Failles de sécurité et RGPD

Failles de sécurité : Risques et enjeux

Rançongiciels, déni de service, fuites de données… Tous ces termes ont une chose en commun : ils constituent des cyberattaques causées par des failles de sécurité.

La faille de sécurité se définit comme un « point de faiblesse » d’un système informatique, à savoir une « porte d’entrée » pour les attaques malveillantes de malwares. Bien souvent, ces vulnérabilités sont causées par des insuffisances en matière de sécurité intervenues lors de la conception, de la mise en œuvre, ou de l’utilisation du système informatique.

Le risque d’attaques informatiques dues à des failles de sécurité accroît fortement ces dernières années en raison de la digitalisation des processus et de l’explosion de la data et du cloud. L’enjeu, en matière de cybersécurité, est donc capital pour les entreprises, car ces failles peuvent avoir des conséquences souvent désastreuses :

• Des conséquences « directes » à savoir l’attaque informatique en elle-même, pouvant prendre plusieurs formes (comme celles décrites ci-dessus) ;
• Des conséquences « indirectes » qui ternissent l’image de l’entreprise qui en est victime. D’une part, l’évènement sera bien souvent relayé dans les médias : l’image de marque et la réputation de l’entreprise en prennent donc un coup. D’autre part, de possibles conséquences financières parfois dues à une perte de clientèle, l’annulation de contrats de partenariats et/ou la fuite de vos investisseurs.

Les conséquences de l’entrée en vigueur du RGPD en matière de cybersécurité

Instauré en mai 2018 afin de renforcer le cadre législatif, le RGPD a notamment consacré dans trois articles majeurs des obligations incombant au responsable de traitement en matière de sécurité des données :

• L’article 32 du RGPD qui impose au responsable de traitement de prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité suffisamment adapté aux risques soulevés par le traitement : chiffrement, politique de mots de passe robustes, sensibilisation des collaborateurs, limitations des accès aux données aux seules personnes dûment habilitées etc.
• L’article 33 du RGPD qui impose au responsable de traitement de notifier à l’autorité de contrôle, au plus tard dans les 72h, la violation de données ;
• L’article 34 du RGPD qui pose comme obligation, pour le responsable de traitement de communiquer aux personnes concernées la violation de leurs données personnelles lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés.

Tout manquement d’une entreprise à ces dispositions peut donc entraîner une sanction pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise.

Exemples de sanctions rendues en matière de cybersécurité entre 2018 et 2021

Depuis l’entrée en vigueur du RGPD, les autorités de contrôle européennes ont eu l’occasion – à plusieurs reprises – de sanctionner des entreprises sur le fondement du manquement à la sécurité, et notamment l’article 32.

D’ailleurs, la toute première sanction fondée sur le RGPD concernait un manquement à l’obligation de sécurité.

• Portugal, 2018, Hôpital Barriero : En 2018, la « CNIL Portugaise » a constaté une mauvaise gestion des accès aux bases de données de patients d’un hôpital. En effet, plusieurs membres du personnel administratif de l’hôpital avaient accès à des données qui, normalement, n’auraient pas dues être accessibles par d’autres personnes que les médecins.
• CNIL (France) Uber Fr. SAS, 2018 : En 2018, la CNIL a infligé une sanction de 400 000 euros à l’encontre d’Uber France SAS, concernant une faille de sécurité ayant permis à des pirates informatiques de s’emparer des données personnelles de 57 millions d’utilisateurs.
• ICO (Angleterre) British Airways, 2020 : En 2018 également, British Airways a fait l’objet d’une cyberattaque par laquelle les pirates ont pu avoir accès aux données personnelles de 500 000 clients et employés, incluant notamment leurs noms, adresses et numéros de cartes de paiement, ceci ayant permis aux fraudeurs de réaliser plusieurs manœuvres leur permettant d’accéder à des fichiers contenant toutes ces données. Pour motiver sa sanction, l’ICO a retenu notamment que la compagnie n’avait pas su empêcher l’attaque, ni même la détecter ce qui aurait pu être réalisé par des mesures de sécurité informatiques basiques.
• CNIL (France) Brico Privé, Juin 2021 : Récemment, la CNIL a sanctionné Brico Privé pour plusieurs manquements au RGPD, dont un manquement à l’article 32. En effet, la société n’imposait pas à ses collaborateurs l’utilisation d’un mot de passe robustes lors de l’accès des salariés au logiciel de gestion de la relation client. De plus, l’authentification des salariés pour accéder aux bases de données était insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder.

Quand la faille de sécurité entraîne la fuite de données

A l’heure actuelle, la fuite de données représente l’une des principales menaces de cybersécurité, tant leurs conséquences peuvent être désastreuses pour les personnes concernées (phishing, usurpation d’identité) ainsi que pour les entreprises.

Une fuite de données constitue une exposition d’informations confidentielles, parfois sensibles, à une personne non-autorisée. Les fuites de données ont connu, en 2020, une forte hausse. Le baromètre « Data Breach » dévoilé au cours du FIC a notamment révélé que plus d’un million de français auraient été touchés par une violation de leurs données personnelles courant 2020. Cette forte hausse s’explique par deux raisons : d’une part, la prise de conscience des organisations a permis une hausse des notifications à la CNIL, ce qui constitue un élément positif, d’autre part la professionnalisation de la cybercriminalité.

• Twitch, octobre 2021 : la célèbre plateforme de streaming Twitch a fait face à une importante fuite de données. En effet, un internaute anonyme a publié un lien vers un fichier contenant des données dérobées sur les répertoires internes de la société. En outre, cette fuite concernait à la fois des informations sur les montants versés aux streamers, une partie du code source de Twitch (à savoir l’architecture de la plateforme elle-même), des outils de développement utilisés en interne.
• AP-HP, septembre 2021 : en septembre 2021, la CNIL a été informée d’une fuite massive de données de l’Assistance Publique Hôpitaux de Paris, concernant 1, 4 millions de personnes testées contre la Covid-19 en mai 2020. En outre, la fuite de données comprenait notamment les informations suivantes renseignées lors du test : l’identité de la personne, le sexe, le numéro de sécurité sociale, les résultats du test… Les principaux risquent pour les personnes concernées seraient donc les suivants : hameçonnage et usurpation d’identité.
• Facebook, avril 2021 : au mois d’avril 2021, les données de plus de 530 millions d’utilisateurs de Facebook dans le monde ont été publiées par un internaute. Les informations contiendraient notamment des numéros de téléphone et des adresses e-mails. Cette fuite de données proviendrait en outre d’une faille de sécurité chez Facebook, comme l’a confirmé en avril un porte-parole de l’entreprise américaine.

Comment éviter une fuite de données ?

Plusieurs mesures peuvent être adoptées au sein de votre entreprise afin de vous protéger d’une fuite de données :

• La sensibilisation de vos collaborateurs afin de les inciter à adopter les bons réflexes : mots de passe robustes, verrouillage de leurs postes etc.
• La mise en œuvre de mesures techniques : le chiffrement de données sensibles, la pratique de sauvegarde régulières, la mise à jour de vos logiciels etc.
• L’établissement de process de gestion des crises, notamment par la réalisation d’une procédure en cas de violation de données, mise à l’épreuve par des tests de pénétration de systèmes et de simulation de cyberattaques.
• Le pilotage de votre conformité au RGPD : la mise en conformité au RGPD est un point clé afin d’éviter des fuites de données, et notamment la sécurisation de vos relations contractuelles avec vos sous-traitants.