Workshop Sécurité des données

Atelier CNIL - Sécurité
Jérôme Gorin – Ingénieur expert
Martin Biéri – Innovation et Prospective

3
- Informer & conseiller
- Guides pratiques, tutoriels, vidéo
- Ateliers pour les DPO
- Labels, recommandation
- Contrôler & sanctionner
- Contrôles sur place et à distance
- Sanctions

La CNIL à Station F par French Tech Central
4
Offre de services organisée autour d’ateliers:
• Ateliers de sensibilisation: approfondissement RGPD (PIA,
DPO, … )
• Ateliers thématiques: Healthtech, Fintech, IoT, …
• Travaux pratiques: design, onboarding apps,…

6
Explorer
LINC explore le futur de
la société numérique,
pour mieux anticiper
l’impact de l’usage des
innovations
technologiques sur la
vie privée et les libertés.
Expérimenter
LINC pilote des projets
d’expérimentation, pour
mieux cerner les usages
numériques émergents.
Échanger
LINC créé du lien entre
les acteurs de la société
numérique (entreprises,
institutions, assos,
société civile…), pour
mieux les informer face
aux nouveaux enjeux
reliant éthique, libertés,
et vie privée.

10
+
Les grands principes I&L demeurent
Licéité, loyauté,
transparence
Limitation
des finalités
Minimisation
des données
Exactitude
Limitation de la
conservation
Intégrité et
confidentialité
Respect des droits
des personnes:
• Information,
• consentement
• rectification,
opposition
• accès,
suppression
+

12
Critère de ciblage
Sanctions augmentées
Principe de responsabilité
« accountability »
Portabilité
Partage des responsabilités
Le Délégué à la Protection des
Données (DPO)

Les exigences de
sécurité du RGPD

Article 34 – Loi Informatique et
Liberté (pré-RGPD)
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de
la nature des données et des risques présentés par le traitement, pour préserver la
sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés,
peuvent fixer les prescriptions techniques auxquelles doivent se conformer les
traitements mentionnés au 2° et au 6° du II de l'article 8. »
14

15
Garantir un
niveau de
sécurité
approprié
Mesures
de
sécurité
Preuves de
conformité
Amélioration
continue
Objectifs
De quoi parle-t-on?

16
Que dit le RGPD ?
Article 25 - Protection des données dès la conception et
protection des données par défaut
Article 32 - Sécurité du traitement (extraits) :
• … le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles
appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : (…)

Article 32 – RGPD
1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le
degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures
techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident
physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du
traitement.
2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la
perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de
telles données, de manière accidentelle ou illicite.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément
pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou
sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par
le droit de l'Union ou le droit d'un État membre.
17

Article 32 – RGPD
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des
délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement,
résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou
illicite.
18
Objectifs

Article 32 – RGPD
traitement.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant
sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les
traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État
membre.
19
Mesures
de
sécurité

Article 32 – RGPD
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
20
Amélioration
continue

Article 32 – RGPD
traitement.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme
le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
21
Conformité

traitement.
Article 32 – RGPD
22
Garantir un
niveau de
sécurité
approprié
Mesures
de
sécurité
Preuves de
conformité
Amélioration
continue
Objectifs

24
Basique !
Pas 2.000 comptes
administrateurs sur un réseau
Cloisonnements (bureautique,
production, test/pré-prod,
administration/bastion)
Le réseau WiFi clients n’est pas
sur le réseau de production !
Jamais de partage de compte
entre utilisateurs
Chiffrement des postes de
travail nomades
Règles de patch management
en places
Le réseau de test vulnérable et
non mis à jour, est déconnecté
du réseau de production
Faire des sauvegardes
fréquentes et les tester
(déconnectez vos sauvegardes
actives si ransomware)
En cas de compromission d’une
machine, penser à l’isoler
rapidement (pour éviter un
rebond ou une contamination)
Audit des prestataires sur les
aspects de sécurité
contractualisés

Les risques liés aux données
• Accès illégitime aux données :
• Exploitation des données (vol, revente, diffusion, profilage…)
• Modification non désirée :
• Dysfonctionnement (mauvaises consignes de soin, mesures
erronées, attaque sur une pompe à insuline…)
• Disparition :
• Dysfonctionnement (dossier médical ne signalant plus les
allergies…)
• Blocage (impossibilité de dispenser des soins, impossibilité
d’exercer ses droits, démarches administratives interrompues…)

Les risques liés aux données
L’analyse et la gestion des risques
• Intérêt: identifier les précautions utiles à prendre au regard de la nature des données et des
risques présentés par le traitement afin de préserver la sécurité des données.

Chapitres du guide « sécurité des données personnelles »
1. Sensibiliser les utilisateurs
2. Authentifier les utilisateurs
3. Gérer les habilitations
4. Tracer les accès et gérer les incidents
5. Sécuriser les postes de travail
6. Sécuriser l'informatique mobile
7. Protéger le réseau informatique interne
8. Sécuriser les serveurs
9. Sécuriser les sites web
10. Sauvegarder et prévoir la continuité d'activité
11. Archiver
12. Encadrer la maintenance et la destruction des données
13. Gérer la sous-traitance
14. Sécuriser les échanges avec d'autres organismes
15. Protéger les locaux
16. Encadrer les développements informatiques
17. Chiffrer, garantir l’intégrité ou signer
Les utilisateurs
L’informatique interne
Les extérieurs au traitement
La sécurité physique
Les pratiques

29
Les utilisateurs
Chaque utilisateur ne doit avoir accès :
• qu’aux ressources nécessaires à l’accomplissement de ses missions ;
• avec le minimum de privilèges lui permettant de conduire les actions nécessaires à ses missions.
Pour s’en assurer :
• On créé des profils d’habilitation en fonction des métiers et des responsabilité qui définissent les droits
d’accès, de modification et de suppression.
• Chaque utilisateur à un identifiant unique pour son compte qui est relié à un profil.
L’utilisateur s’authentifie (sur le poste, l’application, etc..) de manière sécurisée.
→ La journalisation permet de tracer les actions des utilisateurs et détecter les anomalies.

30
L’authentification
Authentification « faible » : ce que je sais
• Simple à mettre en place mais niveau de sécurité plus faible.
Exemple : Mots de passe
• La sécurité dépend de la politique choisie : types et nombre de caractères, changement de mot de passe après
réinitialisation, dés qu’il y a suspicion voire tous les x mois, etc..
− doit rester individuel et secret
− doit respecter une composition minimale définie dans notre recommandation;
− doit être stocké dans un format qui ne permet pas d’en prendre connaissance (hachage à clé avec utilisation d’un sel)
Authentification « forte » : ce que je sais, ce dont je dispose, ce que je suis
• Haut niveau de sécurité MAIS mise en œuvre complexe.
Exemple : SMS des banques, Carte à puce (avec code pin) etc.
Si on ne respect pas ces principes, l’authentification et la traçabilité n’est
plus pertinente :
Toute personne y ayant accès (notamment les administrateurs)
peuvent se faire passer pour un utilisateur légitime.

31
Recommandation mot de passe de la CNIL
Exemple
Longueur
minimum
Composition Mesures complémentaires
Mot de passe seul Forum, blog 12 4 types Conseiller l'utilisateur sur un bon mot de passe
Avec restriction d'accès
(le + répandu)
Sites de e-
commerce,
compte
d'entreprise,
webmail
8
au moins 3 des 4
types
Blocage des tentatives multiples :
(exemples)
• Temporisation d'accès au compte après plusieurs échecs
• « Captcha »
• Verrouillage du compte après 10 échecs
Avec information
complémentaire
Banque en
ligne
5
Chiffres
et/ou lettres
Blocage des tentatives multiples
+
• Information complémentaire communiquée en propre d'une
taille d'au moins 7 caractères
(ex : identifiant dédié au service)
ou
• Identification du terminal de l’usager
(ex : adresse IP, adresse MAC…)
Avec matériel détenu
par la personne
CB ou
téléphone
4 Chiffres
Matériel détenu en propre par la personne
(ex : carte SIM, carte bancaire, certificat)
+ Blocage au bout de 3 tentatives échouées

32
Les journaux d’évènements
Bonnes pratiques:
1. Enregistrer les évènements pouvant affecter la sécurité du système:
• arrêt de l'enregistrement des traces,
• blocage d'un compte (suite à tentative d’attaque par force brute),
• Modification des droits,
• Accès aux données du système
• Requêtes anormalement longues
2. Les traces doivent permettre de savoir au moins qui à fait quoi et quand
3. Accès uniquement des personnes habilitées
4. Une durée de conservation adaptée : 6 mois sauf contrainte légale ou règlementaire

33
Chiffrement
• Toujours utiliser les algorithmes et type de clé recommandé avec des bibliothèques et logiciels connus.
− Exemple : PGP/GPG ou liste sur le site de l’ANSSI de produits certifiés/qualifiés
• Fonction de hachage => Intégrité
− Exemple sans clé : SHA 2, SHA256/512, SHA3
− Exemple avec clé : HMAC avec les mêmes, bcrypt, scrypt, PBKDF2
• Signature => Authenticité
− Exemples : RSA
• Chiffrement => Confidentialité
Asymétrique = cadenas
• Symétrique = serrure
− Exemple : RSA
− Exemple : AES-128

34
Accès à distance
Accès clients Accès salariés
Sécurisation des échanges
Authentification du site/serveur
distant
HTTPS HTTPS
VPN
Confidentialité des échanges HTTPS HTTPS ou VPN
Authentification de l’utilisateur Blocage temporaire en cas d’échec,
déconnexion automatique
Fermeture des comptes inutilisés
Authentification forte pour les
opérations sensibles (SMS)
Blocage du compte en cas d’échec
Authentification forte (token, certificat
client, OTP …)
Authentification du poste (certificat,
filtrage réseau)
Protection du dispositif Chiffrement du disque dur

35
USB
dvd
cd
?
?
?
Applications
(externes)
Applications
(internes)
Applications
Base de
données

36
2) Mesures physiques : On choisit des mesures en fonction du contexte
- Limiter l’accès aux postes de travail aux personnes identifiées
Exemple : Mise en place d’une procédure de verrouillage automatique de session, information des utilisateurs,…
- Encadrer les applications installées sur le poste, éviter les logiciels malveillants
Exemple : Utiliser des antivirus régulièrement mis à jour, interdire ou limiter l’installation de logiciels par les
utilisateurs, s’assurer que les mises à jour soient appliquées…
- Contrôler les connexions entrantes et sortantes
Exemple : Installer un « pare-feu » (firewall) logiciel sur le poste
1) Mesures organisationnelles :
- Charte informatique (+ engagement de confidentialité)
- Classification des informations
- Mises à jour des politiques et procédures
- Séances de formation et de sensibilisation

Pseudonymisation
Le traitement de données à caractère personnel
de telle façon que celles-ci ne puissent plus être
attribuées à une personne concernée précise
sans avoir recours à des informations
supplémentaires, pour autant que ces
informations supplémentaires soient conservées
séparément et soumises à des mesures
techniques et organisationnelles afin de garantir
que les données à caractère personnel ne sont
pas attribuées à une personne physique identifiée
ou identifiable
La pseudonymisation selon le RGPD
L’anonymisation selon le RGPD
Il n'y a […] pas lieu d'appliquer les principes
relatifs à la protection des données aux
informations anonymes, à savoir les informations
ne concernant pas une personne physique
identifiée ou identifiable, ni aux données à
caractère personnel rendues anonymes de telle
manière que la personne concernée ne soit pas
ou plus identifiable
• Publier / partager librement les
données
• S’exonérer des contraintes de
durée de conservation /
sécurité
• Désensibiliser les données
• Conserver « l’exploitabilité » des
données

Exploitabilité vs protection
Données d’origine
non anonymisées
Données qui conservent des
propriétés d’origine
(réidentifiable, individualisable
/ corrélable)
Données qui ne permettent
pas de faire le lien avec des
individus
Exploitabilité
Protection
Risquede
réidentification

L’avis G29
Evaluer le risque
de réidentification
Individualisation ? Corrélation ? Inférence ?
Données pas anonymisées Données anonymisées
Oui OuiOui
Non Non Non
Données brutes Données anonymisées ?

41
Privacy Impact Assesment (PIA)
Les principes et droits
fondamentaux (finalité,
information…), « non négociables
», fixés par la loi, devant être
respectés et ne pouvant faire
l’objet d’aucune modulation
La gestion des risques sur la
vie privée des personnes
concernées, qui permet de
déterminer les mesures
techniques et d’organisation
appropriées pour protéger les
données
1. Respect des
principes
fondamentaux
2. Gestion des
risques liés à la
sécurité des
données
PIA
(Privacy Impact
Assessment)
Le Privacy Impact Assessment (PIA)
est un moyen de se mettre en
conformité et de le démontrer (notion
d’accountability)

42
Gérer les risques
 Les questions à se poser :
• Quels pourraient être les impacts sur les personnes en cas :
a) d’accès illégitime ?
b) de modification non désirée ?
c) de disparition?
• Comment chacun de ces scénarios pourrait-il arriver ?
• Est-ce grave? Est-ce vraisemblable ?
• Quelles mesures (de prévention, de protection, de détection, de
réaction…) peut-on prévoir pour réduire les risques ?

Evaluer les risques
Supports
Matériels
Logiciels
Réseaux
Personnes
Supports papier
Canaux papier
Données
Données du
traitement
Données liées aux
mesures
Impacts potentiels
Vie privée
Identité humaine
Droits de l’homme
Libertés publiques
Sources de
risques
Supports Données
Impacts
potentiels
Vraisemblance Gravité
Menaces Événements redoutés
Risques
Sources de risques
Personnes externes
Personnes internes
Sources non humaines

Cartographier les risques
Une cartographie des risques permet
de comparer visuellement les risques
les uns par rapport aux autres.
Elle permet également de faciliter la
détermination des objectifs pour les
traiter (par « zones »).
Vraisemblance
Gravité
1. Négligeable
2. Limitée
3. Important
4. Maximal
1. Négligeable 2. Limité 3. Important 4. Maximal
Accès illégitime
aux DCP
Disparition des
DCP
Modification
non désirée des
DCP
Cartographie
des risques
Accès illégitime
aux données
Disparition des
données
Modification
non désirée des
données

45
Ce qu’il faut retenir
• Le PIA permet de construire la mise en conformité d’un traitement et
de pouvoir la démontrer.
• Mener un PIA est équivalent à ce qu’on fait actuellement pour
certains traitements (dossiers de formalités et échanges avec la
CNIL).
• Il ne s’agit pas d’ajouter un nouveau processus, mais de faire
converger les démarches existantes
• Il intégre le point de vue « protection de la vie privée » et le point de
vue « SSI / cybersécurité ».

Responsabilité spécifique des ST
Elargissement des obligations du ST
vis-à-vis du RT
Obligations propres du ST
(délégué, registre)
Responsabilité propre du ST
Contrat conforme à l’article 28 du RGPD

48
Le site de la CNIL
https://www.cnil.fr
Recommandations (mot de passe,
cookie, mentions etc.)
Guides (sécurité, PIA, pub etc.)
Référentiels sectoriels (véhicule
connecté, silver economie)
Communications (hachage,
signatures, etc.)

Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de
propriété intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY.
Aux conditions suivantes :
- Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à
laquelle le contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans
toutefois suggérer que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus.
- Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions
des droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.

Workshop Sécurité des données

Workshop Sécurité des données

Recommandé

Recommandé

Contenu connexe

Similaire à Workshop Sécurité des données

Similaire à Workshop Sécurité des données (20)

Plus de FrenchTechCentral

Plus de FrenchTechCentral (20)

Workshop Sécurité des données