Conformité RGPD : pour pouvoir déposer une notification dans les 72 heures, les entreprises ont besoin de retours plus rapides et plus précis sur les violations de données.

Trois jours, c’est court. Pour certains, cela ne suffira certainement pas pour approfondir les failles de l’organisation victime, relever les dégâts dans les moindres détails et expliquer aux autorités administratives pourquoi et comment cela est arrivé et qui est concerné.

C’est pourtant le délai accordé aux organisations concernées par le Règlement Général sur la Protection des Données pour informer la Commission Nationale de l’Informatique et des Libertés et les victimes d’une violation de données à caractère personnel. Cette exigence figure dans les articles 33 et 34 du RGPD, qui stipulent que les organisations touchées par une violation de données doivent la signaler à l’autorité de contrôle compétente et à la personne concernée (le propriétaire de ces données), dans les 72 heures suivant sa découverte.

En vertu de ces exigences, les organisations vont devoir « décrire la nature de la violation de données à caractère personnel », ce qui implique de récupérer une multitude d’informations telles que :

  • Comment s’est produite la violation ?
  • Combien d’enregistrements de données ont été dérobés ?
  • Quels étaient-ils ? Quel impact pourrait avoir cette violation ?
  • De quelle manière l’organisation utilisait-elle les données exposées ?
  • Fournir une analyse post-événement (forensic) détaillée de la brèche,
  • Et exposer tous les plans de remédiation ou de mitigation en place.

Et tout ceci doit être exécuté « dans les meilleurs délais », indique le texte du RGPD.

Il n’existe que peu d’exceptions à ces règles et pour être en conformité, les entreprises devront documenter de manière détaillée les violations de sécurité qu’elles subissent, même si elles n’ont pas à les signaler directement. Tout défaut de déclaration – ou de respect des obligations du RGPD – pourrait entraîner une amende pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial.

La capacité à détecter, à réagir et, plus important encore, à enquêter rapidement sur les violations, a une forte incidence sur le respect de ces obligations. Selon Mandiant, il faut déjà compter 101 jours avant qu’une organisation ordinaire découvre une violation. Mais, lorsque cette violation est détectée, en combien de temps l’entreprise sera-t-elle en mesure de mener l’enquête et d’en présenter le rapport ?

La plupart des entreprises ne sont tout simplement pas capables de surveiller, détecter, enquêter et réagir aussi rapidement qu’il le faudrait pour procéder réellement à une déclaration dans un délai de 72 heures. Et la plupart des organisations l’admettent volontiers, semble-t-il. Un récent sondage réalisé par l’Institut Ponemon et le cabinet d’avocats McDermott Will & Emery montre que 83% des entreprises citent la notification comme le point du RGPD le plus difficile à réaliser. Ce qui est peut-être plus encourageant, c’est que 68% se rendent compte que ne pas respecter cet aspect de la réglementation constitue le plus grand risque pour eux.

Les notifications sont actuellement entravées par un certain nombre de problèmes, ce qui accroît encore la difficulté d’une mise en conformité rapide et détaillée avec l’autorité de contrôle du RGPD. Elles s’articulent autour des quatre domaines-clés du processus. D’abord, la délimitation du périmètre et l’analyse des causes racine (ou causes principales), suivies du confinement et de la mitigation.

L’étendue et l’analyse des causes principales sont liées mais pas identiques. Le périmètre aide à comprendre l’importance de l’impact – les dommages causés par la violation. Le SOC peut être mieux organisé avec un catalogue précis des actifs de l’environnement et des données traitées. En ce qui concerne le RGPD, il s’agit des données à caractère personnel.

Pour débuter l’analyse des causes, il est nécessaire d’en déterminer le périmètre réel,
ce qui oblige l’analyste à explorer et tracer minutieusement les activités et les points servant à l’attaquant pour l’exfiltration. Ceci implique de rechercher des données précises et à jour sur les transactions et les séries chronologiques (time series), puis de reconstituer de façon détaillée les étapes d’entrée et de circulation de l’attaquant dans le réseau – savoir comment il s’est frayé un chemin. Cela signifie aussi qu’il faut aussi passer au crible les erreurs humaines ou les simples erreurs de configuration qui conduisent souvent à des violations.

Obtenir de la visibilité sur les dernières étapes d’une attaque est essentiel pour cette analyse forensique numérique. Les entreprises se concentrent souvent sur les informations entrant et sortant de leurs réseaux – trafic Nord-Sud – mais qui à elles seules ne fournissent qu’une vision partielle de ce qui se passe à l’intérieur d’un réseau.

Pour reconstituer une attaque, il est aussi important d’analyser le trafic Nord-Sud (comment quelqu’un a pu accéder à votre réseau) que d’analyser le trafic Est-Ouest (que se passe-t-il au sein de votre réseau). Les deux analyses seront décisives dans l’établissement des causes. Ce type de visibilité permettra de répondre à des questions fondamentales. Comment les systèmes ont-ils été compromis ? Quels hôtes ont fourni un camp de base à l’attaquant ? Quels types de données ont été violées et comment et où les données violées ont été exfiltrées ?

Bien évaluer l’environnement et bien analyser la cause principale permettront de comprendre la nature et l’importance de la déclaration à faire et améliorer le processus de documentation afin de mieux contenir et de mieux atténuer les menaces futures. Vous serez ainsi sûr que vos rapports sont complets et qu’aucun dommage supplémentaire ne devra être signalé aux personnes concernées et à l’autorité de contrôle.

La plupart des consommateurs sont aujourd’hui au fait des violations au quotidien par les médias. Le public est dès lors encore plus sensible à la divulgation en série de la même violation de données affectant la même marque, encore et encore. Si le rapport n’est pas complet et doit être modifié, la répétition de déclarations, les excuses et les interrogations dans la presse ne plairont pas aux clients. Les premières impressions sont importantes et si vous ratez votre première annonce, vous pourriez vous-même créer un préjudice pour votre réputation qui s’avèrera plus coûteux qu’une amende.

Les quatre domaines évoqués font partie intégrante de la notification de violation RGPD. Sans eux, seuls les symptômes seront traités, laissant le cancer se propager. Mais ces étapes, si elles sont mises en œuvre de la bonne manière, vous prépareront à bien plus que la simple mise en conformité.

__________
Barbara Kay est CISSP 1, Senior Director of Security Product Marketing chez ExtraHop.

 

1 Certified Information Systems Security Professional – La certification CISSP concerne les professionnels experts de la sécurité informatique et réseaux.