slurps sécurité - kick #9 - ordonnance du 24 août 2011

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps ouverture

L’arsenal juridique pour lutter contre les problématiques de sécurité afférentes aux données « utilisateur » s’est renforcé cet été via l’ordonnance du 24 Aout 2011 (Texte officielCommunication de la CNIL).

Le forum Atena y a consacré une séance de travail le 19/01/2012 pour présenter le contenu de ce texte et surtout ses implications pratiques. Merci à eux pour cette initiative plus que nécessaire pour pénétrer les arcanes des textes juridiques.

Alors que contient ce texte ? De façon pratique, il s’agit d’une transposition du paquet telecom qui impose désormais aux opérateurs de communications électroniques de déclarer les incidents de sécurité touchant les données des utilisateurs à la CNIL.

slurps constat

Il s’agit là d’une avancée dans la bonne direction mais la route reste encore longue avant qu’une mesure identique touche toute société et impose une déclaration systématique pour informer le propriétaire réel des données.

En effet, si les « opérateurs » se doivent de déclarer à la CNIL les incidents et les contre-mesures associées, les utilisateurs finaux eux, ne seront informés que s’il y a une perte de confidentialité ou d’intégrité des données avérée. Ainsi, un incident touchant des données chiffrées ne sera à déclarer qu’auprès de la CNIL, ce qui pourrait sembler raisonnable si nous avions la certitude que toutes les données sont chiffrées avec des algorithmes solides et modernes…

Néanmoins, il est à noter que toute infraction à cette nouvelle ordonnance est désormais punie pénalement avec un risque d’emprisonnement pouvant aller jusqu’à 5 ans et une amende de 300 000 €. Par ailleurs, la CNIL se réserve le droit de communiquer sur certains incidents.

slurps regret

Le terme « opérateur de communication électronique » reste très générique. Il serait intéressant d’avoir une qualification plus précise pour détourer facilement les entreprises et services devant respecter ce texte. Il ne me semble pas acceptable aujourd'hui que les seuls opérateurs déclarés à l'ARCEP soient concernés.

slurps impact

Lors d’un incident, la déclaration à la CNIL se doit d’être réalisée "sans délai". Dans un premier temps, le terme "sans délai" serait sans doute à être discuté car manquant de précision. L’expert en charge de la présentation a néanmoins conclu avec une certaine logique que le compteur ne pouvait commencer qu’une fois l’incident identifié. Par ailleurs, il reste à la charge de l’entreprise de prouver que cette action a effectivement été réalisée en temps et heure. La bonne vieille lettre recommandée avec accusé de réception est alors un outil précieux pour garder une trace recevable.

Pour conclure, il est probable que ce texte sera étendu dans les années à venir. Il est donc encore temps d’étudier les contre mesures à mettre en œuvre pour protéger les données et éviter d’encourir des sanctions pénales. Il sera donc intéressant de se pencher sur les problématiques suivantes :

  • Chiffrement des données
  • Garantie d’intégrité des données
  • Authentification des acteurs lors des modifications et accès

slurps addon (de dernière minute, comme il se doit)

La commission européenne vient de valider une nouvelle directive comme évoqué dans l'un de mes précédents posts. Les sociétés devront désormais déclarer en moins de 24H toute atteinte aux "données utilisateurs" présentes sur leurs infrastructures. Je dis bien toute société ! Il est certain que cette directive devra être mise en oeuvre dans la législation des pays eux mêmes, mais le cadre est désormais posé. Voici pour finir un lien qui vous permettra d'avoir un peu plus d'informations.
 

Cedric 

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.