Les guides PIA et EBIOS Risk Manager présentent une forte proximité de thème, de vocabulaire et de méthode. Opérationnellement, les deux métiers pilotant ces analyses, respectivement le DPO (déléguée à la protection des données) et le RSSI (Responsable de la sécurité des systèmes d’information), sont très souvent assumés par la même personne ou la même équipe.
Le besoin d’homogénéiser les analyses réalisées, et de réutiliser au maximum à la fois les bases de connaissances et les méthodologies est important. Pour rendre cela possible, nous proposons d’outiller à la fois la réalisation de vos PIA et vos analyses de risques EBIOS Risk Manager avec notre logiciel Agile Risk Manager .
Pourquoi utiliser EBIOS RM pour faire un PIA ?
La CNIL a fait un effort pédagogique considérable à destination des entreprises et des institutions pour les accompagner dans sa mise en œuvre. Au cœur du RGPD, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le PIA est une véritable pierre angulaire. Il doit permettre d’analyser en détail les risques encourus, leur vraisemblance, et la gravité associée.
En parallèle, l’ANSSI a mis à jour sa méthode de référence EBIOS, pour proposer une nouvelle itération, plus agile, concentrée, et qui passe plus facilement à l’échelle : EBIOS Risk Manager.
Cette méthode a été créée pour être utilisée par tout type d’organisation, et leur permettre d’identifier clairement les risques numériques auxquels ils sont exposés.
Lorsqu’on analyse la documentation proposée par ces deux organisations, on voit immédiatement que si les deux sujets abordés ne sont pas identiques, leurs deux espaces sont entremêlés.
Il y a une proximité de thème, de vocabulaire, de méthodologie, qui est significative. Une fois identifiée cette proximité, le besoin d’homogénéiser les analyses réalisées, et de réutiliser au maximum à la fois les bases de connaissances et les méthodologies apparait. Posée concrètement, la question est : peut on utiliser la méthode EBIOS Risk Manager pour réaliser un PIA ?
Un PIA d'un point de vue réglementaire
Il n’y a pas de difficulté d’un point de vue légal. Si l’application du RGPD impose la réalisation d’un PIA, elle n’indique pas de méthode spécifique pour le réaliser.
Le détail est disponible sur le site de l’Union européenne (article 35.7). On peut lire qu’il faut obligatoirement y retrouver :
- Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris l’intérêt légitime poursuivi par le responsable du traitement le cas échéant.
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités.
- Une évaluation des risques pour les droits et libertés des personnes concernées.
- Les mesures envisagées pour faire face aux risques, y compris les garanties et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.
Un PIA d'un point de vue méthodologique
Le parallèle entre les deux méthodes est assez direct, même s’il faut rester attentif à la différence de sémantique entre les vocabulaires utilisés. Le même mot n’a pas toujours exactement le même sens dans les deux contextes.
Description d'un PIA par la CNIL
La conduite d’un PIA se compose de 4 étapes majeures :
- Délimiter et décrire le contexte des traitements considérés
- Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées
- Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités
- Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.
Description de la méthode EBIOS RISK MANAGER par l'ANSSI
La méthode est construite autour de 5 ateliers :
- Cadrage et socle de sécurité
- Sources de risque
- Scénarios stratégiques
- Scénarios opérationnels
- Traitement du risque
Comment Réaliser son PIA avec EBIOS RM ?
Étape 1 : Définir le contexte (EBIOS RM : Atelier 1)
L’étape de définition du contexte peut directement être réalisée dans l’atelier 1 EBIOS RM. Les données personnelles, cœur du PIA, sont traitées comme des valeurs métiers.
Il est à noter que le périmètre PIA est ici plus large que celui initialement proposé par EBIOS RM, car il inclut par exemple des éléments physiques (supports papier, etc). Les supports de données (PIA) peuvent quant à eux être directement traités comme des biens supports (EBIOS RM).
Étape 2 : Évaluer les mesures existantes (EBIOS RM : Atelier 1 et 2)
La seconde étape du PIA (principes fondamentaux) vise à évaluer les mesures déjà mises en place et la nécessité du traitement réalisé.
Cette étape est couverte dans un cycle EBIOS RM par la définition du socle de sécurité (atelier 1), même si une adaptation est nécessaire pour faire correspondre les notions génériques d’EBIOS RM et celles du PIA.
Étape 3 : Étudier les risques (EBIOS RM : Atelier 3 et 4)
La troisième étape du PIA couvre l’étude des risques liés à la sécurité des données. C’est un sous ensemble sur lequel l’approche proposée par EBIOS RM devient particulièrement créatrice de valeur.
Les valeurs métiers / biens supports ont déjà été identifiés lors de la première étape.
Les sources de risques sont une notion explicitement présente dans les deux méthodologies, même si, à nouveau, le périmètre PIA est beaucoup plus vaste : il intègre à la fois des sources de risques intentionnelles, non intentionnelles, et des parties prenantes au sens EBIOS RM.
Cette différence de vocabulaire va nécessiter une approche spécifique : certaines sources de risques n’ont pas d’objectif visé. Pour pallier cette absence, des objectifs neutres vont être définis, c’est-à-dire des objectifs sans sémantique particulière.
Les ateliers 3 & 4 (scénarios stratégiques et opérationnels) peuvent alors être complétés de manière classique. Le traitement de l’évaluation de la menace associée aux parties prenantes est ici optionnel et à réaliser au cas par cas.
Étape 4 : Valider les mesures (EBIOS RM : Atelier 5)
La dernière étape du PIA est une étape générale de remédiation, puis de validation. La première sous étape correspond à l’identification des mesures de sécurité nécessaires au respect des principes fondamentaux et à la sécurité des données.
C’est une activité couverte par l’atelier 5 dans EBIOS RM, tout comme l’identification des risques résiduels et la création du plan d’action. La seconde partie de cette étape dans le PIA correspond à une validation formelle, via un formulaire spécifique. C’est une activité purement documentaire, compatible avec la démarche EBIOS RM.
Agile Risk Manager pour mener votre PIA
Une fois la méthode définie, il reste à accélérer et à industrialiser la démarche en s’appuyant sur l’outil Agile Risk Manager.
Pour vous faciliter la réalisation des PIA au sein de notre application, l’ensemble des bases de connaissances proposées par la CNIL y sont pré-intégrées : sources de risques, socle de sécurité, impacts, diverses échelles (de gravité, de coût, de complexité…).
Grâce à ces bases, au travail collaboratif, et à la génération documentaire, il devient donc possible de construire un PIA en s’appuyant sur EBIOS RM, tout en garantissant la cohérence du résultat final.
