En 2014, le Identity Theft Resource Center a signalé que plus de 85 millions de fichiers confidentiels ont été compromis lors de violations de données. Ce sont 85 millions de clients, d’employés et de patients qui ont été abandonnés par les organisations à qui ils ont confié leurs informations personnelles.
Les personnes exposées doivent contacter leur banque, rechercher dans leurs déclarations des signes de fraude, surveiller leur dossier de crédit et éventuellement travailler avec les forces de l’ordre et les créanciers pour récupérer leur identité. Ils n’oublieront pas de sitôt ce frisson d’usurpation d’identité et, en tant que propriétaire de petite entreprise, vous ne devriez pas non plus.
Disons que votre entreprise a subi une violation et que vous avez déjà pris toutes les mesures nécessaires pour atténuer efficacement les dommages – vous avez isolé et éliminé le problème, contacté les autorités et envoyé des notifications aux personnes concernées. Il est presque certain qu’à l’heure actuelle, l’idée de basculer une fois de plus entre l’informatique et le juridique est carrément nauséabonde. Mais, rappelez-vous, il n’y a pas de solution du jour au lendemain et les conséquences d’une violation de données peuvent être aussi implacables que le premier jour.
Qu’est-ce que la suite implique? Attendez-vous à des poursuites judiciaires, à une confiance des consommateurs brisée, à des revenus en chute libre, à une marque ternie, à des secrets commerciaux exposés et à une facture salée.
Les poursuites sont l’une des conséquences les plus dommageables et les jugements favorisent de plus en plus les consommateurs. Ne pensez pas qu’une erreur technique entraînera un seul procès, attendez-vous à plusieurs. Après la violation de données de Home Depot, ils ont fait l’objet d’au moins 44 poursuites civiles. Ces coûts sont pris en compte dans le prix de 43 millions de dollars de la réparation de leur brèche.
Les poursuites ne sont pas seulement coûteuses, elles prennent du temps. En 2012, le centre médical Beth Israel a divulgué les SSN de près de 4 000 patients. Deux ans et demi plus tard, ils ont été condamnés à payer plus de 100 000 $ d’amende. Pensez-vous que deux ans est un retard? Un recours collectif intenté contre Tenet Healthcare a mis 17 ans à se régler. Alors que Tenet Healthcare n’a été condamné à rembourser aux individus qu’un maximum de 30 $ chacun, les dommages étaient astronomiques lorsque l’on tient compte de près de deux décennies de frais juridiques.
Même si vos clients n’engagent aucune action en justice après une violation de données, la fidélité des consommateurs sera presque détruite. L’indice de sécurité Unisys 2014 a révélé que 59 % des consommateurs déclarent qu’ils sont moins susceptibles de faire affaire avec une entreprise qui a subi une violation de données. Pourriez-vous vous permettre de perdre plus de la moitié de vos clients ? Une communication claire après une violation est essentielle si vous voulez empêcher les clients de fuir. Expliquez ouvertement ce qui s’est passé, ce qui a été exposé, comment vous résolvez le problème et fournissez-leur une formation sur la fraude et des services de protection connexes.
Moins de clients signifie moins de revenus. Prenez-le de Target, qui n’a pas vu d’augmentation des ventes pendant une année entière. Au point le plus bas de Target, le détaillant a déclaré un bénéfice de 234 millions de dollars au deuxième trimestre; une comparaison sombre avec les 611 millions de dollars qu’ils ont gagnés au cours de la même période l’année précédente. Afin de revitaliser les sources de revenus, vous devez restaurer la confiance des clients, réparer la réputation de la marque et réévaluer vos systèmes et stratégies existants.
Le pirate informatique a-t-il mis la main sur des informations de propriété intellectuelle ou des secrets commerciaux ? Si tel est le cas, il faut retourner à la planche à dessin pour rechercher de nouvelles opportunités et réévaluer les faiblesses. Des informations sur les employés ont-elles été exposées lors de la violation ? Ensuite, vous feriez mieux d’effacer votre calendrier pour les réunions avec les services juridiques et les RH et de réunir votre équipe pour une communication ouverte concernant le traitement sécurisé des informations personnelles ou faire face à un contrecoup majeur des employés. Prenez USPS par exemple. Ils font actuellement face à des accusations portées contre eux par l’American Postal Workers Union en réponse à la violation d’informations sur les employés.
Mais le plus important que vous devez faire après une violation de données est de mettre en œuvre de nouvelles mesures de cybersécurité. Cela comprend une politique de cryptage des données solide, la mise à niveau des systèmes informatiques, le respect des normes de l’industrie (y compris la conformité PCI et en règle avec le BBB) et l’application des protocoles de confidentialité parmi les employés. Ces processus doivent être revus et mis à jour fréquemment. Il peut être judicieux de faire appel à un tiers objectif pour aider à la mise en œuvre, auditer et entretenir régulièrement ces nouveaux systèmes.
Une fois les mesures de sécurité mises à jour en place, il est temps de payer la facture. Une idée du montant de cette facture ?
En moyenne, une violation de données coûte 3,5 millions de dollars US à une entreprise.
Et voici où ira tout cet argent : selon IBM, 29 % des coûts de violation seront consacrés à la réparation de la réputation de la marque, 21 % proviendront d’une perte de productivité, 19 % de la perte de revenus, 12 % de la criminalistique numérique, 10 % sur le support technique et 8% sur les besoins réglementaires de conformité.
De nombreuses entreprises ont essayé mais n’ont pas réussi à gérer de manière appropriée les conséquences d’une violation de données. Les coûts élevés, les clients mécontents et les obstacles juridiques ne valent parfois pas la peine d’être combattus. La clé est d’éviter complètement les conséquences en renforçant la sécurité, en mettant en œuvre les meilleures pratiques et en restant vigilant à tout moment face aux cybermenaces.
Pensez-vous que votre organisation pourrait survivre à une violation de données et aux conséquences qui suivront à coup sûr ?
violation de données / shutterstock
