object.title
ISO 27001 et GDPR : Similitudes, opportunités et mutualisation

Par Cedric C., Consultant Cybersécurité

Lors du Forum International sur la Cybersécurité (FIC), une conférence a attiré mon attention : « ISO 27001 & the GDPR: Identifying Overlap and Streamlining Efforts », par OneTrust. Durant mon parcours professionnel, j’avais en effet déjà relevé des similitudes et des opportunités certaines entre ces deux sujets d’importance pour les entreprises au vu des nombreux enjeux sous-jacents. Le format des conférences n’ayant pas permis d’avoir tous les éclairages souhaités, J’ai souhaité approfondir le sujet et formaliser mes idées et analyses au travers de la rédaction de cet article.

La mise en conformité durable au GDPR des processus d’une organisation peut être particulièrement consommatrice en temps et en ressources humaines, tout comme initier une démarche de conformité à l’ISO 27001 pour la mise en place d’un Système de Management de la Sécurité de l’Information. Une mutualisation des efforts entre équipes sécurité et équipes privacy s’avère non seulement pertinente mais est surtout recommandée pour optimiser les ressources et liées aux démarches de mise en conformité, notamment en termes de processus, de méthodologies ou encore d’outils. Les objectifs et certains principes directeurs sont en effet, sinon les mêmes, très proches et liés. Attention cependant : une conformité ISO 27001 ne garantit pas une conformité GDPR.

Piqûre de rappel

RGPD

Le RGPD (Règlement Général sur la Protection des Données, ou, en anglais GDPR pour « General Data Protection Regulation »), entré en vigueur le 25 mai 2018, encadre les traitements des données personnelles des résidents de l’Union Européenne. Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant en élargissant leurs droits (information, accès, consultation, rectification, suppression).

Il harmonise les règles en Europe via un cadre juridique unique et exige des entreprises concernées et de leurs sous-traitants, notamment sous la menace de lourdes sanctions financières en cas de non-respect (de 10 à 20 millions d’euro ou 2 à 4% du Chiffre d’Affaires mondial), une prise en compte et une intégration de la sécurité dans tout le cycle de vie des données personnelles, de la collecte à l’effacement. Il introduit dans l’entreprise les rôles de Responsable de Traitement et de Délégué à la Protection des Données.

La norme ISO/CEI 27001:2013

L'ISO 27001 spécifie formellement un Système de Management de la Sécurité de l'Information (SMSI) qui correspond à un ensemble d'activités concernant la gestion des risques liés à la sécurité de l'information. Le SMSI est un cadre de gestion global à travers lequel l'organisation identifie, analyse et traite ses risques liés à l'information. Le SMSI garantit que les mesures de sécurité sont affinées pour suivre le rythme des modifications des menaces, des vulnérabilités et des impacts. La norme couvre tous les types d'organisations (entreprises commerciales, agences gouvernementales, organisations à but non lucratif, …), toutes les tailles (des micro-entreprises aux grandes multinationales), et toutes les industries ou tous les marchés (la vente au détail, la banque, la défense, les soins de santé, l'éducation, le régalien, …).

L'ISO 27001 n'impose pas de mesures de sécurité spécifiques car celles-ci peuvent varier considérablement d’une organisation à une autre. Les organisations souhaitant adopter la démarche décrite dans l'ISO 27001 sont libres de choisir les mesures s’appliquant à leur périmètre, en s'inspirant de ceux répertoriés dans l’annexe A de la norme (et détaillées dans l’ISO 27002) et en les complétant éventuellement par d'autres mesures issues d’autre référentiels. La clé de la sélection des mesures applicables consiste à entreprendre une appréciation complète des risques liés à l'information de l'organisation, qui est un élément essentiel du SMSI.

Objectifs ISO 27001 et GDPR

Passons rapidement en revue les objectifs respectifs liés à ces deux standards, qui s’insèrent dans une démarche d’amélioration continue :

  • L’objectif de l’ISO 27001 est de sécuriser l’information c’est-à-dire de protéger l’organisme des atteintes liées à son patrimoine informationnel ;
  • L’objectifs du GDPR est de protéger la vie privée, c’est-à-dire de protéger les personnes des atteintes liées à leurs données personnelles.

Il faut cependant rappeler que l’objectif de sécurisation de son patrimoine informationnel est à la discrétion de l’organisme souhaitant protéger ses actifs (la norme ISO 27001 décrivant la démarche la plus reconnue pour l’inscrire dans la durée et au travers d’un cercle vertueux qu’est le PDCA), alors que le GDPR est contraignant légalement : toute entreprise traitant de données personnelles entrant dans son périmètre d’application est dans l’obligation de les protéger de manière pertinente et appropriée, eu égard aux traitements et à la sensibilité de ces données.

Le lien entre les objectifs mentionnés est plutôt clair, malgré des finalités différentes : la protection des données, que celles-ci soient personnelles et qu’elles aient été confiées par les individus (clients, prospects, salariés, …) à l’organisme dans le cadre d’une nécessité inhérente au fonctionnement de l’organisme (traitements RH par exemple), ou pour permettre à un organisme d’assurer un service, une prestation (données personnelles pour un abonnement, une vente, …) ; Ou bien qu’elles soient techniques (données métier, financières, processus, savoir-faire, procédés secrets…) et dont le but est en général de permettre à l’organisme d’assurer ces dits services et prestations.

Fort logiquement, les principes de protection des données sont pertinents que l’on soit dans un cas ou dans l’autre, pour protéger l’organisme comme la vie privée des individus. La logique de mutualisation des efforts, qu’ils soient humains, organisationnels ou techniques est donc évidente et particulièrement souhaitable.

Similitudes et opportunités

Critères de sécurité et appréciation des risques : l’immuable D I C !

Prenons le temps de développer ce qui a été évoqué quelques lignes plus haut. On ne peut parler de protection des données sans aborder les concepts fondamentaux de la sécurité de l’information que sont la disponibilité, l’intégrité et la confidentialité. Il est donc naturel que la norme ISO 27001 comme le GDPR évoquent ces concepts essentiels.

Le chapitre 6.1.2 de la norme ISO 27001 va droit au but, expliquant que « l’organisation doit définir et appliquer un processus d’appréciation des risques » pour « identifier ceux liés à la perte de confidentialité, d’intégrité et de disponibilité des informations entrant dans le périmètre du SMSI » et en identifier les propriétaires.

L’article 5 du GDPR, définissant les principes relatifs au traitement des données à caractère personnel, évoque déjà (parmi les nombreux concepts de licéité, de loyauté, de transparence ou encore de finalités limitées), l’intégrité et la confidentialité des données.  L’article 32 consacré à la sécurité des traitements va logiquement plus loin : le responsable de traitement et ses possibles sous-traitants doivent mettre en œuvre des mesures permettant de « garantir un niveau de sécurité adapté au risque » et, « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ». Y sont d’ailleurs abordés sans détour la pseudonymisation et le chiffrement, eu égard à leur efficacité reconnue. En cas de défaillance, ceux-ci doivent mettre en œuvre des « moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ».

Contrairement à l’ISO 27001 où l’analyse des risques du périmètre certifiable est un des éléments indispensables pour démarrer la mise en œuvre du SMSI, le GDPR exige une analyse de risque (AIPD, pour Analyse d’Impact relative à la Protection des Données, ou, en anglais : PIA pour Privacy Impact Assessment) en cas de traitement sensible et/ou sur lesquels il existe un risque élevé pour les droits et libertés des personnes physiques (données de santé, géolocalisation à large échelle, données biométriques, surveillance constante d’employés, personnes vulnérables, …)[1].

Les méthodes d’appréciation des risques en vigueur, les outils supportant ces méthodes (qu’il s’agisse de feuilles Excel ou de logiciels spécialisés reconnus sur le marché) et les processus encadrant la pratique sont plutôt facilement mutualisables entre les équipes sécurité et privacy, pour une large partie fonctionnelle.

Documentation formelle et pérenne

Une mise en conformité au GDPR tout comme une démarche de certification ISO 27001 requièrent de passer dans l’entreprise d’une culture de l’oral à une culture de l’écrit et s’inscrivent souvent dans une vraie logique de conduite du changement avec toute la gestion que cela entraîne. La conception et la formalisation de processus optimisés au fil du temps, cadrant les façons de faire et changeant souvent des manières de travailler informelles voire artisanales est une nécessité absolue pour la réussite des deux projets.

 Ainsi, pas moins de 20 processus sécurité liés à l’ISO 27002 sont pris en compte dans la démarche de certification (IAM, BCP, backups, supervision, gestion des vulnérabilités et des incidents, gestion documentaire, supervision, …) et doivent donc être formalisés, diffusés et revus à intervalles réguliers. De plus, l’ISO 27001 exige que l’organisation documente notamment la politique de sécurité (§5.2), les processus d’appréciation (§6.1.2) et de traitement des risques (§6.1.3) - donc les données et leur propriétaire, les objectifs liés à la sécurité (§6.2) ou encore les « preuves des résultats de la surveillance et des mesures » (§9.1).

Le GDPR, lui, demande le maintien d’un registre des activités de traitement par chaque Responsable de Traitement devant notamment comporter « une description des catégories de personnes concernées et des catégories de données à caractère personnel » et « une description générale des mesures techniques et organisationnelles » (Article 30). Selon les types d’organisation et les activités, ce registre peut être important à établir et surtout complexe à maintenir dans le temps.

Dans les deux cas, une GED adéquate et des processus qualité pertinents sont indispensables pour le stockage et le maintien dans le temps de ces documentations, souvent un point faible et pourtant sous-estimé d’organisations.

Gouvernance des données

Les deux thèmes abordés plus haut montrent l’intérêt évident pour les entreprises d’entrer dans une logique de gouvernance des données. Cette notion correspond à l’organisation liée à la mise en œuvre de principes, processus et autres procédures au sein d’une entreprise encadrant la collecte de données et leur utilisation. Une gouvernance avisée des données permettra dès la conception des processus, applications métier et autres services de réduire et donc d’affiner la collecte, les finalités ou encore la durée de conservation, mais également durant le cycle de vie des données, de définir et d’optimiser où, quand voire comment les données sont manipulées, envoyées, stockées, effacées. Ces éléments se relient facilement au GDPR, via la nécessité de tenir le Registre de Traitement évoqué auparavant ou l’exercice des droits de consultation, d’opposition, de rectification et d’effacement de leurs données personnelles par les individus, mais pas seulement.

D’un strict point de vue sécurité, une bonne gouvernance de données suppose une rationalisation et une optimisation des ressources de stockage des données, des garanties techniques en termes d’intégrité et de restriction d’accès à ces données, mais aussi de disponibilité via par exemple la gestion des sauvegardes. Autant d’éléments indispensables dans les démarches de conformité ISO27001 et GDPR.

Security & Privacy by design (and by default)

Dans les deux standards, la prise en compte et l’implémentation de la sécurité doivent se faire au plus tôt dans les processus. C’est d’ailleurs un point fondamental de l’ISO 27001. En effet, il est indiqué dès l’introduction de la norme qu’il faut que « la sécurité de l’information soit prise en compte dans la conception des processus, des systèmes d’information et des mesures » (§0.1). Le point 14.1.1 de l’annexe A évoque également le fait que « les exigences liées à la sécurité de l’information doivent être intégrées aux exigences des nouveaux systèmes d’information ou des améliorations de systèmes d’information existants. »

L’article 25 du GDPR indique, lui, que le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger le droit des personnes concernées, garantir que seules les données nécessaires à une finalité spécifique sont traitées et qu’elles ne sont pas rendues accessibles à un nombre indéterminé de personnes sans le consentement de la personne physique concernée. La confidentialité et donc la gestion des identités et des accès, est donc évoqué ici en filigrane.

Cet article aborde d’ailleurs le fait qu’un « mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées ». La certification la plus évidente est sans ambiguïté l’ISO 27001. Comme l’indique donc le titre de l’article 25, le GDPR signifie que la protection des données est obligatoire dès la conception et par défaut. Une défaillance de la sécurité sera d’ailleurs prise en compte dans le cadre de sanctions infligées par l’autorité de contrôle, ce qui nous amène directement au point suivant.

Notification et gestion des incidents de sécurité

Le GDPR impose dans son article 33 qu’en cas de violation de données, le Responsable du Traitement doit en notifier l’autorité de contrôle compétente et ce par défaut dans les 72h après en avoir pris connaissance, lorsque cette violation peut engendrer un risque pour les droits et libertés des personnes. Dans ce cas il devra aussi en notifier les personnes concernées.

En ne considérant pas les violations de données personnelles, les entreprises n’ont pas obligation de déclarer leurs incidents de sécurité à une autorité (hormis l’obligation légale de notification à l’ANSSI pour les OIV) ou à ses clients. En revanche, il est indispensable dans le cadre d’un SMSI de disposer d’une gestion des incidents liés à la sécurité de l’information, point abordé dans l’annexe A de la norme (A.16).

En termes de processus, le lien est donc évident, l’obligation de notification supposant entraîner mécaniquement la mise en place d’un processus de gestion des incidents. A noter que ce processus peut d’ailleurs être adapté pour traiter les réclamations et les contestations émises par les personnes dans le cadre de l’application de leurs droits légaux.

Gestion et surveillance des sous-traitants

L’importance de la prise en compte et de la gestion des sous-traitants au sein du GDPR est telle qu’une dizaine d’articles parmi la vingtaine composant le chapitre sont consacrés à cette thématique (chapitre 4 - « Responsable du traitement et sous-traitant »).

Les articles 28 et 29, plus particulièrement, abordent les relations entre sous-traitant et responsable de traitement (vérification des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles » du sous-traitant, traitement effectué seulement sur instruction et sous l’autorité du Responsable de Traitement). La tenue d’un registre (30.2), la sécurisation à un niveau adapté au risque (32) tout comme la notification d’une violation de données (33.2) font partie des éléments imposés au sous-traitant et pour lesquels le Responsable de Traitement est directement responsable du contrôle.

Du côté de l’ISO 27001, outre le fait que « l’organisation doit s’assurer que les processus externalisés sont définis et contrôlés » (§8.1), le chapitre 15 de l’annexe A détaille l’intégration de la sécurité dans les relations avec les fournisseurs afin de garantir la protection des actifs qui leurs sont accessibles et de maintenir le niveau de sécurité adéquat dans le temps.

Les efforts et processus liés aux exigences génériques (politique de sécurité, annexes sécurité contractuelles, …) ou au contrôle des fournisseurs (surveillance, vérification, audit) sont bien évidemment mutualisables, que l’on travaille sur une conformité ISO 27001 ou GDPR.

Définition des rôles et des responsabilités

Dans une moindre mesure, car il est moins pertinent d’évoquer une mutualisation des ressources ou des processus dans ce cas, la gouvernance au sein de l’entreprise est un élément commun aux deux textes. Ceux-ci prévoient en effet l’un comme l’autre l’identification des postes clés, la nomination et l’identification claire de ces personnes au sein de l’organisation :

Au sein de l’ISO 27001, par exemple, « La direction doit s’assurer que les responsabilités et autorités des rôles concernés par la sécurité de l’information sont attribuées et communiquées au sein de l’organisation » (§5.3). Il convient donc pour une entreprise de se doter si ce n’est déjà le cas d’un Responsable Sécurité (RSSI) voire d’un Directeur Sécurité (CSO) et d’un responsable du SMSI qui sera chargé de s’assurer que le SMSI est bien conforme à la norme ISO 27001.

Au sein du RGPD, chaque traitement de données personnelles doit être sous la responsabilité d’un Responsable de Traitement, défini comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (Article 4.7).  Il est d’ailleurs bon de rappeler que le Responsable de Traitement est, par défaut et hors délégation sans toutefois s’en affranchir totalement, le chef d’entreprise.

La nomination d’un Délégué à la Protection des Données (DPO) est obligatoire si cela concerne un organisme public ou si l’activité de base de l’organisme « amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions » (Article 34).

Les missions doivent être pleinement définies et formalisées, les niveaux hiérarchiques et les rattachements pertinents au regard de la structure de l’organisation. Cependant de nombreux modèles existent. La taille des entreprises, le nombre de filiales ou d’entités ou encore le mode de gouvernance propre à la culture de l’entreprise détermineront l’organisation la plus adaptée au contexte (un RSSI et un DPO Groupe animant une communauté de RSSI et DPO locaux, délégation à une entité pilote de déterminer et d’expérimenter pour le compte de toutes les entités, …).

Normalisation

Le comité ISO s’est bien sûr emparé de ces sujets de comparaison, de rationalisation voire d’optimisation des thématiques de protection des données : la norme ISO/IEC 27701:2019, publiée en août 2019 vise justement à étendre l’ISO 27001 et l’ISO 27002 au management de la protection de la vie privée en définissant des exigences et des lignes directrices qui permettent d’aller jusqu’à la mise en œuvre d’un Système de Management des Informations Personnelles (PIMS en anglais, pour Privacy Information Management System). Cette norme inclut une mise en correspondance entre :

  • Les principes et le « privacy framework » définis dans l'ISO/IEC 29100 ;
  • L’ISO/IEC 27018 (protection des données personnelles au sein d’un cloud public) ;
  • L’ISO/IEC 29151 (code de bonnes pratiques pour la protection des données personnelles) ;
  • Le RGPD.

Le PIMS étant en quelque sorte un SMSI renforcé, la certification ISO 27701 requiert logiquement au préalable une certification ISO27001 rendant d’ailleurs toujours plus évidente et pertinente la collaboration entre les équipes en charge du SMSI et celles du PIMS. A noter cependant que comme pour une certification ISO 27001, une telle certification ne signifie pas non plus mécaniquement une totale conformité au GDPR mais en est assurément un socle plus que solide.

Conclusion

Comme nous l’avons vu, de nombreux domaines se recoupent entre GDPR et ISO 27001. Abordant tous deux, notamment, la protection des données et donc le domaine de la sécurité de l’information, il est logique que des pans entiers se fassent écho. C’est une véritable opportunité pour les entreprises car là où la conformité au GDPR est obligatoire et nécessite des moyens importants selon les contextes, il est intéressant de pouvoir utiliser, s’approprier et potentiellement adapter des processus, des méthodologies ou des outils existants qui étaient jusqu’alors réservés au domaine de la sécurité de l’information et de leur donner une utilité plus globale. C’est une occasion certaine de faire se rapprocher les équipes privacy et sécurité qui n’ont pas forcément l’habitude de collaborer entre elles. De manière similaire, les équipes techniques et sécurité d’une entreprise souhaitant initier une démarche ISO 27001 peuvent aussi désormais regarder ce qui se fait d’un point de vue conformité GDPR et adapter ce savoir-faire et faciliter la création et l’adoption de processus nécessaires à un SMSI. Les retours d’expérience, les réussites mais aussi les échecs de chacun doivent pouvoir aider au démarrage, à la création et la durabilité des éléments indispensables à une conformité.

Il est important de voir que des chantiers de rationalisation et de mutualisation entre sécurité de l’information et sécurité de la vie privée ont été entrepris au niveau de l’ISO, donnant une portée mondiale à des lignes directrices et des exigences qui sont devenues primordiales pour les sociétés européennes depuis l’avènement du GDPR. Toute démarche visant à unifier les ressources et les méthodes, à en comprendre les similitudes et les différences mais aussi à diffuser mondialement les concepts novateurs du GDPR, leur portée et les changements d’approche et de culture que cela suppose est en effet la bienvenue pour les décideurs comme pour les acteurs opérationnels au vu de la complexité des sujets et de la compréhension fine que cela requiert pour une mise en œuvre efficace.


[1] https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf