La CNIL veut accompagner la sécurité des traitements critiques

La CNIL prévoit de publier début 2024 une recommandation sur la sécurité des « traitements critiques ». L'autorité met en ligne le projet de texte et lance une consultation publique.

Certains services numériques qui utilisent et traitent des données personnelles comme, entre autres, ceux de la SNCF, d'EDF, des fournisseurs d'accès à internet ou des banques sont considérés par la CNIL comme effectuant des « traitements critiques » et ont donc besoin d'attention particulière au niveau de la sécurité des données qu'ils traitent.

Si ce genre de traitements concernent certains services commerciaux, l'autorité cite également les services publics dématérialisés comme les impôts, la gestion de l'identité (cartes d'identité, passeports, etc.), les services d’attribution des aides sociales ou d’assurance maladie, ou encore la gestion « des épidémies, de la recherche ou des mutuelles ».

Elle précise, qu'étant donné leur statut, les opérateurs d’importance vitale (OIV) peuvent aussi être concernés pour leurs traitements impliquant des données à caractère personnel.

L'autorité veut « accompagner au mieux » les professionnels concernés en proposant un document de recommandation sur la sécurité de ces « traitements critiques ». Elle vient de mettre en ligne son projet de document [PDF] et le soumet à une consultation des responsables de ces traitements. Ceux-ci peuvent donner leur avis d'ici au 8 octobre prochain sur le site de la CNIL pour une publication du document finalisé au début de l'année prochaine.

La direction générale directement responsable

De fait, la CNIL considère qu'un service est dans cette situation de « traitements critiques » quand deux conditions sont réunies. Le traitement doit être « à grande échelle "au sens du RGPD" », règlement qui donne des critères généraux sur ce qualificatif, mais « pas d'informations précises sur le nombre ou la nature de données traitées, sur la zone géographique que doit concerner le fichier ou sur la durée de conservation des données », dixit la CNIL.

Mais pour que les traitements soient considérés comme « critiques », il faut aussi qu' « une violation de données à caractère personnel [puisse], soit entraîner des conséquences très importantes pour les personnes concernées, soit entraîner des conséquences pour la sûreté de l’État ou pour la société dans son ensemble ».

Dans ce cas, la CNIL recommande que la protection des données à caractère personnel des traitements critiques soit directement portée par la direction générale de l'organisme. « À ce titre, cette dernière devrait s’assurer que des moyens suffisants sont mobilisés pour sécuriser les traitements critiques mis en œuvre et être régulièrement informée du niveau de sécurité de ces traitements par son responsable de la sécurité des systèmes d’information (RSSI) et par son délégué à la protection des données (DPD) », précise le projet de recommandation.

Pour l'autorité, l'organisme devrait se fixer des objectifs de sécurité et de protection des données à caractère personnel « clairs, vérifiables, mesurables et cohérents avec les risques ». La CNIL recommande la création d'un comité de suivi de cette sécurité ainsi qu'un bilan annuel « afin de tirer les leçons des éventuels incidents ».  

Enfin, une personne référente en matière de protection des données et de sécurité devrait être spécifiquement désignée pour chaque traitement critique.

Une analyse d'impact nécessaire

Avant la mise en œuvre de ce genre de traitements, la CNIL rappelle qu'une démarche de gestion des risques est particulièrement importante et qu'elle devrait être suivie par la direction de l'organisme elle-même avec la mise en place d'une analyse d’impact relative à la protection des données (AIPD). Celle-ci devrait être mise à jour régulièrement et fréquemment.

Cette analyse d'impact doit prendre en compte des scénarios de risques comprenant des attaques étatiques ou émanant d’organisations criminelles organisées, la compromission de prestataires tiers, l’exploitation de vulnérabilités inconnues de composants logiciels ou matériels, et la compromission de personnes habilitées à accéder au traitement.

Démarche de défense en profondeur

Dans la durée, l'autorité recommande de mettre en place une «  démarche de défense en profondeur » appliquée à la sécurité informatique en prenant appui sur le mémento publié par l'Agence nationale de sécurité des systèmes d'information (ANSSI). Elle insiste notamment sur le fait que « la sécurité des données et de leur traitement pour réduire un risque donné ne devrait pas être assurée par une mesure unique, mais par un ensemble cohérent de mesures capables de parer à la défaillance d’une mesure unitaire ».

L'autorité conseille aux responsables de traitements de s'inspirer de la logique « zéro confiance » (« zero trust »), qui remet en cause la « confiance implicite » accordée aux mesures traditionnelles de sécurisation du système d’information (SI), telles que les pare-feux, le cloisonnement (physique ou logique) ou les VPN. Mais comme l'explique l'ANSSI, si cette logique promet une garantie plus importante des accès sécurisés, elle entraine aussi de « nouveaux risques pour le niveau global de sécurité ».

Pour les sauvegardes, la CNIL recommande qu'elles fassent « l’objet d’un cloisonnement renforcé, qui ne permette d’y accéder qu’à partir de postes d’administration durcis », mais aussi que des tests de restauration soient effectués régulièrement, et qu'elles soient chiffrées. Une sauvegarde hors ligne au moins une fois par an « est indispensable ».

Centre opérationnel de sécurité pour gérer les incidents

La gestion de « traitements critiques » nécessite, selon la CNIL, de se préparer activement à d’éventuels incidents de sécurité ou violation de données, notamment en mettant en place des mesures de traçabilité particulièrement poussées (voir la recommandation sur la journalisation), ainsi qu'un « centre opérationnel de sécurité » spécifique en interne pour ce genre de problèmes.

L'autorité considère qu'une capacité de réponse rapide aux incidents est nécessaire et devrait être assurée par une « computer security incident response team » (CSIRT), qu'elle soit gérée, cette fois, en interne ou en externe.

Enfin, la CNIL souligne le besoin de maîtriser les relations avec les sous-traitants et partenaires, qui sont « autant de vecteurs d’attaque potentiels, pouvant constituer des vulnérabilités importantes ». Elle rappelle qu'un contrat conforme à l'article 28 du RGPD et à l'article 122 de la loi « informatique et libertés » doit être prévu.

Pour rappel, ce document n'est pas encore définitif et est soumis à une consultation en cours.