Après un long silence, ce billet sur la notification des incidents de sécurité, et en particulier ceux qui relèvent de détournements de données à caractère personnel. L’actualité nous en apporte effectivement l’exemple avec le cas de la société Orange qui avertit depuis quelques heures ses clients sur un détournement de certaines catégories de données depuis les systèmes d’information qu’elle gère. La France est en retard, mais c’est le cas dans beaucoup de pays, sur la culture de la notification, et plus généralement sur le choix ou non de rendre public une atteinte à son système d’informations: ce n’est pas une tâche facile pour les responsables de la sécurité des systèmes d’information.
Un nécessaire partage d’informations
En préambule, il est important de se rappeler que tout système d’information est susceptible d’être un jour victime d’une tentative d’intrusion ou d’une intrusion réussie. Cela ne relève pas du marketing de la peur en matière de sécurité numérique, mais d’une réalité bien tangible (voir cet article des Echos qui évoque le marché des données) pour toute personne responsable d’un système d’information et pour ses responsables de la sécurité, administrateurs systèmes et autres acteurs de la chaîne de confiance. Les données, quelles qu’elles soient, ont une valeur, souvent marchande, qui attise d’autant plus l’intérêt des délinquants.
A cela, il faut rajouter les situations où des vulnérabilités sont découvertes et signalées à son responsable par un chercheur, un utilisateur du système ou encore un auditeur. Il revient alors à l’organisation de corriger rapidement la faille, y compris en prenant des mesures conservatoires (indisponibilité du service comme lorsque voilà quelques semaines le fisc canadien rendait indisponible son système de déclaration d’impôts dans la phase de correction de la faille Heartbleed).
Dans tous les cas, il est important de partager l’information avec des cercles plus ou moins larges en fonction des circonstances. Les motivations sont multiples:
- informer les organisations exerçant le même métier, les professionnels de la SSI sur des risques particuliers ;
- informer les développeurs des solutions logicielles et matérielles concernées, ainsi que potentiellement leurs utilisateurs ;
- informer les personnes concernées – lorsque leurs données personnelles sont potentiellement compromises.
Dans le premier cas, ce partage pourra être réalisé publiquement (blogs de certains CERT, de certaines équipes de sécurité qui publient des retours d’expérience, lors de conférences, dans des articles) ou bien dans des cercles plus restreints parce que la confiance y est plus forte et le partage peut rentrer dans des détails plus poussés pour permettre aux autres acteurs du secteur, les utilisateurs d’un même outil, de mettre en œuvre les mesures correctrices avant qu’elles ne puissent être exploitées.
J’ai évoqué la seconde situation à de multiples reprises dans des articles de ce blog (dernier exemple l’an dernier sur les mises à jour de Java), il y a encore de gros progrès à faire dans la façon dont la communauté de la sécurité gère ces questions, mais la prise de conscience est globale.
Enfin, lorsque des données personnelles sont compromises, il peut être nécessaire, après évaluation des données concernées et de leur impact, de prévenir très rapidement les personnes concernées, par exemple pour éviter que leurs numéros de cartes bancaires ne soient utilisés à des fins malveillantes.
A cela, il faut rajouter l’action des autorités de contrôle: en matière de protection des infrastructures vitales (rôle de l’ANSSI en France) ou des données à caractère personnel (CNIL).
Certaines de ces situations sont couvertes par des obligations légales et réglementaires que je vous propose de parcourir rapidement.
Le cadre juridique
En effet, il existe aujourd’hui un cadre juridique (article précédent sur ce même blog appelant à son émergence) qui renforce les obligations de certains acteurs (dont celles introduites par une ordonnance du 24 août 2011, que j’évoquais dans le livre La cybercriminalité en mouvement au paragraphe 6.2.3) et la récente Loi de programmation militaire :
- l’article L33-1 du code des postes et communications électroniques (CPCE) précise que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques est soumise au respect de règles portant sur « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services » ;
- l’article R20-44-39 (anciennement R20-44-35) du CPCE prévoit que l’office gérant les noms de domaine de premier niveau correspondant au pays (l’organisme chargé par l’Etat de gérer les noms de domaines en .fr notamment) reçoit un cahier des charges qui prévoit des « exigences relatives à la notification aux services de l’Etat des atteintes ou tentatives d’atteintes à la sécurité du service » ;
- l’article D98-5 du CPCE prévoit des dispositions complémentaires relatives à l’intégrité ou à la sécurité en ce qui concerne les opérateurs: information des abonnés « lorsqu’il existe un risque particulier de violation de la sécurité du réseau » et du ministère de l’intérieur en cas « d’atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services » ;
- un article L34bis récent inséré dans la loi informatique et libertés, qui vient compléter l’article L34 qui oblige toute personne opérant un traitement de données à caractère personnel à « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (le non respect de cette disposition constitue l’infraction prévue à l’article 226-17 du code pénal), en prévoyant une obligation de notification à la CNIL [EDIT du 08/05/2014] portant spécifiquement sur tout « traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification » [/EDIT] de tout incident important et si nécessaire la communication aux personnes concernées ;
- enfin, l’article 22 de la Loi de programmation militaire du 18 décembre 2013 (articles L1332-6-1 et suivants du code de la défense) rend obligatoire la déclaration des incidents constatés par les opérateurs d’importance vitale sur leurs systèmes d’information.
Nota: les opérateurs d’importance vitale sont définis par les articles L1332-1 et L1332-2 du code de la défense comme étant d’une part « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation » et d’autre part « des établissements mentionnés à l’article L. 511-1 du code de l’environnement [installations dites classées pour la protection de l’environnement] ou comprenant une installation nucléaire de base visée à l’article L593-1 du code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population ».
Nota 2: la notification sur le site de la CNIL concernant les fournisseurs de services de communications électroniques (les opérateurs de façon très large) est accessible ici.
A ce jour, le cadre juridique porte donc sur: les opérateurs d’importance vitale, les opérateurs de communications électroniques (dont certains sont aussi des OIV) – ainsi qu’en pratique l’AFNIC – et les personnes qui traitent des données à caractère personnel [EDIT du 08/05/2014](obligation de sécurité pour tous et de notification pour les fournisseurs de services de communications électroniques)[/EDIT].
[Au passage, j’ai noté plusieurs débats sur la question juridique du « vol de données ». Effectivement, il n’est pas constamment accepté en droit français qu’on puisse voler des données (à caractère personnel ou uniquement confidentiel), parce que le vol suppose la soustraction. Toutefois, cette notion de copie frauduleuse de données mériterait vraisemblablement de recevoir un cadre juridique plus protecteur. Lorsqu’il s’agit de données nominatives on pourra évidemment viser la collecte frauduleuse prévue par la loi informatique et libertés. En revanche, pour des données uniquement confidentielles, il n’y a pas à ce jour d’infraction spécifique, ni de terminologie reconnue – il existe par exemple une proposition de loi sur le secret des affaires qui adresse partiellement cette question.]
Conclusion
Le cadre juridique ne fait pas tout, mais pour les secteurs qu’il couvre (données personnelles [EDIT du 08/05/2014] et notamment celles traitées par les opérateurs [/EDIT] et OIV) il permet une plus grande clarté dans la responsabilité des acteurs. Toutefois, on ne peut qu’appeler à de plus amples échanges sur ces questions, qu’il s’agisse d’échanges directs entre professionnels concernés, avec les éditeurs et utilisateurs de solutions ou vers les publics directement concernés à chaque fois qu’il y a des risques ou des incidents avérés.
Enfin, il est essentiel pour toute organisation de se préparer à devoir gérer un tel incident (et donc à l’évaluation de la situation qui en découle, les mesures nécessaires et la communication à réaliser). Les entreprises ou les administrations qui vivent récemment ce type d’événements essuient un peu les plâtres en matière de communication autour de ces sujets parce que la culture ou la législation ne les y poussait pas, mais montrent aussi qu’il est possible de gérer une telle situation.
Et pour conclure, j’ajouterai qu‘il est important que l’on devienne tous plus objectifs et constructifs face à ces situations: il peut arriver à toute organisation des circonstances où les mesures de sécurité prises n’ont pas été suffisantes, toutefois être en mesure de détecter rapidement l’incident (grâce à des mesures internes ou grâce à des signalements externes rapidement pris en compte) est aussi une phase importante de la gestion de ces incidents, puis apporter des informations précises aux personnes concernées en est une autre. Ainsi, sans banaliser ce type d’incidents parce qu’on va en parler de plus en plus quand ils seront rendus publics, il faut surtout apprendre à mieux les gérer ensemble: par exemple, beaucoup d’articles se contentent de relayer l’information sur les incidents (jouant parfois sur le sensationnel) sans apporter aucun conseil exploitable aux lecteurs.
J’en profite donc pour rajouter quelques conseils:
- si vos données personnelles ont été compromises, il est important d’obtenir et de comprendre de la personne qui les gérait les détails des données concernées ;
- si votre adresse de courrier électronique a été compromise, il faut renforcer sa vigilance quant aux messages que l’on reçoit – mais ce conseil vaut de façon générale, les adresses de courrier électronique circulant quand même aujourd’hui énormément et ne pas hésiter à signaler les messages problématiques ou suspects ;
- si votre mot de passe a été compromis (certains sites ne le protègent pas correctement), évidemment il faudra le modifier sur le site concerné, mais aussi pensez à le changer sur d’autres sites où vous auriez placé un mot de passe identique (ce qui en soi est une mauvaise idée, pensez à utiliser des mots de passe variés) – il en va de même pour les questions secrètes de récupération de mots de passe, essayez de les varier quand c’est possible. La CNIL donne un certain nombre de conseils sur la sécurité des mots de passe ;
- si votre numéro de carte bancaire est concerné (ce qui ne devrait pas arriver chez des commerçants en ligne en France à cause de la règlementation en vigueur mais pourrait survenir sur des sites étrangers), il faut rapidement contacter son agence bancaire pour leur en faire part et vérifier les transactions depuis l’incident, à la recherche de potentielles transactions frauduleuses.