Pourquoi encadrer contractuellement les accès des fournisseurs IT ?

L'actualité récente met en lumière l'importance cruciale de la sécurité des données et des systèmes d'information.

L'attaque cyber dont a été victime le CHU de Rennes soulève des questions essentielles, notamment celle des accès des fournisseurs aux systèmes d'information (SI) de leurs clients. Cette problématique nécessite une réflexion approfondie quant à l'application des articles 32 et 28 du Règlement général sur la protection des données (RGPD), qui imposent une obligation générale de sécurité relevant du responsable de traitement comme de ses sous-traitants.

L'accès aux données du client responsable de traitement par les fournisseurs de services IT

Dans de nombreux cas, les fournisseurs de services IT externalisés bénéficient en effet de privilèges d'accès supérieurs à ceux des utilisateurs du client responsable de traitement. Alors que ces utilisateurs « natifs » doivent se conformer à des mesures de sécurité strictes telles que l'authentification multifactorielle (MFA), tant pour les accès externes que pour les accès internes, il est préoccupant de constater que le personnel technique des fournisseurs peut, dans nombre de cas, sans aucun contrôle, accéder à l'ensemble des données du client responsable de traitement. Dans le secteur sanitaire, cela revient à donner un accès libre à des techniciens externes aux données médicales de tous les patients parfois depuis des milliers de kilomètres de distance.

Comment encadrer les accès des fournisseurs de services IT ?

Face à cette réalité souvent dénoncée par les DSI/RSSI des établissements de santé, il devient impératif d'encadrer les accès des fournisseurs en imposant des règles strictes de sécurité. Pour ce faire, il est recommandé d’engager un processus de renégociation des contrats informatiques en incluant des clauses spécifiques concernant la sécurité des données, ou encore les garanties cyber applicables en cas d’attaque informatique.

La mise en place de mesures techniques et organisationnelles

Cette démarche juridique implique une coordination étroite avec les DSI.

Au-delà d’un durcissement du régime de responsabilité juridique et de la mise en place de garanties complémentaires essentielles à la gestion de crise cyber, plusieurs mesures concrètes d’ordre technique et organisationnel peuvent être utilement recherchées. Voici quelques exemples :

Fermeture des accès par défaut : les comptes fournisseurs devraient être bloqués par défaut, nécessitant une intervention manuelle de la part d'un agent de la DSI pour les débloquer.

Procédure de demande écrite et motivée : tout déblocage d'accès devrait être effectué uniquement sur demande écrite provenant d'une adresse mail référencée sur la fiche fournisseur.

Activation du compte par confirmation : les équipes d'exploitation pourraient rappeler un numéro de confirmation préalablement référencé, permettant d'activer l'accès uniquement après vérification.

D'autres mesures techniques en lien avec ce que l’on pourrait appeler les règles de l’art sont également envisageables, telles que le rétablissement du verrouillage après l'intervention, la rupture des flux directs en faveur de prises de main à distance sur un terminal spécifique, ou encore l'implémentation d'un filtrage sur une adresse IP fixe fournie par le prestataire.

Ces mesures contraignantes, au regard de leur impact, doivent être définies en amont de la renégociation contractuelle afin d’adapter le niveau de contrainte avec la criticité des prestations et accès en cause, le profil du prestataire, sa localisation géographique etc.

La mise en place de mesures de sécurité adéquates exige ainsi des efforts conjoints entre les clients et leurs fournisseurs IT, tous deux responsables au regard d’obligations tirées directement de la réglementation.

Il incombe en tout état de cause aux acteurs responsables de traitement d’imposer le fait de privilégier les adresses IP européennes, les services en cloud souverain, la systématisation de la journalisation des accès (logs) ou encore la mise en place de mesures de dispositifs de sauvegarde adaptés. Parallèlement, il est clair que les fournisseurs de services IT devront se conformer à des obligations contractuelles nouvelles qui préciseront notamment les obligations de collaboration en cas de crise ou encore des engagements internes apportant des garanties techniques liées par exemple à la robustesse des mots de passe et leur mode de renouvellement, la généralisation de l’authentification multifactorielle, le déploiement de formations régulières, ou encore la justification de certifications et autres audits réguliers de sécurité.

La mise en place d'un processus de renégociation des contrats 

A la lumière de ces différents éléments, il apparaît nécessaire sinon pertinent d'engager un processus de renégociation des contrats en cours tout en procédant à la consolidation des documentations utilisées par les services achats pour les futurs projets IT.

Au regard de la recrudescence des attaques informatiques, les négociations contractuelles à intervenir auront vocation à toucher de nombreux sujets dont celui de la responsabilité du prestataire IT au regard de ses obligations réglementaires spécifiques liées à la protection des données. Pourrait être utilement traitée à cette occasion la question du niveau de responsabilité du prestataire en cas de divulgation d'identifiants, d'absence d'authentification multifactorielle, ou encore de défaut de formation. La répartition des responsabilités et l’équilibre à trouver entre les obligations côté client (responsable de traitement) et fournisseur (sous-traitant) seront également un sujet important à traiter. Une chose est sûre : ces aspects auront des conséquences directes sur la prise en charge des compagnies d’assurance en cas de sinistre cyber.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Nous accompagnons avec le pôle IT/Cyber risques notamment nos clients dans l’élaboration, la négociation des contrats informatiques et le pilotage juridique des crises cyber. Pour nous contacter, cliquez ici.