La remédiation (processus de réparation) est un enjeu clé pour les organisations.

En effet, si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. La remédiation constitue donc l’une des dimensions primordiales de la réponse à un incident cyber, avec l’investigation et la gestion de crise.

Elle permet d’appréhender les organisations cibles et les prestataires de cybersécurité, de développer un savoir-faire dans l’endiguement des cyber-attaques, dans la reprise de contrôle du SI compromis et dans le rétablissement d’un état de fonctionnement suffisant.

Dans ce contexte, l’ANSSI, dans son rôle d’élaboration et de diffusion des piliers doctrinaux, publie un corpus de guides s’articulant autour des trois volets suivants :

• Volet stratégique (Guide 2): enjeux de la remédiation en cas d’affection par un incident de sécurité.

Il s’adresse aux décideurs au sein des organisations. Il définit la séquence « E3R » (endiguement, éviction, éradication – reconstruction), précise l’importance du choix de plan de remédiation en fonction de l’incident et de ses coûts et préconise 7 recommandations pour réussir sa remédiation.

• Volet opérationnel (Guide 1): principes du pilotage et de la mise en œuvre du projet de remédiation.

Il est destiné à accompagner le pilotage efficient des opérations de remédiation suite à un incident de sécurité informatique et s’adresse aux RSSI, DSI et aux équipes de pilotage de remédiation. Il précise les conditions de l’élaboration et l’exécution du plan de remédiation, les prestataires et propose des plans types.

• Volet technique (Guide 3): exigences techniques pour une opération spécifique dans un projet de remédiation.

Il s’adresse aux équipes d’exploitation et aux intervenants techniques d’opérations de remédiation et détaille les principaux axes de mise en œuvre à prendre en compte lors de cette opération. Il constitue une base technique d’investigation, d’éviction et de supervision, présentant les piliers d’une opération de reconstruction du cœur de confiance de l’Active Directory. Ce volet a vocation à s’enrichir.

Dans la perspective de la résilience opérationnelle numérique imposée par DORA, ces guides constituent une base non négligeable vous permettant d’atteindre cette résilience grâce à des plans de remédiation adaptés et efficients.

Consultez ici l’intégralité des documents : Guide 1 – Piloter la remédiation ; Guide 2 – Les clés de la décision ; Guide 3 – La remédiation du TIER Active Directory (ANSSI, 16 janv. 2024)

Un an après l’entrée en vigueur du Règlement sur la résilience opérationnelle numérique des entités financières, dit DORA (« Digital Operational Resilience Act ») et un an avant sa mise en application effective, les Autorités européennes de surveillance (AES) ont publié leur premier ensemble de normes réglementaires techniques et d’exécution (RTS/ITS).

Comme développé dans notre étude d’impact parue le 24 janvier 2024 et évolutive, DORA se présente comme un cadre essentiel, allant de l’amélioration des mesures de cybersécurité à la promotion d’une culture de gestion des risques pilotée par les organes de direction des entités financières.

DORA apparaît comme une réglementation emblématique qui, loin de simplement protéger les fondements numériques du secteur financier, le propulse également vers un avenir caractérisé par la résilience et l’adaptabilité.

Dans ce contexte, le Règlement prévoit la publication de RTS/ITS par les AES dont l’objectif est de clarifier, préciser, détailler les principes et exigences ainsi posés.

Ce premier lot concerne les cadres des TIC (Technologies de l’Information et de la Communication) des entités soumises et des tiers fournisseurs de services TIC en matière de gestion des risques et de déclaration des incidents.

Ce premier ensemble comprend :

• Des RTS sur le cadre de gestion des risques TIC et sur le cadre simplifié de gestion des risques informatiques – Pilier I ;
• Des RTS sur les critères de classification des incidents liés aux TIC – Pilier II;
• Des RTS pour préciser la politique en matière de services TIC supportant des fonctions critiques ou importantes fournies par des prestataires tiers de services TIC (PTST) – Pilier IV;
• Des ITS pour établir des modèles pour le registre d’information – Pilier IV.

Un second ensemble de normes est prévu pour le 17 juillet de cette année et viendra encore préciser les modalités d’application et process mis en place dans DORA. Elles vous seront présentées au travers de notre étude d’impact actualisée.

Nous sommes d’ores et déjà dans les « starting blocks » pour vous accompagner dans cette transition et vous permettre d’atteindre votre résilience opérationnelle numérique !

Consultez ici l’intégralité du document : Ensemble de règles dans le cadre de DORA pour la gestion des risques liés aux TIC et aux tiers et la classification des incidents (EIOPA, 17 janv. 2024)

Les mois de janvier-février ont été brûlants en matière de sanctions de la CNIL.

Outre la sanction de Yahoo, plusieurs entités se sont vues condamnées pour divers manquements au RGPD, dont notamment :

• La société TAGADAMÉDIA, courtier en données exploitant principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects, s’est vue condamnée à une amende de 75 000 €, ainsi qu’à une mise en conformité de ses formulaires de collecte dans le délai d’un mois sous peine de 1 000 € par jour de retard.
  Le défaut :
  – De base légale pour les traitements mis en œuvre lui est notamment reproché – violation de l’article 6 du RGPD ;
  – De registre des activités de traitement des données – violation de l’article 30 du RGPD.
• La société AMAZON France logistique, a quant à elle été condamnée à une amende de 32 M€, pour avoir mis en œuvre une procédure intrusive de surveillance de l’activité et des performances de ses salariés. Les manquements relevés concernent :
  – La violation de l’article 5.1.c du RGPD relatif au principe de minimisation des données ;
  – La violation de l’article 6 du RGPD inhérent à la licéité du traitement ;
  – La violation des articles 12 et 13 du RGPD concernant l’obligation d’information et de transparence tant sur son personnel intérimaire (défaut de remise de la politique de confidentialité antérieure à la collecte de leurs données personnelles) que sur ses salariés et visiteurs extérieurs (défaut d’information de l’existence d’un système de vidéosurveillance ;
  – La violation de l’article 32 du RGPD relatif à l’obligation de sécurité du système de vidéosurveillance.
• Enfin, le 31 janvier 2024, la société PAP (de Particulier à Particulier) a été sanctionnée d’une amende de 100 000 € pour ne pas avoir respecter ses obligations relatives à la durée de
  conservation des données et de sécurisation de ces dernières.
  Focus sur les manquements relevés :
  – Violation de l’article 5.1.e du RGPD concernant l’obligation de conserver les données pour une durée limitée à l’objectif recherché → En l’espèce, la durée de conservation certaines données était fixée à dix ans, sans que cette durée ne soit justifiée par les dispositions du code de la consommation auquel elle se référait, pour les autres
  données, le délai de conservation était fixé à cinq ans sans que des purges ne soient effectuées, ayant pour conséquence une durée plus longue.
  – Violation de l’article 13 du RGPD relatif à l’obligation d’information des personnes, laquelle était incomplète et imprécise ;- Violation de l’article 28 du RGPD visant l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement → en effet,
  le contrat conclu entre la société et un sous-traitant ne comportait pas les clauses requises par le RGPD (données à caractère personnel) ;
  – Violation de l’article 32 du RGPD concernant la sécurité des données personnelles justifiée par des règles de complexité des mots de passe insuffisamment robustes et un manquement à la sécurisation (conservation en clair des mots de passe).
  Ces défauts de sécurité exposent les données à des risques d’attaques informatiques et de fuite.
  
  → Dans le contexte actuel de cyberattaque dont ont été victimes Viamédis et Almérys, notamment quant à la liste des adhérents radiés figurant dans les fichiers compromis, cette décision sanctionnant des délais de conservation trop longs doit retenir toute votre attention et vous inciter à prévoir un meilleur contrôle de vos prestataires quant aux purges, relevant de vos obligations de responsable de traitement.
  Par ailleurs, une revue de vos contrats de sous-traitance s’avère également indispensable (clause inhérente aux données personnelles, audits du sous-traitant).→ De surcroît, la CNIL a annoncé l’ouverture d’une enquête sur cette violation de données et a rappelés aux assurés les précautions à prendre et quelques conseils à appliquer. Rappelons que 33 millions de personnes sont concernées. La CNIL s’assurera que chaque complémentaire santé faisant appel à Viamédis et Almérys a informé, dans les plus brefs délais, individuellement et directement l’ensemble des personnes concernées comme les y oblige le RGPD.
  Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.

Consultez ici l’intégralité du document : Délibération de la formation restreinte n° SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA (CNIL, Légifrance, 30 janv. 2024) ; Délibération de la formation restreinte n° SAN-2023-021 du 27 décembre 2023 concernant la Société AMAZON France LOGISTIQUE (CNIL, Légifrance, 23 janv. 2024) ; Délibération de la formation restreinte n° SAN-2024-002 du 31 janvier 2024 concernant la société PAP – éditions NERESSIS (CNIL, Légifrance, 13 févr. 2024)