Réglementations en matière de fuites de données
Transcription
Réglementations en matière de fuites de données
Protect what you value. Réglementations en matière de fuites de données Par Greg Day Analyste en sécurité pour la zone EMEA et expert de McAfee® AVERT® Labs Réglementations en matière de fuites de données www.mcafee.com/fr Sommaire Résumé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Une base commune : directives de l'Union européenne sur la protection des données. . . . . . . . . . . . . . . . . . . . . . . 4 Une mise en application localisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Gros plan sur le Data Protection Act au Royaume-Uni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Autorégulation sectorielle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 A propos de McAfee, Inc.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Réglementations en matière de fuites de données www.mcafee.com/fr Réglementations en matière de fuites de données Résumé Introduction Quel que soit le pays, les fuites de données et la législation s'y rapportant font l'objet d'importantes discussions dans les conseils d'administration. Les directives sur la protection des données promulguées par l'Union européenne ont pour objet l'harmonisation des actions et objectifs principaux en matière de protection des informations. Toutefois, c'est à chaque Etat membre qu'incombe la responsabilité de transposer ces principes dans sa législation locale. De la même manière, une fois que des réglementations en matière de traitement des données sont adoptées, chaque pays doit s'appuyer sur ses propres organes législatifs — à savoir son gouvernement ou ses comités de surveillance sectoriels, ou les deux — pour en assurer la mise en application. Ainsi, les sanctions pour non-respect de la législation peuvent varier non seulement d'un pays à l'autre, mais aussi en fonction des différents organismes responsables de faire respecter celle-ci, et peuvent aller d'une simple mise en demeure à des peines de prison, en passant par des amendes sévères. Ces dernières années, nous avons pu assister à une augmenta tion catastrophique du nombre d'incidents liés aux fuites ou à l'utilisation abusive des données, un phénomène qui, pour les entreprises, se traduit essentiellement par une perte de confiance des clients. Ces affaires ont entraîné l'introduction de nouvelles législations et une application plus stricte des lois existantes en matière de stockage, de gestion et d'utilisation acceptables des données. Si les professionnels et les sociétés du secteur de la sécurité recherchent activement de nouvelles technologies pour renforcer la protection des données, il incombe également aux organisations de mieux comprendre leurs responsabilités sur le plan légal. Dans de nombreux pays, les législations et réglementations sur la protection des données et la divulgation des infractions à la sécurité se concentrent sur la sécurisation des données personnelles. Votre entreprise peut être soumise à la législation du pays où résident les personnes dont elle conserve les données et pas uniquement des pays dans lesquels elle exerce des activités commerciales. Une chose est claire : les réglementations sur la protection des données et la divulgation des infractions à la sécurité sont un élément qu'il faut désormais prendre en compte et jouent un rôle essentiel dans la définition des stratégies informatiques des entreprises. Ces dernières doivent savoir à quelles lois elles sont assujetties, comment se conformer à leurs exigences et quelles seront les conséquences et pénalités en cas de nonrespect. Face aux innombrables réglementations en vigueur à l'échelle mondiale, appréhender les pénalités encourues en cas de manquement à chacune d'elles et l'étendue de nos responsabilités légales constitue une tâche ardue. Le présent livre blanc a pour objectif d'analyser certains exemples de réglementations ainsi que leur impact non seulement sur les entreprises locales mais aussi sur celles ayant des clients internationaux également soumis à la législation locale. La législation existante couvre différents aspects de la gestion des données, notamment leur collecte, leur traitement, leur stockage, leur transfert et leur divulgation accidentelle. Dans ce livre blanc, nous étudierons les recommandations de l'Union européenne relatives à la protection des données et la manière dont elles sont mises en œuvre dans les Etats membres, et plus particulièrement en Suède, en France et au Royaume-Uni. Nous analyserons ensuite la loi californienne SB 1386, première loi d'Etat américaine relative à la divulgation des violations de sécurité, qui a par la suite servi de modèle à diverses législations d'autres Etats. Nous tenterons ensuite de déterminer si les lois d'Etat américaines s'appliquent aux sociétés basées en Europe. Pour répondre à toutes ces questions, il est important que l'entreprise étudie les réglementations et la législation en vigueur dans les pays où elle réalise des activités commerciales, la répartition géographique de ses clients et les emplacements où sont stockées les données. 3 Réglementations en matière de fuites de données Une base commune : directives de l'Union européenne sur la protection des données L'objectif des différentes directives sur la protection des données (95/46/CE, 2002/58/CE et 2006/24/CE) de l'Union européenne est clairement d'harmoniser les lois relatives à la protection des données des différents Etats membres et ce, par le biais des actions suivantes : Actions prévues par les directives sur la protection des données de l'UE Action 1 Discussions avec les Etats membres et les autorités chargées de la protection des données Action 2 Association des pays candidats aux efforts visant à une mise en application de meilleure qualité et plus uniforme de la directive Action 3 Amélioration de la notification de l'ensemble des actes légaux transposant la directive et notification des autorisations accordées en vertu de l'article 26, paragraphe 2, de la directive Action 4 Mise en application Action 5 Notification et publicité des opérations de traitement Action 6 Dispositions plus harmonisées en matière d'information Action 7 Simplification des obligations en matière de transferts internationaux Action 8 Promotion des technologies renforçant la protection de la vie privée Action 9 Promotion de l'autorégulation et des codes de conduite européens Action 10 Sensibilisation www.mcafee.com/fr Une mise en application localisée Si l'Union européenne a défini la ligne directrice en matière de protection des données, il appartient toutefois à chaque Etat membre d'instaurer et d'appliquer sa propre législation en s'appuyant sur les directives européennes. France En France, c'est en 1978 que la CNIL (Commission nationale de l'informatique et des libertés) a adopté la première loi sur la protection des données. Celle-ci a toutefois été amendée en août 2004 pour inclure des mentions relatives aux technologies de l'information, aux systèmes de classement des données et aux libertés individuelles, mais aussi pour se conformer à la directive européenne 95/46. Ce décret, modifié une nouvelle fois en mars 2007 (décret nº 2007-451), prévoit des sanctions strictes et directes. Les contrevenants s'exposent ainsi à une peine maximale de cinq ans d'emprisonnement et à 300 000 euros d'amende. La particularité de la législation française est qu'elle s'articule autour de la protection des informations personnelles. A cet égard, toute organisation, française ou internationale, qui collecte et stocke des données sur des ressortissants français, est soumise aux exigences et aux sanctions prévues par ce décret. Source : http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Le Guide sur la protection de données de l'Union européenne définit les règles de base suivantes pour le traitement des données. Règles de base du Guide sur la protection des données de l'Union européenne Règle 1 Les données doivent être traitées de façon loyale et dans le respect des lois. Règle 2 Les données doivent être collectées à des fins explicites et légitimes et utilisées en conséquence. Règle 3 Les données doivent être pertinentes et ne pas sortir du cadre pour lequel elles sont traitées. Règle 4 Les données doivent être exactes et tenues à jour le cas échéant. Règle 5 Les contrôleurs de données doivent mettre en place des mesures raisonnables permettant aux personnes concernées par les données de corriger, de supprimer ou de bloquer les informations potentiellement incorrectes à leur sujet. Règle 6 Les données identifiant des personnes ne doivent pas être conservées plus longtemps que nécessaire. Règle 7 Chaque Etat membre doit prévoir une ou plusieurs autorités de surveillance chargées de contrôler le respect de la directive. L'une des responsabilités de ces entités est de tenir un registre public de telle sorte que quiconque ait accès aux noms de l'ensemble des contrôleurs de données et aux types de traitements de données que ceux-ci effectuent. Règle 8 Tous les contrôleurs de données doivent en principe avertir les autorités de surveillance lorsqu'ils traitent des données. Les Etats membres peuvent prévoir une simplification ou une dispense de notification pour des types de traitement spécifiques ne présentant pas de risque particulier. Ces dérogations peuvent également être accordées lorsqu'un responsable indépendant en charge de la protection des données se voit désigner par le contrôleur, à condition que cette pratique soit conforme à la législation du pays. Source : http://ec.europa.eu/justice_home/fsj/privacy/docs/guide/guide-ukingdom_en.pdf Principes de la législation française sur la protection des données • Loyauté de la collecte des données : toute collecte de données frauduleuse, déloyale ou illicite est interdite (article 226-18 du code pénal : cinq ans d'emprisonnement, 300 000 € d'amende). • Finalité des fichiers : tout traitement informatique doit être effectué conformément à une utilisation clairement définie, laquelle servira de base pour l'évaluation de la pertinence, l'adéquation et la proportionnalité des données enregistrées, des catégories de personnes ou des organisations pouvant disposer d'un accès à ces données et de leur durée de conservation maximale (articles 226-21 et 226-20 du code pénal : l'utilisation de données personnelles dans un but autre que celui justifiant leur collecte et leur conservation pour une durée supérieure à celle justifiée par leur traitement sont passibles respectivement de cinq ans d'emprisonnement et 300 000 euros d'amende, et de trois ans d'emprisonnement et 45 000 euros d'amende). • Information des personnes : les personnes dont les données personnelles sont collectées doivent être informées (1) du caractère obligatoire ou facultatif des réponses à apporter, (2) des conséquences éventuelles, à leur égard, d'un défaut de réponse, (3) des catégories de personnes ou d'organi sations susceptibles d'avoir accès à leurs données et (4) de leurs droits d'accès et de rectification ainsi que des modalités d'exercice de ces droits (article 2 du décret du 23 décembre 1981 : tout défaut de réponse est passible d'une amende de 1 500 €). (suite page 5) 4 Réglementations en matière de fuites de données Principes de la législation française sur la protection des données (suite) • Protection renforcée des données sensibles : toute information à caractère personnel qui, directement ou indirectement, fait apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives aux mœurs de celles-ci ne peuvent être collectées sans le consentement exprès de l'intéressé. De telles données peuvent toutefois, pour des raisons d'intérêt général, être collectées de manière exceptionnelle par décret en Conseil d'Etat suite à une recommandation de la CNIL (notamment pour certains fichiers utilisés par les forces de police). L'article 226-19 du code pénal prévoit pour tout manquement à ces dispositions une peine de cinq ans d'emprisonnement et 300 000 euros d'amende. Source : http://www.cnil.fr/index.php?id=41 Suède La législation suédoise se révèle quant à elle moins sévère pour ce qui est des peines d'emprisonnement, mais elle ne définit aucune limite aux pénalités financières dans sa loi relative aux données personnelles (SFS 1998:204, octobre 1998). Supervisée par le Conseil suéduois d'inspection des données, elle prévoit une peine de six mois d'emprisonnement et/ou une amende en cas de négligence grave ou intentionnelle, et jusqu'à deux ans d'incarcération dans le cas d'incidents plus sévères. La différence principale réside toutefois dans le champ d'application de la loi qui, comme le montre l'extrait ci-dessous, dépend de la situation géographique du contrôleur et du fait que les données sont traitées ou stockées dans le pays ou non. Loi suédoise relative aux données personnelles La loi relative aux données personnelles s'applique aux contrôleurs de données établis en Suède. En règle générale, la législation suédoise est également applicable lorsqu'un contrôleur d'un pays tiers (c'est-à-dire non membre de l'Union européenne et de l'Espace économique européen) utilise du matériel (des terminaux ou des questionnaires par exemple) situé en Suède pour le traitement de données personnelles. Dans ce cas, le contrôleur doit nommer un agent établi en Suède pour le représenter. Cet agent est alors assimilé au contrôleur au regard de la loi relative aux données personnelles. La loi relative aux données personnelles ne s'applique pas si le matériel est uniquement utilisé pour le transfert d'informations entre deux pays n'appartenant pas à l'Union européenne et à l'Espace économique européen. Source : http://www.sweden.gov.se/content/1/c6/07/43/65/0ea2c0eb.pdf www.mcafee.com/fr Royaume-Uni Cette année, le Commissaire aux informations britannique a décidé de revoir la loi relative à la protection des données (« Data Protection Act ») décrite ci-dessous, afin d'y ajouter certaines dispositions régissant le non-respect volontaire ou par négligence de cette loi. Le 9 mai 2008, l'ICO (Information Commissioner's Office) a publié un communiqué de presse indiquant que divers amendements avaient été adoptés http://www.ico.gov.uk/upload/documents/ pressreleases/2008/criminal_justice_and_immigration_act.pdf Ces amendements avaient déjà été développés en décembre 2007. Les principaux points de la proposition de l'ICO sont exposés ci-dessous. Loi britannique sur la protection des données Le Commissaire aux informations propose l'introduction d'une nouvelle peine qui est néanmoins limitée aux atteintes à la sécurité pouvant être évitées, entraînant un risque sérieux pour la protection des données et étant motivées par une intention délictueuse. Celle-ci s'appliquerait donc aux comportements enfreignant volontairement les obligations imposées par la loi ou à tout manquement grave dans l'application de ces obligations. La forme que pourrait prendre cette peine demandera un examen approfondi. La création d'un nouveau délit est évidemment envisageable, bien que certaines alternatives puissent être plus efficaces. Les éléments pouvant être pris en compte pour l'établissement d'un nouveau délit sont les suivants : 1. Un contrôleur de données qui, sciemment ou par négligence, ne s'acquitte pas des obligations prévues dans la section 4(4) se rend coupable d'un délit dans la mesure où un tel manquement expose une personne à des risques importants de préjudices et dommages moraux. 2. Tout contrôleur de données poursuivi pour un délit prévu dans la sous-section (1) a la possibilité d'apporter la preuve qu'il a agi avec la diligence requise pour se conformer aux obligations prévues dans la section 4(4). Afin d'éviter toute ambiguïté, le Commissaire aux informations souhaite préciser qu'il ne cherche pas à associer une peine privative de liberté à tout nouveau délit. Une amende illimitée est probablement l'option la plus justifiée. Le Commissaire est également ouvert à la possibilité que des sanctions autres que des poursuites judiciaires devant une cour pénale puissent être préférables. Des sanctions civiles pourraient être plus adaptées que des sanctions pénales pouvant être appliquées en cour d'assises. Les pouvoirs de la FSA (Financial Services Authority) définis dans la loi relative aux marchés et aux services financiers (« Financial Services and Markets Act 2000 ») peuvent servir de base de travail pour l'établissement de sanctions civiles. Source : http://www.ico.gov.uk/upload/documents/library/corporate/detailed_specialist_guides/ data_protection_powers_penalties_v1_dec07.pdf 5 Réglementations en matière de fuites de données Résumé www.mcafee.com/fr L'ICO possède les pouvoirs légaux suivants : A partir de ces trois exemples, on peut déjà constater que bien que ces législations soient basées sur les principes de la directive de l'Union européenne, leur application peut varier d'un pays à l'autre, tant au niveau de leur champ d'application que des pénalités encourues en cas de non-observance. Pour plus d'informations sur le degré d'adoption de la directive européenne, consultez la page web http://ec.europa.eu/justice_ home/fsj/privacy/law/implementation_en.htm. Gros plan sur le Data Protection Act au Royaume-Uni Examinons de plus près une mise en œuvre spécifique de la directive européenne, sa mise en pratique, les peines appliquées à ce jour et les raisons pour lesquelles elle ne représente pas la seule législation ou préoccupation pour les entreprises exerçant au Royaume-Uni. Principes directeurs La loi britannique sur la protection des données (Data Protection Act 1998) se base sur huit principes directeurs pouvant être mis en parallèle avec ceux de la directive de l'Union européenne : Principes directeurs Principe 1 Loyauté et licéité du traitement Principe 2 Finalité limitée du traitement Principe 3 Adéquation, pertinence et proportionnalité Principe 4 Exactitude et tenue à jour Principe 5 Durée de conservation raisonnable Principe 6 Traitement en respect des droits Principe 7 Sécurité Principe 8 Transfert vers d'autres pays interdit sans une protection adéquate Source : http://www.ico.gov.uk/what_we_cover/data_protection/the_basics.aspx Mise en application Comme indiqué précédemment, l'application de la loi sur la protection des données au Royaume-Uni est à la charge de l'ICO (Information Commissioner's Office). Pour plus d'informations à ce sujet, consultez le site http://www.ico. gov.uk/. Toutes les entreprises britanniques doivent être enregistrées auprès de l'ICO et informer ce dernier sur la façon dont elles traitent les informations personnelles. L'ICO conserve ces renseignements dans un registre qu'il met à la disposition du grand public. Pouvoirs légaux de l'ICO Pouvoir 1 Evaluer la conformité des organisations à la loi Pouvoir 2 Signifier des avis d'information demandant aux organisations de lui fournir des renseignements spécifiques dans un délai défini Pouvoir 3 Signifier des avis d'exécution et des mises en demeure en cas de non-respect de la loi, demandant aux organisations de mettre en place (ou de cesser) certaines actions définies afin de garantir leur conformité Pouvoir 4 Poursuivre en justice les contrevenants Pouvoir 5 Procéder à des audits afin de s'assurer que les organisations traitent les données personnelles de façon convenable Pouvoir 6 Rapporter au Parlement les problèmes importants relatifs à la protection des données Source : http://www.ico.gov.uk/what_we_cover/data_protection/our_legal_powers.aspx Infractions Les infractions pénales1 prévues sont les suivantes : • Violations répétées de la législation – Tout contrôleur de données qui transgresse de manière répétée la Loi et ayant déjà reçu un avis d'exécution peut être poursuivi pour nonrespect de ce dernier. Cette infraction est passible d'une amende maximale de 5 000 £ en tribunal d'instance et d'une amende illimitée en cour d'assises. • Défaut de notification – Tout contrôleur de données qui n'informe pas l'ICO de la nature du traitement appliqué aux données ou des modifications apportées à ce traitement peut être poursuivi en justice. Le défaut de notification est une infraction qui relève de la responsabilité stricte. En d'autres termes, si un contrôleur de données est en situation d'effectuer une notification, il a obligation de s'y soumettre. La méconnaissance de la loi n'est pas une excuse acceptable. Exemples • En octobre 2005, deux sociétés de recouvrement établies au même endroit ont été condamnées à une amende de 5 000 £ (peine maximale) et à s'acquitter de frais de justice d'un montant de 300 £ par les magistrats de la ville de Manchester pour défaut de notification. • En avril 2005, un cabinet de recrutement plaidait coupable d'un défaut de notification en vertu de la section S17 (1) du Data Protection Act 1998. Il a été condamné à payer une amende de 100 £ et 700 £ au titre de frais de justice. 1 Source : http://www.ico.gov.uk/what_we_cover/data_protection/our_legal_powers/criminal_ offences.aspx 6 Réglementations en matière de fuites de données • Possession ou divulgation illicites d'informations personnelles – L'appropriation, la divulgation ou l'incitation à la divulgation, volontaire ou par négligence, d'informations personnelles sans le consentement du contrôleur de données constituent un délit, au même titre que la vente ou la mise en vente d'informations personnelles obtenues illégalement. Exemples • Détectives privés obtenant par tromperie des informations personnelles pour le compte de leurs clients • Employé d'une banque qui dévoile les informations de compte bancaire d'un client en dehors du cadre professionnel légitime Une liste des mesures exécutives prises par l'ICO est disponible sur son site web, à l'adresse http://www.ico.gov.uk/what_we_ cover/data_protection/enforcement.aspx. Mesures possibles à l'encontre des entreprises Les actions2 les plus sévères pouvant être intentées à l'encontre des entreprises sont les suivantes : • Avis d'exécution – Ordre formel exigeant d'une organisation ou d'une personne qu'elle applique les mesures mentionnées afin de se conformer à la Loi et aux réglementations connexes. Le non-respect d'un tel avis constitue un délit en vertu de la section 40 du Data Protection Act 1998 et de l'article 31 de la loi Privacy and Electronic Communications [EC Directive] Regulations 2003 (réglementation fondée sur la directive européenne sur le respect de la vie privée et les communications électroniques). • Poursuites pénales – Sanctions en cas d'infraction à la loi (section 60 du Data Protection Act 1998). Une étude des actions exécutives précédemment menées par l'ICO permet de s'apercevoir que l'organisme tend à fournir des recommandations aux entreprises n'ayant pas respecté les réglementations en vigueur et à établir avec elles un calendrier de mise en conformité. Il semble aujourd'hui clair que l'ICO préfère travailler de concert avec les entreprises dans le but de corriger leurs procédures internes et d'améliorer leur conformité à la législation. Cependant, les récents amendements de la loi britannique sur la protection des données (décrits plus haut) et relatifs notamment au caractère volontaire ou négligent d'un défaut d'application de la loi semblent présager une position plus ferme de la part de l'ICO à l'égard de certains types d'infractions spécifiques. 2 Source : http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_ guides/data_protection_regulatory_action_strategy.pdf www.mcafee.com/fr Exemple d'avis d'exécution Le texte ci-dessous est extrait d'un avis d'exécution envoyé le 23 janvier 2008 par l'adjoint du Commissaire aux informations de l'ICO à une société anonyme britannique. Cet avis fait suite à la fuite de dossiers de renseignements personnels d'environ 26 000 employés due au vol de l'ordinateur portable d'un des cadres dirigeants de l'entreprise lors d'un cambriolage à son domicile. L'ICO a appris que les données de l'ordinateur portable n'étaient pas chiffrées et a donc publié l'avis d'exécution suivant : Avis d'exécution de l'ICO Au vu des éléments cités précédemment, le Commissaire aux informations vous informe par le présent avis qu'en vertu de ses pouvoirs, tels que définis dans la section 40 de la Loi, il exige que le contrôleur de données prenne les mesures décrites ci-dessous : Il doit faire en sorte que les données personnelles soient traitées conformément au septième principe de protection des données défini dans l'Annexe 1, partie I de la Loi, et plus spécifiquement que la procédure de chiffrement du disque dur de l'ordinateur portable commencée en octobre 2007 soit terminée pour le 1er avril 2008. Source : http://www.ico.gov.uk/upload/documents/library/data_protection/notices/m_and_s_ sanitiseden.pdf Pénalités en cas de contrôle des données déficient A l'inverse, les médias ont souvent rapporté des sanctions sévères infligées à des entreprises en raison d'un contrôle insuffisant de leurs données. Mais qui est donc à l'origine de ces peines ? En 2007 a éclaté l'une des affaires de divulgation de données les plus graves, à la suite d'une fuite d'informations dans une société de crédit immobilier britannique, laquelle s'est vu infliger des sanctions par la FSA (Financial Service Agency). La FSA est une organisation indépendante s'appuyant sur la loi relative aux marchés et aux services financiers (Financial Services and Markets Act 2000) et dépendant directement du ministre des Finances britannique. Sa fonction consiste en la régulation du secteur des services financiers au Royaume-Uni et ses objectifs sont les suivants : • Confiance dans le marché – Maintien de la confiance dans le système financier • Information du grand public – Développement d'une meilleure compréhension du système financier • Protection des citoyens – Mise en place d'un niveau de protection approprié • Lutte contre la criminalité financière – Diminution des possibilités d'exploitation d'une entreprise à des fins de délits financiers 7 Réglementations en matière de fuites de données Ces deux dernières années, la FSA a imposé plusieurs amendes pour divers manquements aux exigences définies pour les institutions financières. En voici quelques exemples : Montant 1 260 000 £ 350 000 £ Société ou personne condamnée Norwich Union Life BNP Paribas Banque privée Date Motif de l'amende 17/12/2007 Absence de systèmes et de contrôles efficaces permettant d'assurer la protection des informations confidentielles de ses clients et de gérer les risques de délits financiers 10/05/2007 Faiblesses de ses systèmes et contrôles ayant permis à un cadre de prélever de manière frauduleuse 1,4 million de livres des comptes bancaires de ses clients sans y être autorisé 980 000 £ Nationwide Building Society 14/02/2007 Absence de systèmes et de contrôles efficaces pour la gestion des risques en matière de sécurité des informations 300 000 £ Capita Financial Administrators Limited (CFA) 16/03/2006 Contrôles antifraudes insuffisants pour les comptes et identités de ses clients Source : http://www.fsa.gov.uk/Pages/About/Media/Facts/Fines/2006.shtml www.mcafee.com/fr Au Royaume-Uni, des affaires comme la divulgation de 25 millions de dossiers du service des douanes et des impôts (« Her Majesty’s Revenue and Customs ») du gouvernement ou celle de la perte d'un ordinateur du ministère de la Défense contenant les données bancaires de 3 700 personnes, ainsi que d'autres fuites de données ayant affecté plus de 600 000 individus, ont encouragé l'amendement du Data Protection Act afin de couvrir également les fuites de données ou l'adoption d'une loi nationale sur la divulgation des incidents liés à la sécurité. Le Comité des sciences et des technologies (Science and Technology Committee) de la Chambre des Lords préconise ce qui suit dans son cinquième rapport pour la session 2006-2007. Recommandations du Comité des sciences et des technologies de la Chambre des Lords 5.55 Nous considérons également qu'une loi sur la notification des divulgations de données constituerait l'une des avancées majeures en matière de renforcement de la protection des données personnelles sur Internet. Nous encourageons le gouvernement, sans attendre l'intervention de la Commission européenne, à accepter le principe d'une telle loi et à entamer de toute urgence la procédure de concertation afin de déterminer le champ d'application de la future loi. 5.56 Nous estimons qu'une loi sur la notification des divulgations de données devrait comprendre les points clés suivants : • Définition concrète des divulgations de données, incluant à la fois un seuil pour la sensibilité des données concernées et les critères d'accessibilité de ces données Il est clair que la capacité de la FSA d'imposer des pénalités financières importantes en cas d'infraction au Data Protection Act est sans doute attribuable au fait qu'elle est l'autorité de régulation financière du pays. Sanctions potentielles dans d'autres secteurs A quelles pénalités peut être exposée une entreprise qui n'appartient pas au secteur financier ? Aucune législation spécifique aux fuites de données n'a pour le moment vu le jour, que ce soit au Royaume-Uni ou en Europe. En revanche, aux Etats-Unis, certains Etats ont adopté des lois similaires à la législation de Californie SB 1386, qui oblige les administrations et entreprises californiennes à informer les citoyens ou clients de tout incident de sécurité entraînant la divulgation de leurs informations personnelles non chiffrées. • Système de rapports centralisé, uniformisé et obligatoire • Règles claires sur le fond et la forme des messages de notification, définissant de manière précise la nature de la violation de sécurité et proposant aux personnes concernées des conseils sur les mesures à prendre pour gérer au mieux l'incident 5.57 Nous conseillons également que le gouvernement examine de manière urgente l'efficacité de l'ICO dans l'application de bonnes pratiques de protection des données auprès des entreprises. Le Commissaire aux informations voit actuellement son travail ralenti par un manque de ressources, un processus exécutif en deux temps fastidieux et une inadéquation des peines en cas de condamnation. Le gouvernement a exprimé sa volonté de traiter la question des peines pour un type précis d'infraction. Nous recommandons cependant qu'il réexamine les sanctions financières encourues pour l'ensemble du régime de protection des données de même que les ressources et les procédures exécutives. Ces dernières doivent prévoir la possibilité de procéder à des audits aléatoires des mesures de sécurité adoptées par les entreprises et organisations conservant des données personnelles. Source : http://www.publications.parliament.uk/pa/ld200607/ldselect/ldsctech/ldsctech.htm Loi SB 1386 (Peace) / AB 700 (Simitian) de 2002 Avis de violation de la sécurité : la présente loi exige de toute entreprise ou administration conservant sous forme informatisée des informations à caractère privé qu'elle dévoile tout incident de sécurité entraînant la divulgation de ces données à tous les citoyens californiens dont les informations personnelles non chiffrées ont été (ou dont on peut raisonnablement supposer qu'elles ont été) interceptées par une personne non autorisée. Cette notification donne aux citoyens la possibilité de prendre des mesures préventives nécessaires pour se protéger d'une éventuelle usurpation d'identité. Au moment de la rédaction du présent document, les recommandations relatives à une loi sur les fuites de données au Royaume-Uni avaient été rejetées par le Parlement. Toutefois, au vu des incidents ayant eu lieu en 2007 et largement médiatisés, on peut supposer que ces propositions seront à nouveau d'actualité dans un futur proche. Source : http://www.privacy.ca.gov/leg2002.htm [Article 915 / 2002]/[Article 1 054 / 2002] 8 Réglementations en matière de fuites de données L'Union européenne a également déposé des propositions de directive sur la notification d'atteintes à la sécurité, sous la forme d'un document publié en août 2007. L'extrait ci-dessous laisse toutefois penser que les mesures ne s'appliqueraient qu'aux fournisseurs d'accès Internet (FAI) et aux opérateurs réseau. Recommandations de l'Union européenne sur la divulgation des violations de sécurité Article 2 : modification de la directive « Vie privée et communications électroniques » Les objectifs des modifications proposées sont les suivants : Divulgation par les opérateurs réseau et les fournisseurs d'accès Internet des violations de sécurité • Article 4(3) : les utilisateurs finaux doivent être informés de toute violation de sécurité entraînant une fuite ou une exploitation de leurs données personnelles, ainsi que des précautions disponibles ou conseillées permettant de minimiser les pertes économiques éventuelles ou les dommages sociaux pouvant résulter de cette atteinte à la sécurité. • Article 4(4) : un niveau minimum d'harmonisation doit être garanti en permettant à la Commission, le cas échéant, d'adopter des mesures de mise en œuvre techniques dans les domaines de la sécurité et de divulgation des violations de sécurité, en tirant parti d'avis d'experts fournis par l'autorité compétente. Source : http://www.ec.europa.eu/information_society/policy/ecomm/doc/library/proposals/ dir_citizens_rights_en.pdf Application des lois d'autres pays au Royaume-Uni Nous venons d'examiner les législations britannique et européenne telles qu'elles s'appliquent aux entreprises basées au Royaume-Uni. Voyons à présent comment les entreprises britanniques exerçant des activités commerciales à l'étranger sont affectées par les lois des pays concernés et dans quelle mesure ces lois sont applicables. Le problème est que chaque législation est différente et que son application dépend de la manière dont les textes sont rédigés et des intérêts qu'elle défend. Ainsi, la législation californienne sur la divulgation des atteintes à la sécurité vise principalement à la protection des individus, et s'applique ainsi à toutes les entreprises, qu'elles soient implantées ou non en Californie. www.mcafee.com/fr Pour bénéficier d'une vision globale de la législation et des peines associées, il est essentiel de vérifier non seulement les lois applicables dans le pays où est situé le siège social d'une entreprise, mais aussi les lois des pays ou Etats dans lesquels celle-ci exerce une activité commerciale. Autorégulation sectorielle Après avoir étudié les aspects légaux des fuites de données, examinons l'autorégulation sectorielle. Le standard PCI DSS (Payment Card Industry Data Security Standard) en est l'un des meilleurs exemples. Les transactions électroniques sont devenues incontournables dans le monde du commerce, mais les transactions frauduleuses sont malheureusement légion. Le standard PCI a vu le jour lorsque VISA, American Express, Diners Club, JCB et Discover se sont associés pour définir des exigences de sécurité afin de protéger les informations bancaires de leurs clients. Il s'applique à toute banque acquéreuse, à tout commerçant acceptant les cartes de paiement et à tout fournisseur de services stockant ou transmettant des données de carte de crédit ou de transaction pour leur compte. Selon la taille de l'entreprise, le mécanisme d'autorégulation intervient ou l'évaluation est réalisée par un expert certifié externe. Toutefois, en cas de divulgation de données, toute organisation est soumise au contrôle d'un vérificateur externe et peut se voir infliger des pénalités financières par l'organisme de crédit concerné. Un calendrier de mise en conformité et les actions requises sont ensuite définis. Pour plus d'informations, visitez le site web de chaque membre du consortium. Pour Visa Europe, consultez la page web http://www.visaeurope.com/ aboutvisa/security/ais/main.jsp. Vous pouvez également visiter le site web du PCI Standards Council, à l'adresse https://www.pcisecuritystandards.org. L'affaire T.J. Maxx L'un des scandales d'atteinte à la sécurité des données les plus coûteux de ces dernières années s'est produit l'an dernier chez T.J.X. Co., société mère de la chaîne de magasins T.J. Maxx. Des enquêtes ont en effet révélé que la société ne respectait pas le standard PCI DSS. Loi californienne sur la divulgation des atteintes à la sécurité Cette loi, effective depuis le 1er juillet 2003, oblige toute administration, personne ou entreprise exerçant une activité commerciale dans l'Etat de Californie, possédant ou ayant sous licence des données informatisées incluant des informations personnelles, d'informer, selon les méthodes définies, de toute atteinte à la sécurité de ces données tout citoyen californien dont les informations personnelles non chiffrées ont été (ou dont on peut raisonnablement supposer qu'elles ont été) interceptées par une personne non autorisée. Source : http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_ chaptered.html 9 Réglementations en matière de fuites de données Résumé du vol de données dont a été victime T.J. Maxx • Un consultant travaillant pour TJX s'est aperçu que la société n'était pas en conformité avec le standard PCI, et en particulier qu'elle ne respectait pas neuf des 12 obligations imposées par le standard. D'après ce consultant, la plupart étaient des « défaillances graves ». • « Après avoir identifié l'emplacement de stockage des données sur les serveurs de TJX, l'intrus a utilisé la connexion haut débit de TJX au Massachusetts pour transférer ces données vers un autre site Internet » (basé en Californie). Plus de « 80 Go de données conservées de manière inadaptée par TJX ont été transférés de cette façon. Personne chez TJX ne s'est aperçu d'un tel transfert. » • En mai 2006, un programme de capture de paquets (renifleur) a été installé sur le réseau de TJX par des cybercriminels. Pendant sept mois, il n'a jamais été détecté et a continué à « enregistrer des données sensibles sur les titulaires de cartes bancaires alors transmises en clair par TJX ». • En 2004, avant le début des attaques, un rapport a été envoyé à TJX faisant état de sa situation de conformité aux impératifs de sécurité et indiquant que « de nombreuses défaillances graves avaient été décelées au sein de TJX, ainsi que certaines infractions spécifiques, qui pour la plupart n'avaient pas été corrigées ». • Lors de sa déposition, ce consultant (dont le nom n'a pas été dévoilé) a déclaré « n'avoir jamais vu un tel manque de contrôle et d'enregistrement des activités chez un commerçant de niveau 1 ». • « Ce détournement de données concernait plus de 100 millions de numéros de cartes de crédit et de débit différentes, c'est-à-dire deux fois le nombre de cartes impliquées lors de la plus importante affaire de divulgation d'informations qui a éclaboussé le pays à ce jour. » • Certains documents ont confirmé que les sociétés Visa et MasterCard ont tous deux infligé des pénalités financières à TJX. Visa a imposé une « amende substantielle » suite à cet épisode, le qualifiant de « violation monumentale » des procédures de sécurité. Les montants des amendes n'ont pas été dévoilés. Source : http://www.eweek.com/c/a/Security/TJX-Intruder-Moved-80GB-of-Data-WithoutDetection/ - 25 octobre 2007 Un coût et des dégâts gigantesques L'on estime que cette violation de sécurité a touché entre 48 et plus de 100 millions de numéros de cartes de crédit et de débit (suivant les articles). T.J. Maxx a néanmoins indiqué dans son rapport annuel que l'impact de cet incident s'élèverait à 168 millions de dollars, non pas en raison des sanctions financières, mais des améliorations de sécurité nécessaires. Communiqué officiel – Le coût de l'affaire TJX La déclaration officielle de TJX quant au montant de ses besoins en réserve liquide indique qu'elle correspond à une « estimation des pertes probables, selon des principes de comptabilité généralement acceptés et basés sur les informations à la disposition de la société à la date du 14 août 2007, incluant une évaluation des pertes financières totales et estimées suite aux poursuites, procédures, enquêtes et autres réclamations en cours, ainsi que les frais de justice et autres dépenses découlant de l'intrusion subie ». www.mcafee.com/fr Conclusion Comme nous avons pu le voir, les sanctions légales encourues ne sont qu'un des éléments à prendre en compte lors d'une analyse des risques liés aux incidents de fuites de données. Les coûts que représentent les violations de sécurité ne sont en effet pas négligeables. Certaines estimations ont par exemple démontré que l'incident subi par le service des douanes et des impôts (HMRC) britannique avait coûté plus de 600 millions de livres (http://www.itpro.co.uk/news/170937/will-hmrcbreach-cost-625-million.html). Cette somme était constituée de l'accumulation d'un certain nombre d'amendes et de frais divers, que nous avons répartis en cinq catégories par souci de simplicité : • Coûts associés à la récupération des données – Frais de recherches physiques, d'analyses électroniques et de surveillance de la réapparition des données • Coût de la notification – Frais d'expédition et de conditionnement des documents envoyés à chaque personne afin de l'informer de l'incident et des actions correctives à entreprendre • Coûts des poursuites – Sommes dues aux personnes dont les données ont été perdues • Coûts des analyses et des mesures correctives – Mesures prises pour empêcher qu'un incident semblable se reproduise, incluant la modification des stratégies, l'introduction de nouvelles technologies et la formation du personnel • Coûts liés à la détérioration de l'image de marque – Coûts probablement les plus difficiles à évaluer, mais qui ne doivent pas être sous-estimés Comme le montre ce livre blanc, l'impact des atteintes à la sécurité des données est encore difficile à appréhender, dans la mesure où celles-ci touchent de nombreuses questions et soulèvent nombre de préoccupations pour toutes les entreprises. Dans un monde où les données revêtent désormais une valeur semblable à celle de l'argent, les entreprises doivent porter une attention scrupuleuse à la manière dont elles recueillent, traitent, stockent et transfèrent ce bien précieux. Elles ne peuvent en effet plus ignorer l'importance de la sécurité des informations, puisque toute négligence les s'expose à d'énormes risques et pertes financières. Source : http://storefrontbacktalk.com/story/081507tjx.php - 15 août 2007 10 Réglementations en matière de fuites de données www.mcafee.com/fr Cela étant dit, quelle est la stratégie à adopter concrètement ? L'un des aspects importants de votre stratégie de gestion des risques de sécurité est l'établissement d'une topographie précise de vos bureaux locaux, de vos clients et des emplacements de stockage de vos données. Ces informations vous permettront de déterminer les législations et réglementations relatives aux contrôles et aux fuites de données qui s'appliquent à votre activité. Il s'agit de la première étape vers une gestion des risques intelligente et la mise en place d'une stratégie adaptée qui vous permettront de faire face aux incidents de sécurité. A propos de McAfee, Inc. Basé à Santa Clara en Californie, McAfee Inc., la première entreprise au monde entièrement vouée à la sécurité informatique, fournit des solutions et des services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier. McAfee met ses compétences inégalées en matière de sécurité et son engagement envers l'innovation au service des entreprises, du secteur public et des fournisseurs de services pour les aider à bloquer les attaques de pirates, à prévenir les perturbations dans le flux des activités ainsi qu'à évaluer et à améliorer en continu leurs défenses. www.mcafee.com/fr McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, McAfee, Inc., Tour Franklin, La Défense 8, 92042 Paris La Défense Cedex, France, +33 1 47 62 56 00 (standard) www.mcafee.com/fr Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. © 2008 McAfee, Inc. Tous droits réservés. 1-na-cor-pc-wp-001-0808 11