Par Gérard HAAS, Stéphane ASTIER et Florian PERRETIN
« Le hasard ne favorise que les esprits préparés » – Louis PASTEUR
Avec les récentes cyberattaques mondiales, chaque entreprise, chaque entité publique prend un peu plus conscience de son exposition au cyber risque. L’élaboration, la consolidation ou la mise à jour du « référentiel sécurité » qui implique les principales Directions (SI, RH, juridique) est désormais une priorité.
Ainsi, en complément des Politiques de gestion des incidents, Charte « Utilisateurs » et autres plans « Assurance Sécurité », chaque acteur doit aujourd’hui veiller à prévenir des conséquences d’une faille de sécurité afin de cantonner le risque de black-out informatique.
La politique de continuité d’activité (Business Continuity Management ou BCM) participe directement à cet objectif.
Elle a pour but de garantir la survie de l’entreprise après un sinistre important touchant son système informatique. Il s’agit concrètement de redémarrer l’activité le plus rapidement possible avec le minimum de perte de données. Cette politique repose sur un plan de continuité d’activité (PCA) constitué par un ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes.
Pour être performant, un PCA doit être :
- Adapté à la crise
- Opérationnel
- Utilisé comme une solution d’escalade vers des moyens exceptionnels.
Plusieurs méthodes pour assurer la continuité de service d’un SI coexistent :
- Certaines sont techniques (choix des outils, méthodes de protection d’accès et de sauvegarde des données),
- D’autres reposent sur le comportement individuel des utilisateurs (extinction des postes informatiques après usage, utilisation raisonnable des capacités de transfert d’informations, respect des mesures de sécurité), ou sur des règles et connaissances collectives (protection incendie, sécurité d’accès aux locaux, connaissance de l’organisation informatique interne de l’entreprise),
- Les dernières sont contractuelles et nécessitent des conditions spécifiques dans les conventions passées avec des prestataires (copie des programmes, mise à disposition de matériel de secours, assistance au dépannage).
Le plan de continuité d’activité à l’ère du RGPD
En application de l’article 32 du Règlement Général Européen pour la Protection des Données (ci-après RGPD), le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. Cela inclut des mesures de prévention contre tous types de risques, même accidentels, et donc un plan de continuité d’activité pour satisfaire aux exigences de disponibilité des données.
Dans une logique de conformité au RGPD, une politique de sécurité efficace passe par la mise en place de méthodes préventives visant à éviter la discontinuité du service, et curatives afin de rétablir la continuité après la survenance du sinistre. Le tout est d’adopter un comportement pro-actif dans la gestion de la crise.
Rappelons ici qu’à compter du 25 mai 2018, le non-respect du RGPD exposera les sociétés qui ne se seront pas dotées de mesures techniques et organisationnelles adéquates pour assurer la sécurité des données, à des amendes pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial.
D’ores et déjà, les articles 34 et 35 de la loi informatique et libertés du 6 janvier 1978 imposent cette obligation générale de sécurité avec une sanction portée à 3 millions d’euros par la Loi sur la République Numérique du 7 octobre 2016.
La sécurité peut également être prévue par des textes spéciaux visant des secteurs d’activité particuliers. A titre d’exemple, les établissements de crédit comme les entreprises d’investissement ont vu leurs obligations légales et réglementaires se renforcer depuis plusieurs années sur la question de la sécurité et de la continuité des services. Tel est ainsi le cas de la mise en œuvre des PCA (devenus plan d’urgence et de poursuite de l’activité (PUCA), bien que les deux notions soient sensiblement similaires), obligation issue du règlement no 97-02 du 21 février 1997 modifié par un arrêté du 3 novembre 2014.
Parmi les bonnes pratiques, on retrouve :
- la création d’une planification détaillée jumelée avec la mise en place de tests rigoureux pour mesurer son effectivité,
- la mise en place d’un canal de communication en amont et en aval en période de crise,
- l’établissement d’une structure qui réduit la complexité du processus de réponse aux incidents,
- la sensibilisation aux événements de crise
- la mise en place d’une gestion proactive des risques importants grâce au recours d’experts en sécurité.
- des mesures de sauvegarde régulières et restauration de données,
- un planning des actions à mener en cas de crise,
- des mesures de conservation et d’archivage de données et des systèmes de secours dont la capacité est proportionnelle aux obligations de sécurité qui incombent au responsable de traitement (site chaud, site tiède, site froid).
Se pose même, à titre de mesure curative, la question de la mise en place d’une cellule d’experts au sein de l’entreprise capable de répondre à l’attaque en exerçant une sorte de « légitime défense numérique » via le hack back. Une telle pratique n’est pas encore véritablement autorisée en France mais il est possible que les choses évoluent rapidement.
Selon une recherche menée par le Ponemon Institute, les politiques de continuité d’activité permettent de réduire :
- le coût de la violation des données (d’environ 150 euros par fichier à l’heure actuelle, il descend en moyenne à 132 euros)
- le temps moyen d’identifier et de contenir une violation des données
- la probabilité de subir un tel incident au cours des deux prochaines années.
Sur les 383 entreprises de cette étude mondiale, 199 entreprises ont déclaré qu’elles avaient une implication de PCA dans la résolution des conséquences d’une violation de données. La majorité de ces entreprises (65%) considèrent leur participation comme très significative.
A la lumière de ces différents éléments, définir une politique de continuité d’activité constitue un impératif pour chaque entreprise comme chaque entité publique suivant le principe général d’accoutability.
Cette politique, qui inclura tant des éléments juridiques que des éléments organisationnels et techniques, aura vocation à être directement connectée au « référentiel sécurité ». L’organisation de la continuité de l’activité en cas de faillite des SI fait ainsi d’ores et déjà figure d’un des piliers essentiels des mesures organisationnelles et techniques visées par le RGPD.
Depuis près de 20 ans, le Cabinet HAAS Avocats accompagne ses clients privés comme publics dans l’élaboration de leur PCA et plus largement de leur « référentiel de sécurité », pouvant notamment comprendre la formalisation de nombreux documents essentiels à la gestion du risque informatique (Politique de Gestion des Incidents, Charte « Utilisateur des SI », Charte « Administrateur des SI », Politique d’habilitation etc.).
Pour tout renseignement complémentaire, cliquez ici.