Analyse d’Impact Relative à la Protection des données: Une méthode, un exemple (Partie 4)

L’entreprise doit identifier et classifier les risques objectifs!

Il s’agit alors pour la PME de se demander qui, ou quoi, pourrait être à l’origine des risques dans le contexte particulier du traitement considéré. En l’espèce, les sources de danger peuvent être humaines (accès non-autorisé, hacking, « vol » de données sur un serveur exchange …

Il s’agit ensuite d’identifier les modes opératoires pouvant être utilisés, volontairement ou non, par les sources de risque, qui sont en mesure de provoquer des événements redoutés : perte de données personnelles, intrusion dans l’Active Directory, détournement de correspondances, captation des pièces jointes, introduction d’un ransomware, etc.

Par thomas Beaugrand, Cabinet Staub & Associés

Lire la suite de l’article

Share This:

Analyse d’Impact Relative à la Protection des données: Une méthode, un exemple (Partie 3)

Comment assurer la stricte conformité du traitement aux exigences réglementaires ?  A cette étape, l’entreprise doit recenser les mesures juridiques à mettre en œuvre afin d’assurer la conformité du traitement de données envisagé au RGPD ainsi qu’à d’éventuelles réglementations sectorielles complémentaires (données bancaires, données de santé, OIV, etc.). Par Thomas Beaugrand, Cabinet Staub & Associés

Lire la suite de l’article

Share This:

Analyse d’impact relative à la protection des données: Une méthode, un exemple (partie 2)

Qui intervient lors de l’Analyse Impact relative à la Protection des Données? L’AIPD s’effectue à l’initiative du responsable de traitement qui doit veiller à sa réalisation. Le DPO a un rôle essentiel, mais il n’est pas en soi « responsable » de l’AIPD. Celle-ci fait intervenir plusieurs populations de l’entreprise… Par Thomas Beaugrand, Cabinet Staub & Associés

Accéder à la suite de l’article

Share This:

L’analyse d’impact relative à la protection des données : Une méthode, un exemple

L’analyse d’impact –AIPD-[1] est l’une des pierres fondamentales du RGPD[2] et de la nouvelle réglementation de protection des données personnelles, car elle conduit l’entreprise à mener une analyse intégrale des conséquences de ses traitements pour les personnes concernées, notamment en cas de dysfonctionnement, de fuite ou de corruption de leurs données. L’apparition de cette exigence dans le RGPD traduit la généralisation d’une approche « risk based », fondée sur la prévention des dommages plutôt que sur leur remédiation (ou indemnisation !) en cas de sinistre. Par Thomas Beaugrand, Cabinet Staub & Associés. 1ère Partie

Toutes les entreprises sont concernées, depuis les multinationales aux nombreux transferts transfrontaliers, jusqu’aux start-up spécialisées dans les nouvelles technologies data, en passant par de nombreux secteurs traditionnellement à risque (santé, assurance, enfants mineurs, etc.).

Pour une PME qui ne disposerait pas des ressources internes [3]pour mener de telles analyses et qui souhaiterait pas exemple mieux contrôler les risques liés à la messagerie électronique, comment par exemple identifier son engagement à l’AIPD, et comment peut elle correctement mener les analyses ? La réponse en 11 points clés et un exemple pratique que toute PME peut rencontrer.

  1. Comment mon entreprise peut-elle appréhender son éventuelle obligation d’exécuter une AIPD avant de mettre en œuvre un traitement de données personnelles?

    Imaginons que vous ayez déjà désigné votre DPO et élaboré un registre de vos traitements. Vous décidez de mettre en œuvre une nouvelle stratégie (i) d’analyse automatique du flux des emails sortants, à des fins de détection d’éventuelles fuites d’information et, de plus, (ii) de surveillance et d’évaluation des salariés, capable de reporter lesdites fuites.

    Vous allez donc mettre en œuvre un certain nombre de traitements automatisés de surveillance de flux et de contenus, comme c’est très souvent le cas dès lors que l’employeur fournit à ses personnels des outils de communications électroniques. Or, ces outils entraînent nécessairement la collecte et le traitement de nombreuses informations liées aux comportements de vos salariés.

  2. Quand mon entreprise doit-elle mener l’AIPD ?

    L’AIPD doit être réalisée au plus tôt de la conception de l’opération de traitement, et ce même si certains éléments du traitement ne sont pas encore connus. Dans ce cas l’AIPD sera actualisée et précisée au fur et à mesure du traitement. Et en toute hypothèse, l’AIPD doit être menée et finalisée avant la mise en œuvre effective du traitement.

    D’ailleurs, si le traitement a été mis en œuvre avant l’entrée en application du RGPD et qu’aucune AIPD n’a été entreprise, le responsable du traitement doit l’interrompre, et engager l’AIPD avant de remettre en route le traitement en cause.

    Il existe toutefois des tempéraments pour certains traitements qui avaient fait l’objet d’une autorisation par la CNIL avant l’entrée en vigueur du RGPD : si le traitement est resté totalement inchangé, n’implique ni nouvelle donnée, ni changement de finalité, alors l’AIPD peut être repoussée quelques temps. Mais le sujet ne doit surtout pas disparaître : tôt ou tard, le traitement qui nécessite une AIPD devra en faire l’objet. Lire la suite

    [1] Les analyses d’impact préalable (AIPD) ou « études d’impact sur la vie privée (EIPV) » sont des outils de prévention, d’évaluation et de gestion des risques qu’une entreprise doit mettre en œuvre, lorsqu’elle est sur le point de réaliser un traitement de données personnelles qui est susceptible, selon le texte qui les impose, d’entrainer un risque pour les droits ou libertés fondamentales des personnes.

    [2] l’article 35 du Règlement européen Général de Protection des Données 2016-679, entré en vigueur le 25 mai 2018, qui impose aux entreprises et organisations de mettre en œuvre une « analyse d’impact relative à la protection des données », lorsqu’un traitement « en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

    [3] La CNIL, en France, a produit de nombreux outils très simples d’utilisation, dont un logiciel open source permettant de jouer des analyses d’impact en renseignant directement les caractéristiques des traitements de données et des dispositifs techniques utilisés pour les effectuer. La CNIL a également produit une documentation méthodologique abondante, à laquelle il est ici renvoyé.

Share This:

Résilience collective et défragmentation au cœur de la stratégie Cyber européenne

Les grands acteurs français et européens de la cyber sécurité se sont entendus sur la mise en œuvre d’une résilience collective et d’une défragmentation européenne pour lutter contre la menace cyber. La mise en application du Cyber Act en est l’illustration.

Lors de l’European Cyber Week qui a réunit à Rennes, la DGNUM du Ministère des Armées, l’ECSO[1], le pôle d’excellence Cyber, l’ANSSI[2] et la commission européenne, l’appel au décloisonnement et à la défragmentation européenne a été unanime.


Guillaume Poupard, Directeur Général de l’ANSSI, a rappelé que « le temps de l’UE n’est pas celui du cyber et qu’il faut agir vite, se structurer, décloisonner et revenir à une approche d’analyse des risques pour prendre les bon arbitrages ». Même constat pour Jean François Jünger, Head of Cybersecurity Technology and Capacity Building de la DG Connect qui a rappellé que « si l’Europe a un rôle majeur à jouer dans la cyber sécurité, elle doit le faire dans une approche transverse, multi niveaux et sans frontières. »

La première étape de cette stratégie est rentrée en application au travers de la transposition de la directive NIS (Network and Information Security) dans le droit national des pays membres en date du 9 mai 2018.  Depuis le 10 décembre, le Cyber Act vient renforcer le mandat de l’ENISA[3] qui devient ainsi officiellement, l’agence européenne pour la cyber sécurité, chargée de la définition et de la mise en place d’un cadre de certification européen  pour tous les produits et services répondant aux standards de sécurité applicable.  L’ENISA sera donc chargée de la préparation des nouveaux schémas de certifications en étroite collaboration avec les agences nationales de sécurité telles que l’ANSSI en France et le BSI[4] allemand.

Intégrer les risques Cloud et IoT au Cyber Act

La question soulevée étant de savoir comment seront intégrées et valorisées les dizaines d’années de travaux de certifications des agences européennes (y compris ANSSI et BSI) au sein de ce nouveau Framework, qui rappelons le, vise à harmoniser les schémas de certifications de sécurité actuels, tout en prenant compte des nouveaux risques sécuritaires liés au Cloud Computing et à l’IoT. Voir aussi l’article sur les certifications Cloud

Cette stratégie de cyber sécurité européenne comprendra également, dans le cadre du Marché Numérique Européen –DSM- le développement de nouveaux outils collectifs dont un centre européen de recherche et de compétences –ECCC– pour partager les meilleurs pratiques cyber au niveau des états membres, au renfort d’un budget de 2 milliards d’euro sur 7 ans.

Il est à noter que certaines de ces initiatives ont déjà été mises en place dans plusieurs pays telles que la création du Cybersecurity Competence Center C3[5] et de la plateforme de partage et de traitement des risques cyber MISP au Luxembourg.

Adapter les niveaux de certifications aux typologies d’entreprise.

Selon François Thill, conseiller cyber sécurité au ministère luxembourgeois de l’économie et représentant de l’ENISA, les standards actuels de cyber sécurité cadrés autour de l’ISO/IEC 27001 se concentrent sur des niveaux très élevés de protection et sont discriminatoires envers les petites et moyennes entreprises, créatrices d’innovation, mais qui ne peuvent engager des démarches de certification aussi longues et coûteuses.

A l’inverse, si la création d’un cadre de certification uniformisé est nécessaire au DSM, reste encore à définir les niveaux de standards à certifier (haut, moyen et bas)  ce qui permettrait de n’exclure aucune typologie d’entreprise du champ de certification.

C’est une approche qui peut être discutée et qui permettrait au moins de renforcer  la qualification en matière de sécurité et la visibilité de tous les acteurs de Cloud et de l’IoT actuels (IaaS, SaaS, PaaS), dans une approche de résilience collective.

Rappelons aussi à cet effet qu’ EuroCloud France et EuroCloud Deutschland_eco ont annoncé une coopération plus étroite dans le but de développer davantage les relations bilatérales de leurs membres et coordonner les travaux de réflexion, incluant notamment les questions du Cloud et de la Sécurité au niveau européen.

 

[1] ECSO European Cyber Security Organisation

[2] ANSSI Agence Nationale de la Sécurité des Systèmes d’Information

[3] ENISA Agence Européenne chargée de la sécurité des réseaux et systèmes d’informations

[4] BSI  Office fédéral de la sécurité des systèmes d’informations

[5] C3 Cyber Security Competence Center

Share This:

A quoi servent les certifications de sécurité ?

Share This:

Les entreprises qui étudient le déploiement d’une solution Cloud examinent presque toujours la question centrale de la sécurité. Certaines solutions sont certifiées, d’autres non. A quoi sert la certification ? Qu’est-on en droit d’attendre d’une solution certifiée ? Le point avec Christophe Jolivet, directeur de PROSICA.

Une direction des systèmes d’information peut sélectionner son fournisseur Cloud selon plusieurs critères qui dépendent du client et de ses objectifs. La sécurité fait souvent partie des éléments incontournables, surtout si les informations traitées sont sensibles ou si les fonctions attendues du service Cloud sont critiques du point de la disponibilité ou de l’intégrité. Les gages de sécurité que le fournisseur peut apporter à son client sont diverses : reconnaissance du marché, réponse à un questionnaire, autorisation d’audit, moyens financiers mis en œuvre pour se protéger, compétences
internes… La certification ou l’attestation est un des éléments de réponse qui présente des intérêts autant pour le prestataire que pour son client. L’objectif est de renforcer la confiance qu’un client peut avoir vis-à-vis de son fournisseur sans avoir à traiter les mêmes questions sur les mesures de
protection à chaque nouvelle relation commerciale.

Le mécanisme de certification peut être requis par des obligations légales ou réglementaires. Par exemple, en France, la réforme de l’agrément de l’hébergement des données de santé (HDS) impose la mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO
27001. Le référentiel de certification HDS comprend des exigences complémentaires issues des normes ISO 27017 (sécurité de l’information dans le Cloud), ISO 27018 (protection des données à caractère personnel) et ISO 20000 (certification des services informatiques). Autre exemple, le
règlement européen pour la protection des données (RGPD) insiste sur l’importance d’initier des chantiers de certifications (voir en particulier les préambules 77, 81, 100, 166, 168, l’article 25 et l’article 42). Le règlement stipule :

Les États membres, les autorités de contrôle, le comité et la
Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données.

Ces certifications incluent la certification de personnes (certification des Délégués à la Protection des Données ou Data Protection Officer par
exemple) et des systèmes d’information. On doit donc s’attendre à la généralisation de ces mécanismes.

Actuellement, les fournisseurs Cloud se reposent sur plusieurs types de certifications ou d’attestations dont voici quelques exemples.

Certifications et attestations (*) Validité Rapports et diffusion Référentiel Audit Commentaires
ISO 27001 3 ans avec une surveillance à 18 mois Rapport public reprenant le périmètre. Documents du SMSI [1] non publics (DdA [2], analyse et traitement des risques…) Exigences ISO 27001, bonnes pratiques ISO 27002 et ISO 27017 Indépendant par un organisme accrédité Reconnu internationalement et parfois imposé par des lois locales (exemple HDS [3] en France)
ISAE 3402 Validité Rapports et diffusion Référentiel Audit Commentaires
ISAE 3402 Mise à jour annuelle recommandée SOC2 (diffusion restreinte) et SOC3 (public) – type I (description des mesures) et II (avis de l’auditeur sur l’efficacité) Contrôle interne pouvant intégrer plusieurs référentiels en fonction des objectifs Interne ou externe Reconnu internationalement pour toute activité externalisée
CSA STAR Dépend du niveau choisi (par exemple 3 ans pour la CSA Certification) Rapport public reprenant le périmètre et les mesures génériques de sécurité Cloud Control Matrix Auto-évaluation (niveau 1) ou audit indépendant (niveau 2) Reconnu pour les fournisseurs américains
SecNumCLOUD 3 ans Publication des fournisseurs qualifiés sur le site de l’ANSSI, contenu non public Référentiel public pour le niveau essentiel, restreint pour le niveau avancé Indépendant sous la responsabilité de l’ANSSI Initiative nationale, quelques fournisseurs français en cours de qualification

(*) Ces certifications et attestations peuvent être obtenues pour tous types de service Cloud (IaaS, PaaS ou SaaS) et modèles (public ou privé).

Le SMSI (système de management de la sécurité de l’information) ISO 27001 est intéressant car il prouve que le fournisseur a défini un cadre pour gérer sa sécurité en rendant incontournables un certain nombre de points comme l’analyse et le traitement des risques, la sélection de mesures de sécurité appropriées au travers la déclaration d’applicabilité ou la formalisation d’un processus de gestion des incidents de sécurité. La certification est obtenue pour 3 ans après un audit d’un organisme accrédité avec un mécanisme de surveillance après 18 mois. La certification IS0 22301
poursuit les mêmes objectifs pour la continuité des activités, fondamentale pour un fournisseur Cloud et ses clients.

La démarche d’attestation ISAE 3402 est une référence reconnue pour évaluer la qualité des contrôles et des procédures, dont les aspects de sécurité, d’une activité externalisée. De nombreux hébergeurs et fournisseurs Cloud disposent de cette attestation et des rapports SOC 1, 2 et 3 associés. A noter que l’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité. Cette association a mis au point un nouveau référentiel « SOC for Cybersecurity ». Ce réferentiel définit 19 critères pour décrire et évaluer un programme de gestion des risques qui présente un intérêt certain dans le cadre de la sécurisation des offres Cloud.

Des démarches spécifiques au Cloud ont été initiées. STARAUDIT soutenu par EUROCLOUD présente une approche sous la forme de niveaux de protections, de 3 à 5 étoiles pour des offres de services IaaS, PaaS ou SaaS. CSA STAR (soutenu par la Cloud Security Alliance, d’origine américaine) présente un mode de certification à trois niveaux (autoévaluation, certification indépendante ainsi qu’un troisième niveau de contrôle continu prévu par le référentiel mais pas encore en place). De nombreuses offres Cloud sont déjà certifiées.

En France, le référentiel SecNumCloud permet de détenir un visa sécurité de l’ANSSI (agence nationale de la sécurité des systèmes d’information) pour un service Cloud. Deux niveaux « essentiel » et « avancé » sont définis en fonction du niveau de sécurité attendu par le client. Des discussions sont en cours pour généraliser la démarche à plusieurs pays européens). A noter que l’agence de sécurité allemande, BSI, a développé son référentiel C5 (Cloud Computing Compliance Controls Catalogue) qui permet à un organisme d’audit accrédité de délivrer un rapport de conformité (même principe que les rapports SOC de l’ISAE 3402). Des discussions sont en cours pour développer un label européen (European Secure Cloud Label).

Sans être la réponse ultime, ces certifications participent à renforcer la confiance d’un client envers son client qui reste maitre d’analyser ses risques et de prendre la décision d’utiliser tel ou tel service, avec telles ou telles protections complémentaires. Il est important de vérifier que le périmètre de certification correspond au service Cloud que l’on utilise. La connaissance du référentiel de certification est intéressante pour le client. Il peut l’utiliser pour approfondir des éléments de son analyse de risque, en particulier lors des discussions qui s’engagent avec ses fournisseurs avant le choix d’une offre.

[1] Système de Management de la Sécurité de l’Information – Information Security Management System
[2] Déclaration d’applicabilité – Statement of Applicability – reprenant les mesures de sécurité et les justifications d’exclusion
[3] Hébergeur de Données de Santé

Share This:

Le Global Cybersecurity Index 2017 vient d’être publié. La France se place au 8ème rang!

L’Union Internationale des Télécommunications-ITU- vient de publier l’édition 2017 de son Index de Cybersécurité (GCI) qui passe au crible, le niveau d’engagement des états membres en matière de cyber-sécurité, au travers de critères clés d’évaluation et notamment de mesures légales, techniques, organisationnelles, de développement des capacités et de coopération. Des analyses régionales (Afrique, Amériques, Pays arabes, Asie-Pacifique, Communauté des Etats Indépendants et Europe), complétées de courts « focus » pays offrent un éclairage particulièrement instructif de la situation internationale de la lutte contre le cyber crime.

On apprend ainsi que l’engagement en matière de cybersécurité n’est pas lié à la localisation géographique: Singapour obtient le meilleur score global (0.92). La France se plaçe au 8ème rang ex aequo avec la Géorgie. Si notre pays obtient le meilleur score en terme de « capacity building » au même niveau que les Etats Unis, c’est au niveau organisationnel et de la coopération en matière de cybersécurité, qu’elle obtient le score le plus bas (0.60)

La France doit améliorer ses capacités organisationnelles et de coopération en matière de cyber sécurité

De même si l’Europe obtient un très bon score global, c’est bien l’Estonie qui arrive en tête du classement (devant la France),  grâce à sa capacité organisationnelle à répondre rapidement et efficacement à des cyberattaques et à maintenir un niveau opérationnel minimal, même en cas de coupure totale du réseau Internet. L’Estonie a par ailleurs été choisie pour établir le siège du centre d’Excellence de coopération de l’OTAN en matière de cyberdéfense.

Mettre en place une véritable culture de la cyber sécurité
La cyber sécurité représente en effet tout en écosystème au sein duquel, les lois, les organisations, les compétences, les implémentations techniques et les coopérations se doivent d’être harmonisées pour être efficaces. Par ailleurs, la cyber sécurité n’est pas juste l’affaire d’un engagement politique et gouvernemental, mais elle est aussi le reflet de forts engagement du secteur privé et des usagers. Le rapport publié par les experts de l’ITU explique ainsi à juste titre que pour lutter contre les cyber attaques, il est important de mettre en place au niveau des Etats nations, une culture de la cyber sécurité, dans lesquels les usagers sont complètement conscients des risques et des usages.

Le rapport complet de 80 pages peut être téléchargé à l’adresse suivante:

https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-PDF-E.pdf

 

Share This:

RGDP et sécurité: comment articuler les deux démarches ?

Par Thomas Beaugrand et Luc Herbert

En avril 2016, l’Union Européenne a finalement adopté la règlementation spécifiquement consacrée à la protection des données personnelles des Européens, attendue de longue date : le Règlement Général de Protection des Données Personnelles (« RGDP »).

Ce texte est d’application directe dans tous les pays membres (contrairement à la précédente Directive européenne de 1995) et entrera pleinement en vigueur à compter de mai 2018. A cette date, toutes les entreprises dont les activités ou établissements sont basés sur le territoire européen, ou offrant des biens et services aux personnes physiques situées sur le territoire de l’UE, devront être conformes. Continuer la lecture de « RGDP et sécurité: comment articuler les deux démarches ? »

Share This:

Comment les banques s’arment face aux cyber attaques : Quid des solutions

Dans ce troisième et dernier volet, nous avons tenté de dresser un panorama des solutions technologiques existantes, permettant aux banques de mieux de prémunir contre les cyber attaques.

Broker d’accès sécurisé aux applications Cloud, Blockchain, Machine Learning, biométrie, cryptogramme dynamique : La liste n’est certes pas exhaustive, mais elle offre les pistes les plus prometteuses en terme de cyber sécurité. Continuer la lecture de « Comment les banques s’arment face aux cyber attaques : Quid des solutions »

Share This:

Les nouveaux investissements des DSI dans leur stratégie de Cyberdéfense (1ère partie)

Les entreprises investissent de plus en plus de leur budget IT dans les technologies émergentes dans le but d’anticiper et de détecter une variété toujours plus importante des menaces numériques qui pèsent dangereusement sur leurs réseaux. Ce qui inclut les escroqueries par phishing et ce que l’on appelle communément les APT ou francisé les menaces avancées persistantes. Ces nouvelles menaces numériques sont belles et bien présentes à l’esprit des membres du comité de direction de chaque entreprise dont le réseau est connecté à Internet.

A titre d’exemple, le DSI de Juniper Networks, Bob Worral, a récemment déclaré, dixit « Notre montant d’investissement a augmenté parce que les capacités d’attaques cybernétiques de nos assaillants ont considérablement évoluées, » sur son budget IT il a donc investi 12 pour cent de plus en 2016 sur l’utilisation de solutions de cyber sécurité que sur l’exercice 2015. Et en 2017, il prévoit d’augmenter encore le budget qu’il consacre à la cyber sécurité pour protéger toutes les données corporatives et tout ce qui est associé à un matériel ou contenu classifie comme du ressort de la propriété intellectuelle. Je le cite encore « Au fur et à mesure que le temps passe, les pirates d’Internet deviennent plus habiles et intelligents, nous devons donc en faire de même. »

Lire la suite sur le blog de Juniper Networks

Share This: