Accueil 5 News 5 Données du secteur social, une priorité pour la protection des citoyens

Données du secteur social, une priorité pour la protection des citoyens

par | 4 Nov 2024

Les organismes du secteur social jouent un rôle crucial dans la protection et le soutien des citoyens. En gérant des informations personnelles sensibles, ils se retrouvent aujourd’hui en première ligne des cyberattaques. Le CERT-FR, dans un rapport récent (18/09/2024), alerte sur l’ampleur de ces menaces et appelle à une mobilisation collective pour protéger ces données. Mais au-delà des questions techniques, ce sont les dimensions humaine, éthique et de souveraineté numérique qui sont en jeu.

Une monnaie d’échange dans l’univers cybercriminel

Les données collectées par les institutions du secteur social, qu’elles soient bancaires, médicales ou sociales, sont devenues un trésor pour les cybercriminels. Une fois volées, elles circulent sur des marchés noirs où elles alimentent des activités frauduleuses. Par exemple, des informations médicales ou de santé sont parmi les données les plus chères sur le Dark Web car elles contiennent des détails difficilement modifiables. Lorsqu’un individu voit son identité usurpée ou ses informations médicales détournées, les conséquences peuvent être graves, affectant sa réputation et même son accès aux soins.

Face à cela, les institutions sociales doivent redoubler d’efforts pour sécuriser ces données. Mais contrairement aux données techniques, souvent mieux protégées, les informations personnelles des usagers sont parfois perçues comme moins critiques et moins bien sécurisées. Ce paradoxe, entre l’importance de ces données pour les usagers et leur faible niveau de protection, met en lumière les difficultés que rencontrent ces structures souvent limitées en ressources et en expertise.

Un environnement complexe

Le secteur social fait intervenir une grande diversité d’utilisateurs, des employés de l’administration aux sous-traitants techniques, chacun ayant des niveaux d’accès différents. Ce contexte unique est un défi en matière de cybersécurité. Dans de nombreux cas, les utilisateurs internes ou les prestataires externes, bien que légitimes, se voient accorder des droits d’accès étendus, et les systèmes d’authentification sont souvent insuffisants. La rotation fréquente des équipes et le recours à des prestataires temporaires rendent complexe la gestion des accès, en particulier si l’organisme ne dispose pas d’un système de gestion des identités et des accès adapté aux exigences actuelles.

L’un des concepts clés que les institutions sociales pourraient adopter est le Privacy by Design et le Privacy by Default. En intégrant la sécurité dès la conception, elles peuvent prévenir bien des incidents. Mais cela suppose une refonte des pratiques et des technologies, nécessitant des investissements en infrastructures, un coût difficile à supporter pour des organisations déjà contraintes financièrement.

Entre failles techniques et négligence humaine

Les exemples ne manquent pas pour illustrer les risques réels : des cas où les cybercriminels ont utilisé les identifiants d’utilisateurs internes, comme des employés de la structure, obtenus via des campagnes d’hameçonnage, pour accéder à des bases de données entières. Dans un exemple cité par l’ANSSI, un attaquant s’est servi d’un accès légitime pour extraire progressivement des données sensibles en simulant des milliers de requêtes. Les équipes n’ont pu détecter l’anomalie que plusieurs mois après l’incident.

Dans d’autres cas, des comptes techniques avec des droits étendus, parfois sans authentification multifacteur, sont compromis et détournés. Ces incidents démontrent que même les systèmes techniques nécessitent des mesures de sécurité renforcées et une supervision constante. Pourtant, il est fréquent de constater que des systèmes critiques manquent de journalisation des accès ou de surveillance continue, des pratiques pourtant simples à mettre en œuvre.

Une question de responsabilité collective

La protection des données dans le secteur social ne peut pas être la seule responsabilité des équipes informatiques. Elle doit impliquer tous les acteurs, des dirigeants aux employés, en passant par les sous-traitants. En tant que gestionnaires de données sensibles, les organisations sociales doivent se fixer des standards de sécurité élevés et adopter une culture de cybersécurité. Cela signifie d’aller au-delà des exigences légales du RGPD en renforçant les pratiques internes et en travaillant avec des experts en cybersécurité. Par exemple, intégrer des prestataires spécialisés dans la gestion de crise pourrait réduire l’impact en cas d’incident.

Le CERT-FR insiste aussi sur la transparence dans la communication lors d’un incident. Cette transparence, qui consiste à informer les usagers des incidents en temps opportun et à ne pas minimiser les risques, est essentielle pour maintenir la confiance du public. Pour les victimes d’une cyberattaque, être informé et soutenu est aussi important que la réponse technique.

Un débat sur la protection des données nationales

Les exfiltrations de données posent une question de souveraineté numérique : devons-nous faire confiance aux infrastructures locales ou aux prestataires étrangers pour gérer les données sensibles de nos concitoyens ? De plus en plus d’incidents soulignent l’importance d’avoir des infrastructures contrôlées localement, où les données ne peuvent pas être transférées ou consultées par des entités étrangères sans autorisation.

Certaines institutions privilégient des solutions certifiées par des organismes nationaux pour garantir un haut niveau de sécurité, en conformité avec les standards européens. Cela peut impliquer des coûts plus élevés, mais il s’agit d’une stratégie efficace pour assurer la sécurité des informations les plus sensibles. Dans un contexte où les données sont devenues une ressource stratégique, renforcer la souveraineté numérique devient un impératif.

Anticiper et protéger sa réputation

En cas de cyberattaque, la communication de crise est cruciale pour limiter les impacts. Une exfiltration de données est souvent suivie de la publication de ces informations par les attaquants, qui peuvent les rendre publiques pour faire pression sur la victime. L’ANSSI recommande de mettre en place un plan de communication bien préparé, incluant des réponses aux questions courantes et des canaux de communication alternatifs si les serveurs sont indisponibles.

Cette communication doit être claire, pédagogique et rassurante, afin de ne pas accentuer l’anxiété des personnes concernées. Les responsables de la communication devraient aussi éviter de donner des détails techniques inutiles qui pourraient informer les attaquants, tout en expliquant de manière simple les impacts pour l’institution et les mesures en cours pour rétablir la situation.

Vers une cybersécurité durable et solidaire

La cybersécurité dans le secteur social ne doit pas se limiter aux aspects techniques. Elle doit intégrer les dimensions humaines, juridiques et éthiques, s’articulant autour d’une vision de long terme et d’une approche plus préventive. L’investissement dans des technologies de sécurité et dans la formation des équipes est essentiel. Les institutions sociales doivent aussi sensibiliser leurs bénéficiaires aux risques numériques pour créer un environnement plus sûr et plus informé.

Alors que les cybermenaces continuent d’évoluer, le secteur social doit se préparer à relever ces défis. Ce n’est qu’en adoptant une cybersécurité responsable et collective qu’il pourra maintenir la confiance de ses usagers, garantir leur sécurité et préserver la mission fondamentale de soutien et de protection.

 

Source : Exfiltration de données du secteur social, retour d’expérience du CERT-FR

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio
Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.
Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.
Auteurs blog

Dernières publications