Connexion
Abonnez-vous

La CNIL veut accompagner la sécurité des traitements critiques

Critical exposure

La CNIL veut accompagner la sécurité des traitements critiques

Le 29 août 2023 à 15h17

La CNIL prévoit de publier début 2024 une recommandation sur la sécurité des « traitements critiques ». L'autorité met en ligne le projet de texte et lance une consultation publique.

Certains services numériques qui utilisent et traitent des données personnelles comme, entre autres, ceux de la SNCF, d'EDF, des fournisseurs d'accès à internet ou des banques sont considérés par la CNIL comme effectuant des « traitements critiques » et ont donc besoin d'attention particulière au niveau de la sécurité des données qu'ils traitent.

Si ce genre de traitements concernent certains services commerciaux, l'autorité cite également les services publics dématérialisés comme les impôts, la gestion de l'identité (cartes d'identité, passeports, etc.), les services d’attribution des aides sociales ou d’assurance maladie, ou encore la gestion « des épidémies, de la recherche ou des mutuelles ».

Elle précise, qu'étant donné leur statut, les opérateurs d’importance vitale (OIV) peuvent aussi être concernés pour leurs traitements impliquant des données à caractère personnel.

L'autorité veut « accompagner au mieux » les professionnels concernés en proposant un document de recommandation sur la sécurité de ces « traitements critiques ». Elle vient de mettre en ligne son projet de document [PDF] et le soumet à une consultation des responsables de ces traitements. Ceux-ci peuvent donner leur avis d'ici au 8 octobre prochain sur le site de la CNIL pour une publication du document finalisé au début de l'année prochaine.

La direction générale directement responsable

De fait, la CNIL considère qu'un service est dans cette situation de « traitements critiques » quand deux conditions sont réunies. Le traitement doit être « à grande échelle "au sens du RGPD" », règlement qui donne des critères généraux sur ce qualificatif, mais « pas d'informations précises sur le nombre ou la nature de données traitées, sur la zone géographique que doit concerner le fichier ou sur la durée de conservation des données », dixit la CNIL.

Mais pour que les traitements soient considérés comme « critiques », il faut aussi qu' « une violation de données à caractère personnel [puisse], soit entraîner des conséquences très importantes pour les personnes concernées, soit entraîner des conséquences pour la sûreté de l’État ou pour la société dans son ensemble ».

Dans ce cas, la CNIL recommande que la protection des données à caractère personnel des traitements critiques soit directement portée par la direction générale de l'organisme. « À ce titre, cette dernière devrait s’assurer que des moyens suffisants sont mobilisés pour sécuriser les traitements critiques mis en œuvre et être régulièrement informée du niveau de sécurité de ces traitements par son responsable de la sécurité des systèmes d’information (RSSI) et par son délégué à la protection des données (DPD) », précise le projet de recommandation.

Pour l'autorité, l'organisme devrait se fixer des objectifs de sécurité et de protection des données à caractère personnel « clairs, vérifiables, mesurables et cohérents avec les risques ». La CNIL recommande la création d'un comité de suivi de cette sécurité ainsi qu'un bilan annuel « afin de tirer les leçons des éventuels incidents ».  

Enfin, une personne référente en matière de protection des données et de sécurité devrait être spécifiquement désignée pour chaque traitement critique.

Une analyse d'impact nécessaire

Avant la mise en œuvre de ce genre de traitements, la CNIL rappelle qu'une démarche de gestion des risques est particulièrement importante et qu'elle devrait être suivie par la direction de l'organisme elle-même avec la mise en place d'une analyse d’impact relative à la protection des données (AIPD). Celle-ci devrait être mise à jour régulièrement et fréquemment.

Cette analyse d'impact doit prendre en compte des scénarios de risques comprenant des attaques étatiques ou émanant d’organisations criminelles organisées, la compromission de prestataires tiers, l’exploitation de vulnérabilités inconnues de composants logiciels ou matériels, et la compromission de personnes habilitées à accéder au traitement.

Démarche de défense en profondeur

Dans la durée, l'autorité recommande de mettre en place une «  démarche de défense en profondeur » appliquée à la sécurité informatique en prenant appui sur le mémento publié par l'Agence nationale de sécurité des systèmes d'information (ANSSI). Elle insiste notamment sur le fait que « la sécurité des données et de leur traitement pour réduire un risque donné ne devrait pas être assurée par une mesure unique, mais par un ensemble cohérent de mesures capables de parer à la défaillance d’une mesure unitaire ».

L'autorité conseille aux responsables de traitements de s'inspirer de la logique « zéro confiance » (« zero trust »), qui remet en cause la « confiance implicite » accordée aux mesures traditionnelles de sécurisation du système d’information (SI), telles que les pare-feux, le cloisonnement (physique ou logique) ou les VPN. Mais comme l'explique l'ANSSI, si cette logique promet une garantie plus importante des accès sécurisés, elle entraine aussi de « nouveaux risques pour le niveau global de sécurité ».

Pour les sauvegardes, la CNIL recommande qu'elles fassent « l’objet d’un cloisonnement renforcé, qui ne permette d’y accéder qu’à partir de postes d’administration durcis », mais aussi que des tests de restauration soient effectués régulièrement, et qu'elles soient chiffrées. Une sauvegarde hors ligne au moins une fois par an « est indispensable ».

Centre opérationnel de sécurité pour gérer les incidents

La gestion de « traitements critiques » nécessite, selon la CNIL, de se préparer activement à d’éventuels incidents de sécurité ou violation de données, notamment en mettant en place des mesures de traçabilité particulièrement poussées (voir la recommandation sur la journalisation), ainsi qu'un « centre opérationnel de sécurité » spécifique en interne pour ce genre de problèmes.

L'autorité considère qu'une capacité de réponse rapide aux incidents est nécessaire et devrait être assurée par une « computer security incident response team » (CSIRT), qu'elle soit gérée, cette fois, en interne ou en externe.

Enfin, la CNIL souligne le besoin de maîtriser les relations avec les sous-traitants et partenaires, qui sont « autant de vecteurs d’attaque potentiels, pouvant constituer des vulnérabilités importantes ». Elle rappelle qu'un contrat conforme à l'article 28 du RGPD et à l'article 122 de la loi « informatique et libertés » doit être prévu.

Pour rappel, ce document n'est pas encore définitif et est soumis à une consultation en cours.

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Merci, ça m’intéresse. Je sais pas si nos clients sont complètement concernés mais ça le mérite de permettre aux petits de suivre une ligne.

votre avatar

(reply:2149445:Fab’z)
Si les clients de ton ESN (ex-SSII) sont des Organismes d’Importance Vitale (OIV) ils sont complètement concernés.
Exemple : EDF, SNCF, ENGIE, ….. mais aussi le Ministère de la Justice, le Ministère des Armées, ….


votre avatar

Ils ne sont pas classés comme OIV il me semble, c’est plus en périphérie de ceux là
(Cabinet de médecin, labo d’analyse, ehpad, …).

votre avatar

Dans la mesure où les organismes concernés par le dispositif OIV n’ont pas le droit de communiquer sur ce statut (la liste étant secrète), j’ose espérer que cette règle est aussi appliquée pour les prestataires :D

votre avatar

Je sais pas s’ils sont dans cette liste VIP mais on peut se douter qu’il faut un certain soin sur les données qui transit chez eux.



Si leurs informatique est HS, n’importe quel conccurent pourrait prendre le relais donc bon…

votre avatar

(reply:2149450:Fab’z)
Si c’est dans le domaine de la santé au sens large le Ségur du numérique va te faciliter la tache sur certains point puisque tous intervenants devra être identifié individuellement (il y a un élargissement du RPPS pour ça) et s’identifier de manière forte (via Pro Santé Connect )
Il doit avoir aussi des exigences de mise en oeuvre de certains processus de chiffrement etc pour avoir le label (avec 2 milliards d’euro pour les éditeurs de logiciels métiers, j’espère que cela sera le cas).


La CNIL veut accompagner la sécurité des traitements critiques

  • La direction générale directement responsable

  • Une analyse d'impact nécessaire

  • Démarche de défense en profondeur

  • Centre opérationnel de sécurité pour gérer les incidents

Fermer