L’autorité sud-africaine de protection des données (Information Regulator) a émis un avis d’exécution à l’égard du ministère de la Justice et du Développement constitutionnel (DoJ&CD), suite à la constatation de la violation de divers articles de la loi sur la protection des renseignements personnels (POPIA). En effet, en septembre 2021, le DoJ&CD a subi une compromission de la sécurité de ses systèmes informatiques. Cela a conduit à l’indisponibilité des systèmes du ministère pour ses employés et a par la suite affecté les services publics.
L’autorité a procédé à une évaluation de sa propre initiative après que le ministère a subi cette violation de données. Au cours de cette évaluation, l’autorité a constaté que le DoJ&CD n’avait pas mis en place les mesures techniques adéquates pour surveiller et détecter l’exfiltration non autorisée de données de son environnement, ce qui a entrainé la perte d’environ 1204 fichiers.
Cela s’est produit à la suite du non-renouvellement par le DoJ&CD de la licence SIEM (Security Incident and Event Monitoring), qui lui aurait permis de surveiller les activités inhabituelles sur son réseau et de conserver une sauvegarde des fichiers journaux. Ce non-renouvellement de la licence a entraîné l’indisponibilité des informations critiques contenues dans les fichiers journaux. La licence SIEM a, elle, expiré en 2020.
De plus, le DoJ&CD n’a pas non plus renouvelé la licence du système de détection d’intrusion, qui avait également expiré en 2020. Si cette licence avait été renouvelée, le département aurait reçu des alertes d’activités suspectes de personnes non autorisées accédant au réseau. La licence Trend Antivirus n’a, elle non plus pas été renouvelée en 2020 lorsqu’elle a expiré. Le non-renouvellement de cette licence a entraîné la non-mise à jour de la définition de virus pour les menaces de logiciels malveillants connus. L’autorité a également constaté que le DoJ&CD n’avait pas pris de mesures nécessaires pour identifier les risques internes et externes raisonnablement prévisibles pour la protection des données personnelles en sa possession ou sous son contrôle. Enfin, le DoJ&CD n’avait pas non plus établi ni maintenu de garanties appropriées contre les risques identifiés.
Par ailleurs, le ministère a omis d’établir et de maintenir des mesures de protection appropriées contre les risques identifiés et de vérifier et mettre à jour régulièrement les mesures de sécurité contre les menaces de logiciels malveillants. Après avoir constaté que le DoJ&CD avait enfreint les articles 19 et 22 du POPIA, Information Regulator lui a envoyé un avis d’exécution dans lequel il ordonnait au ministère de prendre un certain nombre de mesures. Parmi celles-ci, il est indiqué que le ministère devra fournir une preuve à l’autorité dans les 31 jours suivant la réception de l’avis que la licence Trend Anti-Virus, la licence SIEM et la licence du système de détection d’intrusion ont été renouvelées. Il devra également engager une procédure disciplinaire à l’encontre du ou des fonctionnaires qui n’ont pas renouvelé les autorisations nécessaires pour protéger le service contre les atteintes à la sécurité. Si le DoJ&CD ne respecte pas l’avis d’exécution dans le délai imparti, il sera coupable d’une infraction, en vertu de laquelle l’autorité pourra imposer une amende administrative, ou, sur condamnation, l’emprisonnement des fonctionnaires responsables.
Avec l’augmentation des compromissions en matière de sécurité, l’autorité de protection des données met désormais l’accent sur la gestion des risques. Elle invite les responsables de traitement à améliorer leurs systèmes de sécurité de l’information, afin de s’assurer qu’il existe des garanties adéquates pour protéger les données personnelles des personnes concernées, en leur possession ou sous leur contrôle.