Le , par Harmonie Peynot - RGPD
À l’occasion du cybermoi/s, parlons violations de données
Le mois d’octobre est placé sous le signe de la cybersécurité depuis 2012 au niveau européen. En France, nous l’appelons le Cybermoi/s avec un jeu de mot entre le mois (octobre) et le moi (alter ego numérique).
Tout au long du mois, des évènements sont à disposition du public et toutes les informations sont centralisées sur le site de Cybermalveillance.gouv.fr.
Plutôt que de faire un article avec des statistiques sur le cybermois, j’ai décidé d’en profiter pour vous parler un peu de violation de données. Un sujet qui nous concerne malheureusement tous.
Qu’est-ce qu’une violation de données ?
Le cauchemar de tout délégué à la protection des données (DPO).
Plus sérieusement, une violation de données apparaît lorsqu’une ou plusieurs données personnelles se retrouvent en situation de :
- perte d’intégrité : la donnée a été modifiée.
- perte de confidentialité : la donnée a été accessible à des personnes non habilitées.
- perte de disponibilité : la donnée n’est plus accessible, y compris lorsque cela n’est pas définitif.
Les combos sont également possibles. Une violation de données peut être composée d’une perte d’intégrité et d’une perte de confidentialité. Et même les trois en même temps !
Notez également que la donnée n’a pas besoin d’être considérée comme sensible. Rien qu’une adresse mail peut suffire.
Normalement, là, vous imaginez un vilain hacker en train de pirater des bases de données. L’acte malveillant externe est effectivement une cause de violation de données non négligeable. Mais c’est aussi souvent un acte accidentel interne.
Quelques exemples ?
- “Oups, j’ai supprimé la base de données de production au lieu de la base de test.”
- “C’est normal que l’on ait accès aux dossiers RH (Ressources humaines) de tous les salariés dans le serveur commun ?”
- “On m’a volé mon ordinateur qui contenait toutes les données, j’aurais vraiment dû mettre un mot de passe dessus”
- “Ne t’en fais pas, j’ai traité les données dans le train. Ça a d’ailleurs beaucoup passionné mon voisin qui regardait en permanence mon écran.”
- “Pardon, je vous ai transmis la mauvaise pièce jointe”.
Bien sûr, il y a aussi le légendaire envoi de mail avec tous les destinataires en copie conforme (Cc) au lieu de la copie conforme invisible (Cci). Une vague de mails inonde alors tous les destinataires car de nombreuses personnes cliquent sur le fameux “Répondre à tous”. Mais, surtout, les adresses mail ont été diffusées à tous les destinataires.
Comme vous l’avez compris, une violation de données est une situation où des données personnelles sont mises en péril. Et qui dit mise en péril de données, dit potentielle mise en péril des personnes concernées. Suite à une violation de données, les risques augmentent d’être victime d’une usurpation d’identité, de phishing, etc.
Que se passe-t-il en cas de violation de données ?
Quand un organisme identifie une violation de données, il a alors plusieurs obligations :
- faire en sorte que les causes de la violation soient identifiées et interrompues (ce qui revient à éteindre le feu)
- documenter la situation, son origine et ses conséquences
- notifier la Commission Nationale de l’Informatique et des Libertés dans les 72 heures
Tout ceci doit se faire en parallèle bien évidemment. Il s’agit d’une situation de gestion de crise qui, selon l’ampleur, peut rapidement ressembler aux cellules de crises des films catastrophe. Conseil d’amie : n’oubliez pas d’inviter votre délégué à la protection des données autour de la table. Quelle que soit la crise d’ailleurs, votre DPO sera là pour vous dire si, oui ou non, cela implique une violation de données car une crise peut en cacher une autre.
Mais ce n’est pas tout ! L’organisme doit également communiquer auprès des personnes concernées en cas de risque élevé pour celles-ci. Vous savez, les fameux mails que l’on reçoit malheureusement bien trop souvent. Ces mails qui vous disent que vos données ont pu être diffusées. Mais de ne surtout pas vous inquiéter parce que vos informations bancaires sont à l’abri. Ce sont des communications rendues obligatoires par le RGPD.
Désolée de vous décevoir, mais non, les organismes ne font pas toujours ces communications par souhait de transparence et de protection de leurs utilisateurs.
Constat encore plus triste, souvent, ces communications n’intègrent pas l’un des points les plus importants : indiquer à l’utilisateur comment se protéger suite à cette violation. Ni même parfois quelles sont les données réellement concernées.
Pour leur défense, il est parfois difficile de trouver un bon équilibre entre la transparence liée à la protection des données et la réserve à avoir en cas d’attaque informatique afin de ne pas gêner les investigations ou de s’exposer à de nouveaux risques.
Une nouvelle occasion pour le DPO de montrer ses talents d’équilibriste.
En conclusion
Pour les utilisateurs :
- Prêtez attention aux communications qui vous alertent en cas de violation de données. Même si c’est la troisième cette semaine…
- Suivez les conseils pour vous protéger lorsqu’il y en a. (Mais faites quand même attention à ce que ce ne soit pas une fausse communication créée pour vous faire saisir vos identifiants… Paranoïaque, moi ? Peut-être…)
- Par défaut, optez pour des mots de passe robustes et différents par service et soyez vigilants sur les mails reçus.
- Nos données subiront forcément à un moment ou à un autre une violation de données. À nous de faire en sorte que cette violation soit la moins impactante possible en prenant dès à présent de bons réflexes.
Pour les organismes traitant des données :
- Sensibilisez vos équipes afin de réduire le risque de violation mais aussi afin de savoir les identifier.
- Prévoyez une équipe pluridisciplinaire en réponse aux violations de données : DPO, responsable de la sécurité des systèmes d’information, direction, communication, etc.
- Prévoyez une procédure de gestion et pensez à la tester (avant la crise, c’est mieux).