La remédiation (processus de réparation) est un enjeu clé pour les organisations.
En effet, si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. La remédiation constitue donc l’une des dimensions primordiales de la réponse à un incident cyber, avec l’investigation et la gestion de crise.
Elle permet d’appréhender les organisations cibles et les prestataires de cybersécurité, de développer un savoir-faire dans l’endiguement des cyber-attaques, dans la reprise de contrôle du SI compromis et dans le rétablissement d’un état de fonctionnement suffisant.
Dans ce contexte, l’ANSSI, dans son rôle d’élaboration et de diffusion des piliers doctrinaux, publie un corpus de guides s’articulant autour des trois volets suivants :
Il s’adresse aux décideurs au sein des organisations. Il définit la séquence « E3R » (endiguement, éviction, éradication – reconstruction), précise l’importance du choix de plan de remédiation en fonction de l’incident et de ses coûts et préconise 7 recommandations pour réussir sa remédiation.
Il est destiné à accompagner le pilotage efficient des opérations de remédiation suite à un incident de sécurité informatique et s’adresse aux RSSI, DSI et aux équipes de pilotage de remédiation. Il précise les conditions de l’élaboration et l’exécution du plan de remédiation, les prestataires et propose des plans types.
Il s’adresse aux équipes d’exploitation et aux intervenants techniques d’opérations de remédiation et détaille les principaux axes de mise en œuvre à prendre en compte lors de cette opération. Il constitue une base technique d’investigation, d’éviction et de supervision, présentant les piliers d’une opération de reconstruction du cœur de confiance de l’Active Directory. Ce volet a vocation à s’enrichir.
Dans la perspective de la résilience opérationnelle numérique imposée par DORA, ces guides constituent une base non négligeable vous permettant d’atteindre cette résilience grâce à des plans de remédiation adaptés et efficients.
Consultez ici l’intégralité des documents : Guide 1 – Piloter la remédiation ; Guide 2 – Les clés de la décision ; Guide 3 – La remédiation du TIER Active Directory (ANSSI, 16 janv. 2024)
Un an après l’entrée en vigueur du Règlement sur la résilience opérationnelle numérique des entités financières, dit DORA (« Digital Operational Resilience Act ») et un an avant sa mise en application effective, les Autorités européennes de surveillance (AES) ont publié leur premier ensemble de normes réglementaires techniques et d’exécution (RTS/ITS).
Comme développé dans notre étude d’impact parue le 24 janvier 2024 et évolutive, DORA se présente comme un cadre essentiel, allant de l’amélioration des mesures de cybersécurité à la promotion d’une culture de gestion des risques pilotée par les organes de direction des entités financières.
DORA apparaît comme une réglementation emblématique qui, loin de simplement protéger les fondements numériques du secteur financier, le propulse également vers un avenir caractérisé par la résilience et l’adaptabilité.
Dans ce contexte, le Règlement prévoit la publication de RTS/ITS par les AES dont l’objectif est de clarifier, préciser, détailler les principes et exigences ainsi posés.
Ce premier lot concerne les cadres des TIC (Technologies de l’Information et de la Communication) des entités soumises et des tiers fournisseurs de services TIC en matière de gestion des risques et de déclaration des incidents.
Ce premier ensemble comprend :
Un second ensemble de normes est prévu pour le 17 juillet de cette année et viendra encore préciser les modalités d’application et process mis en place dans DORA. Elles vous seront présentées au travers de notre étude d’impact actualisée.
Nous sommes d’ores et déjà dans les « starting blocks » pour vous accompagner dans cette transition et vous permettre d’atteindre votre résilience opérationnelle numérique !
Consultez ici l’intégralité du document : Ensemble de règles dans le cadre de DORA pour la gestion des risques liés aux TIC et aux tiers et la classification des incidents (EIOPA, 17 janv. 2024)
L’Union européenne a adopté un règlement sur la gestion des données représentant une avancée majeure pour la protection des données et l’équité numérique. Cette législation audacieuse affectera tous les secteurs économiques, des objets connectés aux services en nuage (« cloud »).
Le règlement exige que les fabricants et prestataires de services permettent aux utilisateurs d’accéder et de réutiliser les données générées par leurs produits ou services, tout en autorisant le partage avec des tiers. Les propriétaires de voitures peuvent par exemple choisir de partager des données spécifiques avec leur mécanicien ou leur assureur.
Les objectifs fondamentaux de la loi sont clairs : assurer l’équité dans la distribution de la valeur des données, stimuler un marché concurrentiel des données, encourager l’innovation et rendre les données accessibles à tous. Elle souhaite également favoriser le changement de fournisseur de services de traitement de données, tout en introduisant des garanties contre le transfert illicite et en établissant des normes d’interopérabilité pour la réutilisation des données entre les secteurs.
Le règlement renforce également le droit à la portabilité des données, permettant aux particuliers et aux entreprises de contrôler plus étroitement leurs données générées par les objets connectés. Les consommateurs bénéficieront d’une plus grande facilité de passage d’un fournisseur de services en nuage à un autre, avec des garanties contre les transferts illicites et des normes d’interopérabilité.
Dans cette continuité, la norme garantit la protection des secrets d’affaires et des droits de propriété intellectuelle avec des mécanismes de règlement des différends. Elle introduit des mesures pour prévenir les abus de déséquilibres contractuels dans les contrats de partage de données, assurant une protection aux entreprises et offrant une plus grande marge de manœuvre aux PME.
Le règlement aspire enfin à faciliter la coopération entre les secteurs publics et privés dans des circonstances exceptionnelles, telles que les urgences publiques. Il marque la deuxième grande initiative législative de la stratégie européenne pour les données, témoignant de l’engagement de l’UE à jouer un rôle de premier plan dans la société fondée sur les données. Ce nouveau règlement sera très prochainement publié au JO de l’UE et entrera en application 20 jours suivant sa publication.
Consultez ici le communiqué du Conseil de l’UE : Règlement sur les données : le Conseil adopte une nouvelle loi sur l’équité de l’accès aux données et de l’utilisation des données
La Commission Nationale de l’informatique et des Libertés (CNIL) a émis une recommandation technique visant à promouvoir l’utilisation des Interfaces de Programmation Applicatives (API) dans le partage de données entre entités publiques et privées. Cette recommandation souligne le potentiel des API pour renforcer la sécurité, minimiser les données et gérer les autorisations.
La CNIL met en avant la diversité des cas d’utilisation des API, couvrant tous les types d’organisations et de partages de données, qu’ils soient ouverts ou restreints, publics ou privés. La recommandation identifie trois rôles techniques essentiels dans ce processus : le détenteur de données, le gestionnaire d’API et le réutilisateur de données.
Il est mis en avant que l’utilisation des API doit respecter des bonnes pratiques tout au long de leur cycle de vie, de la conception au déploiement. La CNIL précise que la recommandation, issue d’une consultation publique à l’automne 2022, se concentre sur les mesures techniques sans détailler le cadre juridique général du partage de données via les API.
La responsabilité juridique est abordée de manière générale et la recommandation introduit trois rôles fonctionnels, sans toutefois déterminer la responsabilité juridique spécifique de chaque organisme. Celle-ci doit être évaluée au cas par cas, en tenant compte des circonstances du partage de données. Lorsqu’une API est accessible sans restriction, les réutilisateurs sont généralement responsables de leurs propres traitements distincts du traitement d’ouverture des données par l’API.
La méthodologie proposée par la CNIL vise à promouvoir les bonnes pratiques et est complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI pour sécuriser l’ensemble du traitement. Des outils spécifiques sont également recommandés pour mettre en œuvre ces mesures, mais leur utilisation doit être évaluée au cas par cas.
Des exemples concrets illustrent la mise en œuvre pratique des recommandations, couvrant des cas tels que le partage restreint de données entre organismes, le partage de données entre réseaux sociaux et chercheurs, l’ouverture de données de l’administration, ou encore le partage fermé de données entre services d’un même organisme.
En résumé, la CNIL, par le biais de cette recommandation, cherche à encourager l’utilisation des API comme un moyen sécurisé et efficace de partager des données, illustrant l’importance de la conception et de la mise en œuvre appropriées de ces interfaces pour garantir la protection des données personnelles.
Consultez ici la recommandation de la CNIL : Recommandation technique relative à l’utilisation des interfaces de programmation applicatives (API) pour le partage sécurisé de données à caractère personnel
La cyberattaque contre l’Agence Nationale des recettes Publiques bulgare (NAP) a mis en lumière les enjeux cruciaux entourant la protection des données personnelles. Le 15 juillet 2019, une intrusion dans le système informatique de la NAP a entraîné la publication sur Internet de données à caractère personnel concernant des millions de personnes. Face à cette menace potentielle, de nombreux individus ont décidé d’agir en justice, invoquant un préjudice moral résultant de la crainte d’une utilisation abusive de leurs données.
La Cour administrative suprême bulgare a soumis des questions préjudicielles à la Cour de Justice de l’Union Européenne (CJUE), cherchant à clarifier les conditions de réparation du préjudice moral dans le contexte d’une cyberattaque.
L’arrêt rendu par la CJUE explique que la divulgation non autorisée de données à caractère personnel nécessite une évaluation concrète des mesures de protection mises en œuvre par le responsable du traitement. La simple divulgation ne suffit pas à conclure que ces mesures étaient inappropriées ni à engager la responsabilité du responsable de traitement.
Cependant, la charge de la preuve incombe au responsable du traitement. Il doit ainsi démontrer que les mesures de protection étaient adéquates pour prévenir l’accès non autorisé aux données. Autrement dit, il doit démontrer que le dommage subi par les personnes concernées victimes de cette divulgation par des tiers, ne lui est pas imputable.
Par cet arrêt la Cour confirme la légitimité de la crainte d’un usage abusif de données personnelles, qui constitue en soi un « dommage moral ». Ainsi, la simple appréhension d’une utilisation inappropriée par des tiers peut donner lieu à une réparation.
Cette décision renforce la protection des individus contre les conséquences néfastes des violations du Règlement Général sur la Protection des Données (RGPD) et plus particulièrement son article 32 relatif aux exigences de sécurité des données à caractère personnel. Elle fait ainsi ressortir la responsabilité accrue des organisations dans la mise en place de mesures robustes pour prévenir de telles atteintes.
La cybersécurité demeure un enjeu majeur, et cette jurisprudence établit un précédent important pour la protection des droits individuels face aux menaces croissantes de la cybercriminalité.
Consultez ici la décision de la CJUE : CJUE-affaire-C-340/21-
