En cas de crise cyber, comment optimiser l’indispensable collaboration entre RSSI et DPO ?

Un DPO en quête urgente d’information lors des violations de données

Ces incidents ont permis à la CNIL et à ses partenaires institutionnels, dont l’ANSSI, de constater que « trop souvent » des mesures qui figurent depuis des années dans les guides de sécurité étaient négligées. « Cela impliquera des réactions pour tirer les conséquences de ces trop grandes vulnérabilités. »

Benjamin Leroux, directeur et expert cybersécurité d’Advens, précise le panorama de la menace. « On a toujours une augmentation, même si cela a augmenté un peu moins que l’année précédente » en ce qui concerne les attaques avec rançon.

« Ce qui a en revanche beaucoup progressé, c’est le nombre de vulnérabilités dans les logiciels, notamment, et ce n’est pas de chance, dans les logiciels de sécurité : firewall, outil d’accès à distance, etc. », poursuit-il.

Le spécialiste relève une autre tendance qui consiste, pour les attaquants, à dérober des données, mais « sans plus s’embêter à chiffrer. » Pour obtenir une rançon, le chantage repose sur une menace de divulgation sur le dark web.

Chiffrement ou non, un tel scénario constitue une « violation de données » au sens de la loi et donc des obligations à respecter. Mais encore faut-il que le délégué à la protection des données, le DPO, soit informé, signale Mathilde Stines, responsable du pôle médico-social pour Lexagone, cabinet de conseil et conformité RGPD.

Le temps est compté pour notifier les autorités

Pourquoi cette précision ? Parce qu’elle n’irait pas naturellement et systématiquement de soi. « C’est souvent problématique pour nous DPO », confirme-t-elle. Être informé, certes, mais « sous un délai raisonnable permettant de réaliser les obligations du responsable de traitement. »

« La durée des 72 h est toujours complexe à respecter. »

Rappelons que la législation impose de notifier la CNIL dans les 72 heures de la découverte de l’incident. « Cette durée est toujours complexe à respecter », témoigne la juriste. D’autant qu’une attaque est synonyme de crise et qu’elle impose une réaction rapide des équipes IT.

Aux notifications aux régulateurs s’ajoutent d’autres procédures, dont les notifications aux personnes concernées par la violation de données. « Nous allons évaluer les impacts et les risques sur les droits et libertés […] Ce sont les obligations bien connues du DPO. »

Mais le responsable de traitement est aussi tenu de documenter la violation de données. Là aussi le DPO doit pouvoir collecter la bonne information. À cette fin, Mathilde Stines défend l’importance du binôme avec le RSSI et la présence du DPO au sein de la cellule de gestion de crise.

Voilà pour la théorie.

Dans la pratique, la juriste observe que lors des exercices de gestion de crise menés, le DPO ne figure que rarement dans cette cellule.

Concilier crise et conformité au RGPD n’est cependant pas une mince affaire. Eric Doyen, RSSI de Malakoff Humanis, une entreprise ciblée en janvier 2024, peut en témoigner.

L’administratif, fardeau des équipes cyber « sous l’eau »

Pour lui, identifier la cause d’une violation demeure « un sujet très délicat ».

« Il y a toujours besoin d’un minimum de certitudes ». Pour réunir ces certitudes et « empêcher l’embrasement », les équipes SSI sont plongées dans la crise et sa résolution. Elles doivent aussi procéder à des vérifications dans le cadre de la levée de doute.

Pour Eric Doyen, la gestion s’organise « en proximité » avec d’autres compétences dans l’entreprise, dont le DPO. Prévenir ce dernier « assez tôt » n’en demeure pas moins complexe. Au préalable, « il faut être sûr, au moins, du vecteur de maladie pour remédier à l’épidémie. »

« En début de crise, vous avez la tête un peu ailleurs. J’en éprouve encore de l’émotion. Une crise est un moment très éprouvant. »

Dans le chaos de la crise, le présent importe bien sûr, mais la préparation également – même si le RSSI admet que les scénarios anticipés ne sont jamais exactement ceux rencontrés dans la réalité. C’est donc dans ce contexte d’urgence que l’entreprise doit effectuer des déclarations.

L’incident Viamedis (filiale du groupe Malakoff Humanis) a ainsi donné lieu à 10 déclarations distinctes, « avec des timings différents. C’est juste monstrueux, d’autant que tout le monde est sous l’eau durant une crise », a pu expérimenter Eric Doyen.

« La partie administrative ne doit pas vous échapper, mais ce n’est pas là que vous souhaitez consacrer la majorité de votre temps », admet-il. « En début de crise, vous avez la tête un peu ailleurs. J’en éprouve encore de l’émotion. Une crise est un moment très éprouvant », confesse le RSSI de Malakoff Humanis.

Son témoignage milite donc en faveur d’une forte implication du DPO et de sa « complémentarité » avec le RSSI.

La complémentarité avec le DPO pour alléger la charge du RSSI

André Zaphiratos, ex-DSI de la Fondation Cognacq-Jay, confirme quant à lui la complexité à lever les doutes après une détection et « le poids de la partie légale, qu’on ne maîtrise pas forcément. »

« Si j’avais un conseil : travaillez aussi en projection. »

Désormais consultant, il insiste sur « l’importance de l’exercice », c’est-à-dire de la préparation à la crise. Benjamin Leroux d’Advens, acquiesce. Ces exercices offrent un ratio coûts/bénéfices nettement favorable. L’expert en défend particulièrement les atouts en matière de sensibilisation des collaborateurs qui sont les moins acculturés à la cyber.

« L’exercice met souvent en lumière des problématiques de communication, entre le RSSI et le DPO, mais aussi de communication en interne et en externe », souligne par ailleurs l’ancien DSI de la santé. La préparation doit participer à les résoudre, à condition de savoir faire preuve de « pédagogie pour faire comprendre aux intervenants le but à atteindre. »

Eric Doyen tient cependant à rappeler que l’anticipation présente des limites. Ainsi, l’attaque subie par la mutuelle en 2024 était sans équivalent avec les scénarios des exercices. Il regrette d’ailleurs le manque de sensibilisation des professionnels de santé au numérique et par conséquent aux risques cyber. Cette lacune ouvre des failles dans les SI, prévient-il.

« Si j’avais un conseil : travaillez aussi en projection » pour les exercices de crise, insiste le RSSI. Une dose de prospective peut nourrir l’efficacité de la réponse sur incident, sans que cela implique nécessairement « d’envisager le pire. ».