Université AFCDP : la cybersécurité est de plus en plus un sujet pour les DPO

Comme tous les ans, malgré l’interruption liée à la crise sanitaire Covid-19, l’Association française des correspondants à la protection des données personnelles (AFCDP) a organisé à la Maison de la Chimie, à Paris, le 9 février 2023 la 17ème Université des DPO (Data Protection Officers, ou CPDP, correspondants à la protection des données personnelles). Cette manifestation permet, tous les ans, de faire le point sur l’actualité de la profession, ses enjeux du moment et les projets de l’association. En ouvrant cette édition, Paul-Olivier Gibert, président de l’AFCDP, a pu se réjouir du retour d’un certain dynamisme tant pour l’association que pour l’événement après la crise sanitaire.

Comme il l’a indiqué, l’AFCDP entend continuer en 2023 de porter la voix de la profession de DPO. Au delà de ce rôle de porte-parole, l’association veut rester le lieu où les DPO peuvent construire des outils et des méthodes pour leur efficacité professionnelle au travers des groupes de travail. Deux points particuliers sont actuellement des sujets de préoccupation pour les DPO : les transferts internationaux (notamment dans le Cloud) et l’évolution de la réglementation européenne sur le patrimoine de données. Comme, au titre du RGPD, les entreprises détenant des données personnelles sont tenues d’en assurer la sécurité et la confidentialité, la cybersécurité s’invite de plus en plus au menu des préoccupations du DPO.

L’ANSSI dénonce l’incurie des victimes

« Le destin de l’ANSSI est lié à celui des DPO »

Si, de l’aveu même de Emmanuel Naegelen, directeur adjoint de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), cette agence ne se préoccupait guère des DPO jusqu’à présent, cela devrait changer. « Nous avons des relations intenses avec la CNIL mais, de fait, le destin de l’ANSSI est lié à celui des DPO » a ainsi admis Emmanuel Naegelen. Si la « chose abjecte inimaginable il y a quelques années », à savoir l’attaque d’hôpitaux, est de plus en plus fréquente, cela scelle la relation entre le DPO, gardien des données personnelles (en l’occurrence de santé), et le RSSI. Emmanuel Naegelen laisse poindre un certain agacement : « certes, la menace cyber s’accroît et se perfectionne mais, si elle se réalise souvent, ce sont toujours les mêmes faiblesses qui sont exploitées. » Pour lui, l’angle juridique peut être un précieux levier pour pousser les entreprises à adopter enfin de bonnes pratiques : « la communauté des DPO constitue un puissant relai pour diffuser les messages sur la cybersécurité. »

Les attaques peuvent être menées par des Etats ou des organisations associées. En tel cas, elles sont en général ciblées, persistantes et visent avant tout à l’espionnage. La démocratisation de cette menace dans des pays faiblement développés du point de vue informatique est liée à l’émergence d’une industrie, au sens commercial du mot, avec des éditeurs comme NSO Group. Cette entreprise s’appuie sur 700 ingénieurs quand l’ANSSI ne dispose que de 600 collaborateurs. De plus, les attaques visent de plus en plus des sous-traitants des industries réellement ciblées, en général plus fragiles. Ce sujet sera d’ailleurs au menu d’un prochain Club Hacktiv’Talk. 

Secouer les victimes

Les cybercriminels aussi s’industrialisent comme le Panocrim 2023 du Clusif l’a récemment pointé.  Ces industriels du cybercrime font de la « pêche au chalut » inverse des attaques ciblées des Etats. Ces attaques à spectre large touchent essentiellement les organisations les moins protégées : hôpitaux, petites collectivités, TPE… Les cybercriminels ont également été en mesure de paralyser deux états : le Monténégro et le Costa Rica. L’objectif de leurs attaques n’est plus tellement de chiffrer et de demander des rançons mais plutôt de collecter des données à revendre ou d’effectuer du chantage à la divulgation ou encore d’utiliser des données dans des attaques futures. L’ANSSI se prépare à une mutation en étendant son action à des services (à l’image de Cybermalveillance.gouv.fr). Chaque préfet, désormais, dispose d’un référent cybersécurité et des CISRT régionaux se développent pour relayer les actions de l’ANSSI au niveau local. A la manière du RGPD qui a changé la dimension de la CNIL, l’ANSSI devrait voir son action amplifiée grâce aux nouveaux textes européens comme la directive NIS 2.

Pour le criminologue Alain Bauer, il existe une troisième catégorie d’attaquants : les imbéciles aux gros sabots. « Si vous répondez à un mail d’une veuve nigériane qui veut vous offrir dix millions de dollars mais qui a besoin pour cela de votre IBAN, votre cas est désespéré » a-t-il ainsi tranché. Il a ajouté : « 99 % des attaques sont faites par des cons pour des cons. » Pour lui, sanctionner les victimes qui n’appliquent pas les règles basiques peut être éducatif mais cela ne change rien pour les criminels. Il estime que le plus important est de se réarmer contre la cybercriminalité : « depuis 1970, il y a des travaux sur les fraudes bancaires rendues possibles ou plus faciles avec l’informatique. Les premières mesures datent de 2005… » La bêtise demeure bien la meilleure alliée des cybercriminels. « On hurle à l’espionnage par les Etats, on veut limiter les capacités d’enquête au nom des libertés publiques, mais la diffusion volontaire d’informations sur Facebook est la première source d’espionnage » a dénoncé Alain Bauer.