Veille réglementaire – Lignes directrices 01/2021 : Exemples concernant la notification des violations de données & Sanction CNIL « Credential stuffing »

I. Préambule :

Le règlement 2016/679 « RGPD » introduit l’obligation de notifier une violation de données à caractère personnel à l’autorité nationale de contrôle compétente et, dans certains cas, de communiquer la violation aux personnes dont les données à caractère personnel ont été concernées par la violation (Cf. articles 33 et 34 du RGPD).

Le groupe de travail « G29 ou Article 29 » a déjà produit une orientation générale sur la notification des violations de données en octobre 2017, en analysant les sections pertinentes du RGPD (Guidelines on Personal data breach notification under Regulation 2016/679, WP 250 (ci-après « Guidelines WP250 »).

Toutefois, en raison de sa nature et de son calendrier, cette orientation n’a pas abordé toutes les questions pratiques de manière suffisamment détaillée. Il est donc apparu nécessaire d’élaborer des lignes directrices axées sur la pratique et basées sur des cas concrets, qui utilisent l’expérience acquise par les sociétés de surveillance depuis que le RGPD est applicable.

Les nouvelles lignes directrices 01/2021, publiées en janvier 2021, sont destinées à compléter les lignes directrices WP 250 et reflètent les expériences communes des autorités de surveillance de l’UE depuis que le RGPD est applicable.

L’objectif de ses lignes directrices est d’aider les responsables de traitement à décider comment traiter les violations de données et quels facteurs prendre en compte lors de l’évaluation des risques.

Ces lignes directrices sont en phase de consultation jusqu’au 2 mars 2021, la version finale de ces lignes directrices sera publiée suite aux retours des différents acteurs.

En parallèle, la CNIL a publié une sanction le 27 janvier 2021 portant sur le « Credential Stuffing » en rappelant notamment les défaillances en matière de sécurité au niveau du responsable de traitement et de son sous-traitant.

II. Mesures de gestion des risques de sécurité – Rançongiciel :

Le comité européen sur la protection des données a proposé une liste des mesures de gestion des risques à mettre en place afin d’aider les responsables de traitement pour la prévention et trouver des solutions possibles.

Chaque activité de traitement est différente, c’est pourquoi le responsable du traitement doit décider quelles mesures sont les plus adaptées à sa situation donnée.

  • Maintenir à jour le système d’exploitation et les logiciels d’application sur les serveurs, les machines, les composants actifs du réseau et toute autre machine sur le même réseau local (y compris les appareils Wi-Fi).
  • Veiller à ce que toutes les mesures de sécurité informatique raisonnables soient en place, s’assurer qu’elles sont efficaces et les mettre à jour régulièrement lorsque le traitement ou les circonstances changent ou évoluent. Cela inclut la tenue de journaux détaillés indiquant quels correctifs sont appliqués et à quelle heure. Concevoir et organiser les systèmes et l’infrastructure de traitement pour segmenter ou isoler les systèmes et réseaux de données afin d’éviter la propagation de logiciels malveillants au sein de l’organisation et vers des systèmes externes.
  • L’existence d’une procédure de sauvegarde actualisée, sécurisée et testée. Les supports de sauvegarde à moyen et long terme doivent être séparés du stockage des données opérationnelles et hors de portée des tiers, même en cas d’attaque réussie (comme la sauvegarde incrémentielle quotidienne et la sauvegarde complète hebdomadaire).
  • Disposer/obtenir un logiciel anti-virus approprié, à jour, efficace et intégré. Disposer d’un pare-feu et d’un système de détection des intrusions appropriés, à jour, efficaces et intégrés et système de prévention. Le fait de diriger le trafic réseau à travers le pare-feu/détection d’intrusion, même dans le cas de bureau à domicile ou de travail mobile (par exemple en utilisant des connexions VPN pour la sécurité de l’organisation mécanismes d’accès à l’internet).
  • Formation des employés aux méthodes de reconnaissance et de prévention des attaques informatiques. Le responsable du traitement doit fournir des moyens permettant d’établir si les courriers électroniques et les messages obtenus par d’autres moyens de communication sont authentiques et fiables. Les employés devraient être formés à reconnaître quand une telle attaque s’est produite, à savoir comment retirer le point d’extrémité du réseau et à leur obligation de le signaler immédiatement au responsable de la sécurité. (Cf. Orientations EBA/2019/04 sur les TIC – Tous les membres du personnel doivent recevoir une formation appropriée consacrée aux risques liés aux TIC et à la sécurité « Une fois par an minimum »).
  • Souligner la nécessité d’identifier le type de code malveillant pour voir les conséquences de l’attaque et être en mesure de trouver les bonnes mesures pour atténuer le risque. En cas d’attaque par un logiciel de rançon réussie et s’il n’y a pas de sauvegarde disponible, les outils disponibles tels que ceux du projet « no more ransom » (nomoreransom.org) peuvent être appliqués pour récupérer les données. Toutefois, si une sauvegarde sûre est disponible, il est conseillé de restaurer les données à partir de celle-ci.
  • La transmission ou la réplication de tous les journaux à un serveur central de journaux (comprenant éventuellement la signature ou l’horodatage cryptographique des entrées de journaux).
  • Chiffrement et authentification forts, notamment pour l’accès administratif aux systèmes informatiques (2FA), une gestion appropriée des clés et des mots de passe.
  • Effectuer des tests de vulnérabilité et d’intrusion régulièrement.
  • Mettre en place une équipe de réponse aux incidents de sécurité informatique (CSIRT) ou une réponse d’urgence informatique (CERT) au sein de l’organisation, ou rejoindre un CSIRT/CERT collectif. Créer une réponse à un plan d’incident, un plan de reprise après sinistre et un plan de continuité des activités, et s’assurer qu’ils sont testés de manière approfondie.
  • Lors de l’évaluation des contre-mesures – l’analyse des risques doit être revue.

III. Sanction du 27/01/2021 : « Credential stuffing » : la CNIL sanctionne un responsable de traitement et son sous-traitant – Source CNIL

Entre juin 2018 et janvier 2020, la CNIL a reçu plusieurs dizaines de notifications de violations de données personnelles en lien avec un site internet à partir duquel plusieurs millions de clients effectuent régulièrement des achats. La CNIL a décidé de mener des contrôles auprès du responsable du traitement et de son sous-traitant, a qui était confié la gestion de ce site web.

Les sanctions prononcées par la formation restreinte :

Par conséquent, la formation restreinte a prononcé deux amendes distinctes – 150 000 euros à l’encontre du responsable de traitement et 75 000 euros à l’encontre du sous-traitant – au regard de leur responsabilité respective. En effet, elle a souligné que le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant. Mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement. La formation restreinte n’a pas décidé de rendre publiques ces délibérations. Néanmoins, elle souhaite communiquer sur ces décisions pour alerter les professionnels sur la nécessité de renforcer leur vigilance concernant les attaques par credential stuffing, et de développer, en lien avec leur sous-traitant, des mesures suffisantes pour garantir la protection des données personnelles.

Téléchargez cet article – Veille réglementaire mars 2021Télécharger

Pour découvrir l’ensemble de notre offre de veille réglementaire, contactez-nous à : communication@regulationpartners.com

Scroll to top