Les contrats, vus par Gaston Lagaffe, héros du dessinateur Franquin.
Le quotidien Le Temps, dans son article du 15 août 2023 "Comment Fedpol a imprudemment confié des données sensibles à son prestataire Xplain, cyberattaqué" nous indique quelques éléments factuels, hélas bien sûr incomplets, de cette affaire de cybersécurité et aussi cyber-conformité aux lois.
Comment Fedpol a imprudemment confié des données sensibles à son prestataire Xplain, cyberattaqué
Voici comment je "bouche les trous", au meilleur de mon expérience, en référence à d'autres cas similaires observés en Suisse :
1. des DONNÉES de TESTS ont été piratées.
Les données de fedpol (l'Office Fédéral de Police) piratées sur les serveurs informatiques de la société Xplain étaient des données de test issues des données réelles, pour s'assurer par ces tests de la qualité de logiciels développés par Xplain. Les développeurs Xplain, surtout soucieux de réaliser un bon travail de qualité pour la Confédération, ont demandé le plus de données de test possible, les plus récentes, les plus complètes et plus réalistes possibles. Et les ont obtenues par le canal d'un employé Xplain avec double adresse email : une de la Confédération et une de son employeur.
(j'utilise l'indicatif, pas le subjonctif, pour conserver un texte léger et vivant).
2. les données de test sont couvertes par la LPD, la nLPD, les autres lois et ordonnances.
Ces données traitées par fedpol et utiles aux tests étaient bien sûr truffées de données personnelles de personnes physiques (il s'agit du socle de la mission de fedpol). Les données personnelles traitées à des fins de test sont aussi protégées par la LPD, son ordonnance, les réglementations propres aux domaines d'activités ... de la même façon que lors des traitements réguliers, opérationnels (les informaticiens parlent souvent de données "de production" ou "productives").
Pensons aussi à un ou deux autres cas de données "hors production informatique" : les données archivées ou sauvegardées. Elles sont aussi sont protégées ; fort heureusement car sinon l'exemption de données de test ou de sauvegarde des effets de la loi viderait la loi de sa substance.
3. ces données de test de fedpol auraient du être SÉCURISÉES sur les serveurs Xplain
Ces données piratées auraient donc du être protégées, de manière évidente et juridiquement a minima selon la LPD. Plus en détail, la Confédération aurait du protéger ces données de test au niveau contractuel : la LPD rend obligatoire un contrat (i.e. une forme contractuelle) entre la Confédération, qui traite les données du monde réel qui servent de base aux données de test et son sous-traitant Xplain. Ladite forme contractuelle doit prévoir que le sous-traitant Xplain doit assurer la sécurité technique de ces données.
4. manifestement, au moins un maillon de cette chaîne a échoué
Ces données de test ont manifestement été piratées, preuve qu'elles n'étaient pas (assez bien) sécurisées. Par exemple, et sans ordre de priorité :
- elles n'étaient pas anonymisées, c'est-à-dire rendues anonymes, tout en conservant leur caractéristiques spécifiques pour la validité des tests. Cela aurait été une des meilleures sécurisations, difficile à effectuer cependant sur un faible volume de données
- elles n'ont même pas été pseudonymisées, à défaut d'anonymisation, ce qui était forcément praticable avec les ressources adéquates
- elles ont été transmises par simple transfert entre deux adresses email, sans sécurité spécifique. (même si le piratage a eu lieu après le transport par email des données)
- elles n'étaient probablement pas chiffrées sur les systèmes de test ; d'ailleurs les systèmes productifs cible, reflet des systèmes de test, chiffrent-ils bien les données productives ?
- les systèmes de test étaient accessibles en ligne : était-ce bien nécessaire de les exposer ainsi aux vents et tornades d'internet, pour des tests uniquement ?
- enfin ces données de test n'ont pas été effacées de façon irrémédiable une fois les tests effectués.
Plusieurs précautions, parmi celles ci-dessus et d'autres car elles ne sont pas exhaustives, assez reconnues de cybersécurité n'ont donc pas été respectées par Xplain.
En parallèle, la Confédération, et c'est une des questions qui reste sans réponse à ce jour, a-t-elle pour sa part respecté son obligation essentielle : s'assurer a minima par contrat que les traitements par le sous-traitant Xplain des données qui lui sont confiées sont bel et bien sécurisés par Xplain ?
Comme la Confédération vient d'écrire à plus de 2000 sous-traitants, la réponse à cette question pourrait être "non" ou bien "pas complètement", ou bien "mais sans le vérifier dans la pratique".
Deux mille lettres est un beau début de réaction, qui ne résoudra cependant pas les défauts (ou absence) de ces clauses contractuelles ou les défauts de maturité de cybersécurité des sous-traitants.
5. et VOUS, pour votre société, avez-vous au moins prévu par contrat prévu la sécurisation des données que vous confiez à vos sous-traitants ?
Et le contrôle régulier de ces clauses contractuelles ?