une atteinte à la protection des données. Les consommateurs comprennent qu’il est nécessaire de se protéger contre la menace de vol d’identité et de fraude et qu’une des meilleures mesures à prendre pour s’en assurer consiste à éviter les entreprises condescendantes qui n’ont pas su protéger les données de leurs clients dans le passé.
De surcroît, les médias accordent beaucoup d’attention aux atteintes à la protection des données. Cela signifie que toute entreprise devant gérer ce genre d’incident et qui est obligée de se conformer aux règlements en matière de notification fera inévitablement l’objet d’une publicité négative considérable.
Tout ceci dénote l’importance pour les entreprises de consacrer davantage d’efforts pour prévenir les atteintes à la protection des données, ce qui veut dire d’investir dans la cybersécurité. Plus précisément, les entreprises devraient chercher à renforcer leur formation sur la sensibilisation à la sécurité de l’information et à accroître leurs outils de mesure pour les employés. Contrairement à la croyance populaire, la majorité des atteintes à la protection des données émanent de l’interne et non de l’externe. Bien que les entreprises doivent prendre des mesures pour repousser les pirates informatiques, la menace la plus importante est la négligence et les erreurs des employés, notamment le choix de mots de passe faibles et l’ouverture de courriels contenant des logiciels malveillants. En informant mieux les employés de ces menaces et de la façon de respecter les bonnes pratiques, les organisations réduiront considérablement le risque d’avoir à se préoccuper de la conformité aux nouvelles dispositions législatives régissant la notification en cas d’atteinte à la protection des données.