Les attaques de phishing se produisent lorsque des cybercriminels trompent leurs victimes en leur faisant partager des informations personnelles, telles que des mots de passe ou
Les entreprises sont de plus en plus souvent tenues pour responsables des violations des données des employés. Mais les employeurs peuvent prendre des mesures pour atténuer la probabilité et l’impact des violations.
Toute entreprise qui utilise un système électronique de paie et d’allocations stocke et traite des données sensibles sur les employés (soit pratiquement toutes les entreprises en activité aujourd’hui). Une cyberattaque compromettant les données des employés comporte de nombreux risques, notamment en termes de responsabilité juridique, d’interruption d’activité et d’atteinte à la réputation.
Qu’est-ce que la responsabilité de l’employeur ?
La responsabilité de l’employeur est la responsabilité légale d’une entreprise de respecter les lois et les règlements. La responsabilité de l’employeur s’applique généralement à des questions telles que les salaires, les charges sociales, le harcèlement et la discrimination.
Par exemple, les employés peuvent poursuivre leur employeur si l’entreprise favorise un environnement de travail dangereux ou hostile. L’entreprise devra payer des dommages et intérêts si le tribunal se prononce en faveur des employés.
Qu’est-ce que la responsabilité de l’employeur en matière de cyber sécurité ?
Dans le domaine de la cyber sécurité, la responsabilité de l’employeur oblige l’entreprise à protéger les informations personnellement identifiables (PII) de ses employés. La définition exacte des PII varie d’une juridiction à l’autre. On peut généralement considérer que les PII des employés sont des données gérées par les équipes des RH et de la comptabilité.
Parmi les types courants de PII des employés, citons :
- Numéros de sécurité sociale (SSN)
- Permis de conduire
- Passeports
- Numéros d’identification fiscale (TIN)
- Adresses du domicile
- Informations financières personnelles (notamment le salaire ou les actions), comptes bancaires et cartes bancaires.
- Dossiers médicaux
- Adresses e-mail et numéros de téléphone
La responsabilité de l’employeur : un domaine en pleine expansion
Les PII des employés sont en grande partie les mêmes que celles des clients. Jusqu’à récemment, un grand nombre de poursuites engagées contre des entreprises après une violation de données étaient centrées sur la divulgation de données clients.
Toutefois, les actions collectives intentées contre les employeurs pour négligence, violation de contrat ou pratiques commerciales déloyales à l’égard de leurs employés gagnent en popularité auprès des tribunaux, ce qui les met sur la sellette. La Cour suprême de Pennsylvanie ayant statué en novembre 2018 que les employeurs ont l’obligation, en vertu de la common law, de protéger les PII des employés, les tribunaux fédéraux, étatiques et locaux ont fait de même.
Il est important de noter que les employeurs (et non les fournisseurs tiers) sont responsables en cas de violation des données des employés.
Lors d’un procès intenté par un ancien employé d’une société biopharmaceutique, la Cour d’appel des États-Unis pour le troisième circuit a estimé qu’il suffisait qu’une violation de données entraîne un préjudice potentiel pour que la responsabilité de l’employeur soit engagée. Lorsque le logiciel de paie de l’entreprise biopharmaceutique a laissé filtrer des données lors d’une violation, c’est l’employeur, et non l’éditeur du logiciel, qui était responsable de la publication des données des employés sur le dark Web.
Confidentialité des données des employés
Les réglementations normatives en matière de confidentialité des données, notamment le California Consumer Privacy Act (CCPA) et le règlement général sur la protection des données (RGPD) de l’Union européenne, contiennent également des dispositions obligeant les employeurs à protéger la confidentialité des données de leurs employés aussi rigoureusement que celle des données de leurs clients.
Le RGPD prévoit que les entreprises doivent obtenir un consentement volontaire et clair pour collecter, stocker et utiliser les données des employés. Ils doivent par exemple préciser comment les données RH seront utilisées.
À quoi ressemble la responsabilité de l’employeur après une cyberattaque ?
CommonSpirit Health, l’un des systèmes de santé les plus importants des États-Unis, a subi une attaque par ransomware en octobre 2022, impactant plus de 623 000 personnes. La chaîne hospitalière a arrêté le système affecté pour éviter d’autres dommages à son environnement informatique, dont son système électronique de gestion du temps et des salaires. La société a perdu 150 millions de dollars en revenus suite à cette perturbation.
Après que l’entreprise a restauré ses systèmes, les infirmières de certains sites de l’entreprise dans l’Oregon ont déclaré avoir été sous-payées au cours des périodes de paie qui ont suivi l’attaque. Le syndicat représentant les employés de certains sites de la chaîne dans l’Oregon réclame 1,5 million de dollars de dommages et intérêts pour plus de 600 employés, au titre des salaires impayés, des pénalités de retard et d’autres dommages. Le procès est toujours en cours.
Cette action vise à obtenir réparation pour des salaires impayés, mais d’autres actions intentées par des salariés ont porté sur les dommages liés à l’augmentation du risque ou à la survenance de l’usurpation de l’identité des salariés dont les données ont été divulguées lors d’une attaque.
Parmi les procès récents et notables qui ont mis en cause la responsabilité de l’employeur à la suite d’une cyberattaque, on peut citer :
- Five Guys — divulgation des numéros de sécurité sociale et des permis de conduire des candidats à l’emploi
- San Francisco 49ers — vol des noms, des dates de naissance et des numéros de sécurité sociale des employés
- Macmillan — l’attaque par ransomware a entraîné la publication des données des employés sur le dark Web et l’usurpation d’identité
L’impact d’une cyberattaque sur l’entreprise
Comme pour la violation de CommonSpirit, les cyberattaques ont un impact sur les entreprises dans un certain nombre de domaines différents.
- Responsabilité juridique — Les entreprises peuvent être tenues responsables des dommages après une violation de données des employés. Ces dommages peuvent inclure des éléments tels que le coût du remplacement des cartes bancaires, le coût de la surveillance des rapports ou d’autres coûts liés à la détresse émotionnelle causée par le risque d’usurpation d’identité.
- Sanctions réglementaires — Les entreprises peuvent se voir infliger des sanctions réglementaires, notamment des amendes pour la violation ou le fait qu’elles n’aient pas divulgué la violation aux parties concernées.
- Répercussions sur la réputation — Les coûts liés à la réputation peuvent gravement ébranler la confiance des clients et les performances de l’entreprise. Une image publique ternie, notamment auprès de futurs employés potentiels, peut compromettre la santé à long terme de l’entreprise.
- Interruption, restauration et remise en état des systèmes informatiques — Le FBI le déconseille, mais les entreprises peuvent choisir de payer une rançon pour restaurer l’accès à leur environnement. Quoi qu’il en soit, les coûts de forensique et de restauration liés à toute violation obligeront probablement les entreprises à modifier, remplacer ou mettre à jour les systèmes informatiques qui traitent les données des employés et d’autres données sensibles.
Comment réduire la responsabilité de l’employeur en cas de cyberattaque
La responsabilité de l’employeur et le respect des réglementations en matière de confidentialité augmentent les risques et les coûts, qui s’ajoutent aux dépenses déjà élevées liées à la réponse à une cyberattaque.
Selon le rapport de Keeper sur le recensement de la cybersécurité aux États-Unis en 2022, l’entreprise américaine moyenne subit environ trois cyberattaques réussies chaque année. Le coût moyen dépasse les 75 000 dollars, et 37 % des entreprises paient au minimum 100 000 dollars par cyberattaque. Le coût peut être dévastateur pour les petites et moyennes entreprises.
Les employeurs peuvent réduire leur responsabilité en cas de cyberattaque sur les données des employés en s’assurant qu’ils sont couverts de la manière suivante :
- Formation de sensibilisation à la cyber sécurité — Si les employés savent identifier un lien ou une pièce jointe suspects, ils peuvent éviter des ennuis à leur employeur. Éduquer les employés à reconnaître les signes courants de phishing ou de ransomware permet de protéger les employés et les entreprises contre les attaques.
- Politique de confidentialité des employés — La loi peut, dans certaines régions, exiger une politique de confidentialité des données des employés. Les politiques de confidentialité des données des employés expliquent comment les données des employés seront collectées, stockées et utilisées.
- Définir des mots de passe forts — Plus de 80 % des violations de données sont dues à des mots de passe faibles, volés ou réutilisés. Les employés qui ont un moyen de créer et de stocker des mots de passe forts et aléatoires peuvent éviter la cause la plus fréquente des violations de données.
- Gestion des privilèges — Une solution de gestion des privilèges permet aux entreprises de contrôler les autorisations et de surveiller l’utilisation des comptes critiques, limitant ainsi le risque d’accès non autorisé aux informations sensibles.
- Sécurité des fournisseurs — Si un fournisseur divulgue des données, il est important de noter que ce sont les employeurs, et non les tiers, qui sont responsables des violations de données. Il est essentiel de veiller à ce que les fournisseurs soient sécurisés pour mettre en place un environnement informatique solide.
- Plans de réponse aux incidents — Un plan de réponse aux incidents, qui détermine qui est en charge d’activités essentielles comme l’analyse forensique des systèmes, la restauration des données et la communication stratégique, devrait atténuer la responsabilité et l’impact global d’une violation à l’encontre d’un employeur.
- Cyber assurance — Une cyber assurance peut atténuer l’impact d’une violation, en permettant aux entreprises de limiter leurs risques et de couvrir le coût de leur réponse. De nombreuses stratégies de cyber assurance proposent aux entreprises à faible maturité informatique, qui courent davantage le risque d’être victimes d’une violation, une évaluation de l’état de préparation en vue d’améliorer les pratiques de sécurité et les programmes de formation des employés.
Responsabilité de l’employeur et gestion des accès à privilèges
Les employeurs peuvent limiter la responsabilité et les risques en contrôlant et en surveillant l’accès aux comptes et aux informations sensibles.
Keeper Privileged Access Manager (KeeperPAM) a été conçu pour protéger les environnements multi-cloud sans périmètre contre les cyberattaques. En proposant une gestion des mots de passe, des secrets et des connexions privilégiées de niveau entreprise dans une plateforme simple, KeeperPAM permet aux entreprises de réduire de manière rentable leur surface d’attaque et de protéger leurs employés et leurs appareils.