Pacte Défense Cyber – La cyberdéfense a été élevée par le Livre Blanc sur la Défense et la Sécurité nationale (1) et dans la Loi de programmation militaire 2014-2019 au rang de priorité nationale.
Petit-déjeuner Le renouveau de la signature électronique du 29 janvier 2014 – Polyanna Bigle a animé, avec Dimitri Mouton (société Demaeter), un petit-déjeuner débat dédié au renouveau de la signature électronique. Avec internet apparaissent de nouvelles formes de signatures qui se propagent dans les usages quotidiens.
Comme prévu dans son programme des contrôles pour l’année 2013, la Cnil s’intéresse de près aux systèmes de vidéosurveillance et de vidéoprotection. En effet, elle a prononcé en juillet 2013 (1), à l’encontre d’un centre commercial une mise en demeure pour avoir mis en œuvre un dispositif de vidéosurveillance non conforme aux dispositions applicables en matière de protection des données à caractère personnel.
La signature électronique « pour tous », en fort développement, a vocation à se généraliser, non seulement dans la vie des affaires, mais également dans la vie courante. La loi de 2000 adaptant le droit de la preuve aux technologies de l’information et relative à la signature électronique a en effet révolutionné notre Code civil (1). En témoigne la récente décision de la Cour d’appel de Nancy (2) qui a reconnu la validité d’une signature électronique apposée par un particulier sur une autorisation de découvert de 9 000 euros proposée par sa banque. Une autre décision de première instance vient de valider le recours à la signature électronique proposée par un prestataire de services pour saisir la juridiction de proximité (3).
La Cnil a créé sa procédure en ligne de notification des violations de données personnelles le 23 août 2013 (1).
Le Conseil national des activités privées de sécurité (CNAPS) a publié son premier rapport d’activité 2012 (1). Rappelons que le CNAPS, présidé par Alain Bauer, est l’organisme régulateur de l’ensemble des acteurs de la sécurité privée depuis 2011 (2).
Dans un contexte international de multiplication des attaques à l’encontre de sites web, l’ANSSI a publié le 22 avril dernier des recommandations (1) en matière de mesures de sécurité à adopter en prévention et en réponse aux différentes attaques susceptibles d’intervenir à l’encontre des sites web. Dans un premier temps, l’ANSSI met l’accent sur les précautions à prendre préalablement à la mise en œuvre des sites web pour renforcer leur sécurité contre les attaques.
Politique de sécurité, urgence – Chaque année, l’éditeur de logiciels anti-virus Symantec dresse un aperçu des menaces
La sécurité des réseaux et de l’information devient une question préoccupante avec le développement exponentiel des réseaux et des systèmes d’information. La directive proposée en février 2013 vise à assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) au sein de l’Union européenne.
Le 7 février 2013, la Commission européenne a publié la stratégie de l’Union européenne en matière sécurité des réseaux.
Le 19 février 2012, la Cnil a fait part de son intention d’effectuer durant l’année des contrôles sur les failles de sécurité.
Le décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.
L’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information) a publié, le 11 mai 2011, un projet de Référentiel Général de Sécurité. Cette publication vise à recueillir les commentaires des prestataires qui réalisent des audits techniques de la sécurité des systèmes d’information afin d’être qualifiés au sens du RGS (Référentiel Général de Sécurité).
Le ministère de l’Économie, des Finances et de l’Industrie a été victime d’une attaque informatique sans précédent.
Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée
Sécurité des systèmes d’information Autorité de régulation Création de l’Agence nationale de la sécurité des systèmes d’information Une nouvelle structure nationale ayant pour objet d’assurer la sécurité des systèmes d’information a été créée par décret n°2009-834 du 7 juillet 2009, paru au journal officiel du 8 juillet 2009. Cette nouvelle institution, appelée Agence nationale de la sécurité des systèmes d’information, remplace l’ancienne Direction centrale de la sécurité des systèmes d’information (DCSSI). L’Agence de la sécurité des systèmes d’information s’est vue attribuer pour mission de détecter au plus tôt et de réagir rapidement en cas d’attaque informatique, prévenir la menace informatique en contribuant au développement d’une offre de produit de haute sécurité pour les administrations et les acteurs économiques, jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, informer régulièrement le public sur les menaces existantes par le biais du site internet gouvernemental de la sécurité informatique. La création de cette agence a été décidée par le Président de la République, à la suite des travaux du livre blanc sur la défense et la sécurité nationale, publié le 17 juin 2008, préconisant que l’expertise de l’Etat en matière de sécurité des systèmes d’information soit fortement développée. Le livre blanc sur la défense et la sécurité nationale mettait en effet en avant l’existence d’un risque d’attaque informatique majeure à prévoir dans les 15 années à venir. Le site créé pour l’ANSSI est accessible à l’adresse suivante : www.anssi.gouv.fr. Décret 2009-834 du 7 juillet 2009 (Mise en ligne Juillet 2009)
Le Clusif (club de la sécurité de l’information français) a publié enjuin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport, qui couvre un large spectre, repose sur une enquête détailléemenée auprès d’entreprises de plus de 200 salariés
Sécurité des systèmes d’information Sinistralité Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité. Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services. Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres. Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque. Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données. Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales. La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur. L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées. Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information. Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière. De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu. Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information. Rapport 2008 du Clusif disponible sur www.clusif.asso.fr (Mise en ligne Septembre 2008)
Xavier Dalloz, consultant (*) nous livre sa vision de l’ATAWAD ou l’internet de 3ème génération. Pouvez-vous nous en dire plus sur l’ATAWAD, cet internet de 3ème génération ? Il y a eut, le Macintosh, puis le web et nous arrivons à ce que j’appelle l’ère de l’ATAWAD (AnyTime, AnyWhere, Any Device) (**), en français, tout le temps, n’importe où et quel que soit l’outil. Il s’agit d’une révolution du numérique qui va porter sur la façon dont l’utilisateur va pouvoir rechercher l’information et les connaissances, et se les approprier dans un environnement qui va lui permettre une continuité de services utilisant l’outil de restitution de l’information de son choix (un ordinateur, un téléphone, un téléviseur, un PDA…) où il veut et quand il veut. Tout reste encore à inventer pour passer du raisonnement «computing» à celui d’échange, de partage et de collaboration. La confiance sera la clé du succès du web 3, mais l’insécurité ne risque t’elle pas d’être un frein ? L’insécurité sur internet est une réalité. Gartner chiffre la facture de l’usurpation de l’identité sur le Web aux Etats-Unis à 48,86 Md$ en 2006. Environ 15 millions d’Américains auraient ainsi subi des usurpations d’identité entre juillet 2005 et juin 2006. Pourtant l’engouement est là. Il s’explique essentiellement pour trois raisons qui masquent les dangers que personne ne semble voir et qui pourtant sont inéluctables. La première, c’est le côté « sympa » du web qui fait passer au second plan les risques associés. La deuxième raison, c’est le réflexe de voir internet uniquement à travers un ordinateur (poste de travail avec interfaces), alors que c’est un réseaux qui génère des milliards et des milliards d’interactions entre individus avec tout ce que cela comporte de dangers. Enfin, le web n’est à personne et à tout le monde à la fois, ce qui est certes, très séduisant, mais cache une réalité toute autre : il n’y a pas de qualité de service, c’est uniquement du « best effort ». C’est ça la véritable révolution de l’internet par rapport aux télécommunications, c’est que l’on fait « au mieux » pour que ça marche. Or en réalité, on court à la catastrophe sans s’en rendre compte La preuve en est, le nombre de problèmes qui s’accélère : le phishing, le pharming, l’usurpation d’identité, la fraude à la carte bancaire, les vols de données sensibles, etc. Cela impose que l’on prenne des mesures urgentes. Quelles sont les solutions pour résoudre les problèmes de sécurité et de vie privée sur le web ? Aujourd’hui, le raisonnement est centré autour de la « machine », alors qu’il faudrait le centrer autour de l’« humain » en travaillant dans une logique de « personnalisation anonyme ». Il faut en effet être capable d’apporter à un individu trois éléments lui permettant de gérer son identité : une adresse électronique universelle (un pseudo qui ne soit pas un identifiant), une carte de visite individuelle en ligne (Home Page) et un système qui lui permette de garder la trace de tous ses messages, documents, notes et liens (un moteur de « trouvage » contextuel). C’est ce que j’appelle le Domicile Numérique Sécurisé (DNS) qui est un espace virtuel combinant ces trois éléments. Le DNS est une architecture qui met en relation cohérente des usagers, clients potentiels, Administrations et fournisseurs de produits et services du « monde réel » (et surtout pas du monde « virtuel ») dans cet internet de 3ème génération. En ce qui concerne l’identification, la seule chose qui soit aujourd’hui réaliste sont les signatures « contextuelles ». Ce qui est important, c’est en effet de ne pas donner d’identifiant de quelque nature que ce soit (y compris biométrie) pour ne pas faciliter le piratage. La plupart des utilisateurs s’inscrivent aujourd’hui avec le même identifiant et le même mot de passe à différents services et il suffit à un pirate de s’insérer sur un service en ligne faiblement protégé pour récupérer des binômes (identifiant/authentifiant) utilisables sur des sites bien protégés, pour usurper une identité. Qui réfléchit au fonctionnement de l’internet de demain ? Y a t’il un pilote dans l’appareil … C’est là un problème essentiel. Il faudrait pouvoir proposer un projet au niveau mondial sur une vision du fonctionnement de l’internet de demain qui ferait abstraction de la technique pour résoudre les problèmes juridiques liés à la responsabilité. Nous organisons régulièrement des journées d’information et de réflexion, en particulier autour du plus grand salon professionnel au monde, le CES (Consumer Electronics Association) qui est l’association américaine qui représente les industriels de l’électronique grand public. Interview réalisée par Isabelle Pottier, avocat, Parue dans la JTIT n°65/2007. (*) Xavier Dalloz exerce depuis plus de 10 ans une activité de conseil stratégique sur l’utilisation des TIC dans les entreprises et les organisations www.dalloz.fr/ (**) Marque déposée, voir le site www.atawad.com/
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |