fbpx

Actu RGPD

cybersécurité et protection des données

L’importance de la cybersécurité…

L’importance de la cybersécurité… 1200 800 Optimex Data

Optimex Data traite du sujet de la cybersécurité et protection des données

cybersécurité et protection des données

Vous le savez, les données de santé sont considérées, au sens du RGPD, comme étant des données sensibles nécessitant une protection toute particulière. L’actualité ne cesse de nous démontrer l’importance d’une sécurité suffisante des données à caractère personnel, encore plus quand il s’agit de données de santé. Cyberattaques, ransomware, sécurité informatique ou cybersécurité : le langage du monde numérique ne cesse de croître, laissant parfois de côté les personnes qui n’en maîtrisent pas le sens et ne peuvent donc pas agir en conséquence.

Quoi de neuf docteur ?

Depuis le début de l’année, le domaine hospitalier est devenu la cible favorite des cyberattaques. Cet acharnement s’explique notamment à raison de la crise sanitaire actuelle qui attire les intentions, plus malveillantes les unes que les autres.

  • Fuite de données massives :

Récemment, un fichier contenant des données médicales a circulé sur Internet : 500.000 français ont été concernés – c’est ce qu’on appelle une fuite de données (ce qui constitue une violation de données personnelles). La CNIL a alors saisi le tribunal judiciaire de Paris qui a rendu sa décision le 4 mars dernier et demande aux principaux fournisseurs d’accès à Internet de bloquer l’accès au site Internet hébergeant ce fichier.

  • Les hôpitaux – cible de cyberattaques :

Centres Hospitaliers de Dax, de Villefranche-sur-Saône, d’Oloron-Sainte-Marie et bien d’autres encore ont fait ou feront certainement les frais de hackers déterminés à les mettre à mal. Ransomware, virus informatique, atteinte à la réputation et à l’image du domaine hospitalier… ces prises d’otage font prendre conscience qu’un système essentiellement informatisé, tels que les hôpitaux, nécessite la mise en place de moyens de sécurité bien plus coriaces.

Incendie d’OVH Cloud ou faut-il notifier à la CNIL ?

Le datacenter a pris feu le 10 mars 2021 emportant avec elle une quantité innombrable de données. Cet évènement nous rappelle que, certes, il convient de prendre des mesures de sécurité efficaces afin de se protéger d’actes informatiques malveillants, mais qu’il est tout aussi important de s’assurer, en interne, de la sécurité conférée aux locaux contenant des données personnelles.  La CNIL a par ailleurs publié un article dans lequel elle explique que la destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue bel et bien une violation de données au sens du RGPD.

Pourquoi faut-il s’inquiéter ?

Vous vous demandez peut-être en quoi la circulation de ces données serait susceptible de constituer un danger ? Si vous êtes concernés ? Ou encore, qui peuvent-elles bien intéresser ? Voici une illustration de tentative de fraude (parmi tant d’autres) qui pourrait vous aiguiller :

« Bonjour Monsieur, votre numéro de sécurité sociale est le suivant XXX, vous avez effectué (tel acte) médical au sein de notre organisme le 23 mars dernier et il semblerait qu’une partie de la prestation n’ait pas été réglée – merci de bien vouloir nous envoyer la somme manquante… ».

Autrement dit, si vous êtes un organisme médical, ou que vous traitez quelque donnée médicale que ce soit, vous devez impérativement être vigilant à ce que leur sécurité soit suffisante.

Par ailleurs, le RGPD impose aux organismes de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL : cela peut-être le cas si des données sensibles (santé) ont été divulguées.

Face à ces escroqueries et attaques, les professionnels doivent donc faire preuve d’une extrême prudence. OptimexData vous en dit plus sur la cybersécurité sur le plateau de TéléGrenoble !

vaccination covid-19 collectivité et rgpd

Vaccination Covid-19, collectivités et RGPD

Vaccination Covid-19, collectivités et RGPD 1200 748 Optimex Data

Optimex Data aborde le sujet de la vaccination covid-19 collectivités et rgpd

Vaccination Covid-19, collectivités et RGPD

Le rôle des collectivités territoriales est crucial dans la stratégie nationale de vaccination du fait de la proximité que ces dernières peuvent avoir vis-à-vis des usagers. Toutefois, quels traitements peuvent être réalisés par les collectivités territoriales ? Comment respecter les exigences du RGPD dans le cadre de la gestion de la crise sanitaire ?

En effet, les collectivités territoriales sont amenées à contribuer aux opérations de vaccination via l’information des publics et la gestion des centres de vaccinations ou équipes mobiles. La principale vocation de cet article est de déterminer comment les traitements locaux peuvent être utilisés aux fins de la vaccination.

Ciblage et information des publics prioritaires

Le ciblage des publics prioritaires via l’envoi d’invitations à la vaccination est exclusivement géré par la CNAM. Pour les publics prioritaires, la CNIL estime que les collectivités peuvent mener des actions complémentaires d’information générale et d’accompagnement à partir des fichiers déjà existants, en particulier ceux dédiés aux personnes vulnérables.

Par exemple : les collectivités territoriales peuvent ainsi faciliter la prise de rendez-vous depuis les portails – Keldoc, Maiia et Doctolib – ou encore faciliter le transport vers les centres de vaccination en s’appuyant sur les fichiers « personnes isolées ».

Prises de rendez-vous

Pour être agréé, un centre de vaccination doit obligatoirement recourir à Keldoc, Maiia ou Doctolib et être complété par une plateforme téléphonique pour la prise de rendez-vous. Ainsi, les collectivités territoriales ne peuvent pas proposer d’autres alternatives à ces outils. En revanche, elles peuvent utilement relayer l’information et accompagner les publics s’agissant des portails de prise de rendez-vous.

Par exemple : les collectivités territoriales peuvent mettre en avant l’espace dédié ou encore prévoir un accompagnement individuel pour les publics particulièrement dépendants et isolés.

Suivi de l’administration des vaccins

Le suivi des administrations des vaccins sont exclusivement réalisées au moyen du système d’information « Vaccin COVID » par des professionnels de santé ou des personnes placées sous leur responsabilité.

Organisation logistique des centres de vaccination

Les collectivités territoriales peuvent recevoir et traiter des informations anonymes liées au fonctionnement et aux besoins des centres de vaccination, que ceux-ci soient ou non gérés par cette collectivité.

Par exemple : les collectivités territoriales peuvent recevoir le nombre de personnes s’étant présentées, le nombre d’injections effectuées, etc…

La CNIL ne s’arrête pas au cas des vaccinations puisque depuis l’adoption du décret n°2021-269 du 10 mars 2021, les exploitants et gestionnaires de services de transports public peuvent recourir à des caméras intelligentes pour mesure le taux de port du masque dans le contexte de la crise sanitaire. Ce système permettra de produire des évaluations statistiques sur le respect de l’obligation du port de masque pour ensuite adapter les actions d’information et de sensibilisation du public.

La CNIL précise toutefois que ce dispositif ne doit pas être utilisé à des fins de lutte contre les infractions. Le dispositif n’a pas vocation à traiter des données biométriques et ne constitue pas davantage un dispositif de reconnaissance faciale.

La CNIL conclue en précisant que ces dispositifs ne pourront être utilisés que tant qu’une loi ou un décret impose, dans le cadre de la lutte contre le COVID-19, le port d’un masque de protection dans les transports.

référentiel données médicales

Nouveau Référentiel données médicales

Nouveau Référentiel données médicales 1200 800 Optimex Data

Optimex Data traite du nouveau référentiel données médicales prévu par la CNIL

référentiel données médicales

Le secteur de la santé est certainement un des domaines auquel la CNIL consacre le plus d’attention. Ce n’est pas pour rien que la CNIL a déjà présenté trois référentiels dans ce domaine, deux concernant les durées de conservation et un concernant la gestion des traitements courants des cabinets médicaux et paramédicaux.

C’est donc dans cette même dynamique que la CNIL a lancé le 8 mars 2021 une consultation concernant les entrepôts de données de santé avec un projet de référentiel accompagné d’un formulaire de recueil des suggestions. Futur référentiel bienvenu puisqu’il permettra de répondre aux interrogations nombreuses quant à la création d’une base de données de santé en dehors de toute recherche médicale.

Un régime juridique distinct de celui des recherches

Pour bien le comprendre, il convient de revenir sur la distinction entre recherche sur des données de santé et entrepôt de données de santé. A priori, l’utilisation des données de santé à des fins de recherche pourrait ne connaitre qu’un seul régime, mais afin d’éviter le recueil et la conservation de données en dehors de tout projet préalablement défini, le choix a été fait de construire deux cadres juridiques différents.

Ainsi, lors de l’utilisation de données de santé pour une recherche, ces dernières seront déterminées selon la finalité de l’étude. Ce traitement fera alors l’objet d’un avis ou d’une autorisation par la CNIL à moins qu’il ne s’inscrive dans le cadre d’une méthodologie de référence édictée par la CNIL.

Dans le cadre d’un entrepôt de données de santé, le recueil et la conservation de données de santé se font en vue de permettre la réutilisation de celles-ci à des fins d’études médicales ou pour produire des indicateurs relatifs à l’activité des établissements de santé. Les projets de recherches n’étant pas préalablement déterminés, le risque majeur repose sur la potentielle conservation massive de données de santé, sur de longues durées, dans une base unique et en dehors de toute réflexion sur l’intérêt et la pertinence des données stockées.

Un projet comportant de nombreuses précisions

En réponse à cela, le projet de la CNIL dessine les premiers contours du futur référentiel en proposant une liste des données pouvant figurer dans un entrepôt de données de santé. Il circonscrit également les objectifs pour lesquels un entrepôt pourra être constitué, prévoit une durée de conservation de 20 ans et, bien-sûr, présente une liste précise de mesures de sécurité à mettre en œuvre.

Ce référentiel est aussi l’occasion pour la CNIL, dans le contexte toujours incertain de l’invalidation du Privacy Shield, de rappeler que « la mise en place d’un entrepôt ne peut entrainer le transfert de données à caractère personnel, directement ou indirectement identifiantes hors de l’Union européenne ». Enfin, l’article 13 et dernier souligne l’impératif légal de mener une analyse d’impact lors de la constitution d’un entrepôt de données de santé.

Une exigence réitérée d’effectuer une analyse d’impact

Cette obligation qui figure déjà dans la liste des traitements pour lesquels une analyse d’impact est obligatoire est l’occasion de rappeler l’importance de cette mesure dès lors qu’un traitement constitue un risque pour la vie privée des personnes. Ce risque est notamment constitué dès lors qu’un traitement rempli deux des neuf critères établis par la CNIL, par exemple la collecte de données sensibles concernant des personnes vulnérables.

Optimex Data reste, à ce titre, à votre disposition pour déterminer si une analyse d’impact est nécessaire dans le cadre de votre activité et vous accompagner dans sa réalisation.

rgpd et consentement aux cookies

Des Cookies Exemptes de Consentement ?

Des Cookies Exemptes de Consentement ? 1200 800 Optimex Data

Optimex Data traite du sujet du RGPD et consentement aux cookies

RGPD et consentement aux cookies

Après que la CNIL ait précisé ses lignes directrices et ses recommandations en matière de cookies et de traceurs notamment relatives au consentement de l’utilisateur, le 1er octobre 2020, elle semble maintenant s’interroger sur la nécessité de recueillir le consentement de l’utilisateur pour les cookies de mesure d’audience. Dans un précédent article, nous vous avions rappelé les lignes directrices de la CNIL et notamment le fait qu’elle exemptait de consentement les cookies dit « strictement nécessaires ». Mais alors, la CNIL est-t-elle sur le point d’assouplir sa position en la matière ?

La mise en place d’une évaluation pour les solutions de mesure d’audience

Afin de déterminer si une solution de mesure d’audience peut rentrer dans les conditions d’exemption de recueil préalable du consentement de l’utilisateur, la CNIL a lancé un programme d’évaluation. Cette évaluation a pour but de vérifier si les éléments de configuration des cookies de mesure d’audience, proposés par les fournisseurs peuvent rentrer dans les conditions d’exemption de recueil du consentement préalable de l’utilisateur. Elle n’est possible que « pour les sites web hébergés en France ou dont les utilisateurs en sont résidents ».

Pour rappel, pour être exempté de consentement les cookies ou traceurs doivent :

  • avoir une finalité strictement limitée à la seule mesure de l’audience du site (exemples : mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.
  • servir à réaliser uniquement des données statistiques anonymes.

Et ne doivent pas :

  • conduire à un recoupement des données avec d’autres traitements ou transmettre des données à des tiers ;
  • permettre le suivi global de la navigation de la personne.

Pour plus d’informations concernant l’évaluation des solutions de mesure d’audience par la CNIL et le dépôt de candidature pour présenter une solution éventuelle, veuillez consulter directement le site de la CNIL sur ce lien.

L’exemption de consentement n’entraîne pas d’exemption aux autres obligations relatives au RGPD

Ne pas avoir l’obligation de demander le consentement de l’utilisateur pour collecter des données ou réaliser un traitement de données, qui peut être fondé sur une autre base légale : exécution d’un contrat, intérêt légitime du Responsable de traitement ou encore obligation légalen’a pas pour résultat d’exempter le Responsable de traitement de ses autres obligations notamment en matière d’information des personnes ou de respect des droits.

C’est d’ailleurs sur ce point que DuckDuckGo – navigateur reconnu conforme avec le RGPD – a souligné le manque de transparence de Google concernant la collecte des données de ses utilisateurs. En effet, Google vient de mettre à jour sa Google App, ainsi que Google Chrome, sur iOS, afin d’y ajouter les labels de confidentialité, pourtant rendus obligatoires par Apple depuis la mi-décembre. Ces labels, récemment mis en place par Apple, obligent les développeurs à indiquer aux utilisateurs les données collectées par leurs applications et l’utilisation de celles-ci.

Afin de se conformer aux exigences du RGPD, il convient donc dans tous les cas d’être transparent, quant aux données collectées et aux raisons de leur collecte.

obligations du rgpd

La CNIL passe à l’action !

La CNIL passe à l’action ! 1200 800 Optimex Data

Optimex Data traite des obligations du RGPD et de la CNIL

obligations du RGPD

Comme chaque année, la CNIL veille à la bonne application des obligations du RGPD, notamment en effectuant des contrôles auprès de l’ensemble des organismes traitant des données à caractère personnel. A ce titre, elle définit des thématiques prioritaires annuelles de contrôle qui engageront particulièrement son attention, et ce durant toute l’année. L’année dernière, la CNIL est parvenue à réaliser 6500 actes d’investigation dont 247 procédures formelles de contrôle. Nous l’attendions impatiemment : la CNIL a récemment annoncé ses 3 thématiques prioritaires de contrôle au courant de l’année 2021, des notions qui s’inscrivent dans l’ère du temps.

Cybersécurité

  • Craintes et coriaces, les cyberattaques ne cessent de se multiplier.
  • L’objectif de la CNIL est de « contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs»

Données de Santé

  • A l’époque, l’actualité en matière de santé tourmentait déjà les esprits et renforçait l’idée d’apporter une sécurité spécifique à ces données particulièrement sensibles.
  • Désormais il n’y a plus de doute et le contexte actuel nous le rappelle vivement : compte tenu des récents évènements  – fuites de données médicales, attaques d’hôpitaux… il faut agir et sanctionner.
  • La CNIL entend à ce sens élever le niveau de sécurité des données de santé

Cookies

  • La CNIL prévoit notamment, pour l’année 2021, de se focaliser sur les règles relatives au recueil du consentement.

Il convient de rappeler que la sécurité des données de santé ainsi que le respect des obligations applicables aux cookies s’inscrivent dans la continuité de la stratégie de contrôle déterminée par la CNIL en 2020. Nous vous conseillons d’être particulièrement vigilants à propos de ces 3 thématiques, la CNIL n’hésitera pas à sanctionner.

brexit et rgpd

Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021 !

Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021 ! 1200 800 Optimex Data

Optimex Data présente les enjeux pour les organismes suite avec le Brexit et RGPD.


Brexit et RGPD

Vous le savez, le Royaume-Uni a décidé de quitter l’Union européenne : cette sortie est prévue pour le 31 janvier 2021 à minuit. Récemment, il a été convenu d’un accord entre le Royaume-Uni et l’Union Européenne pour que le RGPD reste applicable au sein du pays, pour une durée de 6 mois maximum, pendant laquelle les données pourront continuer à y être transférées.

Pour autant, le mécanisme du “guichet unique” (qui a pour vocation d’harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers) ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021.

« A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. » CNIL, 28 décembre 2020

Le mécanisme de décision d’adéquation permet d’attester qu’un Etat situé en dehors de l’Union européenne assure un niveau de protection adéquat des données personnelles.

Brexit et RGPD, Quels enjeux pour les organismes ?

  • Vous êtes concernés si :
    • Votre organisme transfère des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni ;
    • Le flux de données perdurera en vertu de la sortie du Royaume-Uni de l’Union Européenne ;
  • Ces transferts ne pourront s’effectuer qu’avec la mise en place de garanties RGPD appropriées (clauses contractuelles types, règles contraignantes d’entreprises…)
  • Les ressortissants européens devront disposer de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.
  • Les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni dont les activités de traitement sont soumises à l’application du RGPD devront désigner un représentant de l’Union conformément à l’article 27 du RGPD.

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple. L’équipe Optimex Data vous explique en détail le rôle et les qualités d’un représentant RGPD.

Nous vous tiendrons bien-sûr informés de l’accord qui sera conclut entre l’Union européenne et le Royaume-Uni. Décision d’adéquation, règles d’entreprise contraignantes ou encore dérogation particulière pour le Royaume-Uni : l’avenir nous le dira !

sanctions violation des données

Sanctions CNIL fin 2020 : Cookies et Prospection Commerciale

Sanctions CNIL fin 2020 : Cookies et Prospection Commerciale 1200 800 Optimex Data

Optimex Data vous présente les sanctions violation des données prononcées par la CNIL fin 2020. Exemples de sanctions violation des données lors de prospections commerciales.


Sanctions violation des données par la CNIL

La CNIL a souhaité rappeler les règles en matière de prospection commerciale en sanctionnant deux sociétés. La société PERFORMECLIC, très petite entreprise (TPE), emploie deux salariés et a pour activité principale la prospection commerciale par courrier électronique pour le compte d’annonceurs. Cette dernière a été sanctionnée d’une amende de 7.300 euros pour prospection commerciale sans preuve de consentement préalable des personnes et sans information satisfaisante.

La société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureau a également été sanctionnée d’une amende de 20.000 euros pour prospection commerciale sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD : information et droits des personnes.

Voici quelques manquements constatés par la CNIL :

→ Pour PERFORMECLIC et NESTOR : non-respect de l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection, conformément au Code des Postes et des Communications Electronique (CPCE) et d’en conserver la preuve ;
→ Pour PERFORMECLIC : non-respect du principe de minimisation puisque la société a collecté des données non-nécessaires à l’envoi de la prospection commerciale, comme par exemple le numéro de téléphone des prospects ;
→ Pour PERFORMECLIC : non-respect du principe de limitation de la conservation des données, dans la mesure les données de prospects étaient conservées de manière excessive, à savoir plus de trois (3) ans à compter de la simple ouverture de la prospection ;
→ Pour PERFORMECLIC et NESTOR : non-respect du principe d’information (politique de protection des données incomplète, générale et imprécise, absence de mention d’information sous le formulaire de collecte, aucune information relative au traitement de données, etc…) ;
→ Pour PERFORMECLIC et NESTOR : non-respect des droits puisque les personnes concernées n’avaient pas la possibilité de s’opposer à la prospection commerciale ou d’obtenir la copie des données personnelles détenues ;
→ Pour PERFORMECLIC : non-respect de l’obligation d’encadrer contractuellement les relations de sous-traitance. Le contrat entre PERFORMECLIC et son prestataire d’hébergement ne contenait aucune clause relative à la sous-traitance ;
→ Pour NESTOR : non-respect de l’obligation d’assurer la sécurité des données personnelles, dans la mesure où la robustesse du mot de passe n’était pas exigée lors de la création d’un compte.

En septembre 2020 …

Nous vous faisions part des nouvelles recommandations de la CNIL en matière de cookies et de traceurs pour donner suite à la délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » ainsi qu’à la délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices.

À la suite de ces deux nouveaux textes, la CNIL a laissé un délai de 6 mois aux entreprises pour se conformer, soit jusqu’en mars 2021.

Pour rappel, la CNIL exige désormais un bandeau de gestion des cookies permettant d’accepter, de refuser et/ou de personnaliser les cookies d’un site internet. La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute dans la mesure où il faut un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil. Quant à l’information des personnes, elles doivent clairement être informées des finalités des traceurs avant de consentir, des conséquences de l’acceptation ou d’un refus de traceurs et de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Et les premières sanctions ne se sont pas faites attendre …

Le 10 décembre 2020, une sanction de 60 millions d’euros a été prononcée à l’encontre de GOOGLE LLC et 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

La CNIL a également sanctionné, le 10 décembre 2020, pour les mêmes faits que GOOGLE LLC et GOOGLE IRELAND LIMITED, AMAZON EUROPE CORE à une sanction de 35 millions d’euros.

se protéger des ramsonware

Cyberattaques, se protéger pour 2021

Cyberattaques, se protéger pour 2021 1200 799 Optimex Data

Optimex Data présente aux organismes privés et publics les solutions pour se protéger des ransomware ou rançongiciels. Se protéger des ransomware est une priorité pour les organismes en raison de leur potentiel dévastateur.


se protéger des ransomware

Le ransomware, également appelé rançongiciel dans sa version française – ou encore cryptovirus, est devenu en quelques années une des formes de virus informatique les plus connues. Pour cause, le cryptovirus est non seulement une attaque désormais répandue mais ses effets peuvent également être dévastateurs pour l’organisme visé. Parmi les dernières en date, l’agglomération du Grand Annecy et la ville de La Rochelle ont été visées durant la période des fêtes avec pour résultat, une paralysie des services sur internet, un arrêt des serveurs et des applications, etc… A l’heure d’écrire ce papier les actions de résolutions sont toujours en cours et le site du Grand Annecy toujours inaccessible 10 jours après l’attaque.


Le ransomware, qu’est-ce que c’est ?

Le terme rançongiciel consacré par l’académie française est transparent. Contraction de rançon et logiciel, il résume bien l’idée. Dans les faits, il s’agit d’un fichier informatique – virus, se déployant au sein du système d’informationSI, victime de l’attaque. Une fois le SI infecté, le virus, souvent téléguidé à distance – ce qui a son importance, va chiffrer l’ensemble des données présentes, les rendant ainsi inaccessibles pour son propriétaire. A ce moment, il ne reste pour le pirate informatique qu’à réclamer une rançon en l’échange de la clef de déchiffrage, généralement payable en bitcoin. Mettons fin au suspens immédiatement, ne comptez pas sur l’empathie du hacker, il est clairement déconseillé de payer quoi que ce soit. On range son porte-monnaie et on appelle l’ANSSI !


Une attaque potentiellement dévastatrice

Au titre des illustrations marquantes, l’attaque du CHU de Rouen, un vendredi de novembre 2019, tient une belle place. En effet, le choix de cibler un établissement de santé est assez marquant pour les esprits, bien que ce ne soit pas le premier, ni le dernier… Pourquoi une telle cible ? Parce que dans un monde toujours plus informatisé, le secteur de la santé ne déroge pas à la règle. Dossier patient informatisé, appareils biomédicaux connecté, gestion informatisée des entrées, des consultations, des lits. Du départ d’un camion du SMUR à la salle de déchocage en passant par la prescription et le calcul des doses pour les traitements, le numérique est partout. On vous rassure, dans un hôpital, le personnel est formé à des plans de continuité d’activité qui prenne en compte l’interruption des outils numériques.

Néanmoins, le préjudice vital existe, ce qui en fait une cible privilégiée et le retour à la normal prend beaucoup de temps. A Rouen, malgré une intervention d’une équipe d’une dizaine d’experts de l’ANSSI, seuls 60 à 70% des applications était restaurées le mardi suivant l’attaque. Enfin, il est à noter que certaines données sont parfois définitivement perdues lorsque l’algorithme de chiffrement s’avère impossible à casser et qu’il n’existe pas de copies préservées.


Quelles solutions ? Comment se protéger des ransomware ?

Pour faire face à ces nouvelles menaces, les solutions se situent principalement au niveau de l’architecture du SI et des équipements utilisés, bien que cela ne dispense pas d’une bonne procédure de gestion de crise et d’un Plan de Continuité Informatique.

Le risque du ransomware résidant surtout dans sa capacité à s’infiltrer dans le SI, les solutions consistent avant tout à compartimenter et isoler l’infrastructure pour limiter le déploiement du virus. Cette mesure est d’autant plus vitale que, comme nous l’avons dit ci-dessous, les ransomwares sont régulièrement pilotés manuellement à distance et ce, pendant des semaines s’il le faut, jusqu’à infecter l’ensemble du SI.


Isoler et compartimenter

Les éléments à isoler prioritairement sont les éléments de supervision. Ainsi, il est impératif d’isoler la console de supervision et les jobs de sauvegarde. Comme le rappelle l’ANSSI, « La principale mesure de sécurité consiste à dédier un poste de travail physique aux tâches d’administration et limiter les flux avec le reste des équipements ». Cette solution consiste à n’autoriser les flux que dans un seul sens – depuis la zone de confiance (administration), vers les autres zones du SI. Les flux vers les équipements d’administration étant interdit, les codes malveillants ne sont alors plus susceptibles d’accéder aux éléments de supervision. Bien-sûr, il est recommandé d’accompagner cette solution d’un compartimentage du SI en zones sécurisées par des pares-feux, appelées DMZ.


Utiliser plusieurs technologies

La seconde solution pour limiter le déploiement d’un cryptolocker consiste à diversifier les technologies utilisées. Cette stratégie de ne pas faire tourner l’intégralité du SI sur une seule technologie permet de limiter les effets du virus à la technologie pour laquelle il a été conçu. A titre d’exemple, en mettant en place une séparation entre applications métiers sous Microsoft et des bases de données sous Linux, le ransomware ne sera pas en mesure d’infecter l’ensemble du SI.


Réhabiliter les technologies passées

Reprendre de vieilles technologies pour se protéger des nouvelles menaces, cela peut paraitre saugrenu et pourtant c’est la tendance actuelle. L’idée est de tirer profit les limites technologiques des anciens équipements pour contrer les capacités du virus. C’est ainsi que depuis quelque temps on observe un retour en force de l’usage de la bande magnétique comme solution de sauvegarde. Appelée LTO, pour Linear Tape-Open, cette technologie n’est autre qu’un enregistrement sur bande magnétique et c’est tout son intérêt.

Quand un serveur offre une solution active de stockage, la bande magnétique est inerte. Comme avec un caméscope, une fois la cassette retirée, plus rien ne s’écrit dessus. Ce qui est enregistré devient alors inaccessible pour le pirate et est donc protégé de toute attaque. La seule contrainte reposera alors dans la conservation des bandes pour lesquelles il est recommandé de privilégier un stockage dans un coffre ignifugé.

Ce panel de mesures n’est bien-sûr pas exhaustif, d’autres outils pourront compléter les solutions présentées. Le ransomware n’a pas fini de faire innover les services informatiques mais face à ces menaces, il convient toujours de rappeler que la sensibilisation des équipes reste le premier rempart.

rgpd et covid 19

La Covid 19 et les recommandations

La Covid 19 et les recommandations 960 540 Optimex Data

Tour d’horizon du sujet RGPD et Covid 19 par Optimex Data

rgpd et covid 19

Lors de notre newsletter du mois de mars, nous vous faisions part des règles pour faire face, en tant qu’employeur, à la COVID-19.  A titre de rappel, certaines mesures n’étaient pas autorisées par la CNIL en raison du caractère sensible des données collectées telles que : les relevés obligatoires des températures corporelles de chaque employé, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés.

A défaut, la CNIL recommande davantage de sensibiliser les employés à effectuer des remontées individuelles d’information les concernant, à faciliter leur transmission ou encore à favoriser les modes de travail à distance et encourager fortement le recours à la médecine du travail.

Au regard de l’évolution croissante de l’épidémie et dans la perspective d’un nouveau « confinement », la CNIL avait décidé de faire un rappel de ses règles.  Ainsi, le 23 septembre 2020, la CNIL est venue préciser que toutes les recommandations faites en Mars 2020 (mentionnées dans la newsletter de Mars), restaient applicables. Elle vient toutefois préciser certaines mesures ou notions.

Quels changements ?

Le traitement par les employeurs des signalements

Les employeurs ne peuvent traiter que les éléments liés à la date, l’identité de la personne et le fait qu’elle ait indiqué être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles mises en place. L’employeur devra être en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires pour une éventuelle prise en charge sanitaire ou médicale. L’identité de la personne contaminée ne doit pas être communiquée aux autres employés.

L’utilisation des données de santé

Dans notre newsletter précédente, nous vous avions fait part que les données sensibles font l’objet d’une protection juridique particulière et accrue puisqu’elles sont en principe interdites de traitement. Il existe bien évidemment des exceptions à ce principe.

Dans le cadre de la COVID-19, les exceptions dans le contexte du travail sont limitées et peuvent relever soit de la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de …

  • Droit du travail ;
  • La sécurité sociale ;
  • La protection sociale (ex. signalements par les employés) ;

Soit la nécessité, pour un professionnel de santé, de traiter ces données aux fins de …

  • La médecine préventive ou de la médecine du travail ;
  • L’appréciation (sanitaire) de la capacité de travail du travailleur

Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence.

La prise de température

Le RGPD ne s’applique qu’aux traitements de données automatisés (informatiques) et aux traitements de données non automatisés (fichiers). La CNIL précise que la seule vérification de la température au moyen d’un thermomètre manuel (ex. infrarouge sans contact) à l’entrée des locaux, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération soit effectuée (remontées d’information, relevés de ces températures, etc…) ne relève pas de la règlementation en matière de protection des données. Par conséquent, le RGPD n’est pas applicable.

En revanche, les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier et les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques, sont quant à eux interdits par les employeurs.

Les tests sérologiques et/ou questionnaires médicaux

La CNIL rappelle, en collaboration avec la Direction Générale du Travail, que « les campagnes de dépistages organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

Tous les tests médicaux, sérologiques ou de dépistage de la COVID-19 sont soumis au secret médical par conséquent, l’employeur ne peut recevoir que l’avis d’aptitude ou d’inaptitude à reprendre le travail émis par un professionnel de santé.

Les fichiers de traçage des cas contacts

Vous êtes nombreux à nous solliciter dans le cadre de la mise en place d’un fichier de suivi des personnes contaminées pour faire des remontées directement auprès des personnes « cas contacts ». Ce type de fichier est permis uniquement pour les établissements de restauration (restaurants, cafétérias, fast-food, etc…) dans la mesure où ils sont soumis au respect d’un protocole sanitaire renforcé qui leur impose de tenir un cahier de rappel de leurs clients. Dans la mesure où vous n’êtes pas autorisés à mettre en place ce type de fichier, nous vous recommandons en cas d’information de la part d’une personne, d’effectuer les remontées directement auprès des autorités sanitaires.

cyberscore et RGPD

Sur la voie d’un Cyberscore ?

Sur la voie d’un Cyberscore ? 960 640 Optimex Data

Optimex Data vous présente le concept de cyberscore et RGPD

Cyberscore et RGPD

Vous connaissez sans doute le NutriScore ? (Un système d’étiquetage nutritionnel à cinq niveaux, allant de A à E et du vert au rouge, établi en fonction de la valeur nutritionnelle d’un produit alimentaire), mais que diriez-vous d’un CyberScore.

C’est le fameux projet de loi, proposé par le sénateur Laurent Lafon, qui a été adopté par le Sénat le 22 octobre 2020.

Ce système de CyberScore aurait comme grand objectif de mettre en place une certification de la sécurité des plateformes à destination du grand public. Autrement dit, l’instauration d’un tel projet résulte d’une forte volonté de sécurisation en ce qui concerne les données des utilisateurs d’outils numériques.

Quelles seraient les causes servies par un tel projet ?

  • Il s’agirait premièrement, d’un véritable outil de transparence permettant de répondre aux craintes des français, en les informant de façon claire et lisible sur le niveau de protection accordé à leurs données personnelles en ligne.
  • Il s’agirait également d’un outil concurrentiel pour les plateformes qui souhaiteraient en bénéficier : en effet, quoi de mieux, pour répondre aux inquiétudes des utilisateurs, que de mettre en place sur sa plateforme un outil permettant de se distinguer des autres ? Cela serait un véritable moyen de favoriser les plateformes numériques les plus respectueuses.

A l’heure actuelle rien n’est encore acté, mais il semblerait que le Gouvernement soit véritablement intéressé par ce projet de loi. Cet intérêt n’est toutefois pas anodin, c’est l’explosion de l’utilisation d’internet pendant le 1er confinement de 2020, à la suite de la pandémie, qui aurait déclenché toutes ces interrogations au niveau de la sécurité des données personnelles en ligne, et sans surprise ce sont les réseaux sociaux et messageries instantanées qui ont été le plus plébiscités.

Concrètement :

  • Les critères de CyberScore seraient fixés par l’ANSSI
  • Le visuel serait similaire à celui du NutriScore (notation de A à E avec une jauge allant du vert au rouge)
  • Il s’appliquerait aux réseaux sociaux, aux services cloud et marketplaces.
  • Il s’agirait d’avoir 4 ou 5 critères qui permettront aux utilisateurs d’identifier automatiquement le degré de risque qu’ils encourent en utilisant une plateforme.

Mais là où le projet CyberScore se focalise davantage sur les aspects techniques, force est de se demander s’il ne serait pas opportun d’y intégrer la dimension RGPD – Protection des Données Personnelles et de mettre en place, dans un sens plus large, un projet de « Cyber Compliance » ?

Call Now Button