ISO 27001 et règlement général sur la protection des données

Le règlement européen sur la protection des données personnelles (GDPR en anglais) prévoit des obligations et des sanctions pour renforcer le contrôle des citoyens sur leurs données. Un travail de fond, plus ou moins important en fonction du niveau de maturité, est nécessaire pour se mettre en conformité avec ce règlement. Une approche pragmatique consiste à s’appuyer sur un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 sur le périmètre « traitement de données à caractère personnel ».

 

Obligations du responsable de traitement

L’article 24 du règlement précise que le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est conforme. Le SMSI apporte ces garanties grâce à la politique validée par le responsable de traitement, les procédures et les mesures découlant de l’analyse de risques, le programme d’audit interne et les mécanismes d’enregistrement des preuves.

Sécurité de la sous-traitance

L’article 28 du projet stipule que le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes. Le SMSI du sous-traitant démontre à ses clients la réalité des protections et sa volonté d’en assurer le suivi et la pérennité. Cette démonstration sera renforcée si le sous-traitant détient la certification ISO 27001 sur le périmètre adéquat.

Sécurité des traitements

L’article 32 impose que le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. La déclaration d’applicabilité du SMSI (DDA ou « Statement of Applicability ») est une réponse appropriée qui démontre que les risques sont traités par la sélection de mesures fonctionnelles, organisationnelles et techniques référencées. Par ailleurs, la définition des propriétaires des risques, exigée par la norme responsabilise les parties prenantes (directions métiers, sous-traitants, informaticiens) et donne l’assurance que le niveau de risque reste acceptable et sous contrôle.

Notification d'une violation de données

Les articles 33 et 34 définissent les modalités de notification auprès de l’autorité de contrôle et de communication aux personnes concernées d’une violation de données. Cette notification doit être rapide, 72 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai, la notification doit comporter une justification. Ce point nécessite un processus mature et réactif. Les clauses traitant de la relation avec les sous-traitants détaillées dans l’ISO 27002 sont un moyen efficace d’assurer la conformité à ces exigences. Une série de bonnes pratiques pour détecter et qualifier un événement suspect puis traiter un incident de sécurité sont détaillées dans la série de normes ISO 27035 et facilite l’élaboration d’un processus efficace.

Analyse d’impact

L’article 35 précise que lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le responsable du traitement effectue une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. La phase d’analyse et de traitement des risques du SMSI assure la mise en conformité avec cet article avec le suivi d’un plan d’actions documenté. Par exemple, si l’analyse des risques aboutit à la décision de chiffrer les données lors des opérations de sauvegardes externalisées, le SMSI formalisera cette décision dont l’efficacité sera régulièrement évaluée.

Conseil pour mettre en place son SMSI ISO 27001

  1. Simplifier les procédures en supprimant tous les aspects inutiles et en se focalisant sur les risques importants. Les risques associés à un traitement de données biométriques et à un traitement « simple » de données clients (prénom, nom, email) sont très différents. Les protections de ces traitements seront donc aussi différentes.
  2. Adapter la méthode d’analyse des risques en impliquant les directions métiers. Si de nombreuses méthodes sont disponibles, leur application doit être la plus pragmatique possible afin d’obtenir des résultats rapides. L’évolution rapide des systèmes d’information et des usages rend indispensable la revue régulière des risques. Par exemple, le passage d’une informatique externalisée chez un hébergeur classique vers des infrastructures de type « cloud computing » public nécessite de revoir l’analyse des risques pour adapter sa posture de sécurité.
  3. Rechercher l’amélioration continue plutôt que des objectifs trop ambitieux. En matière de sécurité de l’information comme dans d’autres domaines, le risque zéro n’existe pas. La mise en place rapide d’un processus structuré, même avec des défauts, permettra d’aller dans la bonne direction à condition de superviser les actions décidées.
  4. Responsabiliser les parties prenantes. Le responsable du SMSI a un rôle d’animation et de coordination mais il ne fait pas tout. Chaque propriétaire de risque, chaque responsable d’action ou de procédures doit être identifié.
  5. Impliquer raisonnablement la direction générale. Comme tout projet transverse, le SMSI nécessite un appui adapté de la direction pour que les ressources puissent être priorisées.

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

RGPD, GDPR, ISO 27001, SMSI