Il est impossible aujourd’hui de se prémunir totalement contre les cyberattaques, menaces que tous doivent prendre en compte. La situation est particulièrement sensible si la cyberattaque touche une entreprise qui traite des données à caractère personnel : ces données peuvent être compromises ou dérobées, et cela entraîne des obligations supplémentaires à l’égard des personnes concernées.
La législation en matière de cybersécurité est en pleine évolution. Actuellement, les responsables de traitements de données à caractère personnel sont tenus à une obligation de sécurisation des données issue de la directive 95/46/CE et de la loi Informatique et Libertés. Ces responsables de traitement peuvent aussi potentiellement être concernés par d’autres législations en matière de sécurité selon leur domaine d’activité. Il peut s’agir de la qualification d’Opérateur d’Importance Vitale : ils seront alors soumis, en application de la loi de programmation militaire de décembre 2013, à des obligations additionnelles concernant la sécurité de leur Système d’Information d’Importance Vitale.
Quelles sont les étapes que doivent suivre les entreprises en cas d’incident de sécurité ?
Avant touts incidents : prévoir un plan d’action
L’étape incontournable intervient en amont de tout incident. Il s’agit de se placer dans une optique de gestion des risques, ou risk management.
Le risque zéro n’existe pas en informatique. S’il est essentiel de prévoir des mesures de sécurité aussi poussées que possible pour protéger son système, il est évident que l’on ne peut pas se prémunir de tout incident de sécurité. Il convient donc de procéder à plusieurs mesures :
- Analyse des risques possibles et proposition de mesures en cas de survenance de chacun de ces risques ;
- Prévision des étapes que les opérationnels vont devoir suivre pour mettre fin à l’incident de sécurité ;
- Prévision du plan de continuité d’activité : document pratique amené à servir de support aux opérationnels et portant sur la poursuite de l’activité pendant un incident de sécurité ;
- Mise en place d’un système continu de détection des incidents de sécurité, afin de pouvoir réagir au plus tôt et ainsi, limiter les dégâts.
Ces précautions préalables doivent permettre de faire en sorte que, lors d’un incident de sécurité, il n’y ait plus qu’à agir en suivant les étapes prédéterminées. Ainsi, au moment critique, il n’y aura pas ou peu d’hésitations sur les mesures à prendre et les rôles de chacun.
Il peut être intéressant de déterminer à l’avance les prestataires de sécurité à qui il sera fait appel en cas de faille, si l’entreprise ne dispose pas du savoir-faire technique pour remédier au problème. Il conviendra alors d’avoir déjà négocié les conditions d’interventions du prestataire et d’avoir signé un accord de confidentialité.
Le responsable de traitement doit discuter de ces mesures et s’assurer de leur implantation avec ses sous-traitants, ses prestataires, ses destinataires, etc.
Prévoir de manière détaillée la conduite à tenir en cas d’incident a aussi un intérêt probatoire à l’égard de la CNIL, de l’ANSSI ou en cas de recherche de responsabilité : cela sert pour documenter sa bonne foi et l’absence de faute.
Pendant l’incident : réagir efficacement
Quand l’incident de sécurité survient, il faut agir efficacement.
Le risque est d’agir dans la précipitation et de causer encore plus de dégâts, ou de passer à côté de l’occasion de minimiser l’étendue de la faille.
S’il a été prévu des mesures de sécurité en cas d’incident de sécurité, il convient de les appliquer. Il faut alors isoler les systèmes compromis, identifier l’origine de l’incident, y remédier, identifier les données compromises, etc. Il est possible de recourir à son prestataire si cela a été prévu ou si cela est nécessaire, sans omettre de lui faire signer un contrat prévoyant un accord de confidentialité et ses obligations.
A cette étape cruciale, attention à ce que l’entreprise communique. Il peut exister une vraie pression poussant à donner rapidement des informations au public, aux actionnaires, aux partenaires, etc. Il convient de garder en tête que communiquer des informations trop tôt, c’est prendre le risque qu’elles soient ou fausses ou incomplètes, ce qui peut impacter l’image de l’entreprise.
Selon l’étendue de la faille et le type de données concernées, il peut être obligatoire de notifier les personnes concernées et divers organismes étatiques. Ainsi, les OIV devront obligatoirement se mettre en relation avec l’ANSSI en cas d’incident de sécurité. En matière de données personnelles, la CNIL doit également être notifiée.
Pendant toute cette étape, il faut documenter toutes les démarches entreprises pour mettre fin à l’incident, toutes les notifications effectuées, et toutes les failles découvertes. Cela permettra en cas de besoin de prouver que tous les moyens possibles ont mis en œuvre.
Après la survenance : tirer les enseignements
Une fois l’incident conclu et le système informatique remis sur pied, il faut gérer les conséquences de l’incident.
Il est primordial d’étudier l’incident de sécurité et le déroulé des opérations. Il convient à cet effet de tirer les enseignements des failles détectés : qu’est-ce qui était vulnérable ? Comment pallier cette vulnérabilité ? Quels ont été les points difficiles pour les opérationnels ? Qu’est-ce qui a fonctionné et qu’est-ce qui n’a pas fonctionné par rapport aux mesures prévues initialement ? Il est par exemple indispensable de remédier aux failles ayant entraîné l’incident de sécurité. Si un autre incident de sécurité arrive par le même biais dans le futur, l’entreprise pourrait faire face à des conséquences lourdes (sanctions, responsabilité engagée, etc.).
Le Club de la sécurité de l’information français (CLUSIF) publie un grand nombre d’études sur des points sensibles de la cybersécurité des entreprises. Cela peut être d’une grande aide pour comprendre l’incident de sécurité et comment empêcher qu’il ne se reproduise à l’avenir (site du CLUSIF).
Les exigences en matière de cybersécurité sont amenées à évoluer dans un futur proche. Le règlement européen 2016/679 ou RGDP, qui remplace la directive 95/46 et rentrera en vigueur en mai 2018, renforcera l’obligation de sécurisation des données personnelles. Il est aussi possible que les responsables de traitement rentrent dans le champ d’application de la directive SRI, ou NIS, du 6 juillet 2016, qui consacre deux nouvelles catégories d’acteurs, les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (directive NIS). La directive fera notamment peser sur ces deux types d’acteurs des obligations de notification des incidents de sécurité, et offre aux autres la possibilité de notifier volontairement les autorités. Cette directive doit être transposée avant mai 2018 en droit français.
Mathias Avocats ne manquera pas de vous tenir informé de ces évolutions, et vous accompagne dans votre conformité à la législation en matière de données personnelles.