Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Vol de données personnelles : le projet Européen

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

Commentaires Commentaires fermés sur Vol de données personnelles : le projet Européen

Un rapport de l’ENISA fait le point sur les obligations nationales de déclaration des brèches parmi les pays européens, et revient sur les propositions d’unification actuelles. Celles-ci sont prévues pour s’étendre au delà du fameux « paquet Telecom » et devraient concerner à terme l’ensemble des entreprises européennes susceptibles de traiter des données personnelles.

L’on y découvre notamment une intéressante description du flux d’information que l’Europe imagine entre l’Europe, les Etats membres et leurs entreprises (voir le diagramme ci-dessous)

ENISA breaches

Dans cette approche, c’est l’Europe, et l’ENISA, qui définissent les mesures techniques et organisationnelles nécessaires à la protection des données personnelles, en se basant sur l’état de l’Art du moment. L’initiative échappe donc aux agences gouvernementales spécialisées.

Ces obligations sont ensuite transmises à une ou plusieurs autorités nationales compétentes (on imagine la CNIL et l’ANSSI en France, par exemple). A ces dernières de décider ensuite comment elles vont sensibiliser, informer et contrôler les entreprises concernées afin de s’assurer de la bonne application des instructions européennes.

Après la brèche – car brèche il y aura ! – la charge bascule sur l’entreprise. C’est à elle de contacter en priorité les victimes et, ensuite, l’autorité nationale compétente. A noter que cette première communication est d’ordre informatif : il s’agit d’une notification dite rapide qui devra être suivie d’un rapport largement plus fourni, censé couvrir les causes de l’incident, les mesures correctives mises en oeuvre, les leçons apprises…

Ce n’est qu’à cette étape que le public est informé. A priori par l’agence nationale, mais le document européen n’exclue pas que cette obligation revienne à l’entreprise elle-même (et donc probablement à ses frais…)

En parallèle la cyber-autorité nationale peut avoir à informer ses homologues à l’étranger, voire l’ENISA, si la brèche a eu un impact au delà de ses frontières. Le document ne précise toutefois pas à ce stade quel serait le rôle de l’ENISA au coeur d’une crise trans-nationale, sinon collecter les rapports en temps réel.

Enfin, chaque pays transmettra une fois par an un rapport plus détaillé des brèches les plus significatives dont ont été victimes ses entreprises. L’ENISA s’appuiera sur ces derniers, et sur des discussions collectives, pour définir les mesures techniques et organisationnelles à améliorer, ou à ajouter, afin de « boucler la boucle ».

Si cette organisation peut sembler très hiérarchisée, et contraignante, l’ENISA rappelle toutefois que la priorité doit être donnée à la réponse à l’incident et non au reporting. Ce dernier a pour objectif de s’assurer que les mesures de sécurité adaptées sont en place chez les entreprises concernées, mais il n’est pas prioritaire durant l’attaque (d’où la notification rapide).

Enfin, pour faciliter la réponse aux incidents, l’ENISA renvoie aux CERTs nationaux et prêche les vertus de l’échange d’information. Mais si les CERTs, eux, n’ont aucune difficulté à travailler ensembles, l’ENISA semble toutefois regretter que l’échange d’information s’arrête aux frontières des Etats. Pour l’instant…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.