vectorfusionart - stock.adobe.co

Le partage de renseignements sur les menaces affecté par le RGPD

Le règlement européen sur la protection des données personnelles affecte les activités d’enquête des spécialistes du renseignement sur les menaces. Mais l’impact ne s’arrête pas là.

L’application, depuis fin mai, du règlement européen sur la protection des données personnelles (RGPD, ou GDPR pour les anglophones) affecte les capacités de collecte de données des analyses, en particulier sur les noms de domaines, via les services Whois. Mais les conséquences vont au-delà, jusqu’au partage de renseignements sur les menaces.

Des informations personnelles en pagaille

Chez ThreatQuotient, Jonathan Couch, estime que le RGPD va essentiellement avoir un impact sur la manière dont le renseignement sur les menaces est utilisé pour suivre les acteurs malveillants et pour les études de victimologie. Pour les premiers, « de nombreuses organisations, en particulier les institutions financières, aiment suivre autant de données que possible sur les individus qui visent leurs organisations ou réussissent à frauder leurs systèmes ». Là, il s’agit de noms, adresses e-mail ou postale, numéros de pièces d’identité, dates de naissance, etc. – « tout ce qui peut aider à établir un lien entre identité en ligne et une identité physique, dans la perspective d’éventuelles poursuites ».

La mauvaise nouvelle, pour Jonathan Couch, est que le RGPD « ne se penche pas sur la collecte et le stockage d’informations obtenues légalement, via des publications ouvertes ou des conversations avec un individu, sur une personne se prêtant à des activités illégales en ligne, et à qui on ne va pas demander son consentement pour conserver ses données ».

Dès lors, pour lui, le RGPD « pourrait potentiellement affecter très négativement la capacité d’une entreprise à travailler avec les forces de l’ordre pour arrêter des délinquants ».

Et cela va au-delà. Certains acteurs de la communauté du renseignement sur les menaces se sont penchés sur les questions relatives au partage de renseignements. Et cela commence tout naturellement par l’équipe qui anime le projet de plateforme dédiée au sujet, MISP, ou encore le CIRCL luxembourgeois, notamment à travers un atelier thématique organisé début mai dernier, et qui faisait suite à des travaux entamés de longue date.

Questions sur le partage de renseignements

Les équipes du premier se sont longuement penchés, dans un billet de blog, sur l’impact du RGPD pour le partage de renseignement sur les menaces. Ils précisent ainsi dans quels cas des organisations peuvent être considérées comme contrôleurs ou comme contrôleurs conjoints de traitements. Graphiques à l’appui, leurs travaux peuvent aider à clarifier les rôles de chacun dans le cas du partage en réseau de renseignements sur les menaces, mais également les types de données auxquelles le RGPD s’applique : nom et prénom, identifiant de réseau social, coordonnées bancaires, e-mail, adresse IP ou encore URLs… entre autres. Autant de données qui peuvent en fait constituer des indicateurs de compromission (IOC).

Voilà qui ne simplifie donc pas le travail des équipes chargées du renseignement sur les menaces. RiskIQ l’a bien compris et propose d’ailleurs une solution dédiée à la découverte de données personnelles identifiables.

Et cela n’a rien d’accessoire. Car des données personnelles peuvent également se cacher dans des documents piégés par des attaquants. Chez EclecticIQ, Caitlin Huey le reconnaît d’ailleurs bien volontiers : « souvent, des pirates utilisent des documents légitimes et/ou volés pour donner plus de crédibilité à leurs campagnes de hameçonnage. C’est une triste réalité, et même avec le RGPD, les délinquants vont continuer d’utiliser ces documents ».

Toutefois, « même si les analystes vont se pencher des fichiers potentiellement malicieux contenant des données personnelles, celles-ci sont rarement pertinentes pour l’enquête ». Reste que s’il fallait ignorer tous les documents de cette nature, ce serait la clé pour que les cyber-délinquants n’utilisent, en définitive, qu’eux.

Une part d’incertitude

Pour les équipes du projet MISP, la bonne nouvelle est que le RGPD ne réduit pas les possibilités de partage de renseignements entre analystes… « du moment qu’il est cohérent avec le but poursuivi », et respecte les six principes clés posés par l’article 5 du RGPD : légalité, honnêteté et transparence, limitation au but poursuivi, minimisation des volumes de données, rétention limitée dans le temps, protection de l’intégrité et de la confidentialité, notamment.

Le préambule 49 du RGPD souligne d’ailleurs toute la légitimité des Cert et autres CSIRT à traiter des données personnelles, dans le but « d’assurer la sécurité des réseaux et de l’information ». En première lecture, il laisse également à penser que cela vaut en fait pour « tout le monde impliqué directement ou indirectement dans la détection ou l’aide à la détection d’incidents de sécurité IT et de cyberattaques », relèvent les équipes de MISP.

Mais pour celles-ci, ce préambule, mis en perspective avec la réglementation elle-même, laisse planer un peu plus de doute : « des acteurs privés tels que des éditeurs de logiciels de cybersécurité vont avoir bien moins de liberté pour traiter des données personnelles ». Au final, ce pourrait, le cas échéant, être aux tribunaux de trancher.

Mais même pour les CSIRT, tout n’est pas trivial et il n’est pas question de chèque en blanc. Ainsi, selon les équipes de MISP, ceux-ci « n’ont pas de base légale pour utiliser des données obtenues durant une enquête à d’autres fins sans lien avec celle-ci », ni même pour les conserver au-delà de cette opération.

De vastes précautions

La question consiste dès lors à savoir si – hors demande de consentement des individus éventuellement intéressés – il existe une autre base légale conférant leur légitimité au stockage et au traitement de telles données dans la durée. Autrement dit, la gestion des IOC va devoir se faire avec soin et précaution, tant en matière de durée de vie que de confidentialité.

Mais toutes les données relevant d’un incident n’ont pas à être collectées sans consentement. Et c’est là qu’intervient notamment le second impact entrevu par Jonathan Couch, sur la victimologie : « c’est une part clé du suivi des incidents en entreprise, identifier et stocker des informations sur qui, en particulier, a été visé. Souvent, cela implique les noms, adresses e-mail et autres informations personnelles d’employés ».

Alors dans ce contexte, selon lui, les entreprises vont être appelées à « installer des opt-ins pour que leurs employés consentent à la collecte de certaines informations pour suivre qui, dans l’entreprise, a été visé par un maliciel ou une campagne de phishing ciblé ». Mais « permettre aux employés de refuser cela ou de demander l’effacement des informations collectées peut affecter la capacité des équipes de sécurité à suivre l’impact d’attaques sur l’organisation dans le temps ».

Pour approfondir sur Réglementations et Souveraineté