Autoévaluation de maturité en gestion de protection des données : projet de la Cnil

Posted by

Eléonore Scaramozzino, Avocate

La CNIL a publié un projet de modèle dit de maturité proposant un cadre en 5 niveaux d’évolution en continue des processus de gestion de la protection des données. L’objectif est de transposer la notion de niveaux de maturité à la gestion de la protection des données à caractère personnel. Alors que la conformité vise les traitements de données à caractère personnel, la maturité vise, quant à elle, des activités liées à la protection des données. Le projet de modèle de maturité appliqué à la protection des données est issu du modèle de maturité de sécurité des systèmes d’information (SSI).

Modèle de maturité SSI

Evaluation de la maturité de la sécurité des systèmes d’information (SSI) en 5 niveaux

 L’approche d’évaluation de la maturité des SSI s’inspire de la norme ISO/IEC/21827, Technologie de l’information-Techniques de sécurité-Ingénierie de sécurité système-Modèle de maturité de capacité L’objectif d’une évaluation du niveau de maturité est de déterminer les actions et outils correspondant aux réels enjeux de sécurité et donc à l’élaboration d’un plan d’action pour atteindre le niveau adéquat. Cette norme définit 5 niveaux de maturité dits cumulatifs de la gestion de la SSI. Ils représentent la manière dont une organisation exécute, contrôle, maintient et assure un suivi d’un processus. Ces niveaux définissent une échelle permettant de mesurer la maturité du processus logiciel d’une organisation.

Ces niveaux s’appliquent aux processus SSI qui, d’une manière générique, sont les suivants :

  • les processus de pilotage de la SSI, qui permettent de diriger et contrôler la SSI ;
  • les processus SSI opérationnels, qui constituent les « processus métiers » de la SSI.

Le plan d’action consistera alors à définir les actions à mener et les ressources à allouer afin d’atteindre le niveau adéquat de maturité SSI. Le « bon » niveau de maturité SSI n’est pas le plus élevé, mais le niveau adéquat au regard des besoins opérationnels et des menaces qui pèsent sur le SI.

Autodiagnostic

Ce niveau adéquat de maturité SSI (pratique informelle, pratique répétable et suivie, processus définis, processus contrôlés et processus continuellement optimisés) est déterminé via un autodiagnostic de 12 questions (3 questions permettent d’évaluer le niveau des conséquences potentielles, 3 visent à définir la sensibilité du patrimoine informationnel, 3 sont relatives au degré d’exposition aux menaces, et 3 ont trait à l’importance des vulnérabilités).

1/Détermination du niveau des conséquences potentielles

 Adhérence au système d’informationNiveau des impacts internes : conséquences internes d’un sinistre SSINiveau des impacts externes: conséquences externes d’un sinistre SSI
0 SI accessoire à l’accomplissement des missions négligeablesnégligeables
1SI utile à l’accomplissement des missionssignificativessignificatives
2SI nécessaire à l’accomplissement des missionsgravesgraves
3SI vital à l’accomplissement des missionsfatalesfatales

Le niveau des conséquences potentielles est égal à la valeur maximale des trois réponses

2/Détermination du niveau de la sensibilité du patrimoine

  Besoins de disponibilité : importance de la disponibilité du SIBesoins d’intégrité : importance de l’intégrité des données dans le cadre de l’activitéBesoins de confidentialité : importance de la confidentialité dans l’activité : compromission d’information
0 Inaccessibilité des SI ne gêne pas l’activitéAltération ne gêne pas l’activité de manière significativene gêne quasiment pas l’activité
1Perturbe l’activité de manière significativeAltération perturbe l’activité de manière significativeperturbe l’activité de manière significative
2jugée comme grave pour l’activitéAltération est jugée comme grave pour l’activitéjugée comme grave pour l’activité
3peut-être fatale pour l’activité Altération peut-être fatale pour l’activitépeut-être fatal pour l’activité

La sensibilité du patrimoine informationnel est égale à la valeur maximale des trois réponses

3/Détermination du niveau du degré d’exposition aux menaces

 Fréquence des incidents SSIDegré de motivation des attaquantsMoyens des attaques
0 Les sinistres SSI (vécus ou imaginables) sont rarissimes (moins d’une fois par an)Une attaque SSI ciblée sur le périmètre est relativement inimaginableLes attaquants potentiels ne disposent que de faibles moyens
1Plusieurs sinistres SSI dans l’annéeAttaque jugée faibleIls peuvent disposer de moyens significatifs
2Plusieurs sinistres SSI par trimestreAttaque jugée forteIls peuvent disposer de moyens importants
3Plusieurs sinistres SSI par moisAttaque peut être très importanteLeurs moyens sont potentiellement illimités

Le degré d’exposition aux menaces est égal à la valeur maximale des trois réponses

4/Détermination du niveau d’importance des vulnérabilités

 Hétérogénéité du système d’informationOuverture du système d’informationVariabilité du système d’information :
0 Le SI est jugé comme homogèneLe SI n’est pas ouvertLe SI et son contexte sont jugés stables
1Le SI est jugé comme faiblement hétérogèneIl n’est ouvert qu’à des systèmes internesLe SI et son contexte changent peu
2Le SI est jugé comme fortement hétérogèneIl est ouvert à des systèmes externes mais sous contrôleLe SI et son contexte changent relativement souvent
3Le SI est jugé comme extrêmement hétérogèneIl est ouvert à des systèmes externes hors de contrôleLe SI et son contexte changent très souvent

L’importance des vulnérabilités est égale à la valeur maximale des trois réponses

Arbre de détermination du niveau adéquat de maturité SSI

Le passage d’un niveau à l’autre de maturité du SSI nécessite l’adoption de mesures, définies dans un plan d’action.

Le projet de Maturité en gestion de la protection des données

8 activités liées à la protection des données à caractère personnel

La CNIL a identifié 8 activités liées à la protection des données, que l’on retrouve dans tout organisme. Ces activités sont sous la responsabilité du DPO, qui agit seul ou avec une équipe en fonction des actions.

Rôle du DPO dans les 8 actions types

L’évaluation du niveau de maturité de la gestion de la protection des données

Ce cadre d’évaluation du niveau de maturité de gestion des données personnelles permet d’élaborer un plan d’action pour passer au niveau supérieur.

La CNIL propose des exemples de chaque niveau de maturité de chaque activité liée à la protection des données.

Sur l’activité de gestion des risques de sécurité, à titre d’exemple la CNIL propose :

Laisser un commentaire