GÉRÔME
BILLOIS
Partner chez
WavestoneL
a conjonction d’un
tremblement de terre et d’un
tsunami au Japon, en
mars 2011, avait surpris la plupart
des experts du nucléaire habitués à
traiter ces deux risques
indépendamment. La
cybersécurité est en train de vivre
une situation similaire,
heureusement moins grave que
l’accident nucléaire de Fukushima,
mais tout aussi déstabilisante, avec
la multiplication des attaques
entraînant simultanément une
destruction du système
d’information (SI) par un
ransomware et un vol de données
avec menace de publication sur
Internet. Des groupes de
cybercriminels, comme Maze ou
REvil/Sodinokibi, se sont
récemment spécialisés dans ce type
d’attaque, avec malheureusement
beaucoup de succès dans le monde
comme en France.
Cette situation est particulièrement
complexe pour les victimes. En effet,
la destruction du SI empêche la
réalisation des investigations pour
confirmer si des données ont été
exfiltrées, et si oui lesquelles sont
concernées. Il devient donc très
difficile de gérer les impacts sur les
clients, vis-à-vis des médias ou
encore des régulateurs. La pression
réglementaire et la crainte d’une
amende lourde ajoutent au stress lié
à l’interruption des activités. Les
équipes de gestion de crise ont deux
fers au feu et notre retour
d’expérience montre qu’il faut en
moyenne 21 jours pour reprendre
pied suite à ce type d’attaque.Gestion de crise
Cette situation anxiogène est
évidemment utilisée par les groupes
criminels pour faire miroiter le
paiement d’une rançon comme une
porte de sortie simple.
Attention, c’est la plupart du temps
trompeur. Le paiement de la rançon
ne fera pas disparaître les
éventuelles amendes pour fuite de
données et, même si le paiement
permet l’accès à des données non
sauvegardées, elle n’accélérera pas
les actions de reconstruction du SI.
L’organisation de crise doit être
adaptée, avec évidemment une
équipe dédiée à l’investigation-
reconstruction et une autre à la fuite
de données, assemblant des
compétences techniques, juridiques
et de communication. Ces équipes
devront être entraînées
régulièrement dans des conditions
proches du réel pour garantir leur
efficacité en cas de crise.
Au-delà de maintenir à jour son
système d’information, de l’auditer
régulièrement et d’avoir des
sauvegardes, il est nécessaire
aujourd’hui de penser à externaliser
les données de traçabilité d’accès
aux informations sensibles et aux
systèmes critiques afin de pouvoir
investiguer même si le système
d’information nominal est détruit.
S’il est difficile de ne pas subir une
cyberattaque, vu leur prédominance
actuellement, une bonne gestion de
crise permettra toujours d’en limiter
les impacts.Gérôme Billois est associé
cybersécurité au cabinet Wavestone.La cybersécurité
vit son
« Fukushima »
NEW DIGITAL
WORLDles contrôles se passent souvent en
début de matinée, car il est important
pour la CNIL de pouvoir s’entretenir avec
tous les interlocuteurs dont elle a besoin.
« Il est vivement conseillé de mettre en
œuvre une équipe spécifique dédiée au
contrôle qui sera apte à répondre aux
questions de la CNIL », considère Alexan-
dre Fiévée, avocat associé du cabinet
Derriennic. Le responsable de l’établisse-
ment – première personne que la CNIL
va demander à voir –, le directeur juridi-
que, le délégué à la protection des don-
nées (DPO), le directeur des systèmes
d’information (DSI) et le directeur de la
sécurité doivent donc bien connaître
l’étendue des pouvoirs de la CNIL. Une
fois les droits notifiés à l’entité contrôlée,
les agents de la CNIL peuvent accéder
aux locaux et échanger avec n’importe
quel interlocuteur. « La décision de la
présidente délimite le périmètre de notre
intervention. Les documents pouvant être
demandés rentrent dans le périmètre de
notre mission. Nous ne saisissons pas dedocuments, nous en prenons copie »,
développe Astrid Mariaux de Rugy chef
du service des contrôles, affaires écono-
miques, de la CNIL.
Contrairement à d’autres contrôles- ceux de l’Autorité des marchés finan-
ciers, de l’Autorité de la concurrence ou
de l’Agence française anticorruption –,
celui de la CNIL concerne des points
spécifiques. Ces derniers sont détermi-
nés soit à la suite de plaintes et de signa-
lements reçus, soit parce que l’autorité a
identifié des thématiques par le biais de
l’actualité ou parce que le secteur de
l’entreprise visé fait partie de son pro-
gramme de contrôle annuel.
Un dialogue ouvert
Point important : l’entreprise a tout à
fait le droit de s’opposer à un contrôle
sur place. C’est un moyen comme un
autre de gagner du temps si besoin.
Attention tout de même avant de choisir
une telle stratégie de défense : le con-
trôle, qui aura lieu après autorisationDelphine Iweins
@DelphineIweins
L
a Commission nationale de
l’informatique et des libertés
(CNIL), comme toute autre auto-
rité administrative indépendante, a la
possibilité de venir contrôler une entre-
prise dans ses locaux afin de mener des
investigations portant sur des traite-
ments de données personnelles.
Sur le papier, ses agents peuvent se
rendre dans l’entreprise de 6 heures à
21 heures sans la prévenir. En pratique,
Depuis l’entrée en vigueur du
règlement européen de protection
des données personnelles,
le 25 mai 2018, les entreprises
n’ont pas d’autre choix que de
se mettre en conformité. Sans
quoi elles risquent de devoir faire
face aux contrôles de la CNIL.
Comment se préparer
à un contrôle de la CNIL
EN PRATIQUE
du juge des libertés et de la détention,
ne sera alors plus réalisé dans le même
état d’esprit. « Parfois, nous nous prému-
nissions d’une opposition en venant tout
de suite avec une ordonnance du juge des
libertés et de la détention. C’est le cas
lorsque qu’il y a urgence, que la gravité
des faits le justifie ou qu’il existe un
risque de destruction de preuves », ajoute
la cheffe du service des contrôles. Il est
préférable de faire en sorte d’être en
conformité avec le règlement européen
de protection des données personnelles
(RGPD) ou être en voie de le faire. « La
CNIL a des moyens limités et ne veut pas
créer une psychose. Elle intervient dans
un environnement économique. Elle crée
des alertes avec des sanctions fortes en
termes de montant pour prévenir les
acteurs, mais elle a aussi une mission
d’assistance », rappelle François-Pierre
Lani, avocat associé du cabinet Derrien-
nic.
Une fois le contrôle passé, l’entreprise
peut faire des observations sur le pro-
cès-verbal, et par la suite s’adresser à la
CNIL afin de démonter l’avancée de sa
démarche. Elle a même tout intérêt à en
être à l’initiative. La mise en conformité
est un long processus, beaucoup de
règles de gouvernance sont à mettre en
place. « Même si le DPO n’est pas obliga-
toire dans toutes les entreprises, il est
indispensable d’avoir une personne
dédiée à la protection des données »,
explique Alexandre Fiévée. Et s’il fallait
prioriser cette mise en conformité,
mieux vaut commencer par établir un
registre des traitements, photographie
de l’usage des données par l’entreprise.Quatre risques
de contrôles différents
Sur les 300 contrôles réalisés en 2019,
184 ont eu lieu sur place. L’autorité
administrative dispose d’autres moyens
pour s’assurer de la bonne mise en
œuvre du RGPD. Depuis leurs locaux,
ses agents peuvent réaliser des vérifica-
tions sur un site Internet, une applica-
tion mobile ou un produit connecté. Ils
n’ont pas besoin à ce moment-là de
prévenir l’entreprise ni même de décli-
ner leur véritable identité. Ce contrôle
en ligne – 53 en 2019 – peut être com-
plété si besoin par un contrôle sur
pièces durant lequel l’entreprise doit
répondre à un questionnaire précis
dans un délai imparti d’environ 15 jours- 45 en 2019 –, sur audition – 18 en
2019 – ou sur place.
Si aucun problème n’est identifié, Isa-
belle Falque-Pierrotin, la présidente de
la CNIL, clôture le dossier. Si un ou
plusieurs manquements sont constatés,
l’entreprise est mise en demeure de se
mettre en conformité. Certains manque-
ments graves concernant un grand
nombre de personnes et dont les consé-
quences sont déjà connues peuvent
entraîner directement une sanction.n
La Commission nationale de l’informatique et des libertés contrôle des points spécifiques, déterminés à la suite de plaintes
et de signalements reçus. Photo Florence Durand/Sipa
Vincent Bouquet
P
arce qu’elle n’est pas qu’une
affaire de technologies et de
systèmes d’information de
pointe, la protection des données au
sein des entreprises nécessite une bro-
chette de compétences et d’expertises
incarnées par des métiers clés. Focus
sur cinq fonctions que les organisations,
et notamment les plus grandes, s’arra-
chent, souvent à prix d’or.
1
Data protection officer (DPO)
Institué par le règlement général sur
la protection des données (RGPD), le
data protection officer (DPO) – ou délé-
gué à la protection des données (DPD) –
s’assure, comme son nom l’indique, de la
conformité à la législation en matière de
Que ce soit en amont ou en aval,
les entreprises doivent se doter de
compétences clés pour garantir la
sécurité de leurs données, et
prévenir ou endiguer toute
tentative d’intrusion extérieure.
protection des données. Devenu obliga-
toire dans les organismes publics et dans
les entreprises qui réalisent un suivi
régulier et systématique des personnes
ou traitent à grande échelle des données
sensibles, il est aussi fortement recom-
mandé dans les autres organisations
pour définir un cadre de traitement des
données personnelles juridiquement
irréprochable, veiller que l’entreprise ne
tolère pas de pratiques litigieuses, for-
mer le personnel concerné aux bonnes
pratiques et servir d’intermédiaire avec
l’autorité de contrôle.2
Architecte cybersécurité
Parce qu’aucune protection des
données n’est possible sans fondations
informatiques solides, l’architecte
cybersécurité est l’une des pierres angu-
laires de la sécurisation des systèmes
d’information. Son rôle? Mettre les
mains dans le cœur du réacteur et
intégrer de nouveaux modules applica-
tifs dans un environnement informati-
que existant pour remplacer ceux deve-
nus obsolètes. Rattaché au DSI ou au
DSSI, il doit veiller à entretenir un lienétroit avec les opérationnels pour com-
prendre leurs besoins et garantir la
protection de l’entreprise, tout en
veillant à ne pas entraver la bonne
marche du business.3
Ingénieur sécurité
Première ligne de défense de la
cybersécurité des entreprises, l’ingé-
nieur sécurité agit, à la fois, en amont et
en aval. Pour éviter toute tentative
d’intrusion, il équipe les organisations
avec les logiciels adéquats et s’assure de
leur maintenance. Il doit toutefois
prendre garde à ce qu’un haut niveau de
sécurisation ne perturbe pas démesuré-
ment le quotidien de salariés, auprès
desquels il peut, en parallèle, mener des
campagnes de sensibilisation. En cas de
cyberattaque, il agit tel un soldat du feu
et intervient pour tenter de stopper
l’intrusion en cours et empêcher les
attaquants d’arriver à leurs fins.4
Cryptologue
Longtemps réservé aux secteurs
d’activité sensibles comme la défense ou
la diplomatie, le métier de cryptologueessaime, peu à peu, dans un nombre
croissant d’entreprises, notamment
technologiques. Pour protéger les don-
nées sensibles, assurer la confidentialité
de leur transmission, éviter toute altéra-
tion et garantir leur intégrité, il met au
point des méthodes et des mécanismes
de codage grâce à des algorithmes de
chiffrement efficaces et sécurisés, qu’il
coconçoit avec les développeurs.5
Pentester
Aussi appelé « testeur d’intrusion »
ou « hacker éthique », le pentester- pour « penetration tester » – endosse
les habits du pirate pour mettre à
l’épreuve le système de défense des
entreprises. Grâce à des tests d’intru-
sion dûment contrôlés, mais réalisés en
conditions réelles, il vérifie la sécurité
des applications et des réseaux informa-
tiques au gré de ses attaques, souvent
automatisées. Objectif : identifier des
failles, évaluer leur niveau de criticité et
proposer aux équipes informatiques des
solutions techniques pour les colmater,
et éviter qu’un « vrai » hacker ne puisse,
à l’avenir, les exploiter.
Talents digitaux : les cinq experts q u’il vous faut
RESSOURCES HUMAINES
Données : l’heure de
la crise de confiance?
En savoir plus sur :
echo.st/m32986436 // EXECUTIVES Lundi 9 mars 2020 Les Echos