Comprendre le délai de 72 heures pour la notification d’une violation de données dans le cadre du RGPD
Nous voici arrivés à l’échéance du 25 mai 2018 pour l’entrée en vigueur du Règlement général sur la protection des données (RGPD). Les entreprises qui ne se conforment pas au RGPD s’exposent à des amendes salées.
Les montants réclamés en cas de non respect de la réglementation peuvent aller jusqu’à 20 millions d’euros ou même 4 % de leur chiffre d’affaires mondial annuel et nous verrons prochainement comment les autorités de contrôle de l’UE appliqueront la nouvelle réglementation. L’une des dispositions les plus notables du RGPD est l’Article 33, soit l’obligation de notifier une violation de données dans un délai de 72 heures. L’Article 33 stipule en effet qu’en cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l'autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. » Nous avons récemment créé une nouvelle infographie qui récapitule les diverses obligations et réponses liées à cette règle.
Un compte à rebours de
72 heures
En termes simples, en vertu du
RGPD, les entreprises ne disposent que de 72 heures pour rassembler
toutes les informations pertinentes et notifier les violations de données
à l’autorité compétente. Il s’agit d’une tâche non négligeable pour toute
entreprise, impliquant l’élaboration et la mise en œuvre d’un plan complet
de confinement. En voici une illustration schématique :
Les étapes sont assez claires : procéder à une
investigation, informer rapidement de la violation les autorités de contrôle et
les personnes concernées et préciser quelles données ont été touchées et
comment le problème sera réglé à l’avenir… le tout dans un délai
de 72 heures. Il est à noter que si – pour une raison quelconque
– la notification n’est pas effectuée dans les 72 heures, le RGPD
exige que le responsable du traitement fournisse une justification
raisonnable pour le retard, ce qui risque de perturber davantage encore les
activités normales de l’entreprise et d’alourdir les tâches administratives.
L’Article 33 du RGPD précise également le type d’informations que doit
contenir la notification. A tout le moins, l’autorité de protection des
données s’attend à recevoir les éléments suivants :
Clairement, les
attentes sont élevées et le délai est très court, constituant ainsi
un véritable défi pour l’entreprise qui s’efforce de répondre à ses
obligations, de traiter les problèmes liés à la violation de données le tout en
préservant ses opérations au quotidien.
En outre, pour les équipes de sécurité en particulier, le défi d’identifier les violations de données devient encore plus pressant, étant donné que nombre de celles-ci ne sont pas découvertes avant des semaines, des mois, voire plusieurs années. Même une fois la violation détectée, il peut être compliqué d’en saisir l’impact et de la notifier conformément aux dispositions de l’Article 33 – c’est-à-dire en précisant qui a été touché, quelles données ont été piratées, de quelle manière et comment remédier à la situation – dans un délai de 72 heures.
Par conséquent, comment les entreprises peuvent-elles satisfaire à leurs obligations de notification des violations de données en vertu du RGPD et en réduire les conséquences au minimum ? Autrement dit, comment peuvent-elles limiter les risques et les retombées d’une violation de données et du délai de 72 heures imposé pour sa notification :
Identifier les accès
suspects aux données
Pour finir par
détecter et notifier une violation de données, vous devez pouvoir déterminer
si, oui ou non, vos données ont bien fait l’objet d’un accès et si cet accès
est véritablement suspect par nature. Par conséquent, il est important de
pouvoir contrôler les approbations, intentions et actions de
chaque utilisateur au sein de votre entreprise afin de prendre en compte à
la fois les utilisateurs internes autorisés et les risques liés à des menaces
internes. Vous devez avoir une parfaite connaissance de ce que les utilisateurs
font avec les données de l’entreprise, afin de disposer du contexte
essentiel entourant une violation de données.
La détection des accès suspects aux données peut être compliquée par le fait que les entreprises doivent permettre aux employés d’accéder à celles nécessaires à l’accomplissement de leur travail. La solution consiste à mettre en œuvre les règles, procédures, formations et technologies appropriées pour vous aider à déterminer à quoi ressemblent les accès légitimes quotidiens et à détecter tout ce qui pourrait constituer des abus.
Classer les véritables incidents par priorités et par catégories
Aujourd’hui, typiquement les équipes de sécurité sont inondées d’informations et d’alertes liées aux activités et incidents en rapport avec l’accès et l’utilisation des données dans une entreprise. Avec le renforcement des obligations en matière de respect de la vie privée et des réglementations telles que le RGPD, imposant la transparence et une communication détaillée sur les violations de données, il devient essentiel de pouvoir filtrer efficacement des quantités d’alertes quotidiennes afin de déterminer quels sont les « véritables » incidents. En outre, dans de nombreux cas, les professionnels de la sécurité ne disposent pas du contexte nécessaire pour identifier et prioriser les incidents critiques car, n’étant pas experts en bases de données, ils ne savent pas précisément quels accès sont légitimes ou non.
C’est ici qu’entrent en jeu des technologies de surveillance des processus d’accès aux bases de données faisant appel au machine learning (apprentissage automatique) et à l’analytique. La compréhension des obligations et des processus d’accès et le recours à des technologies spécialisées permettant leur mise en œuvre et leur surveillance facilitent la réduction de milliards d’accès à un petit nombre d’événements « réels », exploitables et intéressants. Ces technologies améliorent la précision des alertes et vous aident à vous concentrer sur les incidents importants, ce qui réduit le temps nécessaire pour enquêter sur les violations potentielles et augmente l’efficacité des équipes de sécurité. Essayer d’y parvenir sans l’aide de la technologie se traduira par un accroissement du coût, du temps passé et du risque.
Surveiller et journaliser les accès et activités
La surveillance est un élément clé du puzzle en vue de respecter la règle des 72 heures. Il s’agit de surveiller et de détecter les incidents, et de signaler avec efficacité ceux qui sont pertinents et réels au sens des obligations du RGPD. Afin de déterminer si les accès aux données et autres activités sont légitimes ou non, les entreprises doivent exercer une surveillance continuelle et capturer/enregistrer/journaliser ces événements, ce qui leur servira également pour satisfaire leurs obligations de notification et justifier leurs efforts en cas de violation et de non-conformité avec le RGPD.
La question est : comment savoir si un accès est légitime ou malveillant si vous ignorez jusqu’à son existence ? La réponse est la surveillance des bases de données car c’est elle qui vous apporte la visibilité nécessaire et l’assurance que vos données sont protégées, en bonne conformité. Ce n’est toutefois pas une mince affaire car il vous faut surveiller tous les utilisateurs, y compris les applications qui accèdent à des données et les utilisateurs privilégiés, ainsi que la totalité des bases de données… Le tout en même temps !
Certes, la tâche peut être lourde mais néanmoins grandement facilitée grâce à des outils de sécurité efficaces, tels que des technologies de surveillance des bases de données et de reporting des activités. La capacité de surveiller, de détecter et de prioriser avec précision les accès et activités est essentielle pour accélérer la détection des violations de données sans perturber l’exploitation. Dans l’intervalle, la solution peut recueillir automatiquement tous les détails d’une violation de données et vous permettre de fournir un rapport circonstancié en interne ainsi qu’à l’autorité de contrôle en vertu de l’obligation des 72 heures.
Fournir le rapport d’investigation
En outre, le RGPD exige des responsables du traitement qu’ils documentent non seulement les faits liés à une violation de données mais aussi ses conséquences et l’ensemble des actions correctrices engagées, puis qu’ils en établissent un rapport complet par écrit. Comme indiqué plus haut, l’Article 33 stipule la communication d’informations spécifiques concernant la violation, notamment (entre autres éléments) :
1.la nature de la violation ; 2. les conséquences probables de la violation ;
3. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation et en atténuer les éventuelles conséquences négatives.
Les informations nécessaires au respect de cette obligation se présentent sous la forme d’un rapport d’investigation, réalisé soit en interne, soit avec le concours d’un expert indépendant. Il s’agit du rapport fourni par les enquêteurs pour aider l’entreprise à comprendre comment l’attaque s’est produite, quelles vulnérabilités ont été exploitées, quelles données ont été piratées, etc. Par une surveillance continue et efficace et par la journalisation de l’ensemble des accès aux données, les entreprises pourront déterminer avec plus de précision et de rapidité lesquelles ont été compromises, par qui et de quelle façon, ce qui réduira la durée de l’investigation et facilitera le respect du délai de 72 heures.
Des technologies facilitant
la mise en conformité
La mise en conformité avec le
RGPD dans son ensemble, et en particulier avec les obligations de
l’Article 33, nécessite diverses améliorations des processus et procédures,
ainsi qu’une solide stratégie de sécurisation des données et plusieurs niveaux,
s’appuyant sur des technologies robustes, éprouvées et efficaces dans ce domaine.
Une utilisation efficace d‘outils de sécurité est donc indispensable pour vous préparer aux obligations de notification des violations de données dans les 72 heures en vertu du RGPD.