Cet article parle de non-conformité réglementaire suite à un piratage. Le risque de non-conformité réglementaire associé au piratage informatique signifie que votre entreprise se trouve en infraction pour avoir été piratée. Or ceci choque le sens commun. Puisqu’on a l’impression que la victime est le coupable. Et pourtant c’est une réalité.
Dedalus condamnée à 1.5 millions d’euro d’amende pour avoir été piratée
Le 21 avril 2021, au Plessis Robinson, dans les Hauts de Seine, la CNIL a condamné la société DEDALUS à une amende de 1 million et demie d’euro.
Pour avoir laissé fuiter les données médicales de 500.000 français. En ce compris leur groupe sanguin et leur numéro de sécurité sociale. Mais aussi des informations relatives à leurs cancers, contamination au virus du SIDA. Voire grosseses et grosses interrompues. Toutes ces données sont évidemment confidentielles. Du coup, il appartient à l’ensemble des acteurs qui les traitent d’en garantir la confidentalité.
Ainsi, vous ne pouvez pas dire, après avoir été piratés, que c’est un accident. Ou que vous n’en êtes pas responsable. Ou qu’il était impossible de prévoir, de prévenir, d’anticiper sur le risque. Car c’est votre responsabilité en tant qu’entreprise, autant le savoir.
Et l’une des difficultés attachées à cette responsbilité est qu’elle est partagée. Partagée par vos employés, par l’ensemble des personnes individuelles, parfois très nombreuses, qui ont accès à ces données.
La théorie de l’inside job (travail de l’intérieur)
On le sait, par les nombreuses affaires de fuite de données, qu’elles soient accidentelles, le résultat d’une négligence, d’une malveillance ou d’une attaque en règle, l’historique révèle bien souvent un maillon faible. Un employé distrait ou en colère. Un sous-traitant qui n’a pas été informé des risques. Un fournisseur qui a cru bien faire. Une théorie voudrait que dans la plupart des cas, le pirate ait bénéficié de la complicité d’une personne à l’intérieur de l’organisation.
Non-conformité réglementaire suite à un piratage
Et ceci ne porte pas que sur la confidentialité des données. La réglementation, surtout dans le domaine médical, porte aussi sur leur intégrité. C’est-à-dire en gros la traçabilité des événements au sein de l’entreprise. Et même au-delà, sur l’ensemble des activités de l’entreprise.
Si, par exemple, un pirate parvient à prendre le contrôle d’une pompe doseuse et modifie la composition d’un médicament, l’entreprise manufacturière du médicament sera poursuivie. Et pas le pirate en question.
Un problème informatique mais aussi de gestion des ressources humaines
Donc, derrière cette obligation légale de NE PAS se laisser pirater, vous avez un vaste ensemble d’actions à entreprendre. Néanmoins, la sécurisation de vos infrastructures n’en est qu’une toute petite partie.
La formation du personnel, les exercices à mener, les assurances auxuqelles souscrire, les pénalités à prévoir dans les contrats avec vos sous-traitants, la vérification de leurs procédures. C’est un long travail. Qui est én général l’oeuvre conjointe de : le département légal, le départment formation, le département des systèmes informatiques. Le tout piloté (le cas échéant) par le directeur de la QUALITE.
Lire sur les affaires, souvent passionnantes d’ailleurs, de sanctions qui résultent du fait d’avoir été victime d’un piratage est probablement la manière la plus rapide de vous instruire sur le sujet. Vous pouvez également consulter notre formation e-learning sur le sujet : Le risque de non-conformité réglementaire suite à un piratage.
