English (Anglais)Deutsch (Allemand)
Français
Google+
LinkedIn
YouTube
Contact
CIL-BY-TNP2

(article écrit avec la participation de Davy DOUHINE [1], expert en sécurité IT )

La sécurité des données constitue un pan essentiel du Règlement Général de Protection des Données[2] personnelles. Il ne peut y avoir de conformité sans sécurité des données à caractère personnel.

La violation des obligations de sécurité y compris par négligence, est passible de sanction pouvant atteindre 10M € ou 2% du CA mondial d’un groupe. Le degré de responsabilité dépendra notamment des mesures techniques et organisationnelles mises en œuvre en vertu des principes de « Data protection by design » et de sécurité des données.

Or, malgré les risques de sanction évoqués ci-dessus et en dépit de la menace cybercriminelle, la grande majorité des organisations n’ont même pas implémenté les contrôles de sécurité les plus élémentaires[3]. Malheureusement, de  nombreuses organisations ne prennent toujours pas la sécurité des données au sérieux.

L’obligation de sécurité et de confidentialité du règlement ne porte pas seulement sur les données mais aussi sur « l’équipement utilisé » ainsi que sur l’utilisation non autorisée de ces données et de cet équipement. Il s’agit donc bien d’une obligation de sécuriser le système d’information.

L’article 5 dispose que les données doivent être protégées contre le traitement non autorisé ou illicite mais aussi contre la perte, la destruction ou les dégâts d’origine accidentelle.

Il est également indiqué que lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui traitent des données à caractère personnel, il convient d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications[4].

  • La malveillance comme la négligence ou l’accident sont susceptibles de constituer des manquements à l’obligation de sécurité.
  • L’intégrité et la confidentialité des données doivent être assurées à l’aide de mesures techniques ou organisationnelles appropriées.
  • La sécurité des données doit être intégrée par défaut et dès la conception dans les produits, services et applications.

Qui est responsable de la sécurité des données ?

Le responsable de traitement et désormais les sous-traitants devront respecter l’obligation de sécurité des données personnelles.

Le sous-traitant doit offrir des garanties quant à ses connaissances spécialisées sur les mesures de sécurité.

En outre, chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement situé en dehors de l’UE tiennent un registre des traitements comportant dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Enfin, le règlement précise que le responsable de traitement doit démontrer « l’efficacité » des mesures.

Qu’entend-t-on par « mesures techniques et organisationnelles appropriées » ?

Sur ce point, l’article 32 du Règlement est plus précis que ne l’était la Directive européenne qui a été transposée en droit français dans la loi Informatique et Libertés du 06/01/1978.

  • D’une part, les mesures dépendent de l’état des connaissances et des coûts de mise en œuvre.

Ces mesures comprennent, entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel qui permettent de limiter les risques pour les personnes et de respecter les principes de protection des données dès la conception et de protection des données par défaut.

La pseudonymisation permet un traitement de données à caractère personnel sans toutefois qu’elles puissent être attribuées à une personne précise sans recours à des informations supplémentaires qui doivent être conservées séparément et de manière sécurisée pour éviter toute ré-identification de la personne.

Ainsi le Règlement indique que des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale.

Le chiffrement permet de rendre les données inintelligibles aux entités extérieures à leur traitement ; seules les entités (personnes, machines) autorisées peuvent déchiffrer les données pour accéder à leur contenu en clair. Un chiffrement de bout en bout par exemple protège la confidentialité des données. Cependant, toutes les solutions de chiffrement ne se valent pas. Les puissances de calcul évoluent constamment et les recherches de faiblesses dans les algorithmes s’accélèrent si bien qu’un choix judicieux s’impose[5].

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d)une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

L’organisation doit donc planifier des audits de sécurité réguliers afin de vérifier la sécurité organisationnelle, le PRA/PCA, de procéder à des tests techniques (audit des vulnérabilités et tests d’intrusion[6]…).

Les lignes directrices et bonnes pratiques relatives à la gestion de la sécurité des informations[7] et les recommandations d’organismes reconnus tels que l’ANSSI[8], l’OWASP[9] ou l’ENISA[10] par exemple, permettent de connaitre l’état de l’art des connaissances.

L’application d’un code de conduite ou d’un mécanisme de certification approuvés peut servir d’élément pour démontrer le respect des exigences.

  • D’autre part, les mesures dépendent de la nature, de la portée, du contexte, des finalités et des risques liés au traitement.

Les risques s’apprécient au regard des droits et libertés des personnes physiques ; il s’agit des risques résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral aux personnes concernées.

Tel est le cas lorsque le traitement pourra donner lieu à une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel, un renversement non autorisé du processus de pseudonymisation, ou à tout autre dommage économique ou social important.

Il en va de même lorsque les personnes concernées sont susceptibles d’être privées de leurs droits et libertés ou de la maîtrise de l’utilisation qui est faite de leurs données à caractère personnel, ou quand le traitement concerne un nombre important de données sensibles ou de personnes vulnérables, ou lorsque des aspects personnels sont évalués à des fins de profilage individuel.

Les risques sont évalués en fonction d’un degré de probabilité et de gravité de manière méthodique. La CNIL recommande notamment l’utilisation de la méthode EBIOS adaptée à la protection des données et de la vie privée mais il peut aussi s’agir de l’ISO 27005 ou de toute autre méthode.

Les traitements automatisés de cyber-sécurité hébergés dans le nuage

Dans ses considérants, le règlement indique que le responsable de traitement a un intérêt légitime à des traiter des données à caractère personnel en vue d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, ou de faire cesser des attaques par « déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.

Ce traitement doit cependant respecter les principes de protection des données. Il doit être strictement nécessaire et proportionné, les personnes doivent être informées et le traitement ne doit pas aboutir au transfert de données à caractère personnel en dehors de l’Union Européenne sans un cadre juridique approprié et conforme à la loi.

Les services de cybersécurité hébergés dans le cloud sont très en vogue[11].

Face à la quantité de logs générés, les organisations peuvent s’appuyer sur des outils innovants permettant de les traiter à la volée pour les corréler ; ces outils sont généralement réservés aux entreprises disposant déjà d’une sécurité opérationnelle relativement mature. Il est aussi possible de sous-traiter ce type de prestations ; dans tous les cas, il faudra alors prendre en compte les risques que cela implique pour la protection des données. Certains de ces produits sont développés entièrement en France en partenariat avec des centres de recherches et peuvent être utilisés en mode SaaS avec un hébergement en France.

Les logiciels de « Threat Intelligence » sont aussi très prisés des grosses entreprises, ainsi qu’à plus grande échelle les plateformes effectuant des analyses de données (« Big Data Analytics ») pour répondre aux incidents et comprendre comment par qui et quand les données sont utilisées.

Ces produits traitent de gros volumes de données nominatives, des informations sur le comportement des individus, parfois même des bribes de communications (en-têtes de mails, métadonnées de communications téléphoniques ou instantanées) voire des données de localisation. En général, tout ou partie des données sont analysées dans le « cloud », souvent en dehors de l’Union Européenne. Comme pour n’importe quel traitement de big data impliquant des données à caractère personnel, il conviendra d’évaluer les risques liés à ce type de traitements.

L’exigence de sécurité impose la mise en place d’une démarche d’amélioration continue

Une telle démarche demande du temps et exige de faire des choix budgétaires suffisamment tôt.

Les organisations doivent donc prendre un certain nombre de mesures sans délai et notamment :

  • Sensibiliser le personnel salarié et les prestataires, en particulier les équipes informatiques, les dirigeants sans oublier les développeurs aux fondamentaux de la protection des données et aux vulnérabilités humaines reposant notamment sur l’ingénierie sociale,
  • Définir les rôles et les responsabilités en interne et avec l’aide de professionnels le cas échéant,
  • Analyser les risques liés aux traitements de données à caractère personnel,
  • Définir les mesures adaptées aux risques,
  • Respecter les principes de défense en profondeur qui vise à protéger chaque élément de la chaîne,
  • Documenter les politiques et procédures,
  • Mettre en place une équipe en charge de la sécurité opérationnelle,
  • Vérifier, corriger et améliorer.

[1] http://randorisec.fr/

[2] Règlement 2016/679 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

[3] Source ENISA

[4] Application du principe de « data protection by design »

[5] http://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/

[6] http://randorisec.fr/a-few-tips-on-burp-suite-and-web-application-penetration-testing/

[7] Exemple : L’ISO 27002 : 2013 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information

[8] Agence nationale de la Sécurité des Systèmes d’Information

[9] Open Web Application Security Project

[10] Agence Européenne chargée de la sécurité des réseaux et de l’information

[11] Real-time monitoring and analytics, advanced authentication and identity and access management.

 

Article précédent Tout comprendre sur le Privacy Shield et sur ses conséquences Article suivant Overview of the 38th International Privacy Commissioners Conference at Marrakech, Morocco

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

X