L’Agence danoise de protection des données a pris une décision dans l’affaire du crash du NemID en juin 2022, où près de 1,5 million d’utilisateurs du NemID ont rencontré des problèmes d’utilisation.
Pendant quatre jours, les utilisateurs concernés n’ont pas pu accéder aux principaux services publics danois tels que borger.dk, e-Boks, sundhed.dk et minretssag.dk en se connectant avec NemID. Nets DanID A/S, qui était le contrôleur de données au moment de l’incident, a suivi sa procédure d’urgence pour tenter de rétablir les opérations normales en restaurant un serveur avec une solution de sauvegarde. Cependant, Nets DanID A/S n’a pu rétablir les opérations normales que quatre jours après la panne, car la solution de sauvegarde n’était pas disponible. Le test de la procédure d’urgence qui aurait pu déterminer la raison de l’indisponibilité de la solution de sauvegarde a été effectué pour la dernière fois environ deux ans avant la panne.
L’Agence danoise de protection des données a conclu que les procédures de Nets DanID A/S pour tester et évaluer l’efficacité de la solution de secours n’étaient pas suffisantes. En outre, l’Agence danoise de protection des données a constaté que Nets DanID A/S n’avait pas pris de mesures suffisantes pour garantir la robustesse continue de la solution NemID. Sur cette base, l’Agence danoise de protection des données a sévèrement critiqué Nets DanID A/S pour ne pas avoir pris de mesures suffisantes pour atteindre un niveau de sécurité approprié aux risques encourus par les citoyens.
L’Agence danoise de protection des données a souligné qu’il s’agissait d’une infrastructure nationale critique et que la panne pouvait donc avoir des conséquences importantes pour les citoyens concernés, surtout si l’on tient compte de la longue période de temps qu’a duré la panne.
La NemID a été progressivement supprimée le 31 octobre 2023, date à partir de laquelle il n’était plus possible d’obtenir et d’utiliser la NemID. La MitID a été lancée en 2021 et a remplacé la NemID. Toutefois, le contenu de la décision sur la robustesse et, dans ce contexte, les tests de sauvegarde et de restauration sont toujours pertinents pour les responsables du traitement des données et les sous-traitants par rapport à d’autres solutions. En particulier lorsqu’il s’agit d’infrastructures nationales critiques.
Test de la sauvegarde et de la restauration
L’exigence du GDPR en matière de sécurité adéquate signifie normalement que les sauvegardes doivent être testées. Il s’agit de vérifier régulièrement si les sauvegardes sont effectuées aux intervalles prévus (fréquence) et si la copie de sauvegarde est accessible, contient toutes les données pertinentes (portée) et est exacte (intégrité). En outre, des tests de restauration doivent être effectués pour vérifier si les données peuvent effectivement être rechargées et utilisées dans un système informatique. Il s’agit de vérifier (1) si la restauration peut être effectuée avec les guides/procédures existants, (2) si tout ce qui est copié (matériel, logiciel, données) peut fonctionner ensemble, et (3) si la restauration peut être effectuée assez rapidement compte tenu du fait que l’impact augmente généralement avec le temps (objectif de temps de restauration).