Posted by Eléonore Scaramozzino, Avocate
La CNIL a publié un projet de modèle dit de maturité proposant un cadre en 5 niveaux d’évolution en continue des processus de gestion de la protection des données. L’objectif est de transposer la notion de niveaux de maturité à la gestion de la protection des données à caractère personnel. Alors que la conformité vise les traitements de données à caractère personnel, la maturité vise, quant à elle, des activités liées à la protection des données. Le projet de modèle de maturité appliqué à la protection des données est issu du modèle de maturité de sécurité des systèmes d’information (SSI).
Modèle de maturité SSI
Evaluation de la maturité de la sécurité des systèmes d’information (SSI) en 5 niveaux
L’approche d’évaluation de la maturité des SSI s’inspire de la norme ISO/IEC/21827, Technologie de l’information-Techniques de sécurité-Ingénierie de sécurité système-Modèle de maturité de capacité L’objectif d’une évaluation du niveau de maturité est de déterminer les actions et outils correspondant aux réels enjeux de sécurité et donc à l’élaboration d’un plan d’action pour atteindre le niveau adéquat. Cette norme définit 5 niveaux de maturité dits cumulatifs de la gestion de la SSI. Ils représentent la manière dont une organisation exécute, contrôle, maintient et assure un suivi d’un processus. Ces niveaux définissent une échelle permettant de mesurer la maturité du processus logiciel d’une organisation.
Ces niveaux s’appliquent aux processus SSI qui, d’une manière générique, sont les suivants :
- les processus de pilotage de la SSI, qui permettent de diriger et contrôler la SSI ;
- les processus SSI opérationnels, qui constituent les “processus métiers” de la SSI.
Le plan d’action consistera alors à définir les actions à mener et les ressources à allouer afin d’atteindre le niveau adéquat de maturité SSI. Le “bon” niveau de maturité SSI n’est pas le plus élevé, mais le niveau adéquat au regard des besoins opérationnels et des menaces qui pèsent sur le SI.
Autodiagnostic
Ce niveau adéquat de maturité SSI (pratique informelle, pratique répétable et suivie, processus définis, processus contrôlés et processus continuellement optimisés) est déterminé via un autodiagnostic de 12 questions (3 questions permettent d’évaluer le niveau des conséquences potentielles, 3 visent à définir la sensibilité du patrimoine informationnel, 3 sont relatives au degré d’exposition aux menaces, et 3 ont trait à l’importance des vulnérabilités).
1/Détermination du niveau des conséquences potentielles
| Adhérence au système d’information | Niveau des impacts internes : conséquences internes d’un sinistre SSI | Niveau des impacts externes: conséquences externes d’un sinistre SSI | |
| 0 | SI accessoire à l’accomplissement des missions | négligeables | négligeables |
| 1 | SI utile à l’accomplissement des missions | significatives | significatives |
| 2 | SI nécessaire à l’accomplissement des missions | graves | graves |
| 3 | SI vital à l’accomplissement des missions | fatales | fatales |
Le niveau des conséquences potentielles est égal à la valeur maximale des trois réponses
2/Détermination du niveau de la sensibilité du patrimoine
| Besoins de disponibilité : importance de la disponibilité du SI | Besoins d’intégrité : importance de l’intégrité des données dans le cadre de l’activité | Besoins de confidentialité : importance de la confidentialité dans l’activité : compromission d’information | |
| 0 | Inaccessibilité des SI ne gêne pas l’activité | Altération ne gêne pas l’activité de manière significative | ne gêne quasiment pas l’activité |
| 1 | Perturbe l’activité de manière significative | Altération perturbe l’activité de manière significative | perturbe l’activité de manière significative |
| 2 | jugée comme grave pour l’activité | Altération est jugée comme grave pour l’activité | jugée comme grave pour l’activité |
| 3 | peut-être fatale pour l’activité | Altération peut-être fatale pour l’activité | peut-être fatal pour l’activité |
La sensibilité du patrimoine informationnel est égale à la valeur maximale des trois réponses
3/Détermination du niveau du degré d’exposition aux menaces
| Fréquence des incidents SSI | Degré de motivation des attaquants | Moyens des attaques | |
| 0 | Les sinistres SSI (vécus ou imaginables) sont rarissimes (moins d’une fois par an) | Une attaque SSI ciblée sur le périmètre est relativement inimaginable | Les attaquants potentiels ne disposent que de faibles moyens |
| 1 | Plusieurs sinistres SSI dans l’année | Attaque jugée faible | Ils peuvent disposer de moyens significatifs |
| 2 | Plusieurs sinistres SSI par trimestre | Attaque jugée forte | Ils peuvent disposer de moyens importants |
| 3 | Plusieurs sinistres SSI par mois | Attaque peut être très importante | Leurs moyens sont potentiellement illimités |
Le degré d’exposition aux menaces est égal à la valeur maximale des trois réponses
4/Détermination du niveau d’importance des vulnérabilités
| Hétérogénéité du système d’information | Ouverture du système d’information | Variabilité du système d’information : | |
| 0 | Le SI est jugé comme homogène | Le SI n’est pas ouvert | Le SI et son contexte sont jugés stables |
| 1 | Le SI est jugé comme faiblement hétérogène | Il n’est ouvert qu’à des systèmes internes | Le SI et son contexte changent peu |
| 2 | Le SI est jugé comme fortement hétérogène | Il est ouvert à des systèmes externes mais sous contrôle | Le SI et son contexte changent relativement souvent |
| 3 | Le SI est jugé comme extrêmement hétérogène | Il est ouvert à des systèmes externes hors de contrôle | Le SI et son contexte changent très souvent |
L’importance des vulnérabilités est égale à la valeur maximale des trois réponses
Arbre de détermination du niveau adéquat de maturité SSI
Le passage d’un niveau à l’autre de maturité du SSI nécessite l’adoption de mesures, définies dans un plan d’action.
Le projet de Maturité en gestion de la protection des données
8 activités liées à la protection des données à caractère personnel
La CNIL a identifié 8 activités liées à la protection des données, que l’on retrouve dans tout organisme. Ces activités sont sous la responsabilité du DPO, qui agit seul ou avec une équipe en fonction des actions.
Rôle du DPO dans les 8 actions types
L’évaluation du niveau de maturité de la gestion de la protection des données
Ce cadre d’évaluation du niveau de maturité de gestion des données personnelles permet d’élaborer un plan d’action pour passer au niveau supérieur.
La CNIL propose des exemples de chaque niveau de maturité de chaque activité liée à la protection des données.
Sur l’activité de gestion des risques de sécurité, à titre d’exemple la CNIL propose :
