Lors de l'Université des CIL AFCDP 2017, j'ai eu le plaisir d'animer un atelier "Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre"
1. DevenirCorrespondantInformatiqueetLibertés
1
Les mesures organisationnelles et techniques
de protection de la vie privée et de sécurisation des DCP
Intervenant : Denis Virole
Denis.virole@ageris-group.com
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
2. DevenirCorrespondantInformatiqueetLibertés
2
Objectifs
1. Structurer les mesures organisationnelles
2. Structurer et vulgariser les mesures techniques de sécurité
Être un document de référence
réutilisable
Servir de support
à l’animation de la présentation
Ce support de formation
a été conçu avec deux objectifs:
3. DevenirCorrespondantInformatiqueetLibertés
3
1. Le principe de loyauté et de licéité,
article 6 alinéa 1 de la LIL
Les données doivent être collectés de manière loyale et de licéité
2. Le principe de finalité, article 6 alinéa 2
de la LIL
Les données à caractère personnel ne peuvent être recueillies et
traitées que pour un usage déterminé et légitime.
3. Le principe de proportionnalité et de
pertinence des données,
article 6 alinéa 3 de la LIL
Seules doivent être traitées les informations pertinentes et nécessaires
au regard des objectifs poursuivis.
4. Le principe d’une durée de
conservation des données limitée,
article 6 alinéa 5 de la LIL
Les informations ne peuvent être conservées de façon indéfinie dans
les fichiers informatiques. Une durée de conservation précise doit être
déterminée en fonction de la finalité de chaque fichier.
5. Le principe de sécurité et de
confidentialité des données, article 34
de la LIL
Le RT, est astreint à une obligation de sécurité : il doit prendre les
mesures nécessaires pour garantir la confidentialité des DCP et éviter
leur divulgation à des tiers non autorisés.
6. Le principe du respect des droits
des personnes, articles 32, 38, 39, 40 de
la LIL
• Information des personnes,
• Droits d’accès
• Droits de rectification ou de suppression
• Droit d’opposition,
Les principes fondamentaux relatifs aux traitements de DCP de la LIL
4. DevenirCorrespondantInformatiqueetLibertés
4
Principes du Règlement européen
T des DCP
Traitées de manière
licite, loyale et
transparente
Finalité déterminée
Explicite et légitime
Ne pas être traitées
ultérieurement
Adéquates
pertinentes,
limitées
Exactes et mise à
jour
Conservées
pendant une durée
limitée
Consentement
Prise en compte de l’enfant
Sécurité du T articles 24 et 32
Le RT est en mesure de démontrer
l’application des principes
5. DevenirCorrespondantInformatiqueetLibertés
5
Loi du 6 janvier 1978
Article 34
« Le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et
des risques présentés par le traitement, pour préserver la
sécurité des données et, notamment, empêcher qu’elles
soient déformées, endommagées, ou que des tiers non
autorisés y aient accès (…) ».
Chapitre IV: Responsable du traitement et sous-traitant
Section 1: Obligations générales
Article 24: Responsabilité du RT
« Compte tenu de la nature, de la portée, du contexte et des finalités
du traitement ainsi que des risques, dont le degré de probabilité et de
gravité varie, pour les droits et libertés des personnes physiques, le
responsable du traitement met en œuvre des mesures
techniques et organisationnelles appropriées pour s'assurer et
être en mesure de démontrer que le traitement est effectué
conformément au présent règlement. Ces mesures sont réexaminées
et actualisées si nécessaire.
2. Lorsque cela est proportionné au regard des activités de
traitement, les mesures visées au paragraphe 1 comprennent la mise
en œuvre de politiques appropriées en matière de protection des
données par le responsable du traitement.
3. L'application d'un code de conduite approuvé comme le prévoit
l'article 40 ou de mécanismes de certification approuvés comme le
prévoit l'article 42 peut servir d'élément attestant du respect des
obligations incombant au responsable du traitement ».
La sécurité et la confidentialité des données
La sécurité et la confidentialité des données
6. DevenirCorrespondantInformatiqueetLibertés
6
Règlement européen (version d’avril 2016)
Article 32
« 1. Compte tenu de l’État des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités
du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes
physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles
appropriées afin de garantir un niveau de sécurité adaptée au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des
délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement,
résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou
illicite.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé
comme le prévoit l'article 42 peut servir d’élément attestant du respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous
l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite
pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État
membre ».
La sécurité et la confidentialité des données
La sécurité et la confidentialité des données
7. DevenirCorrespondantInformatiqueetLibertés
7
Règlement européen (version d’avril 2016)
Article 33: Notification à l’autorité de contrôle d’une violation de données à caractère personnel
« 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à
l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en
avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés
des personnes physiques. Lorsque la notification à l’autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des
motifs du
retard.
2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais
après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre
approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de
données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès
duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de
données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences
négatives.
4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être
communiquées de manière échelonnée sans autre retard indu.
5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la
violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée
permet à l'autorité de contrôle de vérifier le respect du présent article ».
La sécurité et la confidentialité des données
La sécurité et la confidentialité des données
8. DevenirCorrespondantInformatiqueetLibertés
8
Règlement européen (version d’avril 2016)
Article 34: Communication à la personne concernée d’une violation de données à caractère personnel
« 1. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés
d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la
personne concernée dans les meilleurs délais.
2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la
nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article
33, paragraphe 3, points b), c) et d).
3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes
est remplie:
a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et
ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les
mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y
avoir accès, telles que le chiffrement;
b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés
des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;
c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une
mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel
la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible
d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre
des conditions visées au paragraphe 3 est remplie ».
La sécurité et la confidentialité des données
La sécurité et la confidentialité des données
9. DevenirCorrespondantInformatiqueetLibertés
9
1 Augmenter la maturité
2 respecter le délai : Mai 2018
M
A
T
U
R
I
T
E
6/7
Processus continuellement optimisé,
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
5
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
4
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les exécutants
3
Pratiques de base
mises en œuvre,
avec un
engagement relatif
de l'organisme vis-
à-vis des PC
2
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
1
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
TEMPS
11. DevenirCorrespondantInformatiqueetLibertés
11
Identifier les acteurs et les fonctions CIL DPO / CISO RSSI / DSI IT Manager
CIL DPO CISO / RSSI DSI
Information Conseil
RT
Sur les obligations RT
L’identification des DCP et T
Les droits des PC
Validation de l’EIVP
Les enjeux
Les périmètres
La validation des risques
résiduels
Participe à la sensibilisation
MOA
Evènements redoutés
Vulnérabilités métiers
Menaces
Vulnérabilités IT
MOE /
ST
Source de risques
Niveau de risques
Participe
Traitement des risques
Exprime les besoins et les
objectifs du RT
Contrôle le respect de la vie
privée et la sécurité des DCP
Définit les règles
Contrôle leurs applications
Intègre les règles dans les
solutions SI
Sensibilisation
formation
Tous
Utilisation des DCP
Respect des droits de la PC
Utilisation des ressources SI
Intégration native de la SSI
dans les projets / By design
Veille
Réglementaire DCP / vie
privée
Réglementaire technique
hors DCP
Participe
Contrôle
MOA
MOE
ST
La conformité au Règlement
et à la PPDCP
• Codes de conduite
• Packs de conformité
• BCR
La conformité au Référentiel
SSI
• RGS
• PSSI E / S
• Règles d’hygiène sécurité
informatique
Coopère avec l’autorité de
contrôle
AC : CNIL ENISA / ANSSI
Point de Contact Pour l’AC et les PC
Pour les ST, les MOE et MOA,
les utilisateurs SI
13. DevenirCorrespondantInformatiqueetLibertés
13
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
Contrats
+
EIVP
Security by
design
+
PAS
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
RT
+
Directions
métiers
Les mesures organisationnelles
14. DevenirCorrespondantInformatiqueetLibertés
14
Analyses et commentaires d’AGERIS Group
Le montant des sanctions administratives a considérablement augmenté, ce qui démontre la volonté des
autorités compétentes de renforcer la protection de la vie privée des citoyens européens et de pousser les organismes à
se mettre en conformité avec la législation.
Il est fort probable (en tout les cas il faut le souhaiter) que la médiatisation des actions engagées par une autorité de
contrôle et cette augmentation du montant des actions deviennent dissuasives et poussent les responsables
d’organismes à engager les démarches nécessaires de mise en conformité.
Une sensibilisation sur ces risques juridiques, médiatiques, …. est à engager en interne pour pousser à
la mise en œuvre de la gouvernance adéquate et renforcer les démarche de mise en conformité.
Les mesures organisationnelles / Sensibilisation du RT
15. DevenirCorrespondantInformatiqueetLibertés
15
Règlement européen
Application le 25 mai 2018
Obligations du RT
• Mise en place de mesures techniques et organisationnelles nécessaires au respect des DCP:
« privacy by default », « privacy by design ».
• Véritable «responsabilisation» / principe «d’accountability»: obligation de démontrer la
conformité au nouveau Règlement à tout moment.
• Suppression des obligations déclaratives dès lors que pas de risques pour la vie privée.
Obligations du ST
• Le ST ne devra pas recruter un autre ST sans l’autorisation écrite préalable, spécifique ou
générale du RT;
• La relation entre le RT et le ST devra être régie par un contrat (le Règlement détaille ce que
doit contenir le contrat entre le RT et le ST);
• Lorsqu’un ST recrute un autre ST, ce dernier sera soumis aux mêmes obligations que le ST.
Communication de la violation de
DCP à l’autorité de contrôle
Notification à l’autorité de contrôle dans les meilleurs délais et si possible dans les 72 heures au
plus tard après en avoir pris connaissance.
Communication à la PC de la
violation des DCP la concernant
Communication à la PC (sauf dans certains cas).
EIVP
Une EIVP devra être effectuée par le RT avec l’aide du DPO dans 3 cas :
• Evaluation systématique et approfondie d’aspects personnels concernant des personnes
physiques qui est fondée sur un traitement automatisé y compris le profilage,
• Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et 10
(biométrie, santé etc.).
• La surveillance systématique à grande échelle d’une zone accessible au public
Les mesures organisationnelles / La sensibilisation du RT
16. DevenirCorrespondantInformatiqueetLibertés
16
1. Participer à la
sensibilisation
du personnel
8. La manipulation
des outils supportant
des DCP
2. Identifier les T
Evaluer la sensibilité
des DCP au DPO
Exprimer les
évènements redoutés
Participer au PIA
7. La manipulation
des DCP, documents
3. Habilitation et choix
des personnes
affectées aux taches
sensibles sur les T de
DCP
6. Comportements
généraux à
l’intérieur et à
l’extérieur des
établissements
4. Identification et
gestion des
personnels
stratégiques traitant
les DCP
5. Management de la
conformité et
sécurité lors de
sous-traitance
9.Contrôle
Les mesures organisationnelles / La sensibilisation du management intermédiaire
17. DevenirCorrespondantInformatiqueetLibertés
17
Devoirs Droits
Respecte le Règlement engage sa responsabilité
Définit des règles
Informe les personnels sur:
Les risques
Les règles
Les dispositifs de surveillance
Les éventuels contrôles
Les niveaux de responsabilité individuelle
Met en place les dispositifs de protection
Valide les risques résiduels
Contractualise avec le ST
Répond aux demandes des PC
Analyse / Contrôle
Informe l’autorité de contrôle des violations de DCP
Droit de connaitre :
• Les règles
• Les responsabilités
• Les dispositifs de surveillance
• Les contrôles
Droit d’exercer les droits de la personne concernée
Respecte les lois et les règles
Devoir de loyauté
Informe le RT des éventuels incidents
Définit des règles
Met en place des dispositifs de surveillance
Met en place des dispositifs de contrôle
Engage la responsabilité des utilisateurs
Engage la responsabilité du sous traitant
Les mesures organisationnelles / Sensibilisation des collaborateurs
18. DevenirCorrespondantInformatiqueetLibertés
18
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
EIVP
Security by
design
+
PAS
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
RT
+
Directions
métiers
Les mesures organisationnelles / Politique / Notification violation de DCP / Registre
19. DevenirCorrespondantInformatiqueetLibertés
19
Le renforcement de la sécurité
La mise en œuvre de politiques :
• Les règles fonctionnelles et organisationnelles structurant la sécurité
des systèmes hébergeant notamment des DCP
• L’engagement de la direction et les responsabilités métiers, DSI, SSI
• Les enjeux, responsabilités et missions de la PSSI / Politique de
protection VP et PDCP
Plans de Sécurité
Guides et manuels
Chartes utilisateurs
Procédures
• La mise en œuvre opérationnelle et architecturale des règles
fonctionnelles et la définition des procédures, consignes et règles de
sécurité opérationnelles et de management
Politique de
Sécurité Système d’Information
Charte éthique pour la sécurité de
l’information et la protection de la VP
Politique générale de sécurité de l’information
Protection des DCP
Directives protection des DCP
Les mesures organisationnelles / Politique de sécurité
20. DevenirCorrespondantInformatiqueetLibertés
20
Directives Règles
Registre des T de DCP
Déclarer tous les traitements au DPO
Mettre à jour le registre des T
Rendre accessible le registre des T
Vérifier régulièrement le registre des T
Garantie de licéité des T
Agir avec loyauté et transparence lors de la collecte des DCP
Démontrer que le consentement des PC est respecté
Respecter les finalités déterminées lors de la collecte des DCP
Limiter les informations collectées dans les formulaires papiers ou numériques au strict nécessaire
Limiter la conservation des données au strict nécessaire
Traitements de DCP
sensibles ou perçues
comme sensibles
Respecter le cadre légal relatif au T des DCP sensibles
Interdire/ réglementer le traitement des données relatives aux condamnations pénales et aux infractions
Limiter l’accès aux DCP aux seuls professionnels habilités
Interdire l’usage du NIR comme identifiant unique ?
Limiter l’accès et l’usage des données bancaires au strict nécessaire
Limiter l’accès aux données sur les difficultés sociales des personnes aux seules personnes habilitées
Réaliser des évaluations d’impact sur la vie privée des PC par les T de DCP sensibles.
Limiter l’usage des zones de commentaires a des informations d’ordre général
Respect des droits des PC
S’assurer que les mentions légales sont conformes aux obligations
Permettre aux PC d’exercer leurs droits :
• d’accès
• de rectification
• d’opposition
• à l’oubli
• à la limitation du T de leurs DCP
Notifier aux destinataires les modifications apportées aux DCP suite aux demandes des PC
Interdire/Réglementer le profilage ou les décisions individuelles automatisées d’une PC
Sécurité des DCP Appliquer les mesures de sécurité définies dans la Politique de Sécurité des SI (référentiel)
Violation de DCP
Formaliser la notification de violation de DCP
Communiquer à la personne concernée la violation de ses DCP
Renforcement de la culture
protection de la vie privée
Sensibiliser tous les agents à la culture « protection des DCP » Informatique et Libertés
Former les agents sur la mise en œuvre de la politique de protection des DCP
Evolution de la politique
Assurer une veille juridique et technologique sur le domaine informatique et libertés
Contrôler régulièrement la mise en œuvre des directives de la politique
Réviser régulièrement la politique
Les mesures organisationnelles / Politique de protection de la VP
21. DevenirCorrespondantInformatiqueetLibertés
21
Formalisation DSI / ST
Intégration
RSSI / DPO
Contrôle
ISO 27002 : 2013
Politique de sécurité de l’information (5)
Règles fonctionnelles
intégrées par la DSI / le
ST
Conformité
Efficacité
Contribution à la
performance
Organisation de la sécurité de l’information (6)
Sécurité liée aux Ressources Humaines (7)
Gestion des actifs (8)
Contrôle d’accès (9)
Cryptographie (10)
Sécurité Physique et environnementale (11)
Sécurité liée à l’exploitation (12)
Sécurité des communications (13)
Acquisition, développement et maintenance des systèmes (14)
Relations avec les fournisseurs (15)
Gestion des incidents liés à la sécurité de l’information (16)
Gestion du Plan de continuité d’activités (17)
Conformité (18)
Les objectifs de la norme sont de définir des mesures organisationnelles et fonctionnelles de sécurité :
• qui constituent un état de l’art ;
• peuvent être sélectionnées pour satisfaire des objectifs de sécurité et ramener le risque à un niveau acceptable.
Par contre la norme :
• ne spécifie pas comment déterminer ces objectifs de sécurité ;
• n’est pas certifiable ;
• recommande l’usage d’une méthode d’analyse de risque.
Les mesures organisationnelles / Politique de sécurité
22. DevenirCorrespondantInformatiqueetLibertés
22
• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique / by default » sous responsabilité des maîtrises
d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la
formalisation des exigences de sécurité adaptées, (règles, obligations et interdits).
• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à
l’encontre d’objectifs de productivité du métier.
• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :
• Entre la maitrise d’ouvrage et le DPO
• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre
• Entre la maîtrise d’ouvrage, la maîtrise d’œuvre d’une part et la SSI d’autre part
• Entre la maîtrise d’œuvre et la SSI
• Entre le DPO et le RSSI
L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des
enjeux ou à MINIMA À DES RISQUES
Besoin d’arbitrage Arbitre
Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage /
Entre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre part
Direction / Comité de pilotage
Entre SSI et DSI
Direction / Comité de pilotage
Validation/Homologation RT
Les mesures organisationnelles / Le Comité de validation
24. DevenirCorrespondantInformatiqueetLibertés
24
Remontée d’incident :
• Perte de Confidentialité DCP
• Perte d’Intégrité de DCP
• Perte de Disponibilité de DCP
• …
Le texte européen prévoit une notification à l’autorité de
contrôle dans les meilleurs délais et si possible dans les 72
heures au plus tard après en avoir pris connaissance.
Cette notification n’est pas ici cantonnée à un acteur en
particulier mais à tous les acteurs dès lors qu’une atteinte aux
DCP est intervenue.
• Description de la nature de la violation de DCP,
• Communication du nom et coordonnées du DPO,
• Description des conséquences probables de la violation,
• Description des mesures prises ou celles que le RT
propose de prendre.
Et l’article 34 du Règlement prévoit la communication à la PC
dans les meilleurs délais.
Cette disposition prévoit trois cas dans lesquels la
communication n’est pas nécessaire:
1. Le RT a mis en place le chiffrement etc.
2. Le RT a pris des mesures ultérieures garantissant le
respect des droits et libertés afin qu’une nouvelle violation
ne soit plus susceptible de se matérialiser,
3. La communication exigerait des efforts disproportionnés.
Les mesures organisationnelles / La notification de violation de DCP
25. DevenirCorrespondantInformatiqueetLibertés
25
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
EIVP
Security by
design
+
PAS
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
RT
+
Directions
métiers
Les mesures organisationnelles / Le Respect des droits de la PC
26. DevenirCorrespondantInformatiqueetLibertés
26
1. La garantie de licéité des traitements
Objectif : S’engager à mettre en œuvre tous les moyens pour garantir
la licéité des T en conformité avec les obligations légales en vigueur
(art. 5 et 6 du Règlement n°2016/679).
Respect des droits de la PC
2. T de DCP sensibles ou perçues comme sensibles
Objectif : S’engager à appliquer des procédures et des moyens
spécifiques aux T des DCP sensibles ou perçues comme sensible afin
de limiter les risques pour les PC et de respecter les obligations légales
concernant leurs T .
3. Respect des droits des PC
Objectif : S’engager à informer les PC des droits dont elles disposent
légalement et à mettre en œuvre tous les moyens leur permettant de les
exercer.
Les mesures organisationnelles / Le Respect des droits de la PC
27. DevenirCorrespondantInformatiqueetLibertés
27
Procédure de traitement
des demandes de la PC
concernant les DCP
Procédure de création / modification ou
suppression de T
Procédure de Privacy by design
Procédure relative à la gestion des
risques sur les DCP sensibles
Procédure de traitement
de la notification de
l’autorité de contrôle
Procédure d’accueil des
contrôleurs de l’autorité
de contrôle
Procédure de traitement
des violations des DCP
Procédure de traitement
des non conformités
Procédure de ctl du DPO
Procédure d’alerte du
DPO au RT
Procédure de veille juridique protection de la VP
Traitement
de DCP
Les mesures organisationnelles / les procédures
28. DevenirCorrespondantInformatiqueetLibertés
28
Intégrer la protection de la vie privée dans les projets
Objectif : prendre en compte la protection des données à caractère personnel (DCP) dans tout
nouveau traitement.
• Utiliser la démarche de gestion des risques de la CNIL dès l’élaboration d’un service ou la conception d’une
application.
Intégration de la sécurité dans les projets
1.L’identification des acteurs
2.L’identification des obligations légales,
3.L’identification, le traitement, la validation des risques résiduels, l’homologation du SI
4.La sécurité des études et des développements du SI
5.La sécurité de la mise en production du SI
6.La sécurité de la maintenance du SI
7.La documentation sécurisée du SI
28
Les mesures organisationnelles / l’intégration native
29. DevenirCorrespondantInformatiqueetLibertés
29
Le renforcement de la sécurité
Décisions de mener un PIA Modifications de contexte
1.Contexte
1.1 Présentation
1.2 Description
Présentation des finalités, des enjeux, des DCP, des supports,
…
2.Mesures
2.1 Mesures juridiques
2.2 Mesures traitant les risques
Présentation des finalités, des informations aux personnes, des
droits des personnes
Actions sur les DCP, impacts, sources, supports
3.Risques
3.2 Evènements (Gravité) 3.3 Menaces (Vraisemblance)
3.4 Risques
4. Décisions
4.1 Evaluation
Non Oui
4.2 Objectifs 4.3 Plan d’actions
4.4 Validation
Les mesures organisationnelles / EIVP /Security by design
30. DevenirCorrespondantInformatiqueetLibertés
30
Accès illégitime aux DCP
Impacts corporels
Impacts matériels
Impacts moraux
Modification non désirée des
DCP
Impacts corporels
Impacts matériels
Impacts moraux
Disparition des DCP
Impacts corporels
Impacts matériels
Impacts moraux
Les mesures organisationnelles / EIVP /Security by design / Etude d’impact
31. DevenirCorrespondantInformatiqueetLibertés
31
Données Bancaires client
Livraison client
DICP
2233
Encaissement
DICP
3243
Connaissance client
DICP
1333
Données d’enregistrement de
comptes clients
Adresse livraison clients
Impression facture
DICP
2222
DICP
3342
DICP
1333
Identification produit
DICP
3233
DICP
2222
DICP
2333
DICP
2233
DICP
2233
Accès illégitime aux DCP 3
Modification non désirée des
DCP 3
Disparition des DCP 3
Accès illégitime aux DCP 3
Modification non désirée des
DCP 2
Disparition des DCP 2
Accès illégitime aux DCP 3
Modification non désirée des
DCP 3
Disparition des DCP 3
Accès illégitime aux DCP 4
Modification non désirée des
DCP 3
Disparition des DCP 3
Les mesures organisationnelles / EIVP /Security by design
32. DevenirCorrespondantInformatiqueetLibertés
32
Menaces
Sources
humaines
internes
agissant accidentellement
agissant de manière
délibérée
Sources
humaines
externes
agissant accidentellement
agissant de manière
délibérée
Sources
non
humaines
internes
externes
Vraisemblance
Vraisemblance
Vraisemblance
Événements redoutés
Accès illégitime aux
DCP
Modification non
désirée des DCP
Disparition des DCP
Vulnérabilités
Matériels
Logiciels
Canaux
informatiques
Personnes
Documents papier
Canaux papier
Les mesures organisationnelles / EIVP /Security by design
33. DevenirCorrespondantInformatiqueetLibertés
33
Gravité
4. Maximal
3. Important
2. Limitée
1. Négligeable
Cartographie des risques
1. Négligeable 2. Limitée 3. Important 4. Maximal
Vraisemblance
Accès
illégitime
aux DCP
Un schéma tel que ci-dessous peut être utilisé pour présenter la cartographie des risques
Accès
illégitime
aux DCP
Les mesures organisationnelles / EIVP /Security by design / Evaluation du n) du risque
34. DevenirCorrespondantInformatiqueetLibertés
34
4. Décision
4.1 Evaluation
Non Oui
4.2 Objectifs 4.3 Plan d’actions
4.4 Validation
Fin d’Etude d’impact sur la vie privée
Décision : la validation de l’étude d’impact sur la vie privée
L’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels.
Source : – CNIL http://www.cnil.fr
Les mesures organisationnelles / EIVP /Security by design / la validation
35. DevenirCorrespondantInformatiqueetLibertés
35
Contrat
La gestion des DCP – art. 28 du Règlement européen
1.Traitement des données que sur
instruction documentée du RT
Le ST ne doit pas traiter plus de DCP que nécessaire et ne doit pas traiter des DCP sans
l’accord préalable du RT.
2.Respect de la confidentialité
Le ST doit sensibiliser ses collaborateurs au réglement, avoir mis en place une politique de
protection de la vie privée, doit avoir protégé les fichiers de DCP de « lectures non désirées ».
3.Mise en place de mesures techniques et
organisationnelles afin d’assurer la
sécurité des DCP,
Mise en place de mesures techniques et organisationnelles, sensibilisation du personnel aux
enjeux liés à la sécurité; effectuer une EIVP le cas échéant. S’il s’agit de données sensibles, le
ST devra aider le RT à effectuer une EIVP.
4.Demander l’autorisation au RT avant de
recruter un autre ST
Le ST doit demander l’autorisation écrite préalable du RT, en cas de changement, et il doit
veiller à ce que le ST recruté soit sensibilisé à la protection des DCP.
5.Aider le RT à répondre aux demandes de
droit d’accès, de rectification, de
suppression et d’opposition des PC,
Le ST doit veiller à ce que son personnel soit sensibilisé et donc en mesure d’aider le RT à
répondre à une demande d’accès, de suppression, de rectification ou d’opposition, le ST doit
avoir mis en place des procédures en interne permettant de répondre aux demandes des
personnes concernées.
6.Veiller au respect de certaines
obligations légales (sécurité du T,
notification à l’autorité de contrôle en cas
de violation de DCP, communication à la
PC, EIVP, consultation préalable).
Le ST doit garantir la sécurité du traitement, le ST doit aider le RT à notifier le cas échéant à
l’autorité de contrôle la violation d’une DCP, le ST doit communiquer à la PC toute violation de
DCP.
7.Suppression des DCP au choix du RT,
Le ST doit respecter la durée de conservation des DCP (il ne doit pas conserver les DCP
permettant l’identification d’une personne pendant une durée qui excède la durée nécessaire
aux finalités pour lesquelles elles sont collectées et traitées.
8.Mise à la disposition du RT de toutes les
informations nécessaires afin d’apporter la
preuve du respect des obligations.
Le ST permet la réalisation d’audits et d’inspection au sein de son entreprise.
Les mesures organisationnelles / Le Contrat
36. DevenirCorrespondantInformatiqueetLibertés
36
Le Plan d’Assurance Sécurité est un document contractuel décrivant l’ensemble des dispositions spécifiques mises en œuvre
pour garantir le respect des exigences de sécurité du donneur d’ordre, le RT .
Il doit être annexé au contrat
Les mesures organisationnelles / le PAS
N° d’exigences
N°
Maturité
Localisation
DCP
Santé
Non
sensibles
Certifié
ou
Agrée
Non Certifié
Agréé
Certifié Non certifié
Territoire national
Interdit par
la France
Territoire national
En dehors
de l’UE
PAS
++++
PAS
+++++
PAS
++++++
PAS
+
PAS
++
PAS
+++
37. DevenirCorrespondantInformatiqueetLibertés
37
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Labellisation
Certification
5
Code de conduite
4
Contrôle
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
EIVP
Security by
design
+
PAS
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
RT
+
Directions
métiers
Les mesures organisationnelles / Le Contrôle
38. DevenirCorrespondantInformatiqueetLibertés
38
Contrôle de
la
Commission
Des Déclarations
Du Registre
Du Bilan
Contrôle des
mesures
Les actions transverses
• L’organisation de protection de
la VP
• Le comité de suivi, validation
• La politique de protection de la
VP
• Les contrats avec le ST
• La communication de la
politique PDCP aux personnes
qui doivent l’appliquer.
• L’Intégration de la protection de
la VP dans les projets
• La supervision de la protection
de la VP
Sur les éléments
La Minimisation des DCP
La Gestion de la durée de conservation des DCP
Le respect des droits de la PC concernées
Le consentement des PC
L’exercice du droit d’opposition
L’exercice du droit d’accès direct
L’exercice du droit de rectification
Le Cloisonnement des DCP
Le Chiffrement des DCP
Pseudonynimisation des DCP
Sur les sources de
risques
L’éloignement des sources de risques
Le marquage des documents contenant des DCP
La gestion des personnes qui ont un accès légitime
Le contrôle de l’accès logique des personnes
La gestion des tiers qui ont un accès légitime aux DCP
La lutte contre les codes malveillants
Le contrôle de l’accès physique des personnes
La protection contre les sources de risques non humaines
Sur les supports
La réduction des vulnérabilités :
• des logiciels
• des matériels
• des canaux informatiques
• des personnes
• des documents papier
Sur les impacts
Sauvegarder les DCP
Protéger les archives de DCP
Contrôler l’intégrité des DCP
Tracer l’activité sur le SI
Gérer les violations de DCP
Contrôle des
PIA
Du contexte du PIA
Des mesures du PIA
De l’analyse des
risques
Des décisions
Les mesures organisationnelles / Le Contrôle
39. DevenirCorrespondantInformatiqueetLibertés
39
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Labellisation
Certification
5
Code de conduite
4
Contrôle
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
RT
+
Directions
métiers
Les mesures organisationnelles / Code de conduite
40. DevenirCorrespondantInformatiqueetLibertés
40
L’élaboration d’un Code de conduite a pour objectif d’encourager la bonne application du Règlement européen relatif à la
protection des DCP en prenant en compte la spécificité des différents secteurs de T et des besoins spécifiques des micro,
petites et moyennes entreprises.
Ce que doit contenir le Code:
le traitement loyal et transparent;
• les intérêts légitimes poursuivis par les RT dans les contextes spécifiques;
• la collecte des DCP; la pseudonymisation des DCP;
• les informations communiquées au public et aux personnes concernées;
• l’exercice des droits des personnes concernées;
• les informations communiquées aux enfants et la protection dont bénéficient les enfants;
• les mesures et les procédures concernant la sécurité du traitement;
• la notification aux autorités de contrôle des violations de DCP; le transfert de DCP vers des pays tiers;
• les procédures extrajudiciaires et autres procédures de règlement des litiges
Les « Packs de conformité » élaborés par la CNIL
Elaborés en concertation avec les acteurs d'un secteur d'activité, les packs représentent un nouveau mode de régulation
pour la CNIL. Ils visent à définir et diffuser les bonnes pratiques pour un secteur, tout en simplifiant les formalités
administratives des acteurs qui s'y conforment. Ils peuvent ainsi contenir des mesures de simplification des formalités, des
guides pratiques et pédagogiques, des tests de vérification de conformité à la loi.
• logements sociaux,
• assurance,
• compteurs communicants
La réalisation de Codes de conduite
Les mesures organisationnelles / Le Code de conduite
41. DevenirCorrespondantInformatiqueetLibertés
41
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Les mesures organisationnelles / Labellisation Certification
42. DevenirCorrespondantInformatiqueetLibertés
42
Exigences relatives à
la politique de protection des DCP
Exigences relatives au DPO
Exigences relatives à
l’analyse de la conformité
Exigences relatives au
contrôle de la conformité
dans le temps
Exigences relatives à la
gestion des réclamations
et à l’exercice du droit des
PC
Exigences relatives à la
journalisation des
évènements de sécurité
Exigences relatives à la
gestion des violations de
DCP
Exigences relatives à la
formation
Les mesures organisationnelles / La Labellisation / Certification
43. DevenirCorrespondantInformatiqueetLibertés
43
L'idée de base est la capacité à s'appuyer sur un tiers pour considérer qu'une partie des ressources du SI (hébergeant des DCP)
que l'on met en œuvre répond à des exigences de sécurité à notre convenance;
• Je (ou une instance extérieure) définis des objectifs de sécurité, des moyens de les vérifier et des niveaux d'assurance de
l'atteinte de ces objectifs;
• Des composantes sont réalisées avec un objectif de conformité à ces définitions
• Des tiers en lesquels j'ai "confiance" garantissent cette conformité
• Intérêts direct :
• Ne pas avoir à analyser soi-même la façon dont la sécurité est assurée au sein d'une des composantes
• Technique d'interfaçage avec des composants achetés
• Technique d'interfaçage entre partie d'un SI (par exemple entre filiales d'un groupe ou entre partenaires commerciaux)
• Mécanique permettant de coopérer sans avoir à "inspecter" l'autre
• Intérêt indirect :
• Formalisme utilisable éventuellement de façon privée
• Écueils :
• Nécessité de formaliser les règles
• Nécessité de mettre en place des diapositifs récurrents d’audit et contrôles
Les mesures organisationnelles / La Certification
44. DevenirCorrespondantInformatiqueetLibertés
44
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les
exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
2
Security by default
Sécurité périphérique
1
Sensibilisation SSI
Security by design
Sécurité en profondeur
Les mesures techniques
48. DevenirCorrespondantInformatiqueetLibertés
48
Prise de contrôle
du poste de travail
Destruction de
données
Vol de données
professionnelles
et privées
Rançonnage par
chiffrement des
données
Usurpation
d’identité
Contamination
d’autres
environnements
Utilisation du
poste pour
participer à des
attaques
Manipulation
Manipulation
48
49. DevenirCorrespondantInformatiqueetLibertés
49
Prise de contrôle
du poste de travail
Destruction de
données
Vol de données
professionnelles
et privées
Rançonnage par
chiffrement des
données
Usurpation
d’identité
Contamination
d’autres
environnements
Utilisation du
poste pour
participer à des
attaques
Manipulation
Manipulation
49
Les mesures techniques / la sensibilisation SSI
51. DevenirCorrespondantInformatiqueetLibertés
51
Prise de contrôle
du poste de travail
Destruction de
données
Vol de données
professionnelles
et privées
Rançonnage par
chiffrement des
données
Usurpation
d’identité
Contamination
d’autres
environnements
Utilisation du
poste pour
participer à des
attaques
Faux lien dans un mail
non sollicité
Pièce jointe avec macro
instructions
malveillantes
Pièce jointe exécutable
malveillante
Mail format html
malveillant
Manipulation
Usurpation
d’identité
Usurpation
d’identité
Et
Incitation
51
Les mesures techniques / la sensibilisation SSI
52. DevenirCorrespondantInformatiqueetLibertés
52
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les
exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
2
Security by default
Sécurité périphérique
1
Sensibilisation
Les mesures techniques / security by default / sécurité périphérique
Security by design
Sécurité en profondeur
53. DevenirCorrespondantInformatiqueetLibertés
53
Serveur
a b # 1 8 …
Client
Identification
Identification
C’est lui
Tiers
Identification
Qui ?
a b # 1 8 …
Identification
Qui ?
Identification
aléa
f (aléa)
Identification
Identification
Identification sans authentification
Authentification faible :
Mot de passe à 8 caractères
Authentification faible, car rejouable :
Mot de passe chiffré
Identification par un tiers
Authentification ??
Authentification moyenne, car non rejouable
Unilatérale
Authentification forte, mutuelle
et non rejouable
aléa1
aléa2
f (aléa1)
f’ (aléa2)
Très facilement usurpable.
Quelle confiance avoir dans
le tiers ?
Interceptable, rejouable et
cassable
Interceptable et rejouable
Moyenne, car non rejouable
mais uniquement par le
client
Forte et mutuelle, tout
dépend de f et f’ et de la
gestion des clés associées
Les mesures techniques / L’authentification
L'authentification forte se base sur :
Ce que l'on sait, (secret non partagé)
Mot de passe, code confidentiel, ...
Ce que l'on possède
Carte à puce, clef USB, …
Ce que l'on est
Biométrie (empreinte digitale ou rétinienne)
54. DevenirCorrespondantInformatiqueetLibertés
54
Demande d'accès en
provenance de l'utilisateur
Reconnaissance de
l'utilisateur
Authentification de
l'utilisateur
Reconnaissance du profil
de l'utilisateur
Vérification des droits de
l'utilisateur
Autorisation ou refus de
l'accès
Contrôle dynamique
A B CA D E G H I J K L M
Oui Non Non Oui Oui Non Oui Non Non Oui Non Oui
Après avoir déterminé le niveau de sensibilité des DCP, le besoin de diffusion et de
partage des ressources, les droits d’accès aux ressources doivent être gérés
suivant les principes suivants :
• besoin d’en connaître (chaque utilisateur n’est autorisé à accéder qu’aux
ressources pour lesquelles on lui accorde explicitement le bénéfice de l’accès),
• moindre privilège (chaque utilisateur accède aux ressources avec le minimum de
privilèges lui permettant de conduire les actions explicitement autorisées pour
lui);
• la séparation des pouvoirs,
Les mesures techniques / Les habilitations
55. DevenirCorrespondantInformatiqueetLibertés
55
Toute action d’autorisation d’accès d’un utilisateur à des DCP, doit s’inscrire dans le cadre d’un processus
d’autorisation formalisé, qui s’appuie sur le processus d’arrivée et de départ du personnel.
• Valideur d’accès au SI (Profil): Le Responsable hiérarchique
• Valideur d’accès aux DCP classifiées: le « propriétaire délégué par le RT »,
• (sous la responsabilité du manager métier).
Qui ? Rôle et responsabilités
Responsable hiérarchique du
bénéficiaire (ou responsable du
contrat de prestation), pour les
profils
Propriétaire pour l’accès aux
données par le biais de la liste de
diffusion
Valide le bien-fondé de la demande et engage sa responsabilité vis à vis de l’ouverture d’un
accès au SI pour le bénéficiaire. Il doit à ce titre s’interroger sur les aspects suivants :
S’assure que le bénéficiaire connaît les règles de sécurité à respecter :
Conserve la maîtrise des accès qu’il a autorisés :
Bénéficiaire Valideur
Traçabilité et contrôle
MétierProfil
d’habilitations
Mise en œuvre
Les mesures techniques / Les habilitations
Personnes Profils
Droits
Habilitations
56. DevenirCorrespondantInformatiqueetLibertés
56
Une politique explicite de gestion des comptes du domaine doit être documentée.
La gestion des mots de passe doit être
conçue de façon à protéger
contre les attaques par essais successifs.
Une complexité minimale dans le choix
des mots de passe doit être imposée aux
utilisateurs.
La gestion des comptes doit
s’appuyer sur une nomenclature
adaptée, afin de pouvoir distinguer
selon leur usage :
• comptes d’utilisateur standard,
• comptes d’administration
(domaine, serveurs, postes de
travail) et
• comptes de service.
Les comptes de service doivent faire
l’objet d’une restriction des droits, en
suivant le principe du moindre
privilège.
Il est nécessaire de désactiver immédiatement, voire de supprimer, les comptes obsolètes, que ce soient des
comptes d’utilisateur (administrateur, de service ou utilisateur standard) ou des comptes de machine.
Les mesures techniques / Les habilitations
57. DevenirCorrespondantInformatiqueetLibertés
57
Objectif : faire perdre le caractère identifiant des données à caractère personnel (DCP).
Déterminer ce qui doit être anonymisé selon le contexte, la forme de stockage des DCP (champs d’une base de données, extraits de
textes…) et les risques identifiés.
Anonymiser de manière irréversible ce qui doit l’être, selon la forme des données à anonymiser (base de données, documents textuels…)
et les risques identifiés.
Une « véritable » anonymisation implique nécessairement une perte (irréversible) d’information. Dans certains cas, le simple fait d’effacer ou de
noircir une partie des données peut suffire à atteindre l’objectif souhaité.
La « pseudonymisation » peut être définie comme le remplacement d'un nom par un pseudonyme. C’est le processus par
lequel les DCP perdent leur caractère identifiant (de manière directe).
Les DCP restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée.
Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou
irréversible).
Recommandations :
• supprimer une partie suffisante des DCP
• s’il est nécessaire que des personnes habilitées puissent vérifier que des données pseudo anonymisées correspondent à des données
originales qu’ils ont en leur possession, pratiquer une double pseudo anonymisation avec deux clés secrètes détenues par deux
organismes différents
• s’il est nécessaire à des personnes habilitées de pouvoir retrouver les données originales (levée d’anonymat), utiliser une fonction de
chiffrement, éventuellement en partageant une clé en trois parties confiées à trois personnes différentes (par exemple sur un CD ou un
carte à puce) avec l’obligation qu’au moins deux des trois personnes se réunissent pour reconstituer la clé, afin de protéger la
confidentialité du secret…
• Utiliser uniquement des DCP pseudo anonymisées ou des données fictives pour les phases de développement et de test.
Les mesures techniques / Security by default / Pseudo anomymisation
58. DevenirCorrespondantInformatiqueetLibertés
58
• La sécurité des échanges : comment garantir l’authentification,
la confidentialité, l’intégrité, la non répudiation des échanges :
• Comment échanger des informations avec des niveaux de confidentialité différents, relatifs à la classification ?
Des algorithmes
• Symétrique
• Asymétrique
Des protocoles
combinant les algorithmes
• IPSEC
• SSL
• SMIME / PGP
Des architectures
de certificats
• Des choix
organisationnels
• Des choix d’outils
• IGCP / PKI
Les mesures techniques / Security by default / Chiffrement
59. DevenirCorrespondantInformatiqueetLibertés
59
Chiffrement :
Algorithmes à clés secrètes :
DES, 3DES, RC2, RC4, RC5, IDEA...
Algorithmes à clés
publiques et privées (RSA, ECC…)
Message clair
Ceci est un
message ...
Message chiffré
WD37ZZXX
V2032...
• Le chiffrement consiste à transformer un message clair en un message incompréhensible sans la connaissance d’un secret.
• Les technologies de chiffrement se classent en deux catégories :
• Le chiffrement à clés secrètes.
• Le chiffrement à clés publiques et privées.
Les mesures techniques / Security by default / Chiffrement
60. DevenirCorrespondantInformatiqueetLibertés
60
2 Grandes familles d’algorithmes
Une bonne combinaison : le chiffrement asymétrique à clé publique et privée pour véhiculer une clé secrète
Utilisation de clé secrète
• La clé est commune des 2 côtés
• La clé permet de chiffrer et de déchiffrer
• Le chiffrement est symétrique
Remarque :
• Force : rapidité
• Faiblesse : il faut s’échanger la clé au moins une
fois (c ’est-à-dire la transporter au moins une fois)
• Adaptée aux échanges on line synchrones
Utilisation de clé publique et privée
• Le chiffrement se fait avec une clé (publique ou
privée) ;
• le déchiffrement se fait avec l’autre (son contraire,
privée ou publique)
− Une des deux clés est diffusée librement :
c ’est la clé publique
• L ’autre clé est ultra confidentielle : c ’est la clé
privée
• Le chiffrement est asymétrique
Remarque :
• Force : pas de problème de « cassure » lié à la
propagation des clés
• Faiblesse : les algorithmes sont lourds
• Adaptée aux échanges asynchrones (of line)
Convient au chiffrement ON LINE
Chiffrement OFF LINE ou chiffrement
du transfert à clés secrètes et signatures
Les mesures techniques / Security by default / Chiffrement
62. DevenirCorrespondantInformatiqueetLibertés
62
Authentification
Positionnement
du hash code
Transit
A B
Comparaison
du hash code
message message message message
Déchiffrement du hash
code avec la clé publique
de A
Chiffrement du hash code
avec la clé privée de A
message message
Authentification Confidentialité
message message message message
A B
Transit
Positionnement
du hash code
Contrôle
du hash code
Déchiffrement
avec la clé privée
de B
Chiffrement du
hash code avec
la clé privée de A
Chiffrement de
l’ensemble avec la clé
publique de B
Déchiffrement du
hash code avec la
clé publique de A
Comparaison des hash code
Comparaison des hash code
Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default / Chiffrement
63. DevenirCorrespondantInformatiqueetLibertés
63
Un certificat électronique établit le lien entre l'identité d'un porteur et sa clé publique :
• Il s'apparente à une pièce d'identité « électronique »
Un certificat garantit la véracité d’un couple « identité » / clé publique (certifiée par une Autorité de
Certification), vérifiée lors de l’enregistrement (assuré par une Autorité d’Enregistrement)
Signature de l’Autoritéé
de Certification
Autres informations
Période de validité
Identité du titulaire
Clé publique
Signature de l’autorité
(préfet)
Autres informations
Période de validité
Identité du titulaire
Photo et signature
du titulaire
Scellement permettant
de vérifier l’intégrité et
l’authenticité des
informations
Certificat Carte d’identité
Les mesures techniques / Security by default / Chiffrement
64. DevenirCorrespondantInformatiqueetLibertés
64
Redondance / haute disponibilité
• Afin d’assurer la haute disponibilité, il faut :
• Redonder toutes les connexions ?
• Doubler les matériels ?
Exemple d’architecture
Les mesures techniques / Security by default / Disponibilité
65. DevenirCorrespondantInformatiqueetLibertés
65
WEB
public
DMZ
DMZ
DMZ
Applicatif
Métier
stratégique
Poste de travail
Composant d’intendance
(administration et sécurité)
Deuxième niveau
de Firewall
Premier niveau
de Firewall
Les mesures techniques / Security by default / la sécurité périphérique
Tenir les systèmes et applications à jour (versions, correctifs de sécurité…) ou, lorsque cela est impossible (ex : application uniquement
disponible sur un système qui n’est plus maintenu par l’éditeur), isoler la machine et porter une attention particulière aux journaux.
Utiliser des versions maintenues par le constructeur ou un service tiers, mettre les logiciels à jour sans délai en programmant une
vérification automatique hebdomadaire, tester les mises à jour avant de les déployer sur l’ensemble du système, s’assurer que les mises à
jour soient réversibles en cas d’échec de leur application, vérifier régulièrement que les licences des logiciels sont valables…
Documenter les configurations et les mettre à jour à chaque changement notable.
66. DevenirCorrespondantInformatiqueetLibertés
66
• Panorama des techniques :
• Scanner Anti-virus
• Heuristique Anti-virus
• Générique Anti-virus
• Contrôle du « checksum » Anti-virus ou programme dédié
• Analyse du comportement Anti-virus
• Filtrage de courrier électronique/url Outil d’analyse spécifique
• Points faibles :
• Aucune méthode n’est fiable à 100%.
Il faut une combinaison de chacune pour obtenir une bonne efficacité.
• Et dans tous les cas, il est absolument nécessaire de maintenir à jour les logiciels de manière permanente.
Les technologies malveillantes évoluent et exploitent les faiblesses des logiciels.
Les mesures techniques / Security by default / Lutte contre les codes malveillants
Le maintien dans le temps du niveau de sécurité d’un SI impose une gestion organisée et adaptée des mises à jour de sécurité.
Un processus de gestion des correctifs propre à chaque système ou applicatif doit être défini, et adapté suivant les contraintes et le niveau
d’exposition du système.
67. DevenirCorrespondantInformatiqueetLibertés
67
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les
exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
2
Security by default
Sécurité périphérique
1
Sensibilisation
Les mesures et techniques / sécurité en profondeur
Security by design
Sécurité en profondeur
68. DevenirCorrespondantInformatiqueetLibertés
68
Appliquer les principes de défense en profondeur à l’architecture matérielle et logicielle des centres informatiques.
Le principe de défense en profondeur doit être respecté, en particulier par la mise en œuvre successive de « zones démilitarisées » (DMZ),
d’environnements de sécurité logique et physique en zone d’hébergement, de machines virtuelles ou physiques dédiées, de réseaux
locaux virtuels (VLAN) appropriés à la sensibilité des DCP et aux habilitations, d’un filtrage strict des flux applicatifs et d’administration.
Les premiers niveaux de défense protègent les ressources de niveaux inférieurs contre les attaques à large spectre
Les niveaux inférieurs assurent la protection contre les attaques ciblées sur un objectif précis
Les mesures techniques / la sécurité en profondeur
Rupture protocolaire / sens de connexion mode diode / rupture de connexion /
Filtrage réseau et applicatif / authentification mutuelle et non rejouable
Chiffrement
Passerelles de sécurité et IDS distribué tout au long de la chaine de liaison
69. DevenirCorrespondantInformatiqueetLibertés
69
Les opérations d’administration sur les ressources locales d’une entité doivent s’appuyer sur des protocoles
sécurisés.
Un réseau dédié à l’administration des équipements, ou au moins un réseau logiquement séparé de celui des
utilisateurs, doit être utilisé.
Les postes d’administrateurs doivent être dédiés et ne doivent pas pouvoir accéder à Internet.
Afin de gérer efficacement un grand nombre de postes d’utilisateurs, de serveurs ou d’équipements réseau, les
administrateurs doivent utiliser des outils centralisés, permettant l’automatisation de traitements quotidiens et
offrant une vue globale et pertinente sur le système d’information.
Réseau administrateurs
Réseau Utilisateurs
Internet
Les mesures techniques / la sécurité en profondeur
70. DevenirCorrespondantInformatiqueetLibertés
70
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les
exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
2
Security by default
Sécurité périphérique
1
Sensibilisation
Les mesures techniques / Contrôle des mesures techniques
Security by design
Sécurité en profondeur
71. DevenirCorrespondantInformatiqueetLibertés
71
Les mesures techniques / Contrôle des mesures techniques
Cas particuliers : Les tests intrusifs
Limite des tests intrusifs :
• La non exhaustivité des vulnérabilités mises en évidence :
Faute de temps (durée limitée des tests),
Périmètre de test restreint, la non reproductivité d’une attaque réelle
• La vision souvent trop technique des enjeux :
Quels sont les impacts pour le RT d’une intrusion réussie
Quels sont les risques majeurs pour le RT ?
La gouvernance protection de la vie privée et les procédures sont-elles défaillantes ?
• L’absence de contrôle des configurations et des procédures opérationnelles
72. DevenirCorrespondantInformatiqueetLibertés
72
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les
exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
2
Security by default
Sécurité périphérique
1
Sensibilisation
Les mesures techniques / SMSI
Security by design
Sécurité en profondeur
73. DevenirCorrespondantInformatiqueetLibertés
73
Pourquoi mettre en œuvre un Système de Management de Sécurité des DCP ?
Pour protéger, dans la durée, les DCP et les systèmes d’information qui les hébergent
Pour renforcer la confiance (vis-à-vis PC /des clients / usagers et des fournisseurs ou en interne).
Pour améliorer les processus et l’organisation interne en matière de protection de DCP
Les mesures techniques / Contrôle des mesures techniques
La norme ISO 27001 a pour objectif de proposer un modèle permettant de définir, d’implémenter, de maintenir, de piloter, d’auditer et de
faire évoluer un système de management de la sécurité de l’information.
L’adoption du SMSI doit être une décision stratégique de l’organisation.
La définition et la mise en œuvre du SMSI doit être adapté aux besoins, aux objectifs, aux exigences de sécurité, à l’organisation, à la taille
et à la structure de l’organisation.
PLAN
DO
CHECK
ACT
74. DevenirCorrespondantInformatiqueetLibertés
74
Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les
exécutants
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
2
Security by default
Sécurité périphérique
1
Sensibilisation
Sécurité en profondeur
75. DevenirCorrespondantInformatiqueetLibertés
75
La certification permet de répondre principalement à trois types d’objectifs.
1. Il peut s’agir d’objectifs règlementaires, tels que l’application de Règlements ou de directives européennes ou nationales.
2. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement la
certification de produits avant leur usage.
3. Enfin des entreprises peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial).
Les mesures techniques / les produits certifiés
La Certification Sécurité Premier Niveau mise en place par l’ANSSI en 2008 consiste en des tests en « boîte noire » effectués
en temps et délais contraints.
La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, et lorsque
le niveau de confiance visé est moins élevé. Cette certification s’appuie sur des critères, une méthodologie et un processus
élaborés par l’ANSSI et publiés sur leur site.
Effacement de données
Le but de l’évaluation est d’apprécier, en temps et
charge contraints :
- la conformité du produit à sa cible de sécurité
- l’efficacité des fonctions de sécurité
- l’impact du produit sur la sécurité du système hôte
Stockage sécurisé
Système d’exploitation et virtualisation
Pare Feu
Détection d’intrusion
Antivirus, Protection contre les codes malicieux
Administration et supervision de la sécurité
Identification, Authentification et Contrôle d’accès
Communication sécurisée
Messagerie sécurisée
76. DevenirCorrespondantInformatiqueetLibertés
76
Organisation
• Règlement
• Formations
• Méthodes
• Directives et Procédures
• Contrôles et Preuves
• Sanctions
• Technologies
Engagement de
responsabilité :
• Personne morale et PJR
• Directions
• Chefs de services
• Administrateurs
• Personnels
• Partenaires
• Sous-traitants
Relativité
Sensibilité des DCP
et Enjeux organismes
• Potentialités
• Impacts Vie Privée / Organisme
• Relativité des règles corrélées
aux besoins et aux risques métiers