Mettre en oeuvre EBIOS et PIA
Analyse de risques et protection des données personnelles avec les méthodes EBIOS et PIA
Activité 1 : Analyse de risques
Contexte
Une entreprise développe une application mobile de santé permettant aux utilisateurs de suivre leur activité physique et de partager des données avec leur médecin.
Cette application collecte des données sensibles (fréquence cardiaque, poids, localisation, etc.) et les stocke dans le cloud.
Vous êtes chargé d'effectuer une analyse de risques en suivant la méthode EBIOS Risk Manager, afin d’identifier les menaces pesant sur :
- la confidentialité,
- l’intégrité
- et la disponibilité des données.
Étape 1 : Définir le périmètre de l’étude
Décrivez précisément le périmètre de l'analyse de risques : quelles sont les données concernées, les acteurs impliqués, les systèmes techniques, les flux d'information, etc.
Une solution
Vous devez être connecté pour voir le contenu.
Étape 2 : Identifier les événements redoutés
Listez les événements redoutés (exemples : vol de données, indisponibilité du service, altération des données, etc.)
Une solution
Vous devez être connecté pour voir le contenu.
Étape 3 : Identifier les sources de menace
Pour chaque événement redouté, identifiez les sources de menace potentielles (internes, externes, humaines, techniques, etc.)
Une solution
Vous devez être connecté pour voir le contenu.
Étape 4 : Étudier les scénarios de risque
Construisez au moins deux scénarios de risque complets en suivant la méthode EBIOS :
source de menace → événement redouté → impact → probabilité → gravité du risque
Une solution
Vous devez être connecté pour voir le contenu.
Étape 5 : Déterminer les mesures de sécurité
Proposez des mesures de sécurité pour réduire les risques identifiés.
Une solution
Vous devez être connecté pour voir le contenu.
Activité 2 : Analyse d’impact sur la vie privée
Contexte
L’entreprise souhaite se conformer au RGPD.
Puisque l’application traite des données de santé, il est nécessaire qu’un PIA (Privacy Impact Assessment) soit réalisé.
Vous devez réaliser un PIA simplifié en suivant les recommandations de la CNIL.
Étape 1 : Décrire le traitement des données
Décrivez les finalités du traitement, les catégories de données, les personnes concernées, les destinataires, la durée de conservation, etc.
Une solution
Vous devez être connecté pour voir le contenu.
Étape 2 : Évaluer la proportionnalité et la nécessité
Justifiez que seules les données strictement nécessaires sont collectées et que le traitement respecte les principes du RGPD.
Une solution
Vous devez être connecté pour voir le contenu.
Étape 3 : Identifier les risques sur les droits et libertés
Identifiez les risques pour les personnes concernées (discrimination, usurpation d’identité, perte de contrôle sur les données, etc.)
Une solution
Vous devez être connecté pour voir le contenu.
Étape 4 : Proposer des mesures pour réduire les risques
Proposez des mesures techniques et organisationnelles pour réduire les risques identifiés.
Une solution
Vous devez être connecté pour voir le contenu.
Étape 5 : Conclure sur la conformité
Indiquez si le traitement est acceptable au regard du RGPD et s’il nécessite des actions complémentaires.
Une solution
Vous devez être connecté pour voir le contenu.