
Appréhender les retards de notification des violations
Si vos données personnelles sont exposées ou volées dans le cadre d'une violation de données, vous en serez presque toujours informé. Mais la notification peut arriver des jours, des semaines, voire des mois après la violation.
Il est légitime de s'en inquiéter, car tout retard donne aux criminels responsables de la violation davantage de temps pour exploiter vos données, y compris pour usurper votre identité, ce qui peut avoir des conséquences désastreuses.
Néanmoins, il est important de comprendre que plusieurs facteurs influent sur les retards de notification d'une violation de données dont vous êtes victime. Certains d'entre eux sont parfaitement légitimes. Certains relèvent de failles de sécurité. Et certains sont tout simplement incompréhensibles.
Que prévoit la loi ?
Avant d'aborder les différents facteurs qui peuvent entraîner un retard de réception des notifications, passons rapidement en revue certaines des lois et réglementations que les entreprises victimes de violations doivent respecter.
- Le Règlement général sur la protection des données (RGPD) de l'Union européenne prévoit l'une des réglementations les plus strictes, exigeant des entreprises qu'elles notifient les personnes concernées par une violation de données « sans retard abusif et au plus tard 72 heures après en avoir pris connaissance. »
- Aux États-Unis, la loi intitulée Health Insurance Portability and Accountability Act (HIPAA) exige que les entreprises signalent toute violation de données de dossiers médicaux personnels (DMP) à la fois aux ministères de la Santé et des Affaires sociales des États-Unis et à toutes les personnes concernées « sans retard déraisonnable » et, dans tous les cas, sous 60 jours.
- En mars 2022, le président Biden a promulgué la loi CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act of 2022), qui oblige les responsables d'infrastructures critiques à signaler les incidents de cybersécurité majeurs au ministère de la sécurité intérieure dans les 72 heures suivant leur découverte.
- Toujours aux États-Unis, chaque État applique ses propres lois relatives au signalement des violations de données. Celles-ci peuvent être sensiblement différentes. Certaines, comme celle de la Californie, ne fixent pas de délai spécifique mais précisent que les parties concernées doivent être notifiées « dans le respect de délais raisonnables ». D'autres, comme celles de l'Arizona, exigent que la notification soit envoyée sous 45 jours après la survenance d'une violation.
Malgré cette diversité de lois et de réglementations, il n'est pas rare que les violations soient signalées bien après la date prévue par la loi, même si cela semble être de moins en moins le cas par rapport aux années précédentes.
Raisons pouvant expliquer ces retards
Détection tardive des violations
L'une des raisons les plus courantes expliquant ces retards de notification est que l'entreprise en question n'a découvert la violation que bien après qu'elle soit survenue.
Les cybercriminels qui parviennent à infiltrer un réseau cible passent généralement des semaines, voire des mois, à parcourir les banques de données de leur cible, à y extraire des identifiants de personnes de haut rang, et ainsi de suite, sans être repérés. Ce type d'attaque est souvent qualifié de menaces persistantes avancées. Ainsi, même si une entreprise informe les personnes concernées immédiatement après la découverte d'une violation, il est tout à fait possible qu'à ce moment-là, les données soient déjà entre les mains de criminels depuis longtemps.
Bien que ce type de retard puisse être compréhensible, il indique que l’organisation victime d’une violation pourrait probablement améliorer sa posture de cybersécurité. Les solutions modernes permettant de détecter les piratages de comptes, les usurpations d'identité, les extractions illégales de données et le trafic de données internes illicites (telles que Barracuda Email Protection) peuvent assurer que, même si un réseau est infiltré, la violation sera décelée rapidement.
Enquête judiciaire
Il arrive que des entreprises victimes d'une violation fassent appel à des organismes d'application de la loi afin de mener une enquête sur cette violation en la considérant comme un acte criminel. En pareils cas, il n'est pas rare que les autorités chargées de l'enquête interdisent à l'entreprise de publier des communiqués, généralement parce qu'elles redoutent que les criminels ne tentent de brouiller les pistes et d'échapper aux poursuites.
Évidemment, ces retards ne sont pas imputables à l'entreprise victime de la violation. En réalité, si l'absence de notification permet d'appréhender les criminels impliqués, cela peut se traduire par un risque moindre pour les personnes concernées en cas d'utilisation abusive de leurs données volées.
Retards dus à des tiers
De nombreuses entreprises sous-traitent le traitement, le stockage ou la gestion de données protégées à des tiers. Lorsque ces entreprises tierces sont victimes d'une violation, il incombe toujours au détenteur principal des données d'en informer les personnes concernées, mais si l'entreprise tierce ne les informe pas de la violation en temps voulu, ce retard se répercutera inévitablement sur les clients ou les employés victimes, et ce même si l'entreprise principale est animée des meilleures intentions.
C'est ce qui est arrivé au réseau des écoles publiques de Chicago (CPS). En décembre 2021, Battelle for Kids, un fournisseur de technologie, a été victime d'une violation, exposant les données d'environ un demi-million d'étudiants. Battelle n'a cependant informé le CPS que tardivement, fin avril 2022. Ils ont prétendu que les raisons de ce retard étaient justifiées, mais le CPS a déclaré que tout retard constituait une violation de leur contrat.
Inquiétude vis-à-vis de la réputation
De temps à autre, on apprend qu'une entreprise a tardé à notifier la violation pendant plusieurs mois, voire années, ou a tout simplement refusé d'en informer les citoyens, par crainte de nuire à sa réputation, au cours de ses actions, etc.
Ça peut se comprendre. Après tout, plusieurs grandes entreprises ont enregistré des pertes significatives en termes d'activité, de chiffre d'affaires et de capitalisation boursière à la suite de sérieuses violations de données ; par exemple, la tristement célèbre violation des données de cartes de crédit subie par Target en 2013. Néanmoins, c'est illégal, cela témoigne d'un mépris pour les clients et les employés dont la vie peut être lourdement affectée et, à long terme, c'est inutile car la vérité finit par éclater et l'atteinte à la réputation se révèle plus virulente encore.
Un exemple récent d'une entreprise ayant vécu cette douloureuse expérience est Uber. En 2016, la société a été victime d'une importante violation de données et a tenu secrète cette information pendant plus d'un an, ce qui a suscité un tollé considérable lors de sa découverte. En 2022, en revanche, Uber a immédiatement fait état d'une nouvelle violation de données, avant même d'avoir pleinement analysé la nature et la portée de ce piratage.
Les bonnes (ou moins mauvaises) nouvelles
Malheureusement, les violations continuent d'être monnaie courante. La quantité de données déjà compromises et mises en vente sur le dark web est telle que les professionnels de la sécurité doivent partir du principe que les criminels ont accès aux identifiants et aux comptes piratés.
Toutefois, il convient de noter que les retards de notification des violations sont nettement moins fréquents qu'il y a quelques années. Cela est dû en partie à une meilleure application de la loi et à des amendes sévères en cas de violation des réglementations en matière de notification, et également au fait que l'on se rend de plus en plus compte qu'il est plus coûteux à long terme de tenter de dissimuler une violation que de la révéler sans attendre (se référer au cas Uber ci-dessus).
Un autre point positif est que la plupart des violations qui sont commises peuvent en fait être évitées. En mettant en œuvre des solutions modernes basées sur des plateformes de protection des e-mails, des réseaux, des applications et des API, ainsi que des données, la plupart des entreprises sont en mesure de réduire considérablement le risque de violation, et donc de protéger leurs clients, leurs employés et les autres parties prenantes contre les dangers bien réels de voir des données personnelles ou financières tomber entre de mauvaises mains.
Abonnez-vous à Journey Notes

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter