Sécurité : Introduction


La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données…» (article 34 de la loi du 6 janvier 1978 modifiée, dite loi « informatique et libertés »). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en oeuvre.

Pour vous aider dans votre mise en conformité, ce guide rappelle ces précautions élèmentaires qui devraient être mises en œuvre de façon systématique.

Dans l’idéal, ce guide sera utilisé dans le cadre d’une gestion des risques, même minimale, constituée des quatres étapes suivantes :

Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :

  • les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
  • les logiciels (ex : système d’exploitation, logiciel métier) ;
  • les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
  • les supports papier (ex : document imprimé, photocopie).

Apprécier les risques engendrés par chaque traitement :

  1. Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
  • accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
  • modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
  • disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  1. Identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  1. Identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
  • utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
  • modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
  • perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
  • observés (ex : observation d’un écran dans un train, géolocalisation d'un matériel) ;
  • détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
  • surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  1. Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  1. Estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

Le tableau suivant peut être utilisé pour formaliser cette réflexion :

Risques

Impacts sur les personnes

Principales sources de risques

Principales menaces

Mesures existantes ou prévues

Gravité

Vraisemblance
Accès illégitime à des données            
Modification non désirée de données            
Disparition de données            

Impacts sur les personn

  • Mettre en œuvre et vérifier les mesures prévues. Si les mesures existantes et prévues sont jugées appropriées, il convient de s’assurer qu’elles soient appliquées et contrôlées.
  • Faire réaliser des audits de sécurité périodiques. Chaque audit devrait donner lieu à un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.

Pour aller plus loin

  • Le RGPD introduit la notion d’ « analyse d'impact relative à la protection des données » et précise que celle-ci doit au moins contenir « une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité, une appréciation des risques […] et les mesures envisagées pour traiter ces risques et se conformer au règlement » (voir article 35.7). La réflexion sur les risques dont il est question dans la présente fiche permet d’alimenter le volet sur l’appréciation des risques de l’analyse d’impact.
  • Les guides AIPD de la CNIL permettent de mener une analyse d’impact relative à la protection des données.
  • L’étude des risques sur la sécurité de l’information peut être menée en même temps que l’étude des risques sur la vie privée. Ces approches sont compatibles.
  • L’étude des risques permet de déterminer des mesures de sécurité à mettre en place. Il est nécessaire de prévoir un budget pour leur mise en œuvre.

Les mots clés associés à cet article