1 000 violations de données personnelles ont été déclarées auprès de la CNIL depuis le 25 mai 2018, date de l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), résultant pour moitié d’attaques, pour moitié de négligences ou d’erreurs. Et aucun secteur n’est à l’abri : si la restauration et l’hôtellerie sont surreprésentés en raison de la fuite ayant affecté en juin 2018 Fastbooking, une plateforme de réservation en ligne, les services financiers et les assurances, le e-commerce ou l’industrie sont également touchés.
Face à ces hémorragies de données, les stratégies de prévention et de protection, visant à durcir et à intégrer « by design » la sécurité des réseaux et des systèmes d’information et la protection des données personnelles sont essentielles. A l’heure de « l’entreprise étendue » et du big data, le concept de « zero trust architecture », qui consiste à vérifier et à ne jamais faire confiance, s’impose. Parce qu’il n’est plus possible de distinguer l’intérieur de l’organisation de l’extérieur, tous les utilisateurs et les flux sont par défaut suspects.
Au risque de décevoir, ces réponses, même si elles sont indispensables ne suffisent pourtant pas. Toutes les organisations, même les plus matures, seront tôt ou tard victimes d’une fuite de données en raison de la croissance exponentielle de leur surface d’exposition, de la multiplication et de la sophistication des menaces, de l’instrumentalisation des fuites de données comme outil de déstabilisation à l’encontre des Etats et des entreprises. La question n’est donc plus de savoir « si » mais « quand » cette fuite aura lieu et de s’y préparer.
Les fuites de données sont en effet des crises « à part ». Forte viralité, multiplicité des parties prenantes (clients, autorités, société civile…), déconnexion entre la réalité technique de la crise et la perception du grand public, conséquences en termes d’image de marque, responsabilités multiples en raison du recours fréquent à de nombreux sous-traitants, judiciarisation croissante etc. : tout concourt à faire naitre chez l’entreprise, qu’elle soit coupable, victime ou bien les deux à la fois, un sentiment d’impuissance et d’incompréhension que seule une préparation minutieuse en amont permettra de contrebalancer.
La première étape consiste bien sûr à intégrer les obligations découlant du RGPD dans les processus internes : identification et mise en conformité des traitements de données personnelles, réalisation des analyses d’impact, révision des politiques contractuelles à l’égard des clients finaux et des sous-traitants, mise en place des instruments de notification aux clients et aux autorités etc. La deuxième étape sera d’envisager la souscription d’une assurance cyber couvrant les pertes de données et les conséquences immatérielles d’un sinistre informatique, de même que la prise en compte des frais de gestion de crise, d’investigation et de notification aux clients.
Il s’agira enfin d’adapter les processus de gestion de crise grâce à la mise en place d’une boite à outils spécifique aux fuites de données (éléments de langage, cartographie des parties prenantes, procédure de notification, documentation sur la politique de sécurité et le dispositif RGPD etc.) et de sensibiliser l’ensemble de l’entreprise, y compris les COMEX, par exemple en organisant des exercices de crise. Si elles possèdent une dimension technique et juridique, les fuites de données sont des crises globales qui appellent une réponse stratégique.
__________
Guillaume Tissier est Directeur général de CEIS, co-organisateur du FIC 2019