Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Guide Juridique du RGPD (3e édition)
  3. Gérer une crise cyber
Extrait - Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles
Extraits du livre
Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles Revenir à la page d'achat du livre

Gérer une crise cyber

Introduction

D’après Guillaume Poupard, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI) : « il y a deux types d’organisations : celles qui ont déjà été victimes d’une cyberattaque et celles qui ne tarderont sans doute pas à l’être » (ANSSI, guide Crise d’origine cyber : les clés d’une gestion opérationnelle et stratégique).

1. Qu’est-ce qu’une crise cyber ?

Une crise cyber se caractérise par une déstabilisation d’un ou plusieurs systèmes d’information d’un organisme donné, entraînant un arrêt des activités, une indisponibilité des services, voire une atteinte à des données (perte, extraction ou encore divulgation). Une situation de crise cyber peut résulter de faits générateurs de différentes natures : une attaque informatique, un incendie sur des serveurs d’hébergement, une catastrophe naturelle, un vol de données en interne ou tout simplement un dysfonctionnement affectant un ou plusieurs systèmes d’information de l’organisme concerné.

S’agissant des crises cyber ayant pour origine un acte externe malveillant, l’immense majorité des incidents rapportés ont pour cible des données stratégiques de l’organisme dont, bien souvent, des données à caractère personnel (savoir-faire de l’entreprise, fichier client, documents confidentiels, etc.). À raison de leur caractère stratégique, et de leur valeur à la revente, notamment sur le Darknet, les données à caractère personnel sont une cible privilégiée pour faire chanter l’organisme visé, déstabiliser un concurrent ou tout simplement monétiser les données sur le marché noir (deepweb ou darkweb - réseau internet qui utilise des protocoles spécifiques intégrant des fonctions d’anonymat pour préserver...

Prévention du risque cyber et conformité RGPD

1. Mesures organisationnelles et techniques

L’article 32 du RGPD impose au responsable de traitement la mise en place de mesures techniques et organisationnelles visant à garantir la sécurité des données. Ces mesures peuvent notamment comporter :

  • la pseudonymisation et le chiffrement des données,

  • des moyens pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes,

  • des moyens permettant le rétablissement de la disponibilité des données et leur accès dans des délais appropriés en cas d’incident physique ou technique, 

  • une procédure de test, d’analyse et d’évaluation régulière de l’efficacité des mesures techniques et organisationnelles en place pour garantir la sécurité du traitement.

Les mesures à mettre en place doivent être proportionnées au risque encouru par les données et leur traitement.

À ce titre l’ANSSI, recommande la réalisation d’audits de sécurité et de tests d’intrusion périodiques pour vérifier l’efficacité des mesures de sécurité, évaluer la sécurité et la résilience des systèmes et en conséquence prévoir tout changement qui s’avérerait nécessaire.

Pour plus de détail sur les mesures de sécurité techniques et organisationnelles, se rapporter au chapitre Sécuriser les traitements.

2. Gouvernance et définition des procédures de gestion de crise

L’anticipation d’une crise et la mise en place de procédures en amont ont pour objectif...

Le pilotage juridique de la crise cyber

1. Appliquer les procédures de gestion de crise définies en amont

À la découverte d’une cyberattaque, toutes les mesures et procédures envisagées et mises en place au sein de l’organisation seront autant de temps gagné dans le déploiement de la réponse à incident. Les personnes impliquées dans ces dispositifs auront pour objectif de gérer les impacts de la crise et identifier un plan de réaction.

Au premier rang des automatismes de réponse à incident figure l’alerte immédiate du département informatique et/ou du prestataire informatique externalisé pour mettre en œuvre les mesures prévues. Cela implique d’avoir défini en amont des canaux d’alerte qui permettent ainsi une intervention en urgence pour contrôler l’incident rapidement et minimiser ses conséquences, et ce quand bien même les systèmes d’information usuels seraient inexploitables.

La rapidité du déclenchement du processus est d’une importance majeure pour éviter la propagation de l’attaque et la réalisation rapide d’investigation afin de qualifier techniquement et juridiquement l’incident (incident, attaque externe, violation de données, etc.)

Dans un second temps, la cellule de crise destinée à la centralisation des informations et à la coordination des opérations doit être activée afin d’enclencher le plan de continuité d’activité et/ou de reprise d’activité et permettre à l’organisation de poursuivre ou recouvrer son fonctionnement dans les meilleurs délais.

Les autorités compétentes recommandent notamment de :

  • prévoir une stratégie de confinement des systèmes pour éviter toute propagation de l’incident,

  • constituer une équipe d’intervention et définir des astreintes pour qu’elle soit disponible et réactive constamment,

  • préparer un plan de déconnexion du réseau et prévoir la possibilité de mettre hors service certains systèmes, voire déconnecter des réseaux entiers si nécessaire, 

  • définir des procédures de récupération...

L’après-crise cyber

1. Analyser la crise

Conformément à la logique de conformité continue (accountability) issue du RGPD, il importe de capitaliser sur l’expérience vécue lors d’une gestion de crise. Un incident cyber, malgré toutes les répercussions douloureuses qu’il peut avoir pour un organisme, constitue une opportunité d’éprouver en situation réelle les procédures et mécanismes de protection définis en amont et de les améliorer pour éviter qu’un incident similaire ne se reproduise, ou pouvoir mieux l’appréhender.

Afin de tirer des leçons et améliorer les capacités de l’organisation à résister à de futures crises, l’ANSSI préconise de mettre en œuvre un Retour d’Expérience (REX/RETEX) qui analysera en détail le processus de gestion de la crise cyber en deux temps :

  • un retour d’expérience à chaud pour recueillir l’avis des participants à la cellule de crise,

  • un retour d’expérience à froid, quelques semaines plus tard, pour compléter le RETEX et présenter les premières conclusions.

Cet exercice est essentiel, après un exercice de simulation de crise ou une situation de crise réelle ; d’une part pour documenter...