Un jeu de questions-réponses avec François-Vincent Xavier. A la fois CISO et DPO chez Oodrive, évoluant par conséquent dans un milieu dont le cœur de métier est la donnée, il retrace pour IT Social, le parcours d’une entreprise pour protéger les contenus sensibles.
Aujourd’hui CISO (Chief Information Security Officer) et DPO (Data Protection Officer), François-Xavier Vincent est en charge de la sécurité de l’information d’un côté et de la sécurité des données de l’autre. La fonction de DPO exige une certaine autonomie et indépendance de la personne qui en a la charge. Et donc l’on serait ne droit d’être étonné que le CISO puisse être à la fois DPO, être juge et partie en somme. A cette interrogation, François-Vincent Xavier répond « J’ai moi-même posé la question à la CNIL quand le poste de DPO m’a été proposé car qui mieux que la Commission pouvait statuer sur un tel sujet ? Elle considère que mon cas est particulier car je suis directement rattaché à la Direction dans le cadre de ma fonction de DPO. Et parallèlement je ne suis pas dans l’IT opérationnelle et ni dans le commerce, je possède les ressources nécessaires pour réaliser ma tâche tout en restant indépendant des autres départements. Il m’est donc possible de mener de manière légitime et respectueuse le rôle de DPO, autrement dit contrôler le bon usage des données personnelles, tout en conseillant et accompagnant les métiers sur le sujet… et en étant garant du respect du RGPD. Cette dualité dépend également de la façon dont on exécute son rôle de RSSI. Dans mon cas, je définis la loi en termes de sécurité et j’en contrôle l’application mais ce n’est pas moi qui mets l’ensemble en œuvre. A aucun moment, en tant que CISO ou DPO, je ne juge mon groupe de travail. »
Comment devenir DPO ?
DPO est une fonction officielle devenue nécessaire et obligatoire au sein des entreprises depuis le RGPD. Mais il n’y a aucun diplôme de DPO même si des formations existent. Alors comment savoir qu’un DPO est DPO en quelques sortes, qu’il est apte à bien remplir sa mission ? « Rappelons que la moitié du RGPD est également la sécurité de l’information et donc naturellement j’ai un partenariat étroit avec le service juridique car sur la partie technique j’ai les compétences nécessaires et suffisantes. Même si je les ai acquises sur la partie juridique, il y a toujours des sujets plus pointus qui rendent indispensable l’échange avec les experts de ce domaine. Si un DPO vient du monde juridique, c’est le même souci pour lui sur la partie technique. Il doit nouer un étroit partenariat sur les questions techniques avec l’expert de son entreprise sur les aspects techniques les plus pointus de l’application du RGPD. ».
D’une façon générale, « pour devenir DPO, il faut s’intéresser au sujet, avoir une appétence naturelle pour et bien entendu avoir lu le RGPD. Il faut être également déclaré à la CNIL comme DPO de son entreprise. Depuis peu, il y a une certification officielle (première des certifications existantes validée par la CNIL) qui provient de l’AFNOR que l’on peut passer. Cette certification permet de confirmer que l’on ait le bon niveau d’expertise dans le domaine. On apprend aussi avec ses pairs en faisant partie d’associations comme l’AFCDP. Il y a également beaucoup de « Learning by doing ». »
Traitement des informations à diffusion restreinte
Comment traiter et gérer des informations du niveau « diffusion restreinte » ? Sans relever du Confidentiel Défense, une entreprise peut avoir à traiter de façon respectueuse et discrète certaine information. L’ANSSI a publié un guide sur la question, le II901 (Instruction Interministérielle 901) qui explique en détail comment construire des Systèmes d’Information (SI) susceptibles de traiter des informations estampillées « niveau de diffusion restreinte ». Il concerne le traitement électronique de ces informations avec le bon niveau de protection. Mais lorsqu’à été rédigé ce guide, le Cloud n’existait pas encore. Alors, comment exploiter une infrastructure Cloud contemporaine tout en respectant un tel niveau confidentialité des données ?
« Avoir une solution qualidfiée SecNumCloud peut être le premier pas. La société Oodrive obtient la qualification SecNumCloud délivrée par l’ANSSI en janvier 2019. Un engagement de l’Etat sur le niveau de confiance de la solution. Une solution qui assure la sécurité du traitement des données dans le Cloud. Mais cela ne suffit pas, il faut avoir également autour un écosystème informationnel cohérent pour gérer cette information, à savoir un ordinateur connecté au réseau avec le bon niveau de confiance comme un réseau qui soit également doté du bon niveau de confiance ...
En fait pour être conforme II901, il faut homologuer son système auprès des instances en charge. Mais si ce SI évolue en rajoutant par exemple une brique Cloud externalisée chez un opérateur Cloud, il faut refaire une analyse de risquse sur le système ainsi modifié et discuter avec son fournisseur Cloud qui doit fournir les éléments de preuve de la confiance. Cela peut être différents audits et certifications, ISO 27001, HDS (Hébergeur Données Santé), SecNumCloud ... Plus il y aura de certifications plus ce sera simple de prouver que le nouveau SI est fiable tel que le considère le II901. »
Quel circuit pour sécuriser les données sensibles ?
Dans un premier lieu, il nécessaire d’instaurer une politique de sécurité. Ce qui correspond à identifier les différents rôles. Puis en fonction de la stratégie d’entreprise -et des rôles en question-, définir quelles sont les données sensibles. Car avant de parler d’outils, il faut établir des processus qui aident à identifier puis à ressortir ces informations dites sensibles du lot. L’analyse de risques donnera une idée du niveau de Sécurité à atteindre soit :
- Confidentialité : qui a le droit d’y accéder et pourquoi faire
- Disponibilité : le besoin d’information sous quel délai
- Intégrité : l’information dont on a besoin a été modifiée ? A-t-elle le bon niveau de qualité qui permettra de l’utiliser comme on en a besoin.
Il est à noter que le contrôle d’accès (mesures à base de certificat, double authentification ... adaptées à l’environnement du moment -PC, tablette ou mobile ...-) est une condition indispensable au maintien de la chaîne de confiance, confidentialité, disponibilité et intégrité des données. Puis arrive le choix des outils, solutions à mettre en place pour répondre aux besoins de sécurité qui ont été définis suite à l’analyse de risques : chiffrement, signature électronique, stockage distribué ...
« La sécurité n’est pas un état ou le résultat de « solutions » matérielles, mais un processus en perpétuelle évolution. Les besoins en sécurité évoluent dans le temps également (modification de l’environnement informatique, évolution du business de l’entreprise donc modification de l’analyse risque ...) » conclut Français-Vincent Xavier