Trame d'entretien suite atteinte en confidentialité

Après une atteinte en confidentialité, il convient de faire un état de la gravité de ce qui a fuité pour apporter les bonnes réponses. Cet entretien est réalisé en général par le RSSI. Quand ce n'est pas le cas, si le niveau de sensibilité des données concernée le justifie, la personne qui le réalise (en général un personnel de la DSI) peut exiger qu'il prenne le relais.

A quoi sert cet entretien ?

Si des indices en faveur d’une compromission ou d’une exposition non maitrisée de données sont rapportés, il convient d’interviewer la victime pour :

  • lui faire prendre pleinement conscience des enjeux de la compromission car il n’est pas si évident de réaliser toutes les conséquences d’une atteinte en confidentialité. C’est indispensable pour qu’elle prenne les bonnes décisions suite à la compromission.
  • la conseiller sur les mesures de réduction des conséquences à postériori.
  • se remettre en conformité réglementaire (exemple informer les personnes dont des données à caractère personnel auraient été compromises, satisfaire l’obligation d’information qui serait liée à un accord de confidentialité sur les données concernées,…)

Dans quels cas ?

Chaque fois que des données ont été compromises ou même si elles ont été exposées sans maitrise. La liste des cas n’est pas exhaustive, mais elle donne une indication de ce qui doit attirer l’attention.

  1. Vol d’un poste de travail (les personnes stockent beaucoup de données sur les postes)
  2. Exposition accidentelle (exemple un dossier confidentiel a été rendu visible suite à une erreur de manip dans les droits d’accès), Pire, il a été indexé par Google.
  3. Un spyware a été trouvé sur un poste ou un serveur contenant des données confidentielles,

Evaluation

Il convient d’évaluer d’une part la sensibilité des données exposées, d’autre part la menace que celles-ci soient exploitées à nos dépends.
Les vols de postes de travail sont toujours traités comme des incidents de SSI, il peut être utile d’évaluer si un vol était motivé par la valeur du matériel ou s’il ciblait les données, toutefois il est en général impossible d’apporter une preuve dans ce domaine.
Les données étaient-elles chiffrées ? Si oui, les clés sont-elles bien protégées

Quel sont les types de données concernées ?

  • aviez-vous des travaux de recherche, non encore publiés ?
  • des données liées à de la propriété intellectuelle, par exemple des données destinées à un dépôt de brevet ou une publication payante ?
  • des données dont la divulgation pourraient entrainer un dommage pour un partenaire de l'établissement, en particulier celles pour lesquelles vous pourriez avoir signé un engagement de non divulgation ?
  • des données liées aux activités d'une ZRR ?
  • des données protégées par la loi informatique et libertés (données à caractère personnel sur des étudiants, ou sur une cohorte de personnes étudiée dans des travaux de recherche, listing de personnels, ...) ?
  • des données de santé ?
  • des sujets de contrôle continu, de concours ou d'examens ?
  • des dossiers de sélection de personnes pour des recrutements, des évaluations ou des concours (CV, lettres de motivations, copies en cours de correction, entretiens professionnels ...)
  • des données techniques permettant d'accéder à des ressources protégées (mots de passe, système d'authentification pour l'accès à des services de l'université ou des services de prestataires tels que des équipements scientifiques, l'accès à des bases de données, ...) dans le cas d’un vol de PC, penser à toutes données qui sont dans la corbeille ou dans les fichiers temporaires créés par des applicatifs comme les suites bureautiques.
  • des certificats cryptographiques (clés privées SSH ou certificats personnels)

La liste est longue mais pas exhaustive, elle est destinée à illustrer par l'exemple ce qui peut constituer des enjeux de confidentialité. Au besoin, on pourra s’aider de l’échelle de sensibilité en confidentialité (même si en théorie ces questions auront été abordées dès la production des informations confidentielles).

Les conseils aux victimes

Il convient de considérer que tous les mots de passe manipulés depuis un poste de travail sont potentiellement exposés. La victime doit changer tous ses mots de passe professionnels. C’est aussi très conseillé pour les mots de passe personnels (mail privé, compte de réseau sociaux, comptes bancaires, compte sur des sites marchands). La personne est invitée à surveiller toute activité anormale sur ses comptes.
Le RSSI sera informé dès lors que les soupçons sont importants. Si des données relevant de ZRR sont concernées, le chef de ZRR et le FSD seront informés par le RSSI. Si des données protégées par le RGPD sont concernées, la DPO sera informée.

Intégrité

Il n’est pas inutile de prolonger l’entretien sur l’aspect intégrité des données. Aider la personne à mesurer la perte du fait de l’imperfection des sauvegardes

Mis à jour le 15/11/2021 - 15:28:09