RGPD et faille de sécurité : quelle est la démarche à suivre ?
Une faille de sécurité présente des risques pour la vie privée de l’utilisateur, l’usager ou le client. Ces risques peuvent faire l’objet de procédures spécifiques (encadrées par le RGPD) dès lors qu’elles sont susceptibles de porter atteintes aux droits et aux libertés des personnes concernées par l’exploitation d’une faille informatique.
C'est quoi une faille de sécurité ?
Une faille de sécurité peut être définie comme une vulnérabilité dans votre système d’information. L’exploitation de cette vulnérabilité par un tiers (malveillant ou non) pourrait compromettre l’usage de votre produit ou du service que vous proposez (celui-ci ne faisant plus l’objet de garanties de sécurités suffisantes pour vos bénéficiaires, utilisateurs ou clients).
La cybersécurité est un enjeu majeur. Selon un rapport de l’état de la menace rançongiciel en date du 05 février 2020, les pratiques de rançongiciel ont augmenté de 255% en 2020, chiffrant 192 signalements contre 54 en 2019. Les conséquences d’une telle attaque sont importantes pour les organismes victimes (atteinte à leur fonctionnement, leur réputation, et à la vie privée des personnes concernées).
Le RGPD prévoit deux volets concernant les failles informatiques.
Le volet relatif à la prévention du système d’information (article 32 du RGPD) qui concerne les mesures techniques et organisationnelles. Le second volet, concerne la procédure de notification des institutions compétentes (CNIL) et personnes concernées par une violation de leurs données personnelles de manière volontaire ou involontaire (articles 33 et 34 RGPD). Dans cet article, nous traiterons du premier volet relatif aux mesures techniques et organisationnelles dédiées à protéger le système d'information. Nous allons voir par la suite quelle est la la procédure de prévention des failles de votre système d’information à suivre (article 32 du RGPD).
RGPD et faille de sécurité : les mesures techniques
L’article 32 du RGPD impose aux responsables de traitement de mettre en place des mesures techniques et organisationnelles dans le cas d’un traitement de données. Ces mesures doivent avoir un niveau de sécurité équivalent aux risques encourues pour les données personnelles traitées.
Les mesures techniques peuvent se traduire par la sécurisation du hardware et du software.
Il peut s'agir de la sécurisation :
- du matériel (matériaux homologués par l’ANSSI, serveurs, mots de passe complexes, clés USB…)
- de la mise en relation entre ces différents matériaux (chiffrement, protection des flux TLS/SSL…, mise en place d’une hiérarchie d’administrateurs)
- du software (usage d’antivirus ou de firewall, de logiciels garanties ou seulement nécessaire à l’activité exercée, la limitation d’accès à certains sites internet)
Vous pouvez aussi retrouver notre articles sur les 3 pratiques simples pour améliorer la sécurité des données personnelles.
RGPD et faille de sécurité : les mesures organisationnelles
Les mesures organisationnelles sont toutes les mesures relatives à l’organisation gravitant autour de votre parc informatique. Cette branche de mesures vise généralement le personnel de votre entreprise. Outre le risque extérieur, les failles de sécurité sont généralement causées par des manquements de votre personnel.
Comment ? Ils peuvent être victimes d’ingénierie sociale (par exemple : le phishing ou la page internet piégée, qui sont généralement les points d’entrés des ransomwares), ou provoquer une faille de sécurité par de mauvaises habitudes d’usage.
Exemples de mesures organisationnelles :
- une cartographie des risques (pour schématiser les services pouvant avoir un impact sur la vie privée d’utilisateurs/bénéficiaires ou le développement de vos projets),
- hiérarchiser et cloisonner l’accès à certaines données de votre personnel en fonction de leur activité et responsabilités (exemple : Un commercial ne devrait pas avoir accès aux données RH de votre entreprise, que ce soit physiquement ou immatériellement).
- Encadrer l’accès à certaines données de votre prestataire de sécurité informatique via un contrat.
- Veiller à ce que votre sous-traitant ait un niveau adéquat de protection et prévoir cette solution par contrat.
- Faire un audit concernant les risques encourus en cas de cyberattaque.
- Mettre en place une sensibilisation continue de votre personnel en présentiel ou en e-learning (auprès d’une structure spécialisée comme Blockproof)
- Avoir prévu des scénarii en cas d’attaque et l’anticiper (le risque « 0 » n’existe pas).
La CNIL a mis à disposition un ‘‘Vademecum’’ consultable sur le lien suivant : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles.
Si ces mesures techniques et organisationnelles sont une étape clé dans la sécurisation de votre parc informatique, des attaques sont vites arrivées et méritent de suivre une procédure imposée par le RGPD qui sera étudiée dans un nouvel article bientôt disponible.
Ces articles RGPD pourraient vous intéresser :
- Cookies, RGPD et protection des données personnelles
- Sanctions RGPD : enseignements et exemples pour protéger votre organisme