Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.
Un grand grand merci à Franck pour cette analyse qui me permet devoir que j'ai raté quelques infos en matière de droit français et que je ne me penche pas toujours assez sur les conséquences de l'entrée en vigueur des lois sur les TIC dans notre vie courante et dans le monde professionnel. En tout cas je vous conseille vivement la lecture de ce document.
Tristan
L’impact d’une loi « Vie privée numérique » sur l’analyse des risques d’une structure
Un contexte réglementaire nouveau :
Au vu des projets de loi de M. DETRAINE et Mme ESCOFFIER en France et de la directive européenne, les sociétés devraient être dans l’obligation de veiller un peu plus aux données personnelles qu’elles détiennent. Ces futurs textes les obligeraient à déclarer toutes atteintes (D.I.C.) à celles-ci.
A ce jour, les sociétés visées par ce premier projet de loi européen sont les sociétés issues du secteur des communications électroniques. Pour le second projet de loi, en France, certaines questions restent encore en suspend : doit-on l’étendre à tous les secteurs d’activités ? Doit-on limiter la taille des structures juridiques touchées par ce projet de loi ? Partant du principe qu’en France, tous les secteurs et toutes les tailles d’entreprises seront impliqués (Seul un avis positif de l’assemblée a été émis le 23 Mars 2010).
Incidences sur la cartographie des risques :
Il ne s’agit pas d’un nouveau risque dans la cartographie pour les entreprises. En effet, les données personnelles étaient déjà considérées par les lois « informatiques et libertés » de 1978 et 2004. La réglementation pousse le curseur de sensibilité juste un cran plus haut. Il ne s’agit plus seulement de gérer “correctement“ les informations personnelles mais cette fois, de les protéger. L’utilisation de ce type d’informations augmente avec la progression des activités d’Internet. En revanche, ces informations devraient rester cloisonnées afin d’éviter toute utilisation frauduleuse.
Lors des analyses de risques, les évaluations et les notations des impacts devraient être modifiées. L’exposition légale modifiera très probablement la perception de cette menace vis à vis des directions impliquées au travers des sanctions pénales des personnes juridiquement responsables. Hormis le risque d’être pénalisé par des amendes, les entreprises pourraient devoir gérer le risque associé à une perte de leur image de marque. De par cette nouvelle exposition médiatique (obligation de communiquer la perte, le vol ou la destruction des données dans les médias), la valeur de l’impact de la menace augmentera. Parallèlement et en fonction de l’activité de l’entreprise, la gravité du risque devrait également augmenter. Les services concernés des sociétés, devront donc, présenter à leur direction des dossiers d’analyses d’écarts concernant cette évolution.
Un mode de fonctionnement à l’anglo-saxonne :
Les différences entre Etats-Unis (EU) et France se réduisent une fois de plus, du point de vue de la réglementation informatique. L’obligation déclarative existe déjà aux EU, voire dans quelques pays européens. Il est bon de souligner que les américains considèrent le client comme un élément primordial pour leur Business ; entamer sa confiance est considéré comme une erreur stratégique majeure. Imaginez l’effervescence d’un service commercial & marketing d’une grande société américaine qui constaterait une perte de confiance de –x% de sa clientèle, associée à une perte de -y% de son image de marque ! Demain, n’est-ce pas ce qui attend les sociétés françaises ?
“SNCF.com“ ne s’y est pas trompée en Mars 2010. Elle prend les devants. Elle prépare rapidement un communiqué suite à l’article du “Canard enchaîné“ sur la perte d’informations personnelles lors du « piratage » de son site. Elle s’en sort relativement bien, car elle fait partie des premières entreprises contraintes de communiquer dans un contexte non obligatoire. L’image de la société est donc un peu moins touchée. En revanche, nous ne disposons d’aucun commentaire sur l’impact commercial de ses ventes en ligne …. Surprenant ! Cette société dispose d’un quasi monopôle du transport ferroviaire. Alors, imaginez à l’échelle d’un secteur réellement concurrentiel !
Incidences pour les RSSI et les risques :
Demain, pourra-t-on transférer son risque vers un prestataire (Cloud Computing) pour se préserver de cette nouvelle contrainte réglementaire ? La réponse est non. Vous serez toujours propriétaire de la donnée informatique ; votre prestataire ne ferait que vous fournir le service de « traitement de la donnée » (au sens “ Informatiques & Libertés“).
L’évaluation des risques sur les données personnelles devrait sensiblement se rapprocher de celles réalisées outre atlantique. Avec cet autre regard, lors de la définition des critères d’impacts sur les données personnelles, le niveau d’acceptation du risque devrait s’en trouver changé. Une société qui, hier encore, acceptait le vol (ou fuite) d’informations personnelles en basant sa “stratégie de choix“ sur le “… pas vu, pas su, pas pris … pas dit !!! » devrait plutôt opter vers une stratégie de réduction des risques cette fois. Le traitement du risque, par conséquence, devrait donc être modifié (cf. : 27 001:2005 - 4.2.3 - d) – 6) ).
Lorsque la gravité d’un risque croît, au travers de son impact, le niveau de rentabilité d’une dépense de couverture de risques aura tendance à progresser. Deux options seront possibles, soit :
On maintient son niveau de dépenses. On augmente donc son R.O.I ;
On maintient son R.O.I. On peut alors augmenter le financement.
Les mesures prises pour limiter les risques seront probablement déployées. Les accès, le stockage et la conservation de ces données seront sûrement reconsidérés dans une vision d’ensemble de la sécurité du SI. L’augmentation d’impacts ou l’arrivée d’une nouvelle menace a souvent entraîné des augmentations de budget de la sécurité. Par effet de levier, l’obligation de réduire le niveau de ce risque devrait entraîner l’allocation de budgets supplémentaires pour les RSSI ou les CIL des entreprises concernées. Les RSSI ne pourront plus faire l’impasse sur ce point dans leurs politiques de sécurité de l’information.
Un autre point indirectement lié à la sécurité du SI devrait évoluer : la communication de crise. Des scénarii spécifiques (comme pour les P.C.A.) de plans médias devront être préparés afin d’atténuer les aspects négatifs d’une perte d’images lors d’un vol, d’une perte ou d’une fuite d’informations.
And so what ?
Si les acteurs de la vente en ligne souhaitent voir se maintenir le niveau de confiance que les clients (acheteurs) leur donnent, il serait bon qu’ils intègrent très sérieusement ce risque déjà existant. Il serait dans leur propre intérêt de le considérer comme un impact potentiel nouveau sur tout un pan d’activités. C’est dans ce type de contexte où la communication et la confiance des échanges sont nécessaires que les labels et certifications prennent de l’ampleur. Les Etats-Unis nous ont devancé sur cette problématique réglementaire, c’est aussi là qu’on trouve le plus grand nombre de sociétés certifiées ISO 27001. Pourrions-nous enfin voir démarrer en France le nombre de certifications ISO 27001 et 27005 ?
Sinon, pour ceux qui préfèrent les articles moins bien écrits, vous pouvez toujours aller sur d'autres sites ;-))
Fuite de données: le français, une vache à lait ?
http://www.zataz.com/news/20523/fuite-de-donnees-informatiques-en-france.html
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/image%2F0999431%2F20171231%2Fob_01a7bc_dsys3jsueaawem3.jpg)
/image%2F0999431%2F20170101%2Fob_6af365_c1affncxaaa9biq.jpg)