Notifications des failles de sécurité : pourquoi attendre ?

Face aux notifications des failles de sécurité : pourquoi attendre ? Les prestataires de services de confiance et OIV ont, dès à présent, des obligations.

Comme nous l’indiquions dans de précédents articles, à compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles (1 et 2).

Pourtant, certains organismes n’auront pas à attendre mai 2018 pour mettre en place une procédure de notification des failles de sécurité.

La loi Informatique et libertés visait déjà à l’article 34 bis les fournisseurs au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Les prestataires de services de confiance et OIV face aux failles de sécurité doivent être réactifs et les notifier au plus vite.

Les PSCO face aux notifications des failles de sécurité : pourquoi attendre ?

Le Règlement eIDAS applicable depuis juillet 2016 (3 et 4), prévoit en son article 19.2 cette obligation de notification pour les PSCO (prestataires de services de confiance), c’est-à-dire les prestataires de signatures électroniques, cachets électroniques certificats électroniques, vérification ou conservation de signatures électroniques, horodatage électronique, envois recommandés électroniques et authentification de sites web.

Tous les PSCO sont concernés, qu’ils soient qualifiés eiDAS ou non. Ils sont garants de la confiance dans leurs services.

Les PSCO établis en France doivent notifier à l’Anssi (organe de contrôle des PSCO) et à la Cnil :

• dans les meilleurs délais et au maximum 24 heures après en avoir eu connaissance ;
• toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Si la faille de sécurité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service de confiance a été fourni, le PSCO doit également notifier :

• dans les meilleurs délais ;
• à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

L’obligation ne s’arrête pas là, car l’Anssi ou la Cnil informeront :

• les organes de contrôle des autres États membres concernés ainsi que l’ENISA, si la faille de sécurité concerne deux États membres ou plus ;
• le public (à moins qu’il ne l’exige du PSCO) dès lors qu’elles constateront qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

Les OIV face aux notifications des failles de sécurité : pourquoi attendre ?

Selon l’article R1332-41-10 du Code de la défense et en cas d’incident, l’opérateur d’importance vitale (OIV) doit communiquer :

• sans délai et par un formulaire spécifique ;
• selon le moyen approprié à la sensibilité des informations déclarées ;
• les informations sur les incidents affectant la sécurité ou le fonctionnement des systèmes d’information d’importance vitale, notamment les incidents qui relèvent d’un type figurant à l’annexe IV des arrêtés sectoriels (voir pour exemple l’arrêté du 28 novembre 2016 – annexe classifiée) (5 et 6).

Qui plus est, les informations transmises doivent être complétées au fur et à mesure de l’analyse de l’incident et l’OIV doit être en mesure de répondre aux demandes complémentaires de l’Anssi.

Les autres acteurs face aux notifications des failles de sécurité : pourquoi attendre ?

Les articles 14 à 18 de la Directive dite « SRI » ou « NIS » (7) imposent aux Etats membres de prévoir dans leurs législations nationales des notifications d’incidents ayant un impact significatif sur la fourniture d’un service par les opérateurs de services essentiels et les fournisseurs de services numériques (places de marché en ligne, moteurs de recherche en ligne et services en cloud).

En conclusion, cette obligation pesant sur les PSCO et les OIV et par voie de conséquence sur leurs prestataires vis-à-vis d’eux, est extrêmement contraignante et gage de transparence. Les services de confiance et les OIV ne sont en effet pas des services comme les autres. Destinés à assurer la confiance dans les transactions et échanges électroniques, ils transportent des données à caractère personnel nombreuses, très « identifiantes » et indispensables pour la délivrance de ces services.

Polyanna Bigle
Lexing Sécurité des systèmes d’information

Pour aller plus loin :
(1) Virginie Bensoussan-Brulé, RGPD Notification des violations de données personnelles, Alain-Bensoussan.com 4-5-2017.
(2) Virginie Bensoussan-Brulé, Cyberattaques : comment réagir en cas de failles de sécurité ? Alain-Bensoussan.com 5-1-2017.
(3) Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23-7-2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L 257 du 28-8-2014, p. 73–114).
(4) Petit-déjeuner débat du 11-5-2016 « Règlement eIDAS sur l’identification pour les transactions électroniques », animé notamment par Polyanna Bigle, Alain-Bensoussan.com 19-4-2016.
(5) Didier Gazagne, Arrêtés sectoriels relatifs à la cybersécurité des OIV, Alain-Bensoussan.com 3-4-2017.
(6) Arrêté du 28-11-2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Industrie » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense.
(7) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6-7-2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JOUE L 194 du 19-7-2016).