Notifications d’incidents de sécurité aux autorités de régulation : comment s’organiser et à qui s’adresser ?

L’incident de sécurité n’arrive pas qu’aux autres. Mais il est possible de le gérer sereinement dès lors que l’on est préparé en amont.Le processus de gestion des incidents doit être pensé, testé, évalué et corrigé. Les obligations de notification aux autorités compétentes entrent pleinement dans le périmètre de ce processus, qui devient de facto un élément clé de l’organisation de tout organisme.

Avec l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD), tous les organismes seront soumis à une obligation de notification des violations de données personnelles à la CNIL.

Pour une partie de ces organismes, cette obligation se cumule avec d’autres, déjà en place ou à venir :

Ces textes font ainsi peser sur certains organismes différentes obligations de notification d’incidents qui peuvent se recouvrir les unes et les autres.

Comment un organisme peut-il s’y retrouver ? Comment optimiser le processus en cas de notification simple ou multiple ?

Comment mettre en place ou améliorer le processus de gestion des incidents ?

En se basant sur les différents textes précités et en s’inspirant du processus de gestion des incidents défini par la norme ISO/IEC 27035, il est envisageable de prévoir, en interne pour chaque organisme, un processus propre de gestion des incidents.

L’organisation doit ainsi être pensée en amont de l’incident et non pas lorsque celui-ci se produit. Une organisation efficace permet d’améliorer la gestion des incidents et de se conformer aux textes.

Gestion des notifications

tableau 2

Ce schéma présente de façon succincte un processus de gestion des incidents classique, en 5 étapes, basé sur la norme ISO/IEC 27035. Dans chacune de ces étapes, des éléments relatifs à la notification peuvent utilement être intégrés.

  1. Planifier et préparer

Créer un annuaire et des procédures de gestion des incidents

Lors de la préparation, en amont de la survenance de l’incident, il est important :

  • d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour. Par exemple les personnes en charge de :
    • l’encadrement supérieur de l’organisme,
    • la sécurité des systèmes d’information,
    • la protection des données à caractère personnel,
    • la gestion des risques ou de la qualité,
    • la communication,
    • la technique ou pouvant apporter leur soutien organisationnel ou technique ;
  • d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour :
    • prestataires de service impliqués,
    • autorités destinataires des notifications,
    • liens vers les formulaires de notification, etc ;
  • de formaliser et de tester les procédures internes de gestion des incidents.

  1. Détecter et signaler

Mener une veille et mettre en œuvre des outils de détection des incidents

Afin de pouvoir réagir, il faut s’informer et détecter les incidents afin de les qualifier. Il est conseillé de :

  • mettre en place un dispositif de veille sur les menaces actuelles, par le biais de sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team) / CERT (Computer Emergency Response Team)), fils RSS et les analyser en fonction de sa propre situation ;
  • mettre en place des dispositifs de détection et de remontée d’alertes, permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des « évènements de sécurité ». Cette surveillance de l’activité des systèmes dans un but de sécurité doit se faire dans le respect des droits des utilisateurs internes ou externes.

  1. Évaluer et décider

Qualifier l’incident

Après avoir évalué les informations remontées et déterminé si l’évènement de sécurité est un incident avéré, il est maintenant temps de qualifier l’indicent, notamment dans le but de déterminer la(les) autorité(s) devant être rendues destinataires de la notification, le cas échéant.

Pour ce faire, un arbre de décision devrait permettre d’identifier rapidement les actions à mener pour chaque incident en fonction de l’incident et des textes applicables à son organisme.

tableau

* Établissements de santé, hôpitaux des armées, laboratoires de biologie médicale et centres de radiothérapie

** Opérateur d’importance vitale (OIV), opérateur de service essentiel (OSE) ou opérateur de service numérique (OSN) mettant à disposition des places de marché et les moteurs de recherche en ligne et des services d’informatique en nuage, service de confiance (SDC), ou opérateurs Télécom

Note : en cas de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier.

 

  1. Répondre

Résoudre et notifier l’incident

Pour traiter l’incident, l’organisme doit :

  • déterminer et mettre en place des mesures pour le résorber ;
  • notifier l’incident aux autorités compétentes.

Les autorités mettent à disposition des formulaires de notification :

  1. Tirer les Enseignements

Empêcher que l’incident se reproduise

Le retour d’expérience est maintenant à capitaliser. Les lacunes sécuritaires et organisationnelles sont identifiées et il faut les corriger, avant le prochain incident, pour réduire le risque qu’il se reproduise.

Il convient également de revoir les risques et de mettre à jour les PIA (étude d’impact sur la vie privée) en conséquence.