La CNIL française demande des recommandations en matière de cybersécurité
Règlement général sur la protection des données (RGPD), normes, réglementations et conformité
Le régulateur publiera un guide destiné aux organisations qui traitent des données à grande échelle
Akshaya Asokan (asokan_akshaya) •
30 août 2023
Le régulateur français des données appelle les opérateurs de bases de données à grande échelle à renforcer leurs cyberdéfenses contre une multitude de menaces, notamment les États-nations et les pirates informatiques sophistiqués capables d’exploiter la chaîne d’approvisionnement ou les failles Zero Day.
Voir également: Webinaire en direct | Démasquer Pegasus : comprenez la menace et renforcez votre défense numérique
Dans une consultation ouverte lundi, la Commission nationale de l’informatique et des libertés – dite CNIL – a désigné les secteurs de l’énergie, des transports, des banques et des assurances, les fournisseurs d’accès à Internet et les agences gouvernementales comme des collecteurs de données sensibles qui doivent être attentifs à la nécessité de protéger leurs données. infrastructure numérique contre les menaces avancées.
La CNIL indique que l’objectif de la consultation est d’établir un ensemble de pratiques de sécurité avancées recommandées pour les organisations engagées dans un traitement de données à grande échelle où une violation de données aurait des conséquences importantes pour les individus, l’État ou la société. La consultation est ouverte jusqu’au 8 octobre. La CNIL compte publier les recommandations l’année prochaine.
La CNIL a ouvert la consultation quelques jours seulement après que Ple emploi a annoncé une faille qui, selon des experts extérieurs en cybersécurité, était le résultat du piratage massif du logiciel de transfert de fichiers MOVEit, fin mai (voir : Des victimes poursuivent des sociétés financières pour violation de données MOVEit). Le fil de presse français AFP a rapporté que la violation aurait probablement touché plus de 10 millions de résidents français.
La CNIL recommande déjà aux organisations de désigner un délégué à la protection et à la sécurité des données, en complément du délégué à la sécurité de l’information et à la protection des données.
L’agence suggère également que les organisations disposent d’une politique de réponse en cas de violation. En plus d’endiguer rapidement toute violation, la politique devrait préciser les exigences de réponse aux risques probables de violation de données, indique la CNIL.