Université des DPO de l’AFCDP : la cybersécurité au coeur de la protection des données personnelles
Par Bertrand Lemaire | Le | Gouvernance
Pour fêter son vingtième anniversaire, l’AFCDP (Association française des correspondants à la protection des données personnelles) a organisé sa 18ème Université des DPO les 8 et 9 février 2024. Elle a notamment été l’occasion de faire un point sur la question de la cybersécurité avec l’ANSSI.
L’AFCDP (Association française des correspondants à la protection des données personnelles) fête en ce moment son vingtième anniversaire. L’association est toujours dirigée par son président co-fondateur, Paul-Olivier Gibert. Elle a, les 8 et 9 février 2024, organisé la 18ème Université des DPO à la Maison de la Chimie à Paris. A côté des sujets généraux autour de la protection des données personnelles qui forment bien sûr l’essentiel pour les DPO, avec notamment une conclusion de l’Université de la présidente de la CNIL (Commission Nationale de l’Informatique et des Libertés) Marie-Laure Denis, la cybersécurité s’est taillée une place de choix.
Il est vrai que l’actualité était particulière : la récente fuite de données chez les tiers-payants Viamedis et Almerys impactant des millions de Français a rappelé l’importance de la cybersécurité dans la protection des données personnelles. Cependant, l’AFCDP a communiqué, en marge de l’Université des DPO, pour souligner « que l’impact sur les particuliers de la fuite de données Viamedis et Almerys est limité, les risques pour les données volées des entreprises et organisations sont bien plus élevés, notamment l’interruption d’activités. » La CNIL a, de son côté, communiqué auprès du grand public sur les bonnes pratiques face à une telle divulgation.
Cybersécurité et RGPD, deux faces d’un même sujet
Le matin du deuxième jour de l’Université des DPO a permis d’entendre sur ce sujet Emmanuel Naëgelen, directeur général adjoint de l’ANSSI. Il a évidemment rappelé l’importance de la collaboration entre RSSI et DPO, deux métiers différents concourant au même objectif, la protection des données personnelles. La cybersécurité porte sur le contenant, le RGPD sur les données contenues. « Depuis 2018, les cyber-menaces ont explosé, avec une cyber-criminalité qui s’est industrialisée, le pirate à capuche dans son garage ayant pour ainsi dire disparu » a rappelé Emmanuel Naëgelen. Il a insisté surle fait que les données personnelles sont « de l’or pour les cybercriminels ». Leur valeur peut être directe mais aussi indirecte, en permettant la mise en place d’arnaques. Dans le cas Viamedis et Almerys, il est probable que les mois qui viennent vont voir se multiplier les arnaques en lien avec la santé.
Un autre type d’attaquant prolifère, notamment en lien avec les crises géopolitiques : l’hacktiviste. Ce type d’attaquant privilégie des opérations qui ont une portée médiatique comme une indisponibilité de site à fort trafic via une attaque DDoS. Emmanuel Naëgelen a tempéré : « dans les faits, ce n’est pas très grave » par rapport à d’autres types d’attaques plus destructives. Bien entendu, les Jeux Olympiques Paris 2024 vont apporter une visibilité médiatique mondiale renforcée à tout ce qui se passe en France. De ce fait, l’ANSSI craint une multiplication des cyber-attaques sur l’ensemble du tissu économique et administratif. « Ce sera un vrai test de cyber-résilience nationale » a soupiré Emmanuel Naëgelen.
La cybersécurité demeure trop négligée
L’ANSSI constate trop souvent de lourdes négligences dans la cybersécurité des victimes de piratages. Emmanuel Naëgelen a ainsi fustigé, peu après avoir évoqué Viamedis et Almerys, que « un simple mot de passe détourné ou corrompu puisse donner accès à des millions de données personnelles. » De même, trop souvent, des matériels ou des logiciels très obsolètes sont maintenus en production. Avec la législation française et la réglementation européenne NIS, l’ANSSI surveille directement environ 500 organisations. Mais, avec la directive NIS 2 et sa prochaine retranscription en droit national, l’ANSSI devra superviser 15 000 assujettis de 18 secteurs ! Certaines difficultés peuvent surgir avec l’accumulation des réglementations : là où la cybersécurité peut pousser à conserver un maximum de données (dont des logs de connexion), pour analyse post-incident ou détection continue d’anomalies, le RGPD peut exiger des suppressions rapides et massives.
L’ANSSI compte accroître sa coopération avec la CNIL. Et l’évolution de l’ANSSI devrait suivre celle de son aînée : la CNIL contrôle et sanctionne. Ce sera sans doute aussi le cas de l’ANSSI demain. Cependant, il devrait y avoir un principe de non-cumul : si la CNIL sanctionne, l’ANSSI ne pourra pas le faire pour un même manquement, et vice-versa. Cette évolution n’est pas sans poser de difficulté puisque l’ANSSI a la confiance des victimes qu’elle aide. Citant Lénine, Emmanuel Naëgelen a conclu : « la confiance n’exclut pas le contrôle. »