Politique et procédure de gestion des incidents de sécurité et des violations de données
20 novembre 2021
a) Contexte
My Eco Best Friend en tant que contrôleur de données et les processeurs de données appropriés ainsi contractés sont soumis aux dispositions du Règlement général sur la protection des données 2016/679 (RGPD) et doivent faire preuve de diligence et d'attention lors de la collecte, du traitement et du stockage des données personnelles et des données personnelles sensibles fournies à la fois par le personnel, les Vendeurs, les Clients et le public pour une utilisation définie.
La sauvegarde de ces informations et la prévention de leur violation sont essentielles pour que My Eco Best Friend conserve la confiance des personnes concernées susmentionnées. My Eco Best Friend fera donc tous les efforts raisonnables pour protéger les informations sous le contrôle de My Eco Best Friend contre l'accès, l'utilisation, la divulgation, la suppression, la destruction, les dommages ou le retrait non autorisés.
Bien que tout soit mis en œuvre pour protéger les installations, les équipements, les ressources et les données, certaines crises peuvent difficilement être évitées. En effet, les atteintes à la sécurité des données sont de plus en plus fréquentes, qu'elles soient dues à une erreur humaine ou à une intention malveillante. My Eco Best Friend doit donc mettre en place un processus solide et systématique pour traiter tout incident de sécurité signalé et protéger autant que possible ses actifs informationnels.
Par conséquent, la présente politique définit une procédure à suivre si les procédures de sécurité en vigueur ne permettent pas d'éviter une violation. L'objectif de cette politique est de normaliser la réponse du groupe à tout incident de sécurité signalé et de veiller à ce qu'ils soient correctement enregistrés et gérés conformément aux lignes directrices des meilleures pratiques.
En adoptant une approche standardisée et cohérente pour tous les incidents signalés, elle vise à garantir que :
les incidents sont signalés en temps utile et peuvent être correctement gérés, les incidents restent confidentiels à tous les niveaux (les parties prenantes concernées seront tenues informées à la discrétion des enquêteurs principaux).
les niveaux de gestion appropriés sont impliqués dans la réponse
les incidents sont enregistrés et documentés
l'impact des incidents est compris et des mesures sont prises pour éviter qu'ils ne se reproduisent
les preuves sont rassemblées, enregistrées et conservées sous une forme qui résistera à un examen interne et externe
les organismes externes ou les personnes concernées sont informés si nécessaire
les incidents sont traités en temps utile et les opérations normales sont reprises rapidement
les incidents sont examinés afin d'identifier les améliorations à apporter aux politiques, y compris la perte de contrôle, la compromission, la divulgation non autorisée, l'accès non autorisé ou l'accès potentiel à des informations personnellement identifiables, que ce soit sous forme physique (papier) ou électronique.
Une atteinte à la sécurité des données peut survenir pour un certain nombre de raisons, notamment :
la perte, l'altération ou le vol de données ou d'équipements sur lesquels les données sont stockées (y compris l'intrusion dans l'un de nos locaux)
accès inapproprié/non autorisé à des données confidentielles ou hautement confidentielles
panne d'équipement
l'erreur humaine, y compris les divulgations involontaires, le manque de diligence et/ou la mauvaise utilisation des ressources technologiques
des circonstances imprévues telles qu'une inondation ou un incendie
un piratage informatique
l'accès où l'information est obtenue en trompant l'organisation qui la détient
Dans le cadre de cette politique, ces raisons seront désignées par le terme ",Cette politique s'applique à l'ensemble du personnel de My Eco Best Friend.
Cette politique est disponible sur le site www.myecobestfriend.com et sera communiquée au personnel lors de l'accueil et de la formation périodique du personnel.
My Eco Best Friend attend de ses sous-traitants, fournisseurs et autres parties agissant pour le compte de My Eco Best Friend (collectivement, les "parties externes") qu'ils collectent ou gèrent des informations personnelles conformément à la présente politique, qu'ils utilisent les systèmes et outils de gestion de données de My Eco Best Friend ou les leurs. Les employés de My Eco Best Friend ont la responsabilité de s'assurer que toutes les parties externes avec lesquelles ils travaillent dans le cadre des activités de My Eco Best Friend respectent la présente politique. Le personnel a la responsabilité de s'assurer qu'une protection et des contrôles appropriés et adéquats sont en place et appliqués dans chaque établissement et ressource sous leur contrôle et d'identifier ceux qui ne le sont pas. Les responsables doivent s'assurer que le personnel de leur secteur respecte la présente politique et adhère à toutes les procédures qui s'y rapportent.
Le délégué à la protection des données (DPD) est chargé de superviser la gestion de toute violation. Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette (Suisse)
T : +41 (0)79 847 91 55,Si un membre du personnel se rend compte ou soupçonne que des données à caractère personnel ont été compromises pour toute autre raison qu'un incident de sécurité informatique (par exemple, en cas de perte d'un appareil portable, d'erreur d'adressage d'étiquettes, d'informations sensibles laissées à un endroit où elles pourraient être consultées sans autorisation - par exemple, des photocopies mal éliminées ou laissées sur la photocopieuse), il doit en informer immédiatement son supérieur hiérarchique.
En cas de conflit d'intérêts potentiel ou pour toute autre raison, dans l'intérêt de la confidentialité, un tel rapport peut être adressé directement au délégué à la protection des données.
Dans les deux cas, le membre du personnel qui signale l'incident de sécurité peut être invité à remplir le rapport d'incident de violation de la sécurité des données (voir l'annexe 1).
Le membre du personnel et/ou le service de sécurité informatique s'efforceront d'endiguer le problème et d'atténuer toute nouvelle exposition des données à caractère personnel détenues, en tenant compte des conseils sur les mesures à prendre et à ne pas prendre en cas d'incident dans les systèmes informatiques, tels qu'ils sont exposés à l'adresse suivante
Lorsque les données concernées sont protégées par des mesures techniques de nature à les rendre inintelligibles pour toute personne non autorisée à y accéder, My Eco Best Friend peut conclure qu'il n'y a pas de risque pour les données et qu'il n'est donc pas nécessaire d'en informer le délégué à la protection des données. Toutefois, une telle conclusion ne serait justifiée que si les mesures techniques (telles que le cryptage) étaient d'un niveau élevé. En outre, tout incident de sécurité affectant plus de 100 personnes concernées ou comprenant des données à caractère personnel sensibles ou de nature financière doit toujours être porté à la connaissance du DPD.
Si aucune notification n'est faite au DPD, My Eco Best Friend doit conserver un résumé de l'incident de sécurité, car tous les incidents de sécurité des données doivent être enregistrés de manière centralisée dans le système de gestion des services informatiques (système ITSM) afin d'assurer un contrôle approprié des types et de la fréquence des incidents à des fins de gestion et d'établissement de rapports.
À moins que My Eco Best Friend ne conclue qu'il n'y a pas de risque pour les données et qu'il n'est donc pas nécessaire d'informer le DPD, ce dernier sera informé sans délai par l'équipe de sécurité informatique (le responsable de l'information et de la sécurité (CISO), le cas échéant) afin de réunir une petite équipe de personnes chargée d'évaluer l'exposition/la perte potentielle. Cette équipe assistera le RSSI, le DPD (et le directeur le cas échéant) pour les questions pratiques liées à la présente politique et aux procédures. Les mesures doivent être prises conformément aux orientations/conseils de l'équipe spécialisée. Chaque membre de l'équipe aura un remplaçant pour couvrir les vacances, les congés de maladie, etc.
Au cours de l'enquête, l'équipe doit s'efforcer de recueillir des informations utiles pour déterminer si My Eco Best Friend est tenu d'informer les autorités de contrôle et les personnes concernées.
Le type de données concernées;Les éléments suivants doivent être pris en compte pour évaluer l'exposition/la perte potentielle :,Étant donné que le déclenchement du délai de 72 heures pour la notification à l'autorité de régulation est fondamentalement de nature juridique, les avocats et autres personnels chargés de la conformité doivent être responsables de la décision finale quant à savoir si un incident constitue une violation de données à caractère personnel nécessitant une notification à l'autorité de régulation.
La notification doit contenir (1) la nature, l'étendue et l'impact de la violation ; (2) les données à caractère personnel éventuellement concernées ; (3) les mesures prises pour remédier à la violation ; (4) les coordonnées du DPD ou de la personne de contact désignée par le DPD pour fournir des informations complémentaires ; et (5) toute assistance à fournir à la personne concernée. En particulier, l'équipe doit
contacter les personnes concernées (par téléphone, courrier électronique, etc.) pour les informer qu'une divulgation, une perte, une destruction ou une modification non autorisée des données à caractère personnel les concernant a eu lieu
Dans la mesure du possible et dès que possible, les (c'est-à-dire les personnes concernées par les données) doivent être informées de ce qui suit :
la nature des données qui ont été potentiellement exposées/compromises ;
le niveau de sensibilité de ces données, et
un aperçu des mesures que My Eco Best Friend a l'intention de prendre pour contenir ou remédier à la situation.
Les personnes doivent être informées de l'intention de My Eco Best Friend de contacter d'autres autorités de contrôle.
Des conseils spécifiques et clairs doivent enfin être donnés aux particuliers sur les mesures qu'ils peuvent prendre pour se protéger et sur ce que My Eco Best Friend peut faire pour les aider.
Il convient de tenir compte de la sécurité du moyen utilisé pour informer les personnes d'une violation et de l'urgence de la situation. Les demandes des médias concernant la violation sont toujours traitées par le responsable de la communication.
My Eco Best Friend doit également déterminer si la police, les assureurs, les responsables du traitement des données ou, par exemple, les banques doivent être informés. Il est important que tout incident de sécurité et toute violation de données soient documentés et fassent l'objet d'une enquête, et que la réaction à la violation soit évaluée en termes d'efficacité.
Toutes les violations de la sécurité des données seront donc enregistrées de manière centralisée dans le système ITSM afin de garantir un contrôle approprié des types et de la fréquence des incidents confirmés à des fins de gestion et d'établissement de rapports[1], sauf si les autorités de contrôle ont demandé un délai à des fins d'enquête. Lorsque My Eco Best Friend reçoit une telle instruction de la part des autorités de contrôle, elle doit prendre soigneusement note des conseils reçus (y compris la date et l'heure de la conversation, ainsi que le nom et le grade de la personne à qui elle a parlé). Dans la mesure du possible, My Eco Best Friend doit demander que les instructions lui soient données par écrit sur du papier à en-tête des autorités de contrôle ou, si cela n'est pas possible, My Eco Best Friend doit écrire à l'organisme chargé de l'application de la loi concerné pour lui indiquer que ",...".
Un examen complet doit être entrepris. Le personnel doit être informé de toute modification apportée à la présente politique et des mesures de sécurité mises à jour. Le personnel doit recevoir une formation de remise à niveau si nécessaire.,- Accident ou oubli,
- erreur technique,
- vol intentionnel ou acte répréhensible,
- Navigation non autorisée,
- Autre (décrire),
- Inconnu, - Données publiques
- Données internes
- Données personnelles
- Données sensibles, - Vol d'identité
- Atteinte à l'intégrité physique
- Blessure, humiliation, atteinte à la réputation
- Perte d'opportunités commerciales ou d'emploi
- Violation d'obligations contractuelles, isoler immédiatement le système affecté pour éviter toute nouvelle intrusion, divulgation de données, dommages, etc.
utiliser le téléphone car l'attaquant peut être en mesure de surveiller le trafic de courrier électronique
conserver tous les journaux pertinents, par exemple ceux du pare-feu, du routeur et du système de détection d'intrusion
faire des copies de sauvegarde des fichiers endommagés ou modifiés et conserver ces copies de sauvegarde dans un endroit sûr
identifier l'emplacement du système affecté dans la topologie du réseau
identifier tous les systèmes et agences qui se connectent au système affecté
identifier les programmes et les processus qui fonctionnent sur le(s) système(s) concerné(s), l'impact de l'interruption et la durée maximale d'indisponibilité autorisée
dans le cas où le système affecté est recueilli comme preuve, prendre des dispositions pour assurer la continuité des services, c'est-à-dire préparer un système redondant et obtenir des sauvegardes de données, communiquer le problème à toute autre personne que votre supérieur hiérarchique et les destinataires énumérés à la section 3
supprimer, déplacer ou modifier des fichiers sur les systèmes concernés
contacter l'auteur présumé de l'infraction
procéder à une analyse médico-légale, les données ont été correctement cryptées
Le dispositif de stockage portable a été effacé à distance et il est prouvé que le dispositif n'a pas été consulté avant l'effacement.
Les fichiers sur support papier ou le dispositif ont été récupérés presque immédiatement et tous les fichiers semblent intacts et/ou non lus,Le dispositif de stockage portable a été effacé à distance dans les heures qui ont suivi la perte, mais il n'y a aucune preuve confirmant que le dispositif n'a pas été consulté avant l'effacement.
Des fichiers ou des dispositifs sur support papier ont été récupérés, mais il s'est écoulé suffisamment de temps entre la perte et la récupération pour que les données aient pu être consultées,Les données n'étaient pas cryptées
Les données, les fichiers ou le dispositif n'ont pas été récupérés
Les données risquent d'être divulguées ultérieurement, notamment par les médias ou en ligne, perte d'opportunités commerciales ou d'emploi, préjudice, humiliation, atteinte à la réputation ou aux relations, préjudice social/relationnel.
Perte de confiance en My Eco Best Friend
Perte d'actifs, de contrats ou d'activités de My Eco Best Friend
Risque financier, risque de sécurité (par exemple, sécurité physique), risque d'usurpation d'identité ou de fraude
Le préjudice, l'humiliation, l'atteinte à la réputation peuvent également constituer un risque élevé en fonction des circonstances.
les incidents sont traités par le personnel dûment autorisé et qualifié
incidents are kept confidential at all levels (relevant stakeholders will be kept informed at the discretion of the lead investigators).
appropriate levels of management are involved in the response
incidents are recorded and documented
the impact of the incidents is understood, and action is taken to prevent further occurrences
evidence is gathered, recorded, and maintained in a form that will withstand internal and external scrutiny
external bodies or data subjects are informed as required
incidents are dealt with in a timely manner and normal operations resumed swiftly
incidents are reviewed to identify improvements in policies
b) Définition
Aux fins de la présente politique, le terme «
violation de données » includes the loss of control, compromise, unauthorized disclosure or unauthorized access or potential access to personally identifiable information, whether in physical (paper) or electronic form.
A data security breach can happen for a number of reasons, including:
Loss, alteration or theft of data or equipment on which data is stored (including break‐in to any of our premises)
inappropriate/unauthorized access to confidential or highly confidential data
equipment failure
human error, including unintentional disclosures, lack of diligence and/or misuse of technological resources
unforeseen circumstances such as flood or fire
a hacking attacks
access where information is obtained by deceiving the organization that holds it
For the purpose of this policy these reasons will be referred to as “
incidents de sécurité». Tous les incidents de sécurité ne conduisent pas à une violation des données.
c) Champ d'application
This groupwide policy applies to all staff of My Eco Best Friend.
This Policy is available on www.myecobestfriend.com and shall be advised to staff at induction and at periodic staff training.
My Eco Best Friend expects any My Eco Best Friend contractors, suppliers or any other parties acting on My Eco Best Friend’s behalf (collectively, “External Parties”) to collect or manage personal information to follow this policy, whether they are utilizing My Eco Best Friend’s and/or their own systems and data management tools. My Eco Best Friend employees are responsible for ensuring that any External Parties they work with in support of My Eco Best Friend operations comply with this policy.
d) Responsabilité
Staff are responsible for ensuring that appropriate and adequate protection and controls are in place and applied in each facility and resource under their control and identifying those that are not. Managers are responsible for ensuring that staff in their area follow this Policy and adhere to all related procedures.
The Data Protection Officer (DPO) is responsible for overseeing the management of any breach.
Délégué à la protection des données de My Eco Best Friend :
Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette (Switzerland)
T: +41 (0)79 847 91 55
contact@myecobestfriend.com
Des examens périodiques des mesures et des pratiques en place sont effectués par le département juridique.
e) PROCEDURE T MOINS 72 HEURES
Signaler un incident de sécurité - devoir de signalement de chaque membre du personnel
Les incidents de sécurité informatique confirmés ou suspectés doivent toujours être signalés rapidement à la Sécurité Informatique, qui est le premier point de contact, par courrier électronique suivante :
contact@myecobestfriend.com
In case any staff member becomes aware or suspects that personal data has been compromised for any other reason than an IT security incident (e.g. through loss of a portable device, misaddressing of labels, sensitive information left where unauthorized viewing could take place – i.e. photocopies not properly disposed of or left on copier), he/she shall immediately notify his/her Manager.
When there is a potential conflict of interest or for any other reasons, in the interest of confidentiality, such a report may be made directly to the DPO.
In both cases, the staff member reporting the security incident may be asked to complete the Data Security Breach Incident Report (See Appendix 1).
2) Confinement des brèches
Data security breaches should be contained and responded to immediately upon becoming aware of such a breach.
Staff member and/or IT Security will seek to contain the matter and mitigate any further exposure of the personal data held having regard to the “Incident Response DOs and DON’Ts for IT systems” advice set out at
Annexe 2. Selon la nature de la menace pesant sur les données personnelles, le processus peut impliquer une mise en quarantaine de certains ou de tous les PC, réseaux, etc., et demander au personnel de ne pas accéder aux PC, réseaux, etc. De même, le processus peut impliquer une mise en quarantaine des zones de stockage des dossiers manuels et d'autres zones, le cas échéant. En guise d'étape préliminaire, un audit des dossiers conservés ou du ou des serveurs de sauvegarde doit être entrepris afin de déterminer la nature des données personnelles qui pourraient avoir été exposées.
3) Analyse de l'impact
In parallel of/following immediate containment, the risks must be assessed which may be associated with the breach, potential adverse consequences to the individuals, as well as My Eco Best Friend itself.
Where the data concerned is protected by technological measures such as to make it unintelligible to any person who is not authorized to access it, My Eco Best Friend may conclude that there is no risk to the data and therefore no need to inform the DPO. However, such a conclusion would only be justified where the technological measures (such as encryption) were of a high standard. Moreover, any security incident which affects more than 100 data subjects or include sensitive personal data or personal data of a financial nature must always be escalated to the DPO.
Where no notification is made to the DPO, My Eco Best Friend shall keep a summary record of the security incident as all data security incidents must be centrally logged in the IT Service Management system (ITSM system) to ensure appropriate oversight in the types and frequency of incidents for management and reporting purposes.
Unless, My Eco Best Friend may conclude that there is no risk to the data and therefore no need to inform the DPO, the latter will be informed without delay by the IT Security Team (the Information and Security Officer (CISO) where relevant) in order to gather a small team of persons together to assess the potential exposure/loss. This team will assist the CISO, the DPO (and the Manager where relevant) with the practical matters associated with this Policy and Procedures. Action shall be undertaken in accordance with the dedicated team’s direction/advice. Each team member shall have a backup member to cover holidays, sick leave etc.
During the investigation, the team should attempt to gather information that would be useful in assessing whether My Eco Best Friend is required to notify supervisory authorities and affected individuals.
The type of data involved;The following must be considered in order to assess the potential exposure/loss:
- Si les données sont sensibles ou peuvent être utilisées pour une fraude d'identité.
- Si la violation implique beaucoup d'individus.
- Si des données ont été perdues ou volées, si des protections de cryptage sont en place ;
- Ce qu'il est advenu des données, comme la possibilité qu'elles soient utilisées pour causer un préjudice à la ou aux personnes concernées, etc.
L'équipe peut également tenir compte des conseils de l' « Aperçu de l'évaluation des risques liés à la vie privée » figurant à l'annexe 3.
4) Notifications
- Autorité de surveillance
Since the trigger for the 72‐hour deadline for regulator notification is fundamentally legal in nature, lawyers and other compliance personnel should be responsible for making the ultimate call as to whether an incident constitutes a personal data breach requiring regulator notification.
Notification must contain (1) Nature, extent and impact of the breach; (2) Personal data possibly involved; (3) Measures taken to address the breach; (4) Details of the DPO or contact person designated by the DPO to provide additional information; and (5) Any assistance to be provided to the data subject.
ii. Personne concernée
Lorsque la loi l'exige, l'équipe, sous la direction du DPD, envisage immédiatement d'informer les personnes concernées.
1. In particular the team shall:
Contact the individuals concerned (whether by phone/email etc.) to advise that an unauthorised disclosure/loss/destruction or alteration of the individual’s personal data has occurred
Where possible and as soon as is feasible, the
personnes concernées (i.e. individuals whom the data is about) should be advised of:
the nature of the data that has been potentially exposed/compromised;
the level of sensitivity of this data, and
an outline of the steps My Eco Best Friend intends to take by way of containment or remediation
Individuals should be advised as to whether My Eco Best Friend intends to contact other Supervisory Authorities
Specific and clear advice should finally be given to individuals on the steps they can take to protect themselves and what My Eco Best Friend can do to assist them.
Security of the medium used for notifying individuals of a breach and urgency of situation should be borne in mind.
5) Demandes de renseignements des médias et d'autres tiers
Media enquiries about the breach shall always be dealt with by the Head of Communication.
My Eco Best Friend shall also consider whether police, insurers, data processors or for instance banks should be notified.
f) Documenter, enquêter et mettre les changements en œuvre
It is important that any security incidents and actual data breaches are documented and investigated, and the response to the breach is evaluated in terms of its effectiveness.
All data security breaches will thus be centrally logged in the ITSM system to ensure appropriate oversight in the types and frequency of confirmed incidents for management and reporting purposes.[1] Except where Supervisory Authorities have requested a delay for investigative purposes. Where My Eco Best Friend receives such a direction from Supervisory Authorities, it should make careful notes of the advice they receive (including the date and the time of the conversation and the name and rank of the person to whom they spoke). Where possible, My Eco Best Friend should ask for the directions to be given to them in writing on letter‐headed notepaper from the Supervisory Authorities, or where this is not possible, My Eco Best Friend should write to the relevant law enforcement agency to the effect that “
nous prenons note des instructions qui nous ont été données par votre agent [insérer le nom de l'agent] le XX jour de XX à XX heures, selon lesquelles nous devions retarder pendant une période de XXX/jusqu'à ce que vous nous informiez que nous sommes autorisés à informer les personnes concernées par la violation des données..”
A full review should be undertaken. Staff should be apprised of any changes to this Policy and of upgraded security measures. Staff should receive refresher training where necessary.
g) Mise en œuvre et révision
La présente politique peut être révisée à la lumière des modifications de la législation, des avis juridiques et de l'apparition de nouvelles technologies pertinentes.
Annexe 1 - Violation de la sécurité des données - Rapport d'incident
Envoyez ce formulaire par courriel à la Sécurité Informatique : contact@myecobestfriend.com
Appelez toujours le CISO ou le responsable des incidents informatiques pour leur faire prendre conscience de la violation avant d'envoyer ce formulaire.
|
Veuillez fournir autant d'informations/détails que possible
: |
Description de l'incident de sécurité/de la violation des données |
|
Violation confirmée ou suspectée ? |
|
Qui signale la violation : Nom/Département |
|
Date et heure de l'identification de l'incident/de l'atteinte à la sécurité et par qui. |
|
Y avait-il d'autres témoins ? Si oui, indiquez leurs noms. |
|
Cause de la violation ?
· Accident or oversight,
· Technical error,
· Intentional theft or wrongdoing,
· Unauthorized browsing,
· Other (describe),
· Unknown |
|
Première classification des données violées
· Public Data
· Internal Data
· Personal Data
· Sensitive Data |
|
Volume des données concernées
Très peu (moins de 20)
Groupe identifié et limité (>20 et
<100)
Grand nombre d'individus touchés (>100)
Les chiffres ne sont pas connus |
|
Les personnes concernées par la violation sont-elles des étudiants/parrains, des membres du personnel ou les deux ? |
|
Connaissez-vous les personnes concernées (joindre une liste) ? |
|
Les données concernent-elles des groupes vulnérables ? |
|
À qui les données ont-elles été divulguées ou consultées, si vous le savez ? |
|
Types de préjudice pouvant résulter de la violation
· Identify theft
· Physical harm
· Hurt, humiliation, damage to reputation
· Loss of business or employment opportunities
· Breach of contractual obligations |
|
La violation est-elle circonscrite ou en cours ? |
|
Si en cours, quelles sont les mesures prises pour récupérer les données ? |
|
Des systèmes informatiques ont-ils été utilisés ? Si oui, veuillez les énumérer. |
|
Des protections par cryptage étaient-elles en place au moment de la violation ? |
|
Une violation de cette nature s'est-elle déjà produite auparavant ? |
|
D'autres personnes pourraient-elles donner des conseils sur les risques et les mesures à prendre ? |
|
Toute autre information pertinente |
Par exemple, si les coordonnées bancaires d'une personne ont été perdues, envisagez de contacter les banques elles-mêmes pour obtenir des conseils sur ce qu'elles peuvent faire pour vous aider à prévenir les utilisations frauduleuses, mais aussi, le cas échéant, la police, les assureurs, les syndicats, les responsables du traitement des données, etc. |
Reçu par : |
|
Date/heure : |
|
Numéro de violation : |
|
Annexe 2 - Réponses aux incidents à faire et à ne pas faire pour les systèmes informatiques
A faire
immediately isolate the affected system to prevent further intrusion, release of data, damage etc.
use the telephone as the Attacker may be capable of monitoring e‐mail traffic
preserve all pertinent logs, g. firewall, router and intrusion detection system
make back‐up copies of damaged or altered files and keep these backups in a secure location
identify where the affected system resides within the network topology
identify all systems and agencies that connect to the affected system
identify the programs and processes that operate on the affected system(s), the impact of the disruption and the maximum allowable outage time
in the event the affected system is collected as evidence, make arrangements to provide for the continuity of services i.e. prepare redundant system and obtain data back‐ups
À ne pas faire
communicate the issue with anyone else other than your line manager and the recipients listed in section 3
delete, move or alter files on the affected systems
contact the suspected perpetrator
conduct a forensic analysis
Annexe 3 - Vue d'ensemble de l'évaluation des risques en matière de protection de la vie privée
Facteur |
COTE DE RISQUE |
|
BASSE |
MOYENNE |
HAUTE |
Nature des informations personnelles |
Informations personnelles accessibles au public et non associées à d'autres informations |
Informations personnelles propres à l'organisation qui ne sont pas des informations médicales ou financières |
Informations médicales, psychologiques, de conseil ou financières ou numéro d'identification unique d'un organisme public |
Relations |
Divulgation accidentelle au contractant qui a signalé la violation et confirmé la destruction ou le retour des informations |
Divulgation accidentelle à un étranger qui a signalé la violation et confirmé la destruction ou la restitution des informations |
Divulgation à une personne ayant une relation ou une connaissance avec la ou les personne(s) affectée(s), en particulier les divulgations à des membres motivés de la famille, à des voisins ou à des collègues de travail. |
Cause de la violation |
Erreur technique qui a été résolue |
Perte ou divulgation accidentelle |
Violation intentionnelle. Cause inconnue. Erreur technique - si non résolue |
Portée |
Très peu de personnes touchées |
Groupe identifié et limité de personnes concernées |
Grand groupe ou ensemble du groupe non identifié (plus de 100) |
Efforts de quarantaine |
Data was adequately encrypted
Portable storage device was remotely wiped and there is evidence that the device was not accessed prior to wiping
Hard copy files or device were recovered almost immediately and all files appear intact and/or unread |
Portable storage device was remotely wiped within hours of loss but there is no evidence to confirm that the device was not accessed prior to wiping
Hard copy files or device were recovered but sufficient time passed between the loss and recovery that the data could have been accessed |
Data was not encrypted
Data, files or device have not been recovered
Data at risk of further disclosure particularly through mass media or online |
Préjudice prévisible résultant de la violation |
Aucun préjudice prévisible résultant de la violation |
Loss of business or employment opportunities, hurt, humiliation, damage to reputation or relationships, social/relational harm
Loss of trust in My Eco Best Friend
Loss of My Eco Best Friend assets, contracts, or business
Financial exposure |
Security risk (e.g. physical safety), identity theft or fraud risk
Hurt, humiliation, damage to reputation may also be a high risk depending on the circumstances |