Il est courant de lire des propos assimilant RGPD et cybersécurité. Le RGPD étant un règlement impliquant de nombreux enjeux au delà de la seule sécurité des données, les deux sujets sont bien évidemment distincts mais ils affichent des intersections importantes.
Les violations de données personnelles sont une des intersections majeures.
Dans le RGPD, une violation de données à caractère personnel est définie dans l’article 4.12 comme “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données”.
Cette définition couvre de manière large une grande diversité d’évènements indésirables concernant des données personnelles, y compris certains évènements qui ne sont pas naturellement appréhendés comme violation de données. C’est le cas d’un effacement ou d’une perte de disponibilité (même temporaire) : même si les données personnelles n’ont pas été volées ou divulguées, l’impact sur la vie privée des personnes peut être fort. Par exemple la perte inopinée de vos données médicales peut avoir des conséquences sur votre prise en charge hospitalière, on peut alors difficilement imaginer un impact plus critique.
Cette large couverture de la définition des violations de données la fait correspondre parfaitement à la compromission d’un des 3 piliers de la cybersécurité.
Disponibilité : de manière définitive (effacement) ou temporaire (problème d’accès), les données personnelles ne sont plus disponibles : tout traitement de ces données est donc temporairement ou définitivement impossible.
Intégrité : les données personnelles ont été modifiées de manière inadéquate, et ne sont donc plus correctes. Il peut s’agir d’un effacement d’une partie de ces données, mais aussi d’une modification de ces données, de manière ciblée ou de manière aléatoire ou désordonnée.
Confidentialité : des données personnelles ont été divulguées à des personnes ou des organisations qui ne sont pas des destinataires prévus dans le cadre d’un traitement de ces données.
Pour plus d'informations sur les règles de disponibilité, d'intégrité et de confidentialité des données, consultez notre dernier article de blog.
Pour assurer la conformité d’un traitement de données au RGPD, il est important de garder à l’esprit que chacun de ces piliers peut être fragilisé de différentes manières, augmentant alors le risque de survenue d’une violation de données.
Disponibilité : en submergeant un serveur de requêtes inutiles, comme lors des attaques par déni de service.
Intégrité : par l’escalation de privilèges, un compte sans droit d’écriture peut les acquérir.
Confidentialité : les attaques de sniffing interceptent les données de flux, et peuvent les exploiter lorsqu’elles ne sont pas cryptées.
De plus, de manière identique à ce qui doit être considéré en cybersécurité, les violations de données dans le RGPD concernent les manipulations purement accidentelles avec la même attention que les interventions malveillantes.
Exemple de violation de données par manipulation accidentelle : effacement d’une base de données par l’exécution de requêtes en base de production par une personne non-qualifiée. La mise en place d’environnements de travail adéquats (bases de tests, de non-régression, d’intégration, de production) ainsi que de matrices de permissions adaptées répondent à cet exemple de risque. Ces éléments seront complétés par la mise en place de back-up permettant la recovery d’une base en cas de besoin.
Exemple de violation de données dû à une intervention malveillante : il s’agit ici des piratages dont la presse parle fréquemment. Il peut s’agir de multiples types d’attaques, que ce soit pour voler des données, pour stopper le fonctionnement d’un système (déni de service), ou pour extorquer des finances (arnaque au président, rançongiciel, etc.). Les types d’attaques existent par dizaines, et se protéger à un niveau adéquat demande en général de sécuriser un périmètre large, allant du système d’information (serveurs, réseaux), au code de logiciels (attaques par applications) et au usages de travail des collaborateurs (comportement en déplacements professionnels, utilisation des e-mails, etc.).
De manière globale, pour être conforme au RGPD vis-à-vis des violations de données, une organisation doit :
Anticiper et prévenir au mieux ces risques,
Savoir identifier et gérer les incidents,
Assurer une gestion transparente de ces violations.
Prévention : la cybersécurité par design permet de concevoir des systèmes dont l’architecture réduit les risques (cloisonnement par exemple) ou dont la sécurisation est facilitée (identification par SSO par exemple). La conduite d’audit de sécurité, suivi d’une campagne d’implémentation des contre-mesures, est nécessaire. Un accompagnement à la conception sécurisée par des spécialistes permet d’atteindre une sécurité par design. Il est important de ne pas oublier aussi la sécurité par défaut, dont la règle d'or est de supprimer toute donnée non-utilisée.
Identification et gestion d’incidents : l’installation de systèmes de monitoring de données, tels que SDI (Système de Détection d’Intrusion) par exemple, permet de répondre à l’obligation d’identification de certains incidents. Différents systèmes de monitoring sont à réfléchir en fonction des cas. Quant à la gestion des incidents, elle passe par la nécessité de rédiger les bonnes procédures de gestion d’incidents, d’assurer leur suivi, et d’en assurer l’efficacité, par exemple en effectuant régulièrement des exercices de PCA et de PRA.
Transparence : chaque violation de donnée doit être répertoriée dans le registre des violations, interne à chaque organisation, et surtout doit potentiellement faire l’objet d’une déclaration à la CNIL et d’une communication aux personnes concernées, selon le risque sur la vie privée associé à la violation concernée. Il ne s’agit pas ici d’un sujet de cybersécurité, mais cela montre la nécessité de maîtriser l’utilisation faite de vos données pour évaluer les risques, ainsi que l’importance de gérer votre cybersécurité avec un lien fort avec la direction d’une organisation pour assumer le délicat exercice de déclaration et de communication auprès de personnes concernées. Le sujet de la gouvernance de la cybersécurité prend ici toute son importance.
Conclusion : technicité et globalité
La conformité au RGPD vis-à-vis des violations de données implique un large besoin de cybersécurité technique, pour pouvoir anticiper les dizaines d’attaques possibles, toujours plus sophistiquées.
De plus, cette sécurisation des données concernent les attaques malicieuses, mais aussi les incidents involontaires, et nécessite de préparer des plans de recovery multiples. La globalité d’un système d’information est concerné.
Cette facette cybersécurité du RGPD souligne l’importance d’être accompagné par des experts de la sécurité sachant sécuriser tous les aspects du numérique, pour assurer la conformité au RGPD. Elle renforce aussi l’importance d’une collaboration efficace entre DPO et RSSI.
Ces besoins ont été appréhendés par CyberSecura : nous pouvons vous accompagner sur tous les volets de sécurité numérique - infrastructure, applications, gouvernance -, ainsi que sur votre conformité au RGPD avec notre service de DPO externalisé.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
Comments