Sécurité des systèmes d’information : de nouvelles règles bientôt en vigueur

Publié le 12/02/2018 - CIO Online - S. Foulgoc

Les attaques contre les systèmes d’information sont de plus en plus nombreuses et de même que les fuites de données qui en sont la conséquence. En 2018, avec l’entrée en vigueur du RGPD et la transposition en droit français de la directive dite « NIS », les entreprises doivent se préparer à implémenter de nouvelles réglementations en matière de sécurité. A défaut, des sanctions pécuniaires sont à craindre.

Vers une responsabilisation accrue des entreprises

Le 8 janvier 2018, la CNIL prononçait une amende de 100 000 euros à l’encontre de la société Darty pour une atteinte à la sécurité de ses données clients. Une faille de sécurité dans les formulaires de contact développés par un prestataire informatique avait rendu accessible les coordonnées de clients formulant des demandes de services après-vente ainsi que leurs adresses email et mots de passe créés pour ce service. Cette sanction est prononcée au visa de l’article 34 de la loi informatique et libertés qui dispose de façon générale que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Mais concrètement, quelles sont les précautions qui, selon la CNIL, n’ont pas été prises dans cette affaire ? La CNIL a rappelé qu’il incombait aux responsables de traitement de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel traitées et, en particulier, d’empêcher que les données ne soient accessibles à des tiers non autorisés. En l’occurrence, la CNIL a considéré que Darty avait « fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients ».

Plus en détail, la CNIL a considéré qu’il appartenait au responsable de traitement « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par [le sous-traitant] répondaient à l’obligation de confidentialité énoncée à l’article 34 de la loi précitée ». La CNIL ajoute par ailleurs « qu’en retenant un logiciel standard dit sur étagère proposé par son prestataire, il [lui] incombait (…) de procéder aux vérifications des caractéristiques de ce produit qui auraient permis d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci ». La CNIL ajoute que la « vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques ». Enfin, la CNIL « estime que la société a fait preuve de négligence dans la surveillance des actions de son prestataire dans la résolution de la violation » en ne demandant pas un compte-rendu quotidien des actions en ce sens.

La CNIL requiert donc ici que le responsable de traitement se substitue à son sous-traitant dans les actions à entreprendre en matière de sécurité puis dans la vérification de leur mise en œuvre. Elle rejette les arguments avancés en défense selon lesquels certains des griefs formulés devaient être imputés directement au sous-traitant.

Est-ce que le RGPD va apporter des précisions sur les mesures que les entreprises doivent prendre, selon qu’elles interviennent en qualité de responsable de traitement ou de sous-traitant ? Rien n’est moins sûr.

Le RGPD : quelles exigences en matière de sécurité ?

Le règlement européen sur la protection des données (ou RGPD) qui entre en vigueur le 25 mai 2018 prévoit que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Pour certains traitements particulièrement sensibles, de par les technologies utilisées ou parce que leurs finalités présentent un risque élevé, le responsable de traitement devra en outre procéder à une analyse d’impact avant la mise en œuvre du traitement, et cette analyse devra préciser quels sont les mesures et mécanismes de sécurité envisagés pour faire face aux risques.

Le RGPD prévoit également le responsable de traitement ne peut avoir recours qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées.

Si les entreprises sont responsabilisées sur la question de la sécurité rien ne précise dans le RGPD quelles sont les « mesures techniques » ou les « mesures organisationnelles » qui doivent être prises.

Le 23 janvier dernier, la CNIL a diffusé un Guide de la sécurité des données personnelles, dont l’objectif est de rappeler aux professionnels les « précautions élémentaires qui devraient être mises en œuvre de façon systématique ».

Par 17 fiches, la CNIL liste des actions telles que la sensibilisation des utilisateurs, à la mise en place de mécanismes d’authentification et de gestion des habilitations, la sécurisation de l’informatique mobile, du réseau interne, des serveurs et des sites webs, ou encore « gérer sa relation avec les sous-traitants ».

Mais les grandes attaques des derniers mois ont montré que le risque zéro n’existait pas. Il est certain que des règles de saine gestion de la sécurité informatique par les entreprises  telles que celles proposées par la CNIL ne suffiront pas à faire échec à des actes malveillant ou à des failles techniques inconnues pouvant entrainer la fuite, l’altération ou la destruction de données.

Certaines entreprises trouveront donc plus de mesures concrètes dans la loi de transposition de la directive NIS.

Le projet de loi de transposition de la directive NIS

La sécurité des systèmes d’information fait partie des sujets de préoccupation des pouvoirs publics depuis la loi de programmation militaire du 18 décembre 2013. Depuis cette loi, les « opérateurs d’importance vitales » sont tenus « à leur frais » de respecter les règles de sécurité nécessaires à la protection de leurs systèmes d’information qui sont fixées par arrêtés ministériels. Plus de 200 opérateurs publics ou privés dont les activités sont indispensables au bon fonctionnement et à la survie de la Nation sont aujourd’hui qualifiés d’OIV mais la liste en est gardée confidentielle. Depuis 2016, 16 arrêtés ministériels ont été pris pour détailler les règles de sécurités auxquels sont tenues les OIV en fonction de leur secteur d’activité.

La transposition de la directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (dite directive « NIS ») va étendre le champ des entreprises françaises concernées par une réglementation contraignante en matière de cybersécurité.

Le projet de loi de transposition de cette directive est actuellement devant le Parlement et devrait être définitivement adopté dans les semaines qui viennent.

Le législateur part du constat que des opérateurs qui gèrent des infrastructures critiques ou qui fournissent des services essentiels au fonctionnement de la société ne sont pas tenus d’adopter de mesures en matière de cybersécurité ni de fournir des informations aux autorités en cas de cyberattaques.

En plus des OIV, une nouvelle population d’entreprise va être créée appelée « opérateurs de services essentiels ». C’est opérateurs seront désignés par arrêté du Premier Ministre. Selon les informations à disposition, le nombre d’opérateurs de services essentiels pourrait être de quelques centaines dans un premier temps, principalement dans les secteurs de la santé, du transport, de l’industrie, de l’énergie, de l’alimentation, mais aussi de la logistique ou encore dans le secteur social.

L’instar de ce qui a été fait avec les OIV, des arrêtés vont être pris pour définir les mesures de préventions des incidents qui compromettent la sécurité des réseaux et systèmes d’information et pour en limiter l’impact afin d’assurer la continuité de ces services essentiels. Les règles seront définies dans les domaines suivants : la gouvernance de la sécurité des réseaux et systèmes d’information ; la protection des réseaux et systèmes d’information ; la défense des réseaux et systèmes d’information ; la résilience des activités.

En plus du respect de ces règles, les futurs opérateurs de services essentiels devront notifier à l’ANSSI les incidents de sécurité lorsque ceux-ci sont susceptibles d’avoir « un impact significatif sur la continuité de ces services ».

Les opérateurs de services essentiels seront également soumis à des contrôles par l’ANSSI.

Le respect de l’ensemble de ces obligations est assorti de sanctions pénales jusqu’à 125 000 euros d’amende.

Ce nouveau régime juridique basé sur des règles de sécurité définies par arrêté, une notification obligatoire des incidents et des contrôles par l’ANSSI va également être appliqué à une dernière catégorie d’entreprises appelées « fournisseurs de service numérique ». Il s’agit des places de marché en ligne, des moteurs de recherche et des fournisseurs de services cloud. S’agissant de cette dernière catégorie d’opérateurs, les travaux parlementaires sont prudents sur l’effectivité des mesures qui seront prises parce qu’elles sont dépendantes du lieu d’implantation de ces opérateurs. En forme d’aveu de notre perte de souveraineté numérique, l’étude d’impact indique : « L’estimation du nombre de fournisseurs concernés par la nouvelle réglementation est malaisée. Il est vraisemblable, cependant, au vu du marché actuel que le projet de loi ne concernera au plus que quelques dizaines d’entreprises principalement d’origine étrangère. »

Une certitude donc : la responsabilisation des entreprises est accrue. En revanche, s’agissant des mesures concrètes à mettre en œuvre, les règles restent pour le moins floues, et seuls les contrôles de la CNIL et de l’ANSSI, à l’instar de la décision analysée ci-dessus, viendront préciser les exigences des autorités européennes.

Autres publications