06 Fév. 20 Événements
Conférence RGPD et collectivités publiques:Construire un Diagnostic Sécurité
Le 21 janvier dernier, s’est tenu au Palais de la Bourse de Lyon une soirée dédiée à la cybersécurité dans les collectivités publiques. Le thème de cette soirée était « la protection des données (RGPD) et la sécurité des SI ».
Alexandre Ginon et Julien Cayssol ont partagé leur expérience de la cybersécurité et détaillé les étapes de la démarche mise en place par Certilience, acteur du « Diagnostic Cybersécurité RGPD » pour le compte d’entreprises privées et de collectivités.
Les enjeux de la cybersécurité et du RGPD
Pour les collectivités publiques, les enjeux de la cybersécurité et du RGPD sont principalement situés à deux niveaux : le premier est financier, le second est opérationnel.
Pourquoi des enjeux financiers
Le texte du RGPD nous dit que l’Autorité peut aujourd’hui vous contrôler, et peut vous sanctionner pour « mesures de protection insuffisantes » et « violation des données personnelles traitées ». Cette sanction prend la forme d’une amende.
Voici quelques explications et éclaircissements sur cette phrase :
1/. L’Autorité
À ce jour, sur notre territoire, l’Autorité concernant le RGPD est la CNIL.
2./ L’amende
Son montant est fixé en fonction de la « gravité » de la situation, suivant un certain nombre de critères communiqués. Ceux peuvent être, entre autres :
- La nature, la durée de la violation
- Si la situation est le résultat d’une action délibérée ou par négligence,
- Le degré de responsabilité du responsable de traitements ou des sous-traitants,
- …mais aussi la diligence à remédier à la situation !
3./ La sanction
L’amende infligée par la CNIL est plafonnée à 4% du CA (mondial) pour les sociétés. Pour les autres entités (collectivités, organismes d’état, …), peu d’informations ont été communiquées. On notera d’ailleurs que certains organismes d’état contrôlés par la CNIL ont reçu récemment des mises en demeure plutôt que des sanctions (informations relayées dans les médias).
En outre, il faut noter que certains organismes ont également vu leur image de marque dégradée suite à une médiatisation de leur situation.
Deux entreprises ont par exemple fait couler beaucoup d’encre en 2018-2019 :
- OPTICAL CENTER, pour une fuite de données sur son site Internet. Ce premier exemple permet d’illustrer également le lien entre l’amende et la diligence à la remédiation. En effet, Optical Center a vu son amende être ramenée de 250K€ à 200K€ au vu de sa rapidité de prise en compte de la situation et de la mise en place d’une remédiation.
- et SERGIC, pour une conservation de données inappropriées sur son site Internet.
Pourquoi des enjeux au niveau opérationel
L’expérience de Alexandre Ginon, acteur dans l’audit de sécurité depuis 20 ans, permet de constater qu’aujourd’hui, le taux de réussite d’un test intrusif global est supérieur à 95 % ! Un niveau de protection aussi faible est sans doute lié à une mauvaise perception de la situation globale et des risques réels encourus. Mais il est difficile de cibler une personne en particulier tant les participants à ces actions et décisions sont souvent très nombreux : direction, management, équipes, etc.
La pratique des tests de sécurité pourrait également induire une perception erronée de la situation. En effet, les tests de sécurité se sont démocratisés depuis quelques années, mais ils se font essentiellement sur des échantillons du SI. Cela permet de se rassurer parfois mais ne renvoie pas une image globale de la réalité et du niveau de sécurité réel de l’entreprise.
Dans ce sens d’ailleurs, la démarche RGPD est une bonne évolution puisqu’elle intègre implicitement le SI dans son entièreté.
Quels sont les enjeux au niveau opérationel
En quoi consistent exactement les enjeux opérationnels ? On entend souvent parler de rupture de service, partielle dans le meilleur des cas, souvent plus importante.
En effet, en conséquence de négligence ou d’actes de malveillance en lien direct sur les vulnérabilités de votre SI, le service aux utilisateurs ne peut plus être garanti. Qu’il soit lié à l’accès à des données ou à l’utilisation de services et d’applications, l’activité de l’entreprise s’en retrouve altérée.
Certains virus ont fait parler d’eux dans les années 2000 : « I LOVE YOU », « CONFICKER », « MELISSA », … Et depuis plusieurs années maintenant, nous sommes dans le monde des CryptoLockers et ses différentes déclinaisons. Que l’action soit ciblée ou non, le dénouement est toujours le même : vous vous constituez prisonniers.
Les conséquences de ces attaques peuvent également impacter l’entreprise de manière indirecte. Certains osent, ou subissent, une médiatisation : l’été dernier, les hôpitaux/cliniques du groupe RAMSAY, ou plus récemment le CHU de Rouen qui a permis notamment à l’ANSSI de bien relayer son intervention. Mais il ne faut pas oublier que les informations publiques et médiatisées ne sont que la partie immergée de l’iceberg ; en effet, la CNIL choisit très justement ces publications. En prenant conscience de ce rapport, on se rend compte du nombre d’attaques qui touchent réellement les entreprises.
Les éléments clé de la démarche du Diagnostic
Les audits que Certilience réalise sont généralement décomposés en plusieurs étapes :
- L’audit de sécurité : a pour l’objectif de mesurer le niveau de sécurité de votre SI,
- Le rapport des recommandations associées : permet de corriger les vulnérabilités,
- Une présentation des résultats : adaptée au public (de l’ultra technique à la restitution orientée Direction) elle permet à chacun d’appréhender les enjeux réels du rapport,
- Certilience proposons ensuite l’accompagnement à la mise en place des remédiations
Cette démarche « diagnostic cybersécurité » intègre initialement un haut niveau d’exigences afin d’adhérer parfaitement aux demandes de la CNIL.
Pour cela, nous nous appuyons en compléments sur les 17 points de la CNIL. Sur ces 17 points, certains sont techniques, d’autres documentaires, d’autres organisationnels.
Le déroulement du Diagnostic
Concrètement, ce test se déroule en 3 étapes.
La phase d'observation
La première étape de cette phase va être de réaliser des interviews des équipes IT. Cela permettra de valider certaines opérations du quotidien, ainsi que certaines implémentations.
Voici quelques exemples de questions posées lors des interviews de vos équipes :
- Avez-vous une politique de mot de passe ?
- À quand remonte votre dernière sensibilisations des utilisateurs ?
- Quelle est la date de la dernière mise à jour d’équipements ?
Dans un deuxième temps, nos experts se consacreront à l’étude et l’analyse des documentations projets et d’exploitation, ainsi qu’à l’audit des configurations des composants.
La phase de test de la sécurité : évaluation par la mesure
Lors de cette phase de test de la sécurité, nos experts vont faire des tentatives d’intrusions sur votre réseau. L’objectif de ces tests est de trouver une porte d’entrée sur votre Système d’Information.
Ces pentests, ou test intrusifs, seront déroulés en scénario Blackbox, ou boite noire. Ils seront déployés dans des contextes externes et internes, depuis internet ou bien depuis vos locaux.
Le périmètre de test est la totalité de votre SI.
Voici quelques exemples de vérifications et de tests effectués :
- Le site internet est-il à jour ? Peut-on récupérer des noms/prénoms de personnes inscrites sur le site ?
- La connexion à une boite mail se fait-elle par un mot de passe basic ?
- Un utilisateur donne-t-il facilement son mot de passe par téléphone ou dans un mail de phishing ?
Les livrables et le Plan d'actions
Ces documents vous seront indispensables pour la mise en conformité. Sur la base du référentiel CNIL, nos experts vont pouvoir rédiger les rapports correspondants à ces deux étapes et faire la synthèse des informations récoltées. Vous aurez alors accès à un plan d’actions : une recommandation est associée à chaque non-conformité découverte.
Elles sont ensuite intégrées à l’outil MissionRGPD
Pour démarrer votre Diagnostic Cybersécurité
et tester votre conformité RGPD :
Plus d’informations sur les audits Certilience :
Plus d’informations sur la solution de protection
Surveillance Cybersécurité :