A l'instar de la communication habituellement mise en place pour sensibiliser aux risques de violations de données personnelles, la CNIL a publié une nouvelle infographie sur les établissements scolaires dans la collection « la violation du moment ».
Et pour cause, une cinquantaine d'établissements scolaires ont récemment été victimes de cyberattaques, qui se sont manifestées par le piratage des « espaces numériques de travail » (dit ENT) de ces établissements. Les pirates ont ainsi pu envoyer par mail aux élèves, parents et professeurs, des menaces d'attentat islamiste.
Dans le cadre de sa prévention, la CNIL relate l'histoire d'Hubert, directeur d'un établissement scolaire et chargé de sa numérisation, et de Dolorès, professeur de CM1, dépassée par le piratage de son compte ENT permis par son inattention. Cette fois ci, l'attaque ne constitue pas une apologie du terrorisme, mais a plus classiquement pour objectif de modifier et supprimer des notes d'élèves. Hubert doit cependant gérer une circonstance alarmante : un vol de matériel à l'origine du piratage.
Si la CNIL souhaite aider les victimes de telles cyberattaques à gérer les conséquences de ces violations, elle souhaite avant tout éviter que ce type de violation ne puisse se produire.
En amont, prévenir les violations de données et cyberattaques
Avant de devoir réagir à des violations de données, il faut savoir s'en prémunir. A cet égard, la CNIL indique les bonnes pratiques que doivent adopter tant les établissements scolaires, responsables de traitement, que les utilisateurs des espaces numériques de travail (ENT).
Si les responsables de traitement doivent, en premier lieu, s'assurer de la sécurité des outils qu'ils mettent à disposition du public (authentification multi facteurs, détection des évènements suspects…), il leur appartient également de sensibiliser les utilisateurs sur les risques de violations de données. En ce sens, ils doivent notamment les informer qu'ils ne seront jamais à l'origine d'une demande de communication d'identifiants et de mots de passe.
En outre, ils doivent également s'assurer de l'efficacité de leurs procédures de gestion des incidents.
Les utilisateurs ne sont toutefois pas exempts de responsabilité face à ces attaques. Ils doivent ainsi utiliser l'authentification multi facteur lorsqu'elle existe, ou éviter de rester connectés à une session en ligne lorsque l'appareil électronique est partagé avec d'autres utilisateurs, etc.
Cependant, parmi leur responsabilité primordiale est celle du choix d'un mot de passe robuste, différent pour chaque compte, et stocké de manière sécurisée.
En aval, la réaction à une violation de données personnelles et une cyberattaque
Si les bonnes pratiques ne suffisent pas à éviter le piratage, il faudra dès lors mettre en place une réaction optimale.
A cet égard, la CNIL liste les actions devant être suivies par le responsable de traitement pour respecter ses obligations et limiter les risques liés à la violation de données personnelles :
- Avant toute chose, la violation doit être signalée au délégué à la protection des données (DPO) de l'académie ;
- Le responsable de traitement doit ensuite mettre en œuvre la procédure interne de gestion des incidents afin de documenter l'incident et de le notifier à la CNIL1;
- Lorsque cela est possible, le responsable de traitement pourra rétablir les données compromises (et dans ce cas corriger les notes des élèves modifiées) ;
- L'une des étapes essentielles à ne pas négliger est l'information des personnes concernées de la violation et des risques en découlant2;
- Le responsable de traitement pourra également profiter de l'incident pour renforcer la sensibilisation de ses équipes à la protection des données personnelles (si Dolorès avait été suffisamment éclairée sur le sujet, elle n'aurait pas laissé son compte d'enseignant connecté sur une tablette partagée) ;
- Enfin, le responsable de traitement finalise la notification à la CNIL en transmettant autant d'éléments complémentaires que possible (dont la communication des informations obligatoires aux personnes concernées).
Quoiqu'il en soit, il n'en demeure pas moins qu'une sensibilisation régulière de l'ensemble des personnes concernées (dans ce cas il s'agit tant de l'équipe pédagogique que des élèves et leurs parents) est l'arme la plus efficace pour prévenir ce type de cyberattaque ou en minimiser les conséquences dans un environnement cyber où la majorité des violations ont pour origine l'erreur humaine.
Footnotes
1. Il dispose à cet égard d'un délai de 72 heures pour la notification initiale de l'incident à la CNIL (Article 33 du RGPD)
2. Certaines informations doivent impérativement figurer dans cette notification aux personnes concernées : les circonstances de l'incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées. (Article 34 du RGPD)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.