Au cours de ma formation en Cybersécurité à l'Ecole Aston, il nous a été proposé de réaliser des exposés sur des problématiques touchant le monde de la sécurité informatique.
A cette occasion, nous avons formés des groupes, et celui auquel j'appartenais à décidé de s'intéresser à la Loi de Programmation militaire française, et au Règlement Général sur la Protection des Données.
Voici le résultat de nos travaux.
1. LPM + GDPR
Quels impacts dans une entreprise?
Didier, Jeremy, Omar 08 décembre 2017
2. Sommaire
I. LPM: Loi de Programmation Militaire
1. Définition d’Organisme d’Importance Vitale
2. Mise en place
3. Impacts
II. RGPD: Règlement Général sur la Protection des Données
1. Principaux points
2. Définition de “donnée personnelle”
3. Mise en place
Cartographie du flux des données
4. Impacts
III. RGPD+LPM
1. Une étreinte fatale
2. Leurs points communs
IV. Conclusion
V. Méthodologie de veille SSI
3. Loi de Programmation Militaire
Définition:
Cette loi détermine le montant des crédits alloué à
la défense, ainsi que les objectifs à accomplir sur
plusieurs années. Elle couvre tout le spectre de la
défense nationale:
- Marine Nationale
- Armée de l’Air
- Dissuasion Nucléaire
- Lutte contre les Cyber-Menaces
Les articles 21 à 24 couvrent le sujet des cyber-
menaces sur les Opérateurs d'Importance Vitale.
Historique:
1958 (ordonnance 58-1371):
La notion d’Installation d’Importance Vitales est instaurée, indiquant
que les entreprises devraient « coopérer à leurs frais à la protection de
leurs établissements contre les tentatives de sabotage ». Ces
obligations portant essentiellement sur la sécurité physiques des points
d’importance vitale (PIV).
2009:
Suite à la prise de conscience en 2008, au plus haut niveau de l’État des
impacts nationaux que peuvent provoquer les cyber-menaces actuelles
et futures, l’Agence Nationale de la Sécurité des Systèmes d'Information
(ANSSI) est créé pour coordonner la prise en compte des risques liés
aux cyber-menaces, informer et certifier les outils et prestataires.
2013 (2013-1168 Art. 22): la Loi de Programmation Militaire
pour la période 2014-19, que l’Etat ajoute un volet lié à la cybersécurité
pour la défense de ces Opérateurs d’Importance Vitale.
Future: La future Directive Network and Information Security (NIS), en
discussion au niveau européen pour obliger tous les états membres a
de telle mesures sur leurs opérateurs.
4. Qui sont les OIV concernés par la LPM?
En 1958, l’Etat fait apparaître le concepte d’Installation
d’Importance Vitale, désignant les infrastructures critiques
dont l’arrêt diminuerait grandement la force économique,
défensive ou simplement humaine de la France.
Cette notion évoluera au fil des livres blancs et des versions
de la LPM, pour devenir aujourd’hui d’Opérateurs
d’Importance Vitale, intégrant les notions complémentaires
de Points IV et de Systèmes d’Information IV.
La liste des OIV est tenue secrète, bien que l’on puisse
aisément deviner les plus gros d’entre eux, nous n’en
connaissons que le nombre.
Les 249 OIV actuellement recensées sont répartie en
12 secteurs d’activités.
5. Mises en place dans une entreprise de la LPM
La LPM ne s’applique qu’au OIV, mais les grandes
pratiques de celle-ci sont gages d’une bonne gestion des
risques lié au SI. L’Etat espère que l’entrée en vigueur de la
LPM chez les OIV fera tache d’huile pour améliorer la
sécurité l’ensemble des entreprises françaises.
Les OIV doivent :
- désigner un représentant auprès de l’ANSSI
- dresser la liste de leurs Système d’Information
d’Importance Vitale. Pour cela elles doivent déterminer
lesquels de leur SI participent aux missions critiques que
l’Etat leur a confié, et lesquels n’assurent que l'intérêt
économique de l’entreprise. Cette liste devra être transmise
à l’ANSSI.
- mettre en œuvre les règles de sécurité LPM prévues par
l’arrêté (étant elles aussi en Diffusion Restreinte, leur
contenu ne peut donc pas être diffusé largement) dressant
les grandes lignes de la gestion des SIIV
- informer l’ANSII obligatoirement en cas d’incidents de
sécurité affectant les SIIV
Suivant les sources (ANSSI, INHESJ, prestataires SI) et les regroupements
qu’ils en font, ces règles peuvent être dénombrer de 13 à 20.
● Pilotage de la gouvernance de la cybersécurité
> Rôles et responsabilité
> PSSI (Politique de sécurité des SI)
> Indicateurs
> Formation
● Maîtrise des risques
> Homologation
● Maîtrise des systèmes d’information
> Cartographie
> MCS (Maintien en condition de sécurité)
● Gestion des incidents de cybersécurité
> Détection
> Journalisation
> Traitement
> Points de contact avec l’ANSSI
> Gestion de crise
● Protection des systèmes
> Gestion des identités et des accès
> Administration
> Défense en profondeur
6. Les impacts de la LPM (dans un OIV)
Les impacts organisationnels
- Désignation d’un responsable de la sécurité des SIIV, qui sera le principal interlocuteur de l’ANSSI
- Définition de la Politique de Sécurité du SI (PSSI) posant les exigences en matière de formation, de
sensibilisation et de reporting, et qui détermine des indicateurs pertinents, cohérents et fiables.
- Formation et habilitation des employés
- Établissement de nouveaux contrat de services avec des prestataires (PDSI, PRSI, PASSI)
pour la Détection, la Réponse au Incidents de Sécurité, les Audits de Sécurité.
Les impacts techniques
- Implémentation ou évolution des mesures de cybersécurité de leurs SIIV
- Refonte possible de la sécurité de leurs SIIV, voire de l’ensemble de leur SI
(notamment le cloisonnement des réseaux et l’administration des SIIV).
Les impacts financiers
- Allocation d’un budget pluriannuel pour la mise en conformité, ainsi que pour les contrôles
- Augmentation des coûts en termes de moyens humains et techniques.
- exposition à des sanctions en cas de non-conformité
(jusqu’à 150 000 € pour le dirigeant, et jusqu’à 750 000 € pour les personnes morales)
7. Règlement Général sur la Protection des Données
Définition:
Ce texte constitue le nouveau texte de référence
européen en matière de protection des données à
caractères personnels.
Comprenant 99 articles, il renforce et unifie la
protection des données pour les individus au sein
de l'Union Européenne, afin de redonner aux
citoyens le contrôle de leurs données personnelles,
tout en simplifiant l’environnement réglementaire
des entreprises.
Par ailleurs, une partie du texte de loi s’applique à
formaliser les contradictions pouvant exister entre
la protection des données des personnes et les
intérêts nationaux, notamment dans le cadre des
missions policières et judiciaires.
Historique:
1971: Allemagne
1973: Suède
1978: France (Commission Nationale Internet et Liberté)
1995 (directive 95/46/CE): relative à la protection des
personnes physiques à l'égard du traitement des données
à caractère personnel et à la libre circulation de ces
données (Remplacé par le RGPD).
25 janvier 2012: la Commission européenne a adopté un
projet de règlement européen et de directive réformant le
cadre de la protection des données.
mars 2012: le Groupe de Travail G29, le groupe des CNIL
Européennes, a adopté un avis sur les propositions de
réforme présentées par la Commission Européenne.
25 mai 2018: application du Règlement Général sur la
Protection des Données dans toutes l’Union Européenne
8. RGPD: Principaux points
cadre harmonisé
un seul ensemble de règles communes, directement
applicable dans tous les Etats membres de l’Union
Européenne
création du Comité Européen de la
Protection des Données
autorité pour l’interprétation du règlement
délégué à la protection des données
(Data Protection Officer)
obligatoire pour les administrations, ou pour les
traitement régulier et systématique
protection des données dès la conception
prise en compte des exigences en matière de sécurité
relative au traitement de données à caractère personelle
étude d’impact obligatoire
étude d’impact sur la vie privée avant la mise en oeuvre
de chaque nouvelle activité de traitement de données.
sanctions
sanctions financières élevées possible en cas de non
respect
application extra-territoriale
s’applique à toute entreprise européenne, et non-
européennes si elles collectes des données sur les
résidents de l’Union Européenne.
notifications en cas de fuite
auprès des Autorités Nationales ainsi que des
utilisateurs concernés
consentement “explicite” et “positif”
donner aux citoyens davantage de
contrôle sur leurs données privées
droit à l’effacement
facilité pour effacer ses données auprès des
entreprises en faisant l’usage
droit à la portabilité
droit de recevoir ses données auprès des
entreprises en faisant l’usage dans un format
consultable facilement
Profilage
droit de ne pas être discriminé par un traitement
automatisé de ses données personnelles
9. RGPD: Définition de “donnée personnelle”
nom et prénom
date de naissance
adresse postale
adresse email
numéros d’identification:
numéro de sécurité sociale
numéro de compte bancaire
données biométriques:
Empreintes
ADN
facteurs spécifiques:
identité physique
physiologique
psychique
économique
culturelle
sociale
Quid de l’adresse IP?
Le règlement indique que ce
n’est pas considéré comme
une donnée personnelle.
Le G29 a déclaré que dans le
cas où celles ci sont récoltées
pour identifier une personne,
les adresses IP sont des
données personnelles.
10. RGPD: Mises en place dans une entreprise
Exigences de Confidentialité
Passez en revue les politiques et déclarations de
confidentialité existantes et documentez leur
comparaison avec les exigences du RGPD.
Évaluer les droits des personnes concernées à
consentir, utiliser, accéder, corriger, supprimer et
transférer des données personnelles.
Découvrez et classifiez les actifs de données
personnelles et les systèmes affectés.
Identifier les risques d'accès potentiels.
Exigences de Sécurité
Évaluer l'état actuel de vos politiques de sécurité,
identifier les lacunes, évaluer la maturité et établir
des cartes routières de conformité.
Identifier les vulnérabilités potentielles, en
soutenant la sécurité et la confidentialité par la
conception.
Découvrez et classifiez les ressources de
données personnelles et les systèmes concernés
en vue de concevoir des contrôles de sécurité.
Toutes les entreprises manipulent des données personnelles que ce soit au niveau des informations sur leurs
employés, clients, prospects ou fournisseurs. Toutes sont donc assujetties à un certain degré au RGPD sur la
sécurité de ces informations.
11. RGPD: Cartographie des flux de données
Les éléments clés:
● Comprendre le flux d'informations
- Identifier sa source à sa destination
● Décrivez le flux d'informations
- Parcourir le cycle de vie de l'information permet
d’identifier besoins et futures utilisations, les utilisations
imprévues ou involontaires.
● Identifiez les éléments clés
- Quel type / catégorie est en cours de traitement
- Le format dans lesquels sont stocké les données
- Les différents moyens utilisés pour collecter et
partager en interne comme en externe les données
- Les lieux impliqués dans le flux de données
- La personne responsable de ces données
- Les personnes en nécessitant l’accès
Les principaux défis:
● Identifier les données personnelles
- Choisir le format et le lieux de stockage
● Identifier les garanties techniques et
organisationnelles appropriées
- La technologie appropriée
- La politique et les procédures
- protection et contrôle d’accès de l'information
● Comprendre les obligations légales et
réglementaires
- Soumission possible à d’autre règlement (normes et
certifications) suivant le domaine d’activité
12. RGPD : Les impacts dans une entreprise
Les impacts organisationnels
- Désignation d’un délégués à la Protection des Données (DPO)
- Avoir une compréhension totale des flux de données
- Sécuriser dès la genèse des projets de traitements des données
- Former les agents
- Créer des procédures de traitement des données
Les impacts techniques
- Faire une étude de risque, des règles de l’art par technologie utilisée
- Surveillance des flux
- Surveillance des accès
Les impacts financiers
- Prévision d’un budget pour y inclure les mesures de sécurité
- Sanctions (20M€ ou 4% du CA)
13. LPM + RGPD: une étreinte fatale ?
L’article 20 de la LPM (puis la Loi
sur le Renseignement)
permet le “recueil, auprès des
opérateurs de communication, des
informations ou documents traités
ou conservés par leurs réseaux ou
services de communications
électroniques”.
Cette notion trop vague semble
permettre d’avoir accès aux données
de contenu.
Cette extension risque d’entraîner
une atteinte disproportionnée au
respect de la vie privée.
La Loi de Programmation
Militaire
Concerne la protection des
intérêts de la Nation
A été institué par le
Gouvernement Français
A une portée nationale.
Le Règlement Général sur la
Protection des Données
Légifère sur la protection des
données personnelles.
A été institué par
l’Union Européenne
A une portée internationale,
Il est légitime de se demander comment pourraient s’articuler les contradictions entre
protection des données et intérêt nationaux.
14. LPM + RGPD: les points communs
En matière:
d’obligation en cas de
fuite de données
de sécurité générale
La Loi de Programmation
Militaire
contraint les OIV à déclarer de
façons immédiates les incidents
SSI affectant de manière
significative leurs SIIV
contraint les OIV à élaborer une
PSSI (Politique de Sécurité du
Système d’Information) selon les
critères définis par l’ANSSI
Le Règlement Général sur la
Protection des Données
contraint les entreprises à
notifier toute fuite de données
auprès de l’organisme de leur
État ainsi que leurs utilisateurs.
impose aux entreprises de
disposer d’un système
d’information sécurisé, depuis la
conception et par défaut.
15. LPM + RGPD: Conclusion
Ainsi comme a pût le voir, la prise en compte de la LPM et de la RGPD au sein d’une
entreprise ou d’une administration ne constitue pas de contradictions flagrantes, et
seraient même plutôt complémentaires : renforcer son Système d’Information pour
qu’il soit conforme à la RGPD permettrait aussi d’être conforme à la LPM.
On peut comprendre dans les règles de mise en place de ces deux textes, que la
sécurisation, des flux de données comme des réseaux et systèmes d’informations en
général, commence toujours par:
- une compréhension parfaite de ceux-ci,
- une formation des acteurs impliqués dans ces processus,
- une supervision continue,
- des procédures en cas d’incident,
- une communication avec les autorités concernées en cas d’incident.
Les entreprises vont devoir prendre les mesures pour améliorer leur infrastructures et
systèmes d’informations. Les principaux bénéficiaires de ces mesures étant les
citoyens français et européens.
16. Méthodologie de veille SSI
BrainStorming / MindMapping:
carte heuristique sur le sujet et les idées qui en découlent
Prospection et filtrage des données
- recherche internet (principalement)
- réseau sociaux
Récupération d’information auprès
- de source officiel (ANSSI, SGDSN, Commission Européenne),
- de source fiable (Cabinet de conseil)
- de sites d’informations réputés
Recoupement des informations
Elaboration d’un plan
comparaison entre les deux textes
Corrélation des données recueillies depuis différentes sources