La sécurité organisationnelle peut être abordé sous les angles suivants.
L’analyse et la gestion des risques
Le RGPD est venu préciser des notions et des exigences dont certaines étaient déjà présentes dans la loi informatique et libertés avant sa nouvelle rédaction (depuis l’ntrée en vigueur du RGPD). Par exemple l’article 32 RGPD prévoit concernant la sécurité des traitements que le niveau de sécurité doit être adapté au risque mais avec l’ajout de notions nouvelles comme la prise en compte de l’état des connaissances et des coûts de mise en oeuvre, ou encore la responsabilité des sous-traitants pouvant être désomais directement sanctionner.
Il est important de comprendre que le RGPD n’est pas venu réinventer les concepts de sécurité informatique mais les a plutôt consacrés. Le fait que les coûts de mise en oeuvre sont aujourd’hui explicitement mentionnés comme étant un critère de faisabilité ne signifie pas que les contrôleurs de la CNIL ne tenait pas déjà compte de cet élément avant l’entrée en vigueur du RGPD.
L’intérêt de l’analyse est de pouvoir identifier les précautions utiles à prendre au regard de la nature des données et des risques présentés par le traitement afin de préserver la sécurité des données.
Prenons pour exemple une équipe de commerciaux travaillant au sein d’une entreprise de vente de fenêtres. Les vendeurs de fenêtres se déplacent généralement sur un secteur géographique déterminé pour démarcher des clients à leur domicile. Ils ont pour outil principal leur ordinateur portable qui leur permet d’accéder au fichier clients de l’agence afin de d’organiser leur rendez-vous et mettre à jour l’avancement des négociations et ventes.
L’analyse du risque va consister à analyser le contexte, les évènements redoutés, les menaces et les risques, ceci en vue de pouvoir envisager les mesures adaptées.
Dans notre exemple, le contexte concerné correspond aux données des clients, il s’agit du fichier client généralement géré via le CRM de l’entreprise.
L’analyse de risque consiste à lister tous les évènements redoutés, c’est-à-dire pouvant présenter un risque en terme de faille de protection des données personnelles. En cas de perte ou vol du portable du commercial lors de ses déplacements (cas très fréquent), l’évènement redouté est alors l’accès au contenu de l’ordinateur, dont le fichier client, par une personne non autorisée.
Les menaces sont quant à elles constituées par des événements non habituels, nouvelles menaces, qui vont se glisser comme un grain de sable dans le système d’information. Il peut s’agir par exemple d’un accès supplémentaire récemment accordé à un sous-traitant. Cela peut constituer une nouvelle menace en ce sens que des nouvelles personnes extérieures à l’organisme vont pouvoir accéder au réseau informatique.
Une nouvelle menace peut également correspondre à une nouvelle habitude ou tendance qui n’était pas encore très habituelle ou ancrée dans la politique de l’entreprise. Par exemple les BYOD “Bring your own device”, il s’agit d’un nouveau phénomène, les employés ou personnes externes, vont amener leur propre matériel dans l’entreprise de type tablette ou laptop, afin de l’utiliser pour travailler, transférer ou partager des documents, se connecter au réseau, éditer du contenu ou encore imprimer des documents. Il n’est pas rare que des commerciaux privilégient d’accéder à un fchier client via leur smartphone plutôt que par l’ordinateur portable sécurisé de l’entreprise.
La gestion du risque
Typologie des risques
- Risque physique: par exemple la destruction des données dûe à une inondation qui a détruit le disque dure, sans sauvegarde.
- Risque logique: par exemple une sauvegarde prévue par une procédure qui n’a pas fonctionnée et les données ont été perdues suite à une inondation sans sauvegarde du disque drue.
- Risque humain: très fréquent. Par exemple un salarié qui confie un mot de passe par négligence ou tromperie.
Les risques doivent être hiérarchisés, certains seront considérés comme étant négligeables ou résiduels compte tenu notamment de la probabilité de réalisation du risque et/ou du volume de données traitées.
Hiérarchisation des risques
Si l’on part du principe qu’il y a 4 niveaux de risques:
- Négligeable
- Limité
- Important
- Maximal
Une association d’une dizaine de membres ayant une newsletter, la protection des données des abonnés s’impose mais le risque que la liste soit volée pour être vendue est Négligeable.
Une liste importante de simple nom et prénom de français ne présente pas un risque important car ils sont facilement déjà trouvable en ligne dans des annuaires, toutefois le nombre d’individus nous conduit ici à un niveau de risque Limité.
Si l’on ajoute une donnée de type date de naissance, on passe alors d’un risque de niveau Limité à Important.
Si l’on ajoute une donnée sensible de type numéro de sécurité sociale, on passe d’un risque de niveau Important à Maximal.
Nous l’avons vu, il convient de bien lister les évènements redoutés, la CNIL risque de sanctionner un manquement à la sécurité pour un événement qui aurait du être identifié de toute évidence comme étant redouté. Pour chaque exigence du RGPD il faut être capable de prévoir les évènements redoutés et les mesures prises en adéquation.
En ce sens, l’exigence de conservation doit donner lieu à une politique de conservation des données au sein de l’entreprise, en cas de vol de données, l’impact sera décuplé si aucune procédure d’archivage n’était mis en place, la CNIL sanctionnera alors certainement le manque de prévoyance.
La sécurité des systèmes d’information implique un travail continu, une maintenance et une réévaluation régulière des contextes, des évènements redoutés et des mesures appropriées.
La première analyse de risque implique systématiquement des efforts particuliers et un investissement plus important que les analyses subséquentes. Des outils et méthodes sont disponibles sur le marché pour accompagner les organismes et les délégué à la protection des données personnelles en charge de la mise en conformité. La nouvelle méthode d’analyse de risque 2018 de l’Anssi dédiée au cyber et dénommée EBIOS Risk Manager fait office de référence.
Application de mesures
Voici quelques exemple de mesures à appliquer au sein de l’agence de vente de fenêtres:
- Mesures logiques: Chiffrer le laptop (chiffrement complet du disque dure), rendant l’accès impossible aux données sans la clé.
- Mesures physiques: Sensibiliser les commerciaux, de les conserver constamment avec eux lorsqu’ils voyagent en transports en commun, même s’ils se rendent au bar pour manger ou encore aux toilettes. (en savoir plus sur la sécurité physique des données)
Les mesures techniques mises en place par la DSI sont généralement contraignantes puisque difficiles à contourner par les employés. Il en va différemment des mesures non techniques que les employés sont appelés à appliquer en pratique telles que les procédures, le chartes informatiques, respect de la PSSI, etc. C’est dans cet espace que la difficulté est accrue puisque l’application des recommandations dépend principalement de la volonté de chaque employé, hors le personnel n’est pas toujours sensibilisé aux dispositifs.
Le niveau de sécurité d’un système d’information se trouve très souvent entre la chaise et la souris.
Une menace récurrente le “Fishing” ou “Ameçonage” tire avantage de la zone de liberté d’action des employés d’accéder à un mail puis de cliquer naïvement sur un lien d’apparence inoffensif mais qui va initier le chargement d’un programme malveillant sur le système informatique de l’employé qui, une fois connecté au réseau, va neutraliser l’ensemble des fichiers de ce même réseau en les cryptant pour exercer un chantage avec demande de rançon afin de libérer le blocage du réseau. Il faut savoir que des entreprises payent régulièrement des rançons très élevées sans même obtenir la levée du blocage par la suite. La sensibilisation du personnel est donc cruciale en terme de protections des données.
On estime que la vulnérabilité technique représente 20 % des failles de sécurité informatique contre 80 % s’agissant de la vulnérabilité humaine.
Aujourd’hui les DSI ont un niveau de maturité qui a fortement progressé, la mise en place d’outils de défense techniques (pare-feu, filtre, proxy, mot de passe sophistiqués) est maîtrisée, même si régulièrement mise à épreuve par l’utilisation de nouvelles techniques de fraudes.
Les DSI sont en revanche d’avantages concernés par les zones de risques moins bien maîtrisées représentées par les risques non techniques, de nombreux efforts sont déployés sur la formation et la sensibilisation des nouveaux employés, des stagiaires, des intérimaires, des employé anciens, des cadres supérieurs, dirigeants et dirigeants.
Il faut noter que la difficulté rencontrée par les DSI peut très souvent venir du haut de l’organigramme, tout d’abord car il est plus délicat d’imposer des règles vers le haut de la hiérarchie que vers le bas, puis contrairement à certains préjugés les cadres sont parfois moins bien aguerris à l’utilisation de nouvelles technologies et outils informatiques que le reste des employés. Il arrive également fréquemment qu’un dirigeant refusent de s’encombrer de mots de passe multiples et sophistiqués pour accéder à ses dossiers.