La situation actuelle se transforme à grande vitesse en une situation de crise. Que les organisations soient exposées directement ou indirectement, les conséquences sont certaines, et les incidences sur la sécurité des systèmes d’information à mesurer.

Vous êtes DPO ou RSSI, ce n’est pas le moment de relâcher votre attention, bien au contraire. Ces situations sont typiquement celles qui créent de nouvelles vulnérabilités ou pour voir des menaces se rapprocher (panne, virus, actes malveillants…). Voici donc quelques idées de bon sens à garder en mémoire :

  1. Continuer à protéger les données dès la conception (RGPD art.25) : vous devez être dans la boucle décisionnelle pour toutes les mesures exceptionnelles envisagées ayant un impact sur la protection des données, et autant que possible avant que décision soit prise
  2. Assurer la sécurité des données (RGPD art.32) : les mesures d’exception prises pour palier aux mesures de confinement ne doivent pas entraver les droits et libertés des personnes relativement à leurs données personnelles, en particulier celles relatives au télétravail, à la réduction des effectifs opérationnels / aux plans de continuité de l’activité (PCA), à la couverture de vulnérabilités plus exposées du fait d’une attention détournée, etc.
  3. Assurer les principes fondamentaux du RGPD : licéité, loyauté, transparence

Ainsi, les procédures / directives de protection des données / sécurité de l’information dès la conception continuent à s’appliquer et, en tant que DPO ou RSSI, vous devez être impliqués dans les décisions « de crise » relevant de votre périmètre. Le Covid-19 ne doit surtout pas court-circuiter vos cadres de gouvernance, au risque d’exposer votre organisation à des risques inacceptables et non maîtrisés.

Dans une première appréciation globale des risques, faite en dehors de tout cadre normatif et basée sur mes seuls ressenti et expérience, les scénarii de risque en cas de situation de crise pourraient être :

  1. Exposition de nouvelles vulnérabilités (locaux non sécurisés, accès à distance, non-chiffrement des données)
  2. Exposition à des menaces plus importantes, ou nouvelles menaces (vol, virus informatique, actes malveillants, actes accidentels)
  3. Manque de capacités de réaction sur incident (maladie, télétravail, absences)
  4. Communication extérieure et semi-personnelle mal encadrée par les salariés au regard des urgences (« Tu ne sais pas la nouvelle ? Ma collègue Jeanne a attrapé le Covid-19. »)
  5. Réduction des standards de contrôle (suivi des sauvegardes, des filtres réseaux, des IDS, de la sécurité physique, de la sécurité organisationnelle par exemple liée à des documents emportés en télétravail, etc.)
  6. Gestion de l’externalisation (fournisseurs, sous-traitants) non maîtrisée en situation de moindre présence des équipes internes, travail à distance, etc.
  7. Confidentialité des locaux des télétravailleurs, sécurité des réseaux, des postes de télétravail, etc.

Besoin de renforts pour gérer la situation ? N’hésitez pas à me solliciter.

De manière plus pragmatique, la CNIL a publié un guide pratique sur le sujet, dont je rappelle les deux informations que je trouve les plus importantes : Il n’est pas possible de

  1. mettre en œuvre, par exemple des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ; ou encore
  2. collecter des fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.