Close
  • Français
  • English

[Contribution] Notifications d’incident de sécurité – Quelle réglementation demain ? [par Sabine Marcellin, Juriste d’entreprise]

Parmi les moyens de sécuriser les systèmes d’information, le recensement et l’analyse des incidents de sécurité figure en bonne place. Cette approche est devenue une obligation en France pour les opérateurs de communication électronique, depuis 2011. Plus globalement, cette obligation devrait s’étendre, portée par plusieurs projets législatifs français et européens visant à renforcer la cybersécurité. Les organisations devront faire connaître à des régulateurs publics, voire aux personnes concernées, l’existence d’incidents touchant des données personnelles ou de réseaux. Comment cette tendance forte, venue d’Outre-Atlantique, se décline dans les projets législatifs ? Quelles sont les questions soulevées[1]  et les conséquences opérationnelles pour les entreprises et organisations ?

Définition et objectifs

Un incident de sécurité peut être défini[2] comme un évènement intéressant la sécurité de l’information qui est indésirable ou inattendu et présente une probabilité forte de menacer la sécurité de l’information et de compromettre les opérations liées à l’activité de l’organisation.

La notification d’un incident signifie qu’il est porté à la connaissance d’un tiers.

Au plan juridique, les différents textes ou propositions ne définissent pas stricto sensu la notion de notification. Il est question cependant de porter l’incident à la connaissance de l’autorité de contrôle ou de la personne concernée. En pratique, une multiplicité de termes synonymes est employée pour désigner cette même réalité juridique comme avertir communiquer ou alerter.

L’objectif premier de la notification est opérationnel. Elle permet à un organisme d’identifier une attaque ou un comportement malveillant et d’anticiper des moyens de réaction organisationnels en adéquation selon l’évaluation de l’impact potentiel. Plus largement, la notification va permettre une communication maitrisée de l’incident, en l’insérant dans un contexte géopolitique ou socioéconomique. L’analyse des incidents permet d’identifier des schémas techniques ou comportementaux et d’anticiper l’origine de de dysfonctionnements.

Sources législatives

La notification d’incidents visant à éviter les usurpations d’identité s’est développée, depuis 2002[3], dans la quasi-totalité des Etats américains. D’autres Etats du monde ont intégré dans leur législation une obligation de notification, applicable à la sécurité des réseaux ou de l’information plus largement, afin d’inciter à la sécurisation des systèmes et de recenser l’évolution de certains phénomènes de cybercriminalité.

Différents projets de textes législatifs français et européens traitent de la notification des incidents de sécurité. Les principaux projets réglementaires européens qui contiennent des dispositions relatives à la notification des incidents de sécurité sont recensés dans le tableau.

Un règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques a été adopté le 23 juillet 2014[4]. Ce texte dit « PSC ou eIDAS » vise à garantir l’existence de transactions électroniques transnationales efficaces et sûres. Il représente la volonté de créer « un socle commun pour des interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques». Le règlement fixe naturellement des exigences de sécurité applicables aux prestataires de services de confiance, et notamment une obligation de notification.

Projets réglementaires européens

incluant des dispositifs de notification d’incidents

 

Texte

date

objet

Proposition de règlementrelatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – 2012/0011 (règlement général sur laprotection des données)  25 janvier 2012 (dernière version) Réforme de la directive existante (24 octobre 1995) face à l’évolution des technologies pour renforcer l’harmonisation de la protection des données à caractère personnel.
Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union – 2013/048 (dite SRI) 13 mars 2014 (adoption en première lecture) Améliorer le niveau de sécurité des réseaux et systèmes informatiques privés sur lesquels reposent les services dont dépend le fonctionnement de la société dans l’UE. Volonté que les États membres améliorent leur niveau de préparation et leur coopération mutuelle. Incitation à la mise en place de mesures appropriées pour les opérateurs d’infrastructures critiques et les administrations publiques, afin de gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes.
Proposition de directive concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2013/36/UE et 2009/110/ CE et abrogeant la directive 2007/64/CE (dite DSP2 ou PSD2) 24 juillet 2013(dernière version) Remplacement de la directive sur les services de paiement DSP1, mise en œuvre par les Etats membres au 1 novembre 2009. Le 24 juillet 2013, la Commission européenne a publié deux propositions : une directive qui abrogera la DSP1 et un règlement sur les commissions d’interchange pour les transactions de paiement par carte.

En France, la première notification obligatoire a été inclue dans la loi « informatique et libertés »[5], depuis 2011[6] pour s’appliquer aux prestataires de services de communications électroniques. Ils doivent notifier auprès de la CNIL les incidents de sécurité relatifs aux données personnelles et dans certains cas, notifier également les incidents auprès des personnes concernées.

En matière de notification des incidents de sécurité, les propositions de directives SRI, DSP 2 et la proposition de règlement eIDAS prévoient qu’il reviendra aux États membres de fixer les sanctions applicables en cas de non-respect de la directive, les sanctions devant être « effectives, proportionnées et dissuasives ».

Le nouvel article L. 1332-7 du Code de la défense issu de la loi de programmation militaire du 18 décembre 2013 sanctionne quant à lui les OIV en cas de manquement à l’obligation de notification d’une amende de 150 000 €, ce chiffre étant multiplié par cinq pour les personnes morales soit 750 000 €.

Les sanctions prévues, en l’absence de notification à la CNIL, sont de cinq ans d’emprisonnement et de 300 000 euros d’amende(article 226-17-1 du Code pénal), ce chiffre étant multiplié par cinq pour les personnes morales. En outre la CNIL dispose d’un pouvoir de sanctions administratives notamment d’amendes et de publication de ses décisions.

Avec la proposition de règlement européen du 25 janvier 2012, les amendes pourraient a priori monter jusqu’à 5% du chiffre d’affaires annuel mondial d’une entreprise (article 79) ou 100 000 000 euros (le montant le plus élevé étant retenu).

Facteurs déclencheurs de notification

Les facteurs déclencheurs de la notification diffèrent en fonction de l’obligation de notification concernée.

Pour la CNIL, toute violation de données à caractère personnel, même de gravité négligeable, pourrait être, en théorie, à notifier[7] à l’autorité de contrôle.

La proposition de règlement européen sur la protection des données à caractère personnel ne les précise pas, mais l’état de la proposition adoptée par le Parlement européen le 12 mars 2014 indique que « le comité européen de la protection des données est chargé d’émettre des lignes directrices, recommandations et bonnes pratiques (…) aux fins de l’établissement de la violation de données et de la détermination du retard injustifié (…) et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel ». Le considérant 8 du règlement 611/2013 du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE modifiée, d’ores et déjà applicable, qui tente, en l’absence d’autres précisions dans le texte, de préciser le moment à partir duquel on est en juridiquement présence d’une violation de données à caractère personnel à notifier : « le fait de simplement soupçonner qu’une violation de données à caractère personnel s’est produite ou de simplement constater un incident sans disposer d’informations suffisantes, malgré tous les efforts déployés à cette fin par un fournisseur, ne permet pas de considérer qu’une telle violation a été constatée aux fins du présent règlement ».

Par ailleurs en matière de notification des incidents réseaux, dans la directive SRI, le facteur déclencheur semble être l’impact « significatif » de l’incident sur le système de l’entité ou les services fournis. La version adoptée par le Parlement de la proposition de cette directive précise qu’« afin de déterminer l’ampleur de l’impact d’un incident, il est, entre autres, tenu compte des paramètres suivants: nombre d’utilisateurs concernés, durée de l’incident et portée géographique. »

Modalités de notification

La décision de notifier doit résulter de la concertation de différents services de l’entreprise amenés à avoir un rôle actif dans cette notification, et notamment la direction des métiers de la sécurité de l’information, du juridique, de la conformité, la communication ou l’équipe gérant les problématiques des données à caractère personnel. Il est nécessaire que la gestion de l’incident soit effectuée sous tous ces aspects : qualification de l’incident, nécessité d’une notification, contact avec le régulateur concerné, contenu de la notification, impacts juridiques et en termes d’image.

La décision de notifier nécessite donc la mise en place d’une organisation interne, adaptée aux caractéristiques de l’entreprise et regroupant ces différents services au sein d’une cellule de crise. Cette cellule de crise doit disposer d’un pouvoir de décision afin de pouvoir déclencher la notification ou être en lien direct vers un acteur du comité exécutif de l’entreprise. Elle pourra ainsi être en mesure de décider des moyens matériels, humains et financiers nécessaires à la résolution de l’incident et au respect des obligations de communication.

Quant au contenu de la notification, seuls les textes[8] relatifs à la notification des violations de données à caractère personnel en précisent les éléments.

Il ressort de ces différents textes[9] que la notification à la CNIL doit contenir un certain nombre d’informations :

– la nature et les conséquences de la violation des données à caractère personnel,

– les mesures déjà prises ou proposées pour y remédier,

– les personnes auprès desquelles des informations supplémentaires peuvent être obtenues,

– le nombre de personnes concernées par la violation.

La proposition de règlement européen précise quelques informations supplémentaires, à savoir les catégories et le nombre d’enregistrements de données concernés et les mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données.

La notification aux personnes intéressées doit quant à elle contenir les informations suivantes, de façon détaillée et utilisant un langage clair et simple.

En matière d’incidents réseaux, si l’article D. 98-5 du Code des postes et communications électroniques ne précise pas les éléments contenus dans la notification, il précise les informations qui seront à fournir par l’opérateur après analyse de l’incident, à savoir les causes et conséquences des atteintes à la sécurité et les mesures prises.

Les textes relatifs à la notification prévue à la charge des administrations et acteurs du marché et à la charge des prestataires de services de confiance ne précisent pas les informations que doit contenir la notification, mais prévoient au 1er janvier 2014 que la Commission est habilitée à définir, au moyen d’actes d’exécution, les formats et procédures applicables.

La loi de programmation militaire ne prévoit pas les modalités de la notification, celles-ci devant a priori l’être dans un décret.

Comme une notification aboutissant à une information du public peut avoir un impact non négligeable sur l’image de l’entreprise concernée, il est souhaitable de coordonner la communication au public avec l’autorité en charge de l’instruction de la notification. Ainsi, la cellule de crise aura notamment pour tâche de coordonner ces échanges et d’adopter le plan de communication associé à cette notification, en intégrant les exigences légales applicables en matière de communication.

Sous-traitance et notification

Si l’entreprise a recours à la sous-traitance, elle reste pleinement responsable de la conformité de ces traitements aux réglementations ou lois applicables. A ce titre, il est fort probable que l’autorité compétente ne s’adresse qu’à l’interlocuteur principal propriétaire des données ou des traitements.

Il est donc essentiel que les partenaires de l’entité fassent partie intégrante du processus de notification d’incident, afin de maîtriser son exposition aux risques et de disposer le plus rapidement possible des informations qui lui seront nécessaires, pour répondre à son obligation de notification. Il est primordial d’exprimer formellement aux partenaires potentiels non seulement le cadre réglementaire dans lequel ils s’inscriraient, mais également de préciser les modalités attendues pour respecter ce cadre. Il est donc important de préciser dès l’expression de besoin et le cahier des charges les critères de qualification d’un incident de sécurité et les modalités pratiques de notification.

Les mécanismes de formalisation sont les suivants :

– Le contrat doit disposer d’une ou plusieurs clauses rappelant les contraintes légales applicables et obligeant le sous-traitant à notifier à l’entité pour qui elle travaille tout incident de sécurité, avec les éléments d’information nécessaires et dans les délais requis, le cas échéant sous peine de pénalités financières.

– Les documents opérationnels (plan d’assurance sécurité, plan de continuité d’activité et tests des procédures de notification, etc.) pour intégrer les exigences pratiques.

Dans la période de transition, dans l’attente de l’adoption des différents textes régulant les notifications d’incidents, il serait judicieux d’aménager d’anticiper l’application des textes en projet. Si cela n’est pas déjà fait, il s’agit de mettre en œuvre les dispositifs de recensement des incidents et les modalités opérationnelles de leurs différentes notifications auprès des régulateurs.

Sabine Marcellin

Juriste d’entreprise

Membre de la réserve citoyenne de la cyberdéfense de la Gendarmerie

 

 

———-

[1] Consulter « Notifications des incidents – FAQ » publié en juillet 2014, sur le site du Forum des Compétences, association d’établissements financiers ayant pour objet la coopération en matière de sécurité de l’information

[2] D’après les normes ISO 27001 et 27002

[3] « Senate Bill 1386 » du 12 février 2002 entré en vigueur le 1 juillet 2003 prévoyant, dans le Code civil californien, des dispositions imposant la révélation des incidents de sécurité

[4] Règlement n°910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

[5] Article 34bis de la loi n° 78-17 modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[6] Ordonnance n°2011-1012 du 24 août 2011

[7] Formulaire de notification de violation de données à caractère personnel de la CNIL et Délibération n° 2013-358

[8] Article 91-1 du décret du 20 octobre 2005 modifié visant les opérateurs de communication électronique et article 31 de la proposition de règlement européen sur la protection des données à caractère personnel dans sa version adoptée le 12 mars 2014 par le Parlement européen

[9] Formulaire de notification sur le site de la CNIL