Que faire après une fuite de données : Guide de réponse aux incidents

Une fuite de données est un moment de crise. Vos actions dans les premières heures déterminent l'ampleur des dommages, pour les personnes touchées et pour votre entreprise. Ce guide vous explique quoi faire, étape par étape.

Restez calme mais agissez vite. La panique mène aux erreurs. Une réponse méthodique minimise les dégâts et démontre votre sérieux aux autorités.

Étapes à suivre

  1. 1

    Contenir l'incident (immédiat)

    Arrêtez la fuite. Coupez les accès compromis, changez les mots de passe, isolez les systèmes affectés. Ne supprimez rien, vous aurez besoin des preuves. Mobilisez votre équipe de réponse (RPRP, TI, direction).

  2. 2

    Évaluer l'étendue (premières heures)

    Identifiez : quels renseignements ont été touchés, combien de personnes sont concernées, comment l'incident s'est produit, si la menace est toujours active. Documentez tout ce que vous découvrez.

  3. 3

    Évaluer le risque de préjudice

    Y a-t-il un risque de préjudice sérieux? Considérez : la sensibilité des données (santé, finances, NAS), le contexte (vol vs erreur), les protections en place (chiffrement). Si le risque est sérieux, vous devez signaler.

  4. 4

    Signaler à la CAI (si requis)

    Si le risque de préjudice est sérieux, signalez à la Commission d'accès à l'information avec diligence. Utilisez le formulaire officiel. N'attendez pas d'avoir toutes les réponses, vous pouvez compléter plus tard.

  5. 5

    Aviser les personnes touchées

    Si le risque est sérieux, avisez les personnes concernées rapidement. Expliquez : ce qui s'est passé, quelles données sont touchées, ce que vous faites, ce qu'elles peuvent faire pour se protéger.

  6. 6

    Enquêter et corriger

    Déterminez la cause racine. Était-ce une erreur humaine, une faille technique, une attaque? Corrigez la vulnérabilité pour éviter que l'incident se reproduise.

  7. 7

    Documenter et apprendre

    Consignez l'incident dans votre registre. Rédigez un rapport post-incident : chronologie, actions prises, leçons apprises. Mettez à jour vos procédures si nécessaire.

Conseils et avertissements

Actions immédiates (dans l'heure)

  • Ne paniquez pas, mais n'attendez pas. Chaque minute compte pour limiter l'étendue de la fuite.
  • Alertez le RPRP et la direction. Ce n'est pas le moment de gérer la situation seul.
  • Coupez les accès compromis. Mieux vaut trop de précaution que pas assez.
  • Préservez les preuves. Ne supprimez pas les journaux, courriels ou fichiers, même s'ils sont embarrassants.

Erreurs critiques à éviter

  • Minimiser l'incident. Mieux vaut surestimer que sous-estimer. Vous pouvez toujours réviser votre évaluation.
  • Tarder à signaler. « Avec diligence » signifie rapidement. N'attendez pas d'avoir toutes les réponses.
  • Cacher l'incident. La dissimulation aggrave toujours les conséquences. La transparence protège mieux.
  • Blâmer publiquement. Évitez de pointer du doigt dans vos communications. Concentrez-vous sur les actions correctives.
  • Oublier de documenter. Si vous ne l'avez pas documenté, vous ne pouvez pas le prouver.

Après la crise

  • Faites un post-mortem. Réunissez l'équipe pour analyser ce qui s'est passé et comment l'éviter.
  • Mettez à jour vos procédures. Intégrez les leçons apprises dans votre plan de réponse aux incidents.
  • Formez votre équipe. Assurez-vous que tous savent quoi faire si ça se reproduit.
  • Testez vos systèmes. Vérifiez que les correctifs sont efficaces.

Questions fréquentes

Quelles sont les premières 24 heures critiques?

Contenez d'abord, évaluez ensuite. Dans les premières heures : coupez les accès, préservez les preuves, mobilisez l'équipe. Dans les 24 heures : évaluez l'étendue et le risque, décidez si vous devez signaler.

Dois-je appeler la police?

Si l'incident implique une activité criminelle (piratage, vol, extorsion), vous pouvez signaler à la police. Cela peut être pertinent pour votre protection.

Comment aviser les personnes touchées?

Par le moyen le plus susceptible de les atteindre : courriel, lettre, téléphone. Si vous ne pouvez pas les joindre individuellement, un avis public peut être nécessaire. Soyez clair, direct et évitez le jargon.

Que dire aux personnes touchées?

Ce qui s'est passé (sans détails techniques excessifs), quelles données sont concernées, ce que vous faites pour corriger, ce qu'elles peuvent faire pour se protéger (surveiller leurs comptes, changer leurs mots de passe), et comment vous contacter.

Dois-je offrir une surveillance du crédit?

Ce n'est pas obligatoire, mais c'est une bonne pratique si des données financières ou des NAS sont compromis. Cela démontre votre bonne foi et peut limiter les dommages pour les personnes touchées.

Quelles sont les sanctions si je ne signale pas?

Le défaut de signaler un incident à risque sérieux est une infraction. Pour une personne morale, les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Ne prenez pas ce risque, signalez en cas de doute.

Combien de temps conserver la documentation?

La loi exige de conserver le registre des incidents pendant au moins 5 ans. Conservez aussi toute la documentation connexe : rapports d'enquête, preuves, communications.

Puis-je être poursuivi par les personnes touchées?

Oui, les personnes peuvent réclamer des dommages si elles subissent un préjudice. Une réponse rapide, transparente et bien documentée est votre meilleure protection contre les poursuites.

Outil connexe

Un registre des incidents vous permet de documenter et suivre tout incident de confidentialité.

Télécharger le registre