L’un des défis majeurs des administrations aujourd’hui est d’appréhender les risques encourus dans la gestion des données et contremesures. Dans une démarche globale qui intègre à la fois les volets techniques et organisationnels, ces organisations doivent agir en quatre étapes.
1. Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex: fichiers client, contrats) et les supports sur lesquels elles reposent à savoir :
– Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
– Les logiciels (ex : système d’exploitation, logiciel métier) ;
– Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
– Les supports papier (ex : document imprimé, photocopie) ;
– Apprécier les risques engendrés par chaque traitement.
2. Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés qui sont :
- L’accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
- La modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
- La disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
3. Identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
Il s’agit d’identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être utilisés de manière inadaptée ; modifiés; perdus ; observés ; détériorés ou surchargés.
4. Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
Estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle
utilisable pour l’estimation : négligeable, modérée, importante, maximale).
En définitive, pour bien se protéger d’une part et, traiter de manière responsable les données des usagers
d’autre part, toute administration se doit d’inventorier ses matériels et logiciels ainsi que les données et les traitements qui constituent son patrimoine informationnel et contribuent à sa pérennité. De cet inventaire découleront les mesures de protection adaptées.
Il est concrètement question d’une part de définir les concepts clés contenus dans l’intitulé de cet article, et d’autre part de suggérer une démarche globale susceptible d’accompagner l’appréhension des risques
encourus dans la gestion des données, ainsi que la mise en oeuvre des contremesures.
David Brice WANGUE,
Expert E-government et Stratégies de Cybersécurité
Chef DEP/CENADI