Paru en 2013 et actualisé en 2017, le Guide d’hygiène numérique de l’ANSSI expose 42 mesures, réparties en 9 axes. Souvent présenté comme un « socle de sécurité« , il est visé dans le RGS, l’II901, SecNumCloud 3.2 et dans les Référentiels unique de mesures de sécurité (RUMS), MaturiN-H et Mesures prioritaires, pour la santé. La CNIL, elle, le présente comme un index des règles de base, en matière de sécurité (Guide pratique RGPD – Sécurité des données personnelles).
Et si à l’instar de toutes les recommandations de l’Agence, il est dépourvu de force contraignante, le non-respect des bonnes pratiques y figurant peut servir de base à une sanction (CE, 30 avril 2024, n° 472864).
Pour autant, ce n’est pas l’alpha et l’oméga de la sécurité. En présence de données sensibles, par exemple, la Commission indique clairement que des mesures complémentaires doivent être prises (Projet de recommandation relative à la sécurité des traitements critiques). Même chose pour décrocher SecNumCloud : appliquer les 42 mesures constituera un prérequis, et non un objectif.
𝐃𝐞𝐬 𝐟𝐮𝐢𝐭𝐞𝐬 𝐝𝐞 𝐝𝐨𝐧𝐧𝐞́𝐞𝐬 𝐚̀ 𝐥’𝐀𝐍𝐒𝐒𝐈
Sauf que…
La presse spécialisée a révélé que l’ANSSI avait accidentellement laissé fuiter des noms d’employés et de consultants dans des kits d’exercice, et notamment des fichiers Excel, mis en ligne. Des personnes physiques, bénéficiant de la protection du RGPD. Des personnes potentiellement assujetties au secret de la défense nationale ou signataires de contrats sensibles, au sens de l’IGI1300.
Un faux pas gênant, mais pas un véritable incident pour autant.
𝐔𝐧𝐞 𝐝𝐞́𝐟𝐞𝐧𝐬𝐞 𝐚̀ 𝐫𝐞𝐯𝐨𝐢𝐫
Mais d’anecdotiques, les faits ont rapidement pris une autre ampleur. L’Agence spécialisée dans la cyberdéfense a en effet tenté de se justifier en indiquant que « la suppression des métadonnées ne fait pas partie à ce jour des recommandations de l’agence« . Léger, comme argumentaire.
Et ce d’autant plus qu’en matière RGPD, la CNIL britannique vient de sanctionner à deux reprises les forces de l’ordre pour avoir omis de supprimer des données cachées dans des feuilles Excel (ICO, 17 octobre 2024, Southend on Sea City Council ; ICO, 26 septembre 2024, PSNI).
Qu’en retenir? Faites ce que je dis, pas ce que je fais? Non.
Mais gardez à l’esprit que même les autorités les plus rigoureuses ne sont pas à l’abri de l’erreur. Et parfois, ces erreurs portent sur l’interprétation de la portée des textes. Raison de plus pour documenter vos propres pratiques et être en mesure de démontrer votre conformité en cas de besoin.
Qu’en pensez-vous? Partagez vos expériences en commentaires.
Des interrogations sur vos politiques de sécurité ? Vous vous posez des questions sur la conformité de vos traitements? Vous souhaitez vous préparer à un éventuel contrôle? Des interrogations sur la conformité de votre activité ? N’hésitez pas à me contacter.