À l’heure où cet article est écrit, un hôpital de la région parisienne est confronté à une cyberattaque. Au-delà des aspects opérationnels auxquels le personnel hospitalier doit faire face, la potentielle divulgation des données personnelles est également un enjeu, et non des moindres, que va devoir gérer l’équipe IT de cet établissement de santé.
Dans ce nouvel opus dédié à la violation des données, nous allons vous aider à mieux appréhender la manière de protéger les données personnelles que votre entreprise stocke, mais également des conseils pour anticiper une éventuelle fuite.
Rappel des fondamentaux
Avant toute chose, il est primordial de savoir de quoi l’on parle quand il s’agit de données personnelles. La CNIL définit une donnée personnelle comme suit :
« Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Une personne physique peut être identifiée :
- directement (exemple : nom et prénom) ;
- indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais également la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : nom) ;
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association). »
L’augmentation de la collecte des données personnelles ces dernières années, due en partie à l’essor des nouvelles technologies, mais également à l’intensité de l’usage illégale de ces données, a incité l’Union européenne à mettre en place une réglementation pour protéger les usagers. C’est dans ce cadre qu’un règlement a été mis en application en mai 2018, la fameuse RGPD.
Cette réglementation vise à encadrer le traitement de la donnée sur le territoire de l’UE. Elle concerne tous les organismes qui ont à traiter des données.
Ainsi, il est du devoir de toute entreprise ou organisation d’être en conformité avec la RGPD sans quoi, elle s’exposerait à des sanctions qui peuvent aller jusqu’à 4% du CA annuel mondial.
Dans la pratique, l’entreprise doit établir un plan d’actions en 6 grandes étapes :
- Désigner un pilote
- Cartographier les traitements de données personnelles
- Prioriser les actions à mener pour se conformer aux obligations
- Gérer les risques
- Organiser les processus internes
- Documenter la conformité
En tant qu’expert en cybersécurité, nous allons nous attarder sur la gestion des risques qui est pour nous un des points majeurs de cette réglementation. En effet, si un effort particulier n’est pas mis en œuvre pour la protection des données, le reste du plan d’actions aura peu d’intérêt.
Gestion des risques et sécurisation des données
Le premier point à considérer, lors de la gestion des risques, est de bien identifier les données et leur traitement. En effet, il se peut qu’au sein de l’entreprise, un service collecte des données et les stocke de manière non sécurisée (tableau Excel en local, par exemple), un traitement qui pourrait engendrer un risque de violation, en cas de perte du terminal ou d’une cyberattaque. Mais, d’autres cas de figure sont à considérer (capteurs sur la flotte de véhicule de l’entreprise…). Il est donc impératif de recenser tous les points de collecte de données. Des outils permettent d’inventorier les données pour aider les entreprises dans ce travail de fourmi.
Une fois identifiées, ces données doivent être classifiées en s’appuyant sur des critères spécifiques et définis en amont, pour qu’elles puissent être l’objet d’une protection efficace, mais également pour aider à leur localisation et leur récupération. Par ailleurs, il est nécessaire d’associer chaque type de données à un risque et aux conséquences de leur exposition pour l’entreprise. Grâce à cette classification et l’identification des potentiels risques liés aux données, il sera aisé d’établir des mesures opérationnelles et techniques pour assurer leur intégrité.
Par exemple, d’un point de vue organisationnel, on pourra désigner les personnes ayant les droits d’accès à telle ou telle donnée, ainsi que l’autorisation d’effectuer des opérations sur ces données (téléchargement, transfert interne/externe…).
D’un point de vue technique, ce sera le déploiement de solutions dédiées, par exemple une approche Zéro Trust.
Que faire en cas de fuite de donnée, et donc de violation ?
N’attendez pas d’être victime d’une fuite de données pour élaborer votre plan de crise. L’anticiper c’est déjà la gérer pour moitié. On ne souhaite pas vous effrayer, mais la CNIL enregistre un nombre croissant de notifications de violation de données (dont la moitié suite à une attaque par ransomware), prenez ainsi les devants.
Voici les étapes indispensables que nous vous recommandons de mettre en place :
- Définir un planning des actions à mener au plus vite comme la notification de la fuite à la CNIL (vous avez un délai de 72h), mobilisation des équipes…
- Définir une procédure de gestion des violations de données ainsi que les parties prenantes
- Établir un processus d’escalade qui permettra la mise en place d’un plan adapté en fonction de la gravité de la situation
- Définir le rôle de chacun ainsi que les responsabilités et organiser des cellules de crise
- Mettre en place des campagnes de sensibilisation en interne pour placer vos collaborateurs en première ligne
Et, si vous souhaitez vous faire accompagner dans la mise en œuvre d’un plan de protection des données, nos experts sont à votre écoute pour vous y aider.
