Secu
Ne pas attendre la sanction pour se protéger efficacement
Par François Jeanne, publié le 27 mars 2023
Affluence à la journée inaugurale de la 17e Université des DPO le mois dernier : 700 adhérents de l’AFCDP se sont retrouvés à la Maison de la Chimie à Paris. Ils ont notamment entendu des représentants de la Cnil et de l’Anssi leur dire tout le bien qu’ils pensaient d’eux… et ce qu’ils en attendaient aussi.
« Nous sommes sur le même bateau, avec les RSSI. » Emmanuel Naëgelen, directeur général adjoint de l’Anssi, a donné le ton de cette 17ème université, journée de cohésion, entre et avec les délégués à la protection des données, ces DPO (data privacy officer) qui ont remplacé les CDP (correspondants aux données personnelles) et autres CIL (correspondants informatique et libertés) avec l’arrivée du RGPD voici quatre ans.
Et de rappeler la longue liste des attaques réussies contre, notamment, des hôpitaux et des collectivités, avec des compromissions plus ou moins importantes de ces données qui sont la raison d’être des DPO.
Face à des cybercriminels qui se professionnalisent, l’ANSSI a pris des initiatives avec une approche servicielle de proximité : le GIP Acyma, qui opère la plateforme cybermalveillance.gouv.fr, assiste les PME et a déjà traité plus de 600 000 appels depuis sa création en 2017. Par ailleurs, la création dans douze régions de France des CSIRT permet d’apporter au niveau local des réponses tant aux RSSI qu’aux DPO en difficulté.
L’espèce n’est en tout cas pas en voie de disparition, au contraire. La nouvelle réglementation européenne NIS 2 va ainsi élargir le spectre des entreprises soumises à une obligation légale de se protéger efficacement. Le nombre de secteurs régulés va passer de 6 à 23, et le nombre d’opérateurs de services concernés, de quelque 500 OIV et OSE actuellement à plus de 10 000 !
À LIRE AUSSI :
Tout en agitant la menace de sanctions pour les cas les plus extrêmes – pouvoir dont ne dispose l’Anssi que de manière très limitée –, Emmanuel Naëgelen a rassuré les DPO dans leur rôle : « La communauté des DPO est un puissant relais pour expliquer aux directions générales que la cybersécurité n’est pas qu’un problème technique, mais aussi organisationnel. »
Même séance de câlinothérapie avec la Cnil, dont le secrétaire général adjoint Mathias Moulin a regretté leur manque de moyens. En leur rappelant toutefois le message à faire passer à leurs dirigeants : les imprévoyants qui jouent à la roulette russe avec leurs obligations risquent d’avoir des problèmes avec un niveau de menaces cyber jamais atteint. Le montant des sanctions émises par la Cnil, déjà record en 2022 avec 100 M€ d’amendes prononcées, va ainsi encore progresser. Et ce n’est pas le renforcement des textes européens qui risque d’inverser la tendance.
Cadre de protection des données : ça coince toujours entre les USA et l’UE
La commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen vient de recommander le rejet du projet d’accord UE/ USA de décembre, censé mettre fin aux désaccords sur la gestion des données des citoyens européens détenues par des entreprises américaines. Il faisait suite à la signature d’un décret en ce sens par le président Biden. Or le flou persiste. D’abord, le cadre proposé pour la protection des données n’est toujours pas entièrement conforme au RGPD : rien ne s’oppose par exemple à la collecte à grande échelle et sans mandat de ces données à des fins de sécurité nationale. Ensuite, le décret peut être annulé ou modifié par le président des États-Unis à tout moment. Par ailleurs, les tribunaux américains gardent le pouvoir d’approuver la collecte à des fins de surveillance et de renseignement. Enfin, le décret ne s’applique pas aux données auxquelles ont accès ces mêmes tribunaux en vertu de lois américaines telles que le Cloud Act et le Patriot Act. Fermez le ban ! À se demander qui a pu penser un instant que « l’accord » de décembre constituait une protection suffisante…
À LIRE AUSSI :