Cybersécurité: quelles précautions prendre avec ses fournisseurs ?
La nouvelle responsabilité des fournisseurs imposée par le RGPD
Le RGPD impose de nouvelles exigences aux sous-traitants dans les relations à leurs clients. Auparavant, le responsable de la collecte des données était celui qui l'avait commanditée et le sous-traitant avait peu de responsabilité. Dorénavant, ce dernier est bien co-responsable en cas d'atteinte à la protection des données personnelles. La responsabilité des deux sera recherchée. Le sous-traitant devient seul responsable s'il outrepasse les instructions de l'entreprise commanditaire. S'il a respecté des instructions qui n'étaient pas conformes au RGPD, il a l'obligation d'alerter le responsable du traitement sur ce point. Un partage de responsabilités aura lieu en fonction du cas.
Les acheteurs vont désormais devoir vérifier contractuellement que le sous-traitant fournit des garanties techniques et organisationnelles suffisantes. Les contrats doivent comporter les clauses spécifiques suivantes :
- le sous-traitant ne doit traiter les données que selon les instructions du responsable du traitement (mails, lettres, comptes rendus) et ne peut sous-traiter lui-même sans autorisation écrite ;
- le sous-traitant doit s'assurer que son personnel est soumis à une obligation de confidentialité ;
- il doit garantir une sécurité des données proportionnée, c'est-à-dire qu'il doit être conscient de la sensibilité des données qu'il traite et garantir une sécurité adaptée ;
- il doit assister le responsable du traitement pour assurer la conformité aux obligations de sécurité et à l'évaluation de l'impact sur la vie privée (co-responsabilité) ;
- il doit restituer au responsable ou effacer les données à l'issue du traitement;
- il doit tenir un registre écrit de toutes les catégories de traitements mises en oeuvre pour le compte de chaque responsable du traitement. Si les deux doivent, ils peuvent se partager la responsabilité ;
- il doit prendre des mesures pour s'assurer que les membres du personnel ayant accès aux données personnelles procèdent au traitement conformément aux instructions. Le sous-traitent est responsable de son personnel ;
- il doit notifier toute violation de données personnelles au responsable du traitement, dès qu'il en connaissance et sans délai ;
- il doit désigner un DPD (délégué à la protection des données) dans des cas précis, y compris lorsque le traitement requiert un suivi régulier et systématique des personnes concernées à une grande échelle, ou que les données sont liées à des condamnations pénales et à des infractions.
Le suivi de la sécurité d'un fournisseur
Ce suivi doit être continue, dans le temps, et se faire sur la base d'audits par lesquels les fournisseurs doivent, à intervalle régulier, justifier de l'évolution de leur niveau de sécurité et des mesures implémentées. Il peut être également opportun de prévoir des rendez-vous périodiques avec tous ses fournisseurs pour les tenir informés des enjeux métiers et menaces sectorielles.
Faites appel à des pirates éthiques !
Yogosha, c'est le Bug Bounty à la française ; la plateforme met en relation des entreprises avec des communautés d'"hackers éthiques", rémunérés pour les failles de sécurité qu'ils détectent. Certains Gafa ont déjà lancé leur propre programme de Bug Bounty (littéralement, "prime pour faille") en interne. Chez Yogosha, les 200 chercheurs sourcés dans le monde entier sont sélectionnés à l'entrée et leur identité est systématiquement vérifiée. Une main d'oeuvre d'autant plus salvatrice que l'Anssi a relevé une pénurie de 75% de ce type de profils en France. Par exemple, un grand compte ayant fait appel aux services de Yogosha pour tester une application mobile a vu remonter 40 failles en 5 jours, chacune facturée 500 euros. Une matrice permet d'évaluer leur coût en fonction de l'historique de l'entreprise, de sa perception du risque et du périmètre concerné (secteur d'activité). Le principe demeure celui de la place de marché, le client positionne le prix comme il le souhaite mais doit jouer le jeu au risque de ne pas attirer les talents. Le meilleur chercheur peut percevoir jusqu'à 50 000 euros annuels.