Le RGPD, le règlement européen sur la protection des données personnelles, était bien évidemment un des sujets forts de l’édition 2017 des Assises de la Sécurité, alors que son application se fera le 25 mai prochain. Tous les grands projets de mise en conformité ont été lancés, mais des questions demeurent.
Lors des dernières Assises de la Sécurité, Henry d’Agrain, délégué général du Cigref soulignait : « Dans un contexte de vulnérabilité croissante de données personnelles dans les systèmes d’information des entreprises et administrations publiques, pouvant induire une crise de confiance dans l’économie numérique, une remise à plat des règles du jeu s’avérait donc nécessaire. » En ce sens, le RGPD oblige toutes les entreprises à revoir leurs dispositifs de protection des données sachant que, comme l’a fait remarquer Matthieu Grall, chef du service de l’expertise technologique à la CNIL, la législation française était déjà bien avancée sur cette question : « J’ai tendance à dire que le règlement ne change pas grand-chose pour la France. Nous avons la loi Informatique et Libertés et le phénomène RGPD consiste pour beaucoup à découvrir qu’il y avait une loi… Fort heureusement, cela donne un levier pour nous, la CNIL, mais aussi pour vous, les acteurs de la sécurité. »
Une contrainte mais aussi un impératif en termes de confiance
Avec des amendes pouvant grimper jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le levier est effectivement de taille. Néanmoins, Jean-Claude Laroche, DSI d’Enedis, administrateur et président du cercle cybersécurité du Cigref estime que, outre l’arrivée du règlement européen, ce besoin de sécurisation de la donnée était indispensable : « La menace augmente. Les 6 premiers mois de l’année ont été marqués par les épisodes WannaCry et NotPetya, les systèmes d’information sont soumis à des attaques de plus en plus nombreuses et sophistiquées, mais par ailleurs travailler sur les données devient un élément clé du business de nos structures et s’accompagne d’une plus grande ouverture de nos systèmes d’information. Nous avons un contexte de vulnérabilité croissante et de risque sur les données. Cela pose le problème de la confiance et cela implique une prise de conscience. »
Régis Delayat, Chief Digital Officer du groupe Scor et vice-président du Cigref, a co-piloté le groupe de travail DPSI, un groupe conjoint entre l’AFAI (Association Française pour l’Audit Informatique), le Cigref et Tech in France, représentant des éditeurs de logiciels. Ce groupe a produit un rapport sur la mise en œuvre du RGPD publié le 14 novembre. « On parle aujourd’hui du RGPD, mais il existe beaucoup de réglementations dans le monde. Une centaine de pays ont élaboré et émis des recommandations sur les traitements de données personnelles, or nos entreprises, qui sont souvent globales, doivent se mettre en conformité avec l’ensemble de ces réglementations » explique Régis Delayat. « Nous avons le devoir et la contrainte de passer en revue les composants de nos SI, mais aussi nos organisations et notre gestion contractuelle pour se mettre en conformité. C’est un enjeu important pour les entreprises, un enjeu financier du fait du montant des pénalités, mais c’est surtout un enjeu opérationnel pour l’entreprise et son SI ainsi qu’un enjeu ‘réputationnel’.»
Des projets qui vont bien au-delà de la seule IT
Le groupe de travail DPSI a élaboré un outillage en trois volets avec une check-list en 50 points pour que l’entreprise évalue son niveau de maturité par rapport au RGPD. Il propose un ensemble de 300 mesures techniques applicables sur les systèmes d’information afin d’aller vers cette conformité, sachant que certaines sont d’ores et déjà appliquées, et que d’autres devront l’être ou pas, selon les choix de chaque entreprise. Le troisième volet consiste en un outillage juridique relatif à la gouvernance interne à mettre en place, le volet démonstration de cette conformité vis-à-vis de l’extérieur et enfin la gestion contractuelle.
Des PIA beaucoup plus larges
Matthieu Grall, de la CNIL, souligne que ces projets ne sont pas qu’un ensemble de technologies à déployer : « J’entends beaucoup de cabinets qui affirment que le chiffrement, la pseudonymisation sont suffisants pour être conforme, ce n’est pas du tout vrai. Le texte est très explicite à ce sujet, ce ne sont que des exemples. Les PIA (Privacy Impact Assessment, ou analyse d’impact sur la protection des données) sont beaucoup plus larges. Ils aident à bâtir et formaliser la mise en conformité. »
Pour le DSI d’Enedis, l’un des points les plus “dimensionnant” du projet de conformité RGPD est l’obligation de notification des fuites de données dans les 72 heures aux autorités. « Ce point vient percuter toutes les organisations qui, aujourd’hui, sont plus ou moins bien calées pour remonter ces informations au niveau des directions d’entreprises et des autorités. » C’est bien ce volet organisationnel qui va demander le plus de temps à être déployé dans les grandes entreprises.
« Ce qu’il faut retenir du texte, c’est que les mesures doivent être proportionnées au risque. Il traite autant des atteintes à la confidentialité que de leur disponibilité et intégrité. »
Mathieu Grall, CNIL
AVIS D’EXPERT
« La mise en conformité RGPD est un projet d’entreprise »
Régis Delayat, Chief Digital Officer du groupe Scor et vice-président du Cigref
« Le point clé, c’est qu’il est nécessaire d’engager un projet spécifique de mise en conformité au RGPD. Il s’agit d’un projet d’entreprise qui doit embarquer l’ensemble des composantes de l’entreprise, la direction générale, les métiers, le juridique, la compliance et bien entendu l’IT. Dans ce projet, il faut commencer par dresser un inventaire des données personnelles et les traitements associés, ce fameux registre des traitements évoqué par le RGPD. Une deuxième étape consiste à évaluer son niveau de maturité puis se livrer à une évaluation du risque. Tout n’est pas à traiter avec le même niveau de priorité. Il faut établir un plan d’action priorisé pour engager les projets. »
L’exfiltration par DNS, un danger mortel
pour les données personnelles
Quand on pense RGPD, on pense généralement chiffrement, anonymisation, WAF, contrôles d’accès renforcés pour les comptes à privilège… Pourtant le DNS pourrait bien être le maillon faible de la sécurité des données personnelles. Service de base d’un réseau IP, le DNS est bien souvent négligé. Or l’attaque contre Dyn en 2016, fournisseur américain de DNS, a montré l’importance de ce protocole qui est de plus en plus exploité pour exfiltrer des données. C’est ce qui est arrivé à une banque brésilienne, attaquée par un malware qui, pendant 5 heures d’affilée a pu mettre la main sur les moteurs de passe internes.
