Gestion d incidents et notifications aux autorités

Documents pareils
Data Breach / Violation de données

Traitement des Données Personnelles 2012

Obligation de notification des failles de sécurité : quand l Union Européenne voit double

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

politique de la France en matière de cybersécurité

Les conséquences de Bâle II pour la sécurité informatique

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

DATE D'APPLICATION Octobre 2008

GUIDE QUALITE ARSEG S O M M A I R E METIER TRANSFERT OBJET ET DOMAINE D'APPLICATION CARACTERISTIQUES EXIGEES ET MOYENS MIS EN OEUVRE

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Connaître les Menaces d Insécurité du Système d Information

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

Jean-Luc Archimbaud. Sensibilisation à la sécurité informatique.

SUJET: FORMULAIRE DE REMBOURSEMENT - INDEMNITÉ

Recommandations sur le Cloud computing

Gestion des incidents

TRAVAUX DU GROUPE GUINEE/CONAKRY ET BISSAO

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

L analyse de risques avec MEHARI

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.)

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Yourcegid Fiscalité On Demand

Qu est-ce qu un système d Information? 1

PASSI Un label d exigence et de confiance?

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

curité des TI : Comment accroître votre niveau de curité

Consolidation Stockage.

CONSOMMATION Proposition de directive relative aux droits des consommateurs Position et Amendements de la CGPME

CERTIFICATS ÉLECTRONIQUES

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Numéro du rôle : Arrêt n 181/2005 du 7 décembre 2005 A R R E T

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Arrêté royal du 27 mars 1998 relatif à la politique du bien-être des travailleurs lors de l exécution de leur travail (M.B

S engager pour la survie de l enfant: Une promesse renouvelée

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

La sécurité des systèmes d information

CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

CERTIFICAT DE SITUATION RELATIVE AUX COTISATIONS

ITIL V2 Processus : La Gestion des Configurations

LEGISLATION FRANçAISE

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information.

1. La sécurité applicative

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

Votre Réseau est-il prêt?

Introduction à la sécurité des systèmes d information

Règlement d INTERPOL sur le traitement des données

OUVERTURE D UN COMMERCE

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Contrat d Hébergement de données

Yourcegid Consolidation On Demand

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

Gestion des Incidents SSI

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

La sécurité des données hébergées dans le Cloud

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

Présentation de l Université Numérique de Paris Île-de-France

Autorité de Certification OTU

Dossier de presse L'archivage électronique

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Le Client reconnaît avoir pris connaissance des présentes CGV préalablement à la signature du présent contrat.

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

accueil Ecole Supérieure du Numérique de Normandie

C entre de F ormation C ontinue à D istance

JaafarDEHBI; Consultant SI-TI Pragmatic Consulting

Règlement de Jeu RUGBY 2015

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Règlement de Jeu BAC 2015

CONTRAT DE PERMANENCE TELEPHONIQUE EXTERNALISATION DE STANDARD

Lignes directrices concernant les contrôles à l importation dans le domaine de la sécurité et de la conformité des produits

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

INVESTISSEMENTS D AVENIR

CONDITIONS GENERALES DE VENTE DU SITE Les personnes souhaitant effectuer un achat via le Site Internet «www.

OUVERTURE ET FERMETURE DES PORTES D ACCES DU PARC DES VOYETTES A CYSOING

CONDITIONS GENERALES D ACHAT

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Chokri BEN AMAR, maître de conférences, directeur des études de l'enis & Anis FOURATI, expert en Sécurité Informatique (Société SDS à Sfax)

GUIDES ET RECOMMANDATIONS

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

PROTOCOLE DE COLLABORATION COMMERCIALE TOUTES BRANCHES

Politique de sécurité de l information

Compagnie nationale des biologistes et analystes experts assemblée générale du 19 janvier 2012

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Conditions générales de vente

Transcription:

Gestion d incidents et notifications aux autorités Comment s y retrouver? Comment optimiser?

Agenda 1. Zoom sur la notification des violations 1.1. Les conséquences sur les formalités 1.2. Les conséquences sur l étendue des notifications de violations de données 2. Des notifications variées 2.1. Comment y voir plus clair? 2.2. Comment factoriser? 2

QUIZZ Dans le RGPD : Tous les responsables de traitement sont-ils concernés par la notification des violations de données? La notification de violations de données est-elle immédiate? Les personnes concernées doivent-elles se voir notifier les violations? 3

Comment y voir plus clair? 1. ZOOM SUR LA NOTIFICATION DES VIOLATIONS 4

Comment y voir plus clair? 1. ZOOM SUR LA NOTIFICATION DES VIOLATIONS 1.1. Les conséquences sur les formalités à la CNIL 5

Les conséquences sur les formalités à la CNIL Partie 1-1 1. LE CARACTÈRE ABSOLU ET LES CONDITIONS DE LA NOTIFICATION DE LA VIOLATION DE DONNÉES 2. LES MODALITÉS DE LA NOTIFICATION DE VIOLATION DE DONNÉES 3. LE CONTENU DE LA NOTIFICATION DE VIOLATION DE DONNÉES

Les conséquences sur les formalités Caractère absolu du registre à disposition de la CNIL AVANT LE RÉGLEMENT Le FAI tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la Commission APRÉS LE RÉGLEMENT Tout responsable de traitement a l obligation de tenir un registre des violations de façon à ce que la CNIL puisse évaluer la conformité 7

Les conséquences sur les formalités Conditions de notification AVANT LE RÈGLEMENT 8

Les conséquences sur les formalités Conditions de notification APRÈS LE RÈGLEMENT Article 33 du RUE 2016/679 Un traitement de données à caractère personnel ayant subi une violation et sauf si celle-ci n est pas susceptible de d engendrer un risqué sur les droits et libertés des personnes concernées (art.33.1 Règlement) Le sous-traitant a l obligation de notifier le RT sans délai, en cas de violation de données dont il a connaissance (art.33.2 Règlement) 9

Les conséquences sur les formalités Quand notifier à la CNIL? AVANT LE RÈGLEMENT Notification immédiate auprès de la CNIL (Article 34 bis de la loi Informatique et libertés) APRÈS LE RÈGLEMENT Au plus 72 heures (Article 33.1 du Règlement) en cas de retard il faut le justifier Notification par étapes ni nécessaire (Article 33.4 du Règlement) 10

Les conséquences sur les formalités Contenu de la notification à la CNIL AVANT LE RÈGLEMENT Nature et conséquences de la violation, mesures déjà prises ou proposées pour remédier à la violation, si possible, estimation du nombre de personnes susceptibles d être concernées APRÈS LE RÈGLEMENT La notification doit contenir «à tout le moins» : des détails sur la nature de la violation et sur sa portée (types de données, nombre de personnes et d enregistrements concernés), coordonnées du DPO, les conséquences probables et les mesures pour les limiter ou y remédier Le contenu de la notification est encore plus précis et détaillé + documenté 11

Comment y voir plus clair? 2. ZOOM SUR LA NOTIFICATION DES VIOLATIONS 2.2. Les conséquences sur l étendue des notifications de violations de données 12

Les conséquences sur l étendue des notifications de violations de données Partie 1-2 1. LA NOTIFICATION AUX PERSONNES CONCERNEES 2. LE CONTENU DE LA NOTIFICATION AUX PERSONNES CONCERNEES

Les conséquences sur l étendue Condition de la notification AVANT LE RÈGLEMENT Les FAI doivent notifier la violation de données aux personnes physiques concernées lorsque cette violation peut porter atteinte à leurs données ou à leur vie privée SAUF SI la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données concernées incompréhensibles par un tiers non autorisé à y accéder APRÈS LE RÈGLEMENT Article 34 du Règlement : le RT doit notifier individuellement les personnes physiques concernées par la violation de données, s il apparait probable que la violation représente un «risque élevé» pour elles SAUF SI les données perdues sont illisibles d un tiers non autorisé, si le «risque élevé» n a plus lieu d être. Si une information individuelles est impossible ou disproportionnée, il sera possible de réaliser une notification «publique» ou équivalente 14

Les conséquences sur l étendue Contenu de la notification à la personne AVANT LE RÈGLEMENT La notification doit comprendre certains éléments spécifiques comme la nature de la violation ou la gravité et les potentielles conséquences de cette violation APRÈS LE RÈGLEMENT La notification doit être effectuée de façon claire, et porter a minima sur la nature de la violation et sur sa portée (types de données, nombre de personnes et d enregistrements concernés), coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues, conséquences probables et mesures pour les limiter ou y remédier 15

En résumé : quoi de neuf? Obligation de notification des violations de données dans les 72 heures La notification de violation de données à la CNIL doit être plus précise, détaillée et documentée Obligation de notifier la violation de données aux personnes physiques concernées, immédiatement, et en détail 16

Comment y voir plus clair? 2. DES NOTIFICATIONS VARIÉES 17

La problématique Des notifications variées Différents textes : RGPD, eprivacy, eidas, NIS, Paquet Télécom, LPM Différentes autorités de contrôle : ANSSI, CNIL, ARS Violations RGPD Différents processus pour gérer les incidents et les éventuelles notifications eidas Atteintes à la sécurité Comment y voir plus clair? Incidents LPM Comment factoriser? 18

Comment y voir plus clair? 2. DES NOTIFICATIONS VARIÉES 2.1. Comment y voir plus clair? 19

Comment y voir plus clair? Obligations dans les textes européens De quoi parle-t-on? Qui est concerné? Quelle est l autorité de contrôle? Règlement 2016/679 (Vie privée) Art. 33 et 34 Violation de données à caractère personnel* Tout organisme privé ou public gérant ou faisant gérer pour son compte des données à caractère personnel Règlement 611/2013 (eprivacy) Art. 2 et 3 Violation de données à caractère personnel Fournisseurs de services de communications électroniques accessibles au public Règlement 910/2014 (eidas) Art. 19 Atteinte à la sécurité ou toute perte d intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel Prestataires de services de confiance Directive 2016/1148 (NIS) Art. 14 et 16 Incident ayant un impact significatif sur la continuité des services essentiels, sur les places de marché et les moteurs de recherche en ligne et sur les services d informatique en nuage Opérateurs de services essentiels et fournisseurs de service numérique Directive 2009/140 (Paquet Télécom) Art. 13bis Atteinte à la sécurité ou perte d intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services Entreprises fournissant des réseaux de communications publics ou des services de communications électroniques accessibles au public CNIL CNIL ANSSI / CNIL ANSSI ANSSI * Violation de données à caractère personnel : évènement, d origine accidentelle ou illicite, entraînant une atteinte à la disponibilité, l intégrité ou la confidentialité de données à caractère personnel faisant l objet d un traitement. Ainsi, toute action entrainant destruction, perte, altération, divulgation non autorisée ou un accès non autorisé à des données à caractère personnel constitue une violation. 20

Comment y voir plus clair? Obligations dans les textes en France De quoi parlet-on? Qui est concerné? Quelle est l autorité de contrôle? Loi 2013-1168 du 18/12/13 (dispositif de protection des OIV) Incidents affectant le fonctionnement ou la sécurité des systèmes d'information* Opérateurs d infrastructures vitales (OIV) Loi 2016-41 du 26/01/16 (loi santé) Art. 110 Décret 2016-1214 du 12/09/16 Incidents graves de sécurité des systèmes d'information** Établissements de santé, hôpitaux des armées, laboratoires de biologie médicale, centres de radiothérapie ANSSI Agence régionale de santé (ARS) * Systèmes d information (d importance vitale SIIV) : systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population [LPM] ** Incidents graves de SSI : 1 - incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ; 2 - incidents ayant des conséquences sur la confidentialité ou l'intégrité des données de santé ; 3 - incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service. 21

Comment y voir plus clair? Dois-je notifier? Si oui, à qui? Incident détecté Nature de l incident? Incident Violation de données de Nature de l acteur? à caractère personnel sécurité Nature de l acteur? Santé* Opérateur** Autre Santé* Opérateur** Autre Notifier l ARS Notifier l ANSSI Aucune notification nécessaire Notifier la CNIL et l ARS Notifier la CNIL et l ANSSI Notifier la CNIL * Établissements de santé, hôpitaux des armées, laboratoires de biologie médicale et centres de radiothérapie Non Communiquer aux personnes concernées Mesures appropriées ou effort excessif? Oui Gestion des notifications terminée ** Opérateur d importance vitale (OIV), opérateur de service essentiel (OSE) ou opérateur de service numérique (OSN) mettant à disposition des places de marché et les moteurs de recherche en ligne et des services d informatique en nuage, service de confiance (SDC), ou opérateurs Télécom 22

Comment y voir plus clair? 2. DES NOTIFICATIONS VARIÉES 2.2. Comment factoriser? 23

Comment factoriser? La notion d incident de sécurité Une définition large, des applications multiples Incident de sécurité (de l information) : tout événement ayant un impact négatif sur la gestion des données à caractère personnel, un service de confiance, la sécurité des réseaux et des systèmes d'information, etc. Incident de sécurité ISO/IEC 27035 Violation de données RGPD Atteinte à la sécurité eidas Incident ayant un impact significatif NIS Incident LPM Incident grave Santé 24

Comment factoriser? Que dois-je, le cas échéant, notifier aux autorités? 1. L identité précise de l entreprise [eprivacy] 2. La nature de l incident [RGDP], sa date et son heure d occurrence [eprivacy], ainsi que l horodatage de la découverte et la durée de ce dernier [NIS] 3. Le lieu physique où s est déroulé l incident (ainsi que sa portée géographique) et les moyens de stockage utilisés [eprivacy] 4. Les circonstances de l incident [eprivacy] 5. S il s agit d une première notification ou de compléments d information sur un incident déjà signalé [eprivacy] 6. Les catégories de données et de personnes concernées [RGDP, eprivacy] 7. Le volume de données impactées par l incident [RGDP, eprivacy, NIS] 8. Les conséquences probables de l incident sur le service et les personnes [RGDP] 9. Les mesures techniques et/ou organisationnelles prises afin d atténuer/corriger l incident, ainsi que ses effets et les mesures restant à prendre [RGDP, eprivacy] 10. Si les personnes physiques concernées par l incident ont été informées (si oui, fournir une copie de l information) [eprivacy] 11. Si des personnes d autres États membres ont été impactées [eprivacy] 12. Les coordonnées du contact en interne chargé de la gestion de l incident (DPO, FSSI, RSSI, etc.) [RGDP, eprivacy] 25

Comment factoriser? Que dois-je, le cas échéant, communiquer aux personnes? 1. La nature et les circonstances de la violation [RGDP] 2. La teneur de données objets de la violation [eprivacy] 3. Un résumé de l incident [eprivacy] 4. Sa date d occurrence, durée [eprivacy] 5. Les coordonnées du DPO (ou de la personne à contacter) [RGDP, eprivacy] 6. Les conséquences probables de la violation [RGDP, eprivacy] 7. Les mesures prises pour remédier à la violation et limiter ses effets [RGDP, eprivacy] 8. Les mesures recommandées pour atténuer les préjudices potentiels [RGDP, eprivacy] 26

Comment factoriser? Le processus de gestion des incidents de sécurité S inspirer de la norme ISO/IEC 27035 «Information security incident management» (voir annexes) 1. Planifier et préparer 5. Enseignements 2. Détection et signalement Gestion des notifications (qualification + notification) 4. Réponses 3. Évaluation et décision 27

Conclusion : et maintenant? En conclusion Il est théoriquement possible de factoriser les différents processus de gestion d incidents, y compris les différentes formes de notifications à diverses autorités Un processus commun, basé sur des normes internationales (ISO/IEC 27035) et les textes applicables (RGPD, eprivacy, eidas, NIS, Paquet Télécom, LPM) peut être défini Ceci doit permettre d améliorer la gestion des incidents et la conformité réglementaire Il convient maintenant de tester l approche et de l améliorer Questions subsidiaires Quid des PME? Faudrait-il travailler sur des outils communs? 28

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back