Après un long silence, ce billet sur la notification des incidents de sécurité, et en particulier ceux qui relèvent de détournements de données à caractère personnel. L’actualité nous en apporte effectivement l’exemple avec le cas de la société Orange qui avertit depuis quelques heures ses clients sur un détournement de certaines catégories de données depuis les systèmes d’information qu’elle gère. La France est en retard, mais c’est le cas dans beaucoup de pays, sur la culture de la notification, et plus généralement sur le choix ou non de rendre public une atteinte à son système d’informations: ce n’est pas une tâche facile pour les responsables de la sécurité des systèmes d’information.
Un nécessaire partage d’informations
En préambule, il est important de se rappeler que tout système d’information est susceptible d’être un jour victime d’une tentative d’intrusion ou d’une intrusion réussie. Cela ne relève pas du marketing de la peur en matière de sécurité numérique, mais d’une réalité bien tangible (voir cet article des Echos qui évoque le marché des données) pour toute personne responsable d’un système d’information et pour ses responsables de la sécurité, administrateurs systèmes et autres acteurs de la chaîne de confiance. Les données, quelles qu’elles soient, ont une valeur, souvent marchande, qui attise d’autant plus l’intérêt des délinquants.
A cela, il faut rajouter les situations où des vulnérabilités sont découvertes et signalées à son responsable par un chercheur, un utilisateur du système ou encore un auditeur. Il revient alors à l’organisation de corriger rapidement la faille, y compris en prenant des mesures conservatoires (indisponibilité du service comme lorsque voilà quelques semaines le fisc canadien rendait indisponible son système de déclaration d’impôts dans la phase de correction de la faille Heartbleed).
Dans tous les cas, il est important de partager l’information avec des cercles plus ou moins larges en fonction des circonstances. Les motivations sont multiples:
- informer les organisations exerçant le même métier, les professionnels de la SSI sur des risques particuliers ;
- informer les développeurs des solutions logicielles et matérielles concernées, ainsi que potentiellement leurs utilisateurs ;
- informer les personnes concernées – lorsque leurs données personnelles sont potentiellement compromises.
Dans le premier cas, ce partage pourra être réalisé publiquement (blogs de certains CERT, de certaines équipes de sécurité qui publient des retours d’expérience, lors de conférences, dans des articles) ou bien dans des cercles plus restreints parce que la confiance y est plus forte et le partage peut rentrer dans des détails plus poussés pour permettre aux autres acteurs du secteur, les utilisateurs d’un même outil, de mettre en œuvre les mesures correctrices avant qu’elles ne puissent être exploitées.
J’ai évoqué la seconde situation à de multiples reprises dans des articles de ce blog (dernier exemple l’an dernier sur les mises à jour de Java), il y a encore de gros progrès à faire dans la façon dont la communauté de la sécurité gère ces questions, mais la prise de conscience est globale.
Enfin, lorsque des données personnelles sont compromises, il peut être nécessaire, après évaluation des données concernées et de leur impact, de prévenir très rapidement les personnes concernées, par exemple pour éviter que leurs numéros de cartes bancaires ne soient utilisés à des fins malveillantes.
A cela, il faut rajouter l’action des autorités de contrôle: en matière de protection des infrastructures vitales (rôle de l’ANSSI en France) ou des données à caractère personnel (CNIL).
Certaines de ces situations sont couvertes par des obligations légales et réglementaires que je vous propose de parcourir rapidement.
Le cadre juridique
En effet, il existe aujourd’hui un cadre juridique (article précédent sur ce même blog appelant à son émergence) qui renforce les obligations de certains acteurs (dont celles introduites par une ordonnance du 24 août 2011, que j’évoquais dans le livre La cybercriminalité en mouvement au paragraphe 6.2.3) et la récente Loi de programmation militaire :
- l’article L33-1 du code des postes et communications électroniques (CPCE) précise que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques est soumise au respect de règles portant sur « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services » ;
- l’article R20-44-39 (anciennement R20-44-35) du CPCE prévoit que l’office gérant les noms de domaine de premier niveau correspondant au pays (l’organisme chargé par l’Etat de gérer les noms de domaines en .fr notamment) reçoit un cahier des charges qui prévoit des « exigences relatives à la notification aux services de l’Etat des atteintes ou tentatives d’atteintes à la sécurité du service » ;
- l’article D98-5 du CPCE prévoit des dispositions complémentaires relatives à l’intégrité ou à la sécurité en ce qui concerne les opérateurs: information des abonnés « lorsqu’il existe un risque particulier de violation de la sécurité du réseau » et du ministère de l’intérieur en cas « d’atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services » ;
- un article L34bis récent inséré dans la loi informatique et libertés, qui vient compléter l’article L34 qui oblige toute personne opérant un traitement de données à caractère personnel à « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (le non respect de cette disposition constitue l’infraction prévue à l’article 226-17 du code pénal), en prévoyant une obligation de notification à la CNIL [EDIT du 08/05/2014] portant spécifiquement sur tout « traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification » [/EDIT] de tout incident important et si nécessaire la communication aux personnes concernées ;
- enfin, l’article 22 de la Loi de programmation militaire du 18 décembre 2013 (articles L1332-6-1 et suivants du code de la défense) rend obligatoire la déclaration des incidents constatés par les opérateurs d’importance vitale sur leurs systèmes d’information.
Nota: les opérateurs d’importance vitale sont définis par les articles L1332-1 et L1332-2 du code de la défense comme étant d’une part « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation » et d’autre part « des établissements mentionnés à l’article L. 511-1 du code de l’environnement [installations dites classées pour la protection de l’environnement] ou comprenant une installation nucléaire de base visée à l’article L593-1 du code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population ».
Nota 2: la notification sur le site de la CNIL concernant les fournisseurs de services de communications électroniques (les opérateurs de façon très large) est accessible ici.
A ce jour, le cadre juridique porte donc sur: les opérateurs d’importance vitale, les opérateurs de communications électroniques (dont certains sont aussi des OIV) – ainsi qu’en pratique l’AFNIC – et les personnes qui traitent des données à caractère personnel [EDIT du 08/05/2014](obligation de sécurité pour tous et de notification pour les fournisseurs de services de communications électroniques)[/EDIT].
[Au passage, j’ai noté plusieurs débats sur la question juridique du « vol de données ». Effectivement, il n’est pas constamment accepté en droit français qu’on puisse voler des données (à caractère personnel ou uniquement confidentiel), parce que le vol suppose la soustraction. Toutefois, cette notion de copie frauduleuse de données mériterait vraisemblablement de recevoir un cadre juridique plus protecteur. Lorsqu’il s’agit de données nominatives on pourra évidemment viser la collecte frauduleuse prévue par la loi informatique et libertés. En revanche, pour des données uniquement confidentielles, il n’y a pas à ce jour d’infraction spécifique, ni de terminologie reconnue – il existe par exemple une proposition de loi sur le secret des affaires qui adresse partiellement cette question.]
Conclusion
Le cadre juridique ne fait pas tout, mais pour les secteurs qu’il couvre (données personnelles [EDIT du 08/05/2014] et notamment celles traitées par les opérateurs [/EDIT] et OIV) il permet une plus grande clarté dans la responsabilité des acteurs. Toutefois, on ne peut qu’appeler à de plus amples échanges sur ces questions, qu’il s’agisse d’échanges directs entre professionnels concernés, avec les éditeurs et utilisateurs de solutions ou vers les publics directement concernés à chaque fois qu’il y a des risques ou des incidents avérés.
Enfin, il est essentiel pour toute organisation de se préparer à devoir gérer un tel incident (et donc à l’évaluation de la situation qui en découle, les mesures nécessaires et la communication à réaliser). Les entreprises ou les administrations qui vivent récemment ce type d’événements essuient un peu les plâtres en matière de communication autour de ces sujets parce que la culture ou la législation ne les y poussait pas, mais montrent aussi qu’il est possible de gérer une telle situation.
Et pour conclure, j’ajouterai qu‘il est important que l’on devienne tous plus objectifs et constructifs face à ces situations: il peut arriver à toute organisation des circonstances où les mesures de sécurité prises n’ont pas été suffisantes, toutefois être en mesure de détecter rapidement l’incident (grâce à des mesures internes ou grâce à des signalements externes rapidement pris en compte) est aussi une phase importante de la gestion de ces incidents, puis apporter des informations précises aux personnes concernées en est une autre. Ainsi, sans banaliser ce type d’incidents parce qu’on va en parler de plus en plus quand ils seront rendus publics, il faut surtout apprendre à mieux les gérer ensemble: par exemple, beaucoup d’articles se contentent de relayer l’information sur les incidents (jouant parfois sur le sensationnel) sans apporter aucun conseil exploitable aux lecteurs.
J’en profite donc pour rajouter quelques conseils:
- si vos données personnelles ont été compromises, il est important d’obtenir et de comprendre de la personne qui les gérait les détails des données concernées ;
- si votre adresse de courrier électronique a été compromise, il faut renforcer sa vigilance quant aux messages que l’on reçoit – mais ce conseil vaut de façon générale, les adresses de courrier électronique circulant quand même aujourd’hui énormément et ne pas hésiter à signaler les messages problématiques ou suspects ;
- si votre mot de passe a été compromis (certains sites ne le protègent pas correctement), évidemment il faudra le modifier sur le site concerné, mais aussi pensez à le changer sur d’autres sites où vous auriez placé un mot de passe identique (ce qui en soi est une mauvaise idée, pensez à utiliser des mots de passe variés) – il en va de même pour les questions secrètes de récupération de mots de passe, essayez de les varier quand c’est possible. La CNIL donne un certain nombre de conseils sur la sécurité des mots de passe ;
- si votre numéro de carte bancaire est concerné (ce qui ne devrait pas arriver chez des commerçants en ligne en France à cause de la règlementation en vigueur mais pourrait survenir sur des sites étrangers), il faut rapidement contacter son agence bancaire pour leur en faire part et vérifier les transactions depuis l’incident, à la recherche de potentielles transactions frauduleuses.
Article très intéressant.
Il est clair qu’en France on communique très peu sur les incidents de sécurité.
Soit l’incident est contenu en interne au niveau de la DSI ou même au niveau humain de la personne directement concernée. Bon nombre de DSI et RSSI se sentent encore pris en défaut quand ils doivent annoncer un incident de sécurité ou vol de données à leur direction.
Soit l’incident est contenu par l’entreprise qui ne souhaite pas « ternir sous image ».
Alors que l’on devrait voir dans un telle communication responsabilité et transparence on y voit encore trop souvent un aveu de défaillance et une source de craintes. La direction de la communication ayant vite fait de convaincre la direction générale que communiquer sur l’incident serait pire que l’incident lui-même …
Concernant la communication entre professionnels de la sécurité, c’est concevable entre prestataires/conseils, mais aujourd’hui inconcevable entre éditeurs de solutions de sécurité.
Le marché est extrêmement concurrentiel, être le premier à détecter une nouvelle faille ou un nouveau malware est un enjeu stratégique. Pas question de partager avec les concurrents !
Il y a en effet un vrai sujet sur le vol de données. Au niveau de la victime tout d’abord, en particulier les PME et le grand public qui à cause de la nature immatérielle de l’information ne perçoivent pas forcément le préjudice subis. Au niveau juridique ensuite, aussi bien lors du dépôt de plainte qu’au niveau des juges, le vol de données n’est pas reconnu comme un « délit grave ».
D’ailleurs à ce sujet, on rêverait de disposer d’un système centralisé de dépôt de plainte en ligne pour les « délits numériques » (vol de données, intrusion, actes de malveillance,etc …)
Ou à défaut d’un dépôt de plainte au moins un signalement en ligne auprès d’une autorité spécialisée.
Il reste également à gérer la difficulté du caractère international des délits numériques.
Si je ne m’abuse l’obligation de notification portée par le L34bis de la loi I&L ne porte que sur les opérateurs de communication électronique.
Bonjour,
La fourniture au public de services de communications électroniques. Mais l’obligation de sécurité porte sur tous les traitements. D’où le raccourci. Je vais le repréciser. Merci pour le commentaire !
Très intéressante analyse comme toujours et parfaitement documentée.
Cependant je ne peux m’empêcher de tiquer sur cette histoire de vol de données. La distinction entre données à caractère personnel et données confidentielles est salvatrice, mais visiblement, aux yeux de la justice, il n’y a pas besoin que les données soient confidentielles, ou placées dans un espace privé, pour que le « vol » soit constitué.
Ayant été reconnu coupable de « vol de données » non personnelles et non confidentielles, ET de « maintien frauduleux » dans un espace parfaitement public d’un OIV, je suis un peu perplexe, c’est peu de le dire, sur l’appréciation qu’un juge peut avoir des texte à sa disposition. Je précise au passage que la peine prononcée est un « bundle » pour les deux délits, je n’ai pas pris « tant pour tel délit et tant pour l’autre »…
Dans mon cas une « recherche complexe », soit l’utilisation de fonctionnalités parfaitement documentées du moteur de recherche, transforme une utilisation légitime d’un SI en intention de commettre un acte délictuel. C’est pas comme si j’avais accédé à des folders contenant des fichiers systèmes ou des données personnelles.. rien de tout ça. Juste des documents… dans un répertoire dont on ne pouvait deviner qu’il n’était pas censés être public.
Bref pour ma part, je ne notifie plus rien ni personne, l’incertitude juridique que fait planner la jurisprudence dont j’ai fait l’objet devrait mettre du plomb dans la tête de n’importe qui voulant notifier une entreprise, et particulièrement un OIV, d’une vulnérabilité ou d’une fuite de données.
Bilan : qu’il s’agisse de données personnelles ou de documents confidentiels, pour moi maintenant ce sont comme des documents publics… on y touche pas, on ne dit rien, on ne notifie personne… c’est tout de suite moins risqué.
Bonjour. Je n’étais pas au courant que cette affaire était relative à une question de notification du gestionnaire du traitement de son éventuelle faille de sécurité.
Mon propos était relatif au « vol de données », ou plutôt à la copie frauduleuse. Si la loi décrit bien ce qu’est une intrusion, pour moi, elle passe à côté sur la définition d’une faille de sécurité. Est ce que l’absence totale de sécurité la plus élémentaire peut être assimilée à une « faille » pour caractériser une intention délictueuse. Qu’aurais-je pu sérieusement notifier ? Que je visitais un répertoire public (à ce compte là j’ai pas finit de notifier tout ce que je visite).
Il y a, selon moi, 3 éléments qui justifient une notification :
– les données personnelles
– des fichiers systèmes
– des documents confidentiels
Quand aucun de ces éléments est présent, on notifie quoi ?
Bonjour ! Je viens de recevoir un mail frauduleux soi-disant de la part d’Orange ! Que dois-je faire pour le signaler ?
Bonjour,
Deux destinations: l’équipe abuse d’Orange qui a besoin de ces informations, via l’adresse abuse[arobase]orange.fr et la possibilité de le signaler sur https://www.signal-spam.fr/
Bonjour,
Je m’interroge depuis longtemps sur l’efficacité réelle de l’article 226-17 du CP pour promouvoir la sécurité des traitements de données à caractère personnel. Ces 5 ans de prisons en cas d’infraction sont maintenant dans la loi depuis plus de 20 ans (1er mars 1994 pour la première forme du 226-17). Êtes-vous au fait d’une seule condamnation à de la prison (serait-elle avec sursis) d’un responsable d’un traitement de données à caractère personnel au titre de cet article ? Cet article a-t-il même été la cause d’une seule condamnation en 20 ans, serait-ce à une amende ? Le parquet semble en général avoir mieux à faire… poursuivre les lanceurs d’alertes par exemple (voir affaires kitetoa, bluetouff et tant d’autres)…
Bonsoir. Les infractions à la loi informatique et libertés on deux niveaux d’intervention, et c’est souvent la CNIL qui intervient d’abord, avec son propre régime de sanctions. Ensuite comme toutes les infractions liées au numérique, elles sont peu utilisées (ce n’est que depuis très peu de temps que les infractions d’atteintes aux STAD décollent). Quant à arriver à des condamnations, c’est un autre pas, effectivement pas très souvent franchi, mais franchi tout de même.
En cherchant un peu, une jurisprudence de 1995
http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000007068514&fastReqId=828291737&fastPos=11
On en trouve d’autres.