Informatique

Informatique, Informatique, Sécurité des SI

L’Agence nationale de la sécurité des systèmes d’information

/

Sécurité des systèmes d’information Autorité de régulation Création de l’Agence nationale de la sécurité des systèmes d’information Une nouvelle structure nationale ayant pour objet d’assurer la sécurité des systèmes d’information a été créée par décret n°2009-834 du 7 juillet 2009, paru au journal officiel du 8 juillet 2009. Cette nouvelle institution, appelée Agence nationale de la sécurité des systèmes d’information, remplace l’ancienne Direction centrale de la sécurité des systèmes d’information (DCSSI). L’Agence de la sécurité des systèmes d’information s’est vue attribuer pour mission de détecter au plus tôt et de réagir rapidement en cas d’attaque informatique, prévenir la menace informatique en contribuant au développement d’une offre de produit de haute sécurité pour les administrations et les acteurs économiques, jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, informer régulièrement le public sur les menaces existantes par le biais du site internet gouvernemental de la sécurité informatique. La création de cette agence a été décidée par le Président de la République, à la suite des travaux du livre blanc sur la défense et la sécurité nationale, publié le 17 juin 2008, préconisant que l’expertise de l’Etat en matière de sécurité des systèmes d’information soit fortement développée. Le livre blanc sur la défense et la sécurité nationale mettait en effet en avant l’existence d’un risque d’attaque informatique majeure à prévoir dans les 15 années à venir. Le site créé pour l’ANSSI est accessible à l’adresse suivante : www.anssi.gouv.fr. Décret 2009-834 du 7 juillet 2009 (Mise en ligne Juillet 2009)

Informatique, Informatique, Sécurité des SI

le vote électronique lors d’élections des Français de l’Étranger

/

Internet conseil Vote électronique Le vote électronique pour les élections des Français de l’Étranger Le décret du 11 mai 2009, relatif au vote par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, vient d’être publié au Journal Officiel. Il est complété par un arrêté du même jour. Ces textes précisent, notamment, les conditions dans lesquelles se déroulent les opérations de vote électronique, la constitution et la mission du bureau de vote par voie électronique, et les règles attachées à la création de traitements automatisés de données à caractère personnel. Ce dispositif réglementaire vient compléter la loi du 28 mars 2003 autorisant le vote à distance, incluant le vote par correspondance, mais également le vote électronique, dans le cadre du développement de l’e-administration. Le 7 juin 2009 sont renouvelés les conseillers de l’Assemblée des Français de l’Étranger (AFE) ( Zone Afrique et Amérique), composée de 150 représentants qui sont élus au suffrage universel direct par les Français établis hors de France. L’option de vote électronique ainsi proposée aux Français établis à l’Étranger dans le cadre de cette élection est confiée à un prestataire technique. La gestion, notamment, de la sécurisation et la diffusion des codes personnels d’authentification des électeurs tient compte des recommandations de la Cnil, validées dans un contexte national, pour une élection à valeur légale, depuis les ordonnances de juillet 2003 et la délibération n°2006-042 du 23 février 2006. Le décret du 11 mai 2009 précise que le vote des Français à l’Étranger peut s’exercer selon trois modes de scrutin :   personnellement, dans les bureaux de vote ;     par correspondance ; par Internet.Deux traitements automatisés de données à caractère personnel, distincts, dédiés et isolés, dénommés « fichier des électeurs » et « urne électronique », ont été créés puis validés par la Cnil pour le vote électronique. Il est indiqué également que les Français inscrits sur les listes électorales consulaires pourront voter par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, à moins que leur pays de résidence ne soit inscrit sur la liste de ceux depuis lesquels la transmission de flux informatiques chiffrés est impossible ou interdite. L’électeur ayant opté pour le vote électronique ne sera, en revanche, plus admis à voter, ni par correspondance sous pli fermé, ni à se présenter dans l’un des bureaux de vote ouverts le jour du scrutin. Préalablement à sa mise en oeuvre, le système de vote par voie électronique devra faire l’objet d’une expertise indépendante portant sur les garanties apportées à la confidentialité, la sécurité, la sincérité et au contrôle du scrutin. L’expert indépendant aura seul accès au code source du système de vote. Il remettra son rapport au Ministre des Affaires Étrangères, au bureau du vote par voie électronique, et à la Cnil. Également, un bureau du vote électronique a été mis en place afin de contrôler l’ensemble des opérations de vote par voie électronique et du dépouillement du scrutin. Décret n°2009-525 du 14 mai 2009 Arrêté du 13 mai 2009 Arrêté du 11 mai 2009 Délibération 2009-210 du 30 avril 2009 (Mise en ligne Juin 2009) Autres brèves Le vote électronique et la modernisation du processus électoral : les machines à voter (Mise en ligne Septembre 2008)  

Contrat, Informatique

Informatique contrats internationaux

/

Contentieux informatique Contrats internationaux Adoption du règlement  » Rome I  » sur les obligations contractuelles La Convention de Rome du 19 juin 1980 sur la loi applicable aux obligations contractuelles est remplacée par le règlement du 17 juin 2008 (dit  » Rome I « ). Ce règlement européen sur la loi applicable aux obligations contractuelles s’applique, dans des situations comportant un conflit de lois, aux obligations contractuelles relevant de la matière civile et commerciale. Il concerne les contrats conclus après le 17 décembre 2009. A compter de cette date, il remplacera, entre les Etats membres, la convention de Rome de 1980 sur la loi applicable aux obligations contractuelles (Rome I), qui détermine la loi applicable aux contrats internationaux. Il ne s’appliquera pas au Danemark et au Royaume-Uni à moins que ces Etats n’y adhèrent dans le futur. Ce nouveau texte affirme le principe selon lequel le contrat est régi par la loi choisie par les parties, et ce même si la loi qu’elles désignent n’a aucun lien avec le contrat, sous réserve d’une fraude à la loi et de l’application par le juge saisi des lois de police de son pays (article 3 du règlement). A défaut de choix de la loi applicable au contrat par les parties, le règlement précise quelle est la loi applicable (article 4 à 8 du règlement). Il s’agira de la loi qui présente les liens les plus étroits avec le contrat. Il est présumé que cette loi est la loi de résidence habituelle de la partie qui doit fournir la prestation caractéristique du contrat, bien qu’il puisse y avoir des exceptions (contrat de travail notamment). S’agissant plus particulièrement des contrats de consommation, la loi applicable est celle du pays où le consommateur a sa résidence habituelle, à condition que le professionnel exerce son activité professionnelle dans le pays dans lequel le consommateur a sa résidence habituelle, ou par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci, et que le contrat rentre dans la cadre de cette activité. A cet égard, le règlement rappelle la déclaration conjointe du Conseil européen et de la Commission européenne relative à l’article 15 du règlement (CE) n°44/2001 du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, qui précise, à propos de la notion d’ « activité dirigée », que « le simple fait qu’un site internet soit accessible ne suffit pas pour rendre applicable l’article 15, encore faut-il que ce site internet invite à la conclusion de contrats à distance et qu’un contrat ait effectivement été conclu à distance, par tout moyen. A cet égard, la langue ou la monnaie utilisée par un site internet ne constitue pas un élément pertinent » (considérant 24 du règlement). Le règlement édicte également les règles obligatoires s’appliquant aux contrats internationaux (lois de police, consentement et validité au fond, validité formelle…). L’objectif poursuivi par ce texte est d’harmoniser les règles de conflit de lois relatifs à des obligations contractuelles relevant des matières civile et commerciale et ne concerne par conséquent pas les situations non contractuelles de droit privé qui font l’objet d’un règlement, adopté le 11 juillet 2007 (dit  » Rome II « ). Règl. CE, n° 593/2006 du 17 juin 2008 , JOUE(L) 177 du 4 juillet 2008 (Mise en ligne Septembre 2008) Autres brèves ( )

Informatique, Informatique, Sécurité des SI

Sécurité des systèmes d’information sinistralité

/

Sécurité des systèmes d’information Sinistralité Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité. Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services. Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres. Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque. Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données. Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales. La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur. L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées. Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information. Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière. De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu. Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information. Rapport 2008 du Clusif disponible sur www.clusif.asso.fr (Mise en ligne Septembre 2008)

Retour en haut