Data Breach / Violation de données

Transcription

1 GDF SUEZ, SCOR Data Breach / Violation de données Fabien Gandrille, Group DPO & CIL, SCOR Jacques Perret, Group DPO & CIL, GDF SUEZ Document confidentiel Ne pas diffuser sans autorisation 1

2 AGENDA Présentation des sociétés GDF SUEZ et SCOR Violations de données personnelles : une réalité Renforcement du cadre réglementaire Violation de données personnelles : un processus de traitement 2

3 PRÉSENTATION DES SOCIÉTÉS GDF SUEZ collaborateurs 81,3 Mds 22 millions de clients en Europe B to B B to C SCOR 2400 collaborateurs 10,2 Mds 4000 clients dans le monde Essentiellement B to B 3

4 VIOLATIONS DE DONNÉES PERSONNELLES : UNE RÉALITÉ Quelques incidents types Yahoo Orange Target millions d enregistrements Données cartes bancaires Impact financier : 1,5 Mds $ (estimation Ponemon Institute) Sony millions d enregistrements Données d identification et données bancaires Impact financier : 1,7 Mds $ (estimation Ponemon Institute) Adobe millions d enregistrements Données d identification et données bancaires 4

5 VIOLATIONS DE DONNÉES PERSONNELLES : UNE RÉALITÉ Conséquences financières d un Data Breach Source : 2013 Cost of Data Breach Study (Ponemon Institute) Un incident impact en moyenne personnes (*) Le coût moyen d un incident par enregistrement est de 136 $, cela comprend Détection, escalade, notification de l Autorité et des victimes Réponse (mise en place des mesures, accompagnement des victimes) Perte de clients, perte de confiance Coût des incidents les plus élevés (All = 4.8 M$ ; USA = 5.4 M$) En France (sur une base de 26 Data Breaches étudiés) Un incident impacte en moyenne personnes Le coût moyen d un incident est de 3.7 M$ (*) Les incidents impactant personnes ne sont pas pris en compte car ne représentant pas la majorité des incidents rencontrés 5

6 RENFORCEMENT DU CADRE RÉGLEMENTAIRE Une obligation de notifier pour les seuls opérateurs d abord Violation de données personnelles loi 6 janvier 1978 (art. 34 bis) directive 2009/136/CE (modifiant la directive 2002/58/CE, E-privacy directive) règlement 611/2013 (notification des violations) Incidents de réseaux code des postes et des télécommunications électroniques (article L I.a) et D.98-5 III) directive 2009/140/CE (réseaux) 6

7 RENFORCEMENT DU CADRE RÉGLEMENTAIRE Avec une généralisation par certains pays ex. Royaume-Uni «Although there is no legal obligation on data controllers to report breaches of security which result in loss, release or corruption of personal data, the Information Commissioner believes serious breaches should be brought to the attention of his Office.» Puis une obligation pour de nouveaux acteurs ex. les OIV en France Loi du 18 décembre 2013 relative à la programmation militaire : les OIV «informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité» de leurs systèmes d'information 7

8 RENFORCEMENT DU CADRE RÉGLEMENTAIRE Et des projets d extension Projet de règlement européen sur la protection des données personnelles Projet de directive sur la sécurité des réseaux et de l information entreprises et administrations des secteurs critiques «tenues de signaler aux autorités compétentes tout incident qui compromet sérieusement leurs réseaux et systèmes informatiques et a un impact significatif sur la continuité des services critiques.» Projet de règlement sur l'identification électronique et les services de confiance (2012) Les prestataires de services de confiance notifient «toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni et sur les données à caractère personnel qui y sont liées». Directive services de paiement (révision) 8

9 VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Violation de données personnelles Personne concernée Vol / Usurpation d identité Perte financière Dommage physique Humiliation grave Atteinte à la réputation Atteinte aux droits et intérêts légitimes Impact image / réputation Perte clients / marchés Pertes financières Poursuites judiciaires 9

10 VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Non DCP Préparer plan de réaction générique Data Breach Détecter Endiguer Évaluer Corriger / Restaurer Activer le plan de réaction DCP 10

11 VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Évaluer Origine de la violation Perte / Vol ordinateur, clé USB, sauvegarde, négligence d un collaborateur Vol ciblé / intrusion, Catégorie de personnes concernées + nombre d enregistrements Collaborateurs, Partenaires, Clients, Public, Catégorie de données personnelles Non sensibles : identifiant, adresse, tel, , données bancaires Sensibles : opinions philosophiques, religieuses, données de santé, 11

12 VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Évaluer Classement du risque : Faible => traitement technique Moyen Elevé Gestion de crise Mesures de sécurité en place Chiffrement, tracking, effacement à distance, Conséquences de la violation Vol / Usurpation d identité Perte financière Dommage physique Humiliation grave Atteinte à la réputation Atteinte aux droits et intérêts légitimes 12

13 VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Adapter, Activer le plan de réaction Identification des mesures à activer Au niveau du Responsable de traitements Au niveau des personnes concernées, pour atténuer les conséquences Changement des mots de passe Identifier les droits des personnes concernées (y compris leurs recours). Notifier la ou les autorités de contrôle Sur base des informations collectées 13

14 VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Adapter, Activer le plan de réaction Notifier les personnes concernées Informer les personnes potentiellement concernées Communiquer vers les médias S appuyer sur un partenaire spécialisé dans la gestion et la résolution des violations de données personnelles qui mettra à disposition : - un service de protection des identités - un service de résolution des fraudes - un call center spécialisé. 14

15 Questions - Réponses 15