Autorité · données personnelles
Notification à l'autorité de contrôle sous 72 heures (art. 33), communication aux personnes si le risque est élevé (art. 34), registre des violations. Obligation du responsable de traitement.
Une violation de données personnelles doit être notifiée à l'autorité de contrôle sous 72 heures (RGPD art. 33). Les cabinets d'avocats couvrent l'obligation ; presque personne ne couvre le volet technique : comprendre ce qui a réellement été exfiltré et collecter les preuves. Ce volet est couvert par Fortgale.
La même violation peut déclencher deux notifications différentes, à des autorités différentes, avec des délais différents. Les confondre est un risque.
Notification à l'autorité de contrôle sous 72 heures (art. 33), communication aux personnes si le risque est élevé (art. 34), registre des violations. Obligation du responsable de traitement.
Pour les entités essentielles et importantes : alerte précoce 24 heures au CSIRT national. Voir NIS2 expliquée.
Une attaque ransomware avec exfiltration de données personnelles déclenche typiquement à la fois le CSIRT et l'autorité de contrôle. Elles doivent être traitées en parallèle.
L'autorité demande la nature de la violation, les données et personnes concernées, les conséquences et les mesures prises. Tout cela provient d'un travail technico-forensique, pas juridique.
Analyse forensique des logs, du trafic et des artefacts pour distinguer ce qui a été copié vers l'extérieur de ce qui a seulement été chiffré ou consulté. La base factuelle de la notification.
Collecte et préservation des preuves, chronologie de l'attaque, IOC, périmètre concerné : le matériel qui rend la notification exacte et défendable.
Éradication des attaquants, containment, restauration sûre. Le travail forensique dans la réponse à incident alimente la notification et arrête les dommages.
Lors de l'Operation Storming Tide, l'équipe Fortgale a reconstitué la chaîne multi-étapes et bloqué l'exfiltration RClone : établir ce qui a réellement été emporté est exactement ce dont une notification exacte a besoin.
Lire l'analyse →Deux obligations distinctes : autorité de contrôle (RGPD art. 33, données personnelles, 72h) et CSIRT national (NIS2, incident cyber, alerte précoce 24h). Un cas de ransomware avec exfiltration de données personnelles peut déclencher les deux. Voir NIS2 expliquée.
Sous 72 heures à compter de la découverte (art. 33). Si le risque pour les personnes est élevé, elles doivent aussi être informées (art. 34). Toute violation doit être consignée dans le registre des violations.
Fortgale couvre le volet technico-forensique : ce qui s'est passé, quelles données exfiltrées, les preuves, la containment. L'appréciation juridique et l'acte de notification restent au responsable de traitement et au DPO ou conseil juridique.
Avec l'analyse forensique des logs, du trafic réseau et des artefacts : on reconstitue ce que l'attaquant a réellement copié vers l'extérieur, en le distinguant de ce qui a seulement été chiffré. C'est la base d'une notification défendable.
Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Une notification rapide étayée par des preuves techniques solides est aussi une forme de protection dans l'appréciation de l'autorité.
Parlez à nos analystes : nous déterminons ce qui a été exfiltré, collectons les preuves pour la notification à l'autorité de contrôle et contenons l'incident. L'appréciation juridique reste à votre DPO ou conseil juridique, nous fournissons la base technique.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.