La juridiction administrative écarte la possibilité pour des sociétés privées, de surveiller la voie publique par l’intermédiaire d’écrans de vidéosurveillance pour le compte d’une commune, s’agissant d’une mission réservée à la police.
Le ministère de l’Économie, des Finances et de l’Industrie a été victime d’une attaque informatique sans précédent.
Petit-déjeuner du 15 décembre 2010 – Eric Barby a animé un petit-déjeuner débat consacré aux outils juridiques indispensables à l’activité du RSSI face à la multiplication des textes susceptibles d’engager sa responsabilité. L’année 2010 a été marquée par l’adoption de nombreuses réglementations ou référentiels qui impactent l’entreprise, la sécurité de son réseau et par-là même, les acteurs de la sécurité.
Une nouvelle délibération de la Cnil « portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique », adoptée le 21 octobre 2010, vient mettre à jour la recommandation 2003-036 du 1er juillet 2003. Dans cette nouvelle délibération, la Commission détaille une série de recommandations
Cette nouvelle recommandation a pour champ d’application les dispositifs de vote électronique à distance, en particulier par internet. Elle ne concerne pas les dispositifs de vote par codes-barres, les dispositifs de vote par téléphone fixe ou mobile, ni les machines à voter.
L’accroissement des actes de fraude et de malveillance, perpétrés au sein des entreprises ces dernières années, ont conduit nombre d’entre elles à prendre des mesures en vue d’assurer la maîtrise de ce risque très particulier. Pour autant, la mise en oeuvre d’outils destinés à la surveillance des salariés ressort-elle du libre choix de l’entreprise
L’Agence européenne de la sécurité des réseaux et de l’information (ENISA) a publié un nouveau rapport relatif au partage des informations sur la cyber-sécurité. Le rapport met en lumière l’importance des incitations économiques pour les praticiens du secteur. Le directeur exécutif de l’ENISA a déclaré
Expertises judiciaires ICE et Audit Sécurité des systèmes d’information Le «full disclosure» une pratique désormais prohibée ? Publier les moyens d’exploiter la vulnérabilité d’un système informatique peut constituer un délit. C’est ce qu’un expert en informatique, spécialisé en sécurité, a appris à ses dépends. Sous couvert d’informer et de sensibiliser le public à la sécurité informatique, il avait diffusé, sur le portail internet de sa société de conseil en sécurité informatique, des informations précises et accessibles à tous, relatives à l’existence et aux moyens d’exploiter plusieurs failles de sécurité dans un format d’image numérique fourni par Microsoft, ce avant la publication officielle des patchs correctifs. Le gérant de la société avait parallèlement informé par mail la société Microsoft de sa découverte, qui l’en avait remercié en retour. Poursuivi par Microsoft, qui estimait que le gérant n’aurait pas dû publier sur son site les scripts permettant de contourner son système avant qu’elle ne publie les correctifs, ce dernier a été condamné. La Cour de cassation a confirmé la condamnation à une peine d’amende de 1000 euros prononcée par la cour d’appel. Cette dernière l’avait jugé coupable de l’infraction incriminée par l’article 323-3-1 du Code pénal, à savoir mise à disposition sans motif légitime de programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé de données. Il y a une grande différence entre faire état de l’existence d’une vulnérabilité (full disclosure) et délivrer les moyens techniques et la procédure à suivre en vue d’exploiter cette vulnérabilité (publication d’un «exploit»). Dans cette affaire, le gérant n’avait pas seulement publié l’existence de la faille dans le système de traitement automatisé de données (STAD), mais les moyens techniques de l’exploiter, faisant ainsi courir le risque qu’un « public malveillant » utilise les moyens ainsi diffusés à des fins de piratage d’un STAD, ce risque ne pouvant d’ailleurs pas être méconnu du gérant « du fait de son expertise ». Ainsi, il apparaît que ce n’est pas la publication de la révélation de la faille de sécurité qui est visée par la condamnation de la Cour, mais bien la diffusion accessible à tous de l’exploit y étant associé. Il en résulte qu’il semble autorisé d’informer les utilisateurs sur les failles de sécurité et ainsi de diffuser des informations sur l’existence d’une vulnérabilité, la simple publication d’une vulnérabilité ne constituant pas un délit. L’article 323-3-1 du Code pénal vise, sans les nommer, la détention et/ou l’utilisation de virus informatiques, et a vocation à englober de façon plus large les programmes visant à exploiter les failles informatiques, comme c’est le cas en l’espèce. Il faut espérer que cet arrêt ne condamne pas définitivement les travaux de recherche, dans la mesure où la publication d’une vulnérabilité par un tiers constitue également un moyen de contraindre l’éditeur du programme défaillant à résoudre le problème, ce qui est bénéfique pour l’ensemble des utilisateurs. Cass. crim. 27-10-2009 n° 09-82346 Paru dans la JTIT n°97/2010(Mise en ligne Février 2010) Autres brèves Le management de la sécurité des SI enfin normalisé par l’AFNOR ! (Mise en ligne Décembre 2007) Bientôt une norme NF sur les systèmes de management de la sécurité informatique… (Mise en ligne Juillet 2007) Respecter l’état de l’art en matière de sécurité des systèmes d’information (Mise en ligne Mars 2006)
La Cnil a fait une recommandation sur le vote électronique pour les élections professionnelles. Elle y précise qu’il s’agit essentiellement du vote dématérialisé
Vote électronique Le vote électronique par machines à voter : il faut établir la confiance Le rapport du Forum des droits sur l’internet vient de dresser un bilan sur le vote électronique par machines à voter qui fait ressortir la satisfaction des municipalités mais également leur préoccupation quant à la sécurité. C’est un dispositif qui doit encore être amélioré. Seules 16 des 82 communes ayant eu recours aux machines à voter ont rencontrées quelques difficultés qui sont d’avantage dues à des incidents matériels (pannes d’alimentation électrique, problèmes d’impression) qu’à des difficultés spécifiques de fiabilité. Il faut donc rétablir la confiance. Parmi les pistes proposées par le Forum, figurent la création d’un journal des traces pour le public, la possibilité de procéder à des vérifications extérieures du bon fonctionnement des machines avant leur utilisation le jour de l’élection ou à des « saisies » aléatoires de matériel par des experts indépendants avant ou après l’élection. Elles seront reprises dans la prochaine recommandation que le Forum des droits sur l’internet rendra. Forum des droits sur l’internet, Rapport du 11 décembre 2007 (Mise en ligne Décembre 2007)
Un décret ouvre le vote électronique pour les élections des Français de l’Étranger.
Sécurité des systèmes d’information Signature électronique Validité de la signature sous forme de Fac-similé La pratique de l’apposition de la signature sous la forme d’un Fac-similé des décisions ministérielles de retrait de points et de retrait du permis de conduire a été validée par le Conseil d’Etat bien qu’il ne réponde pas à la question de savoir si une telle signature est présumée constituer un procédé fiable d’identification au sens de l’article 1316-4 du Code civil. Ainsi, par un avis rendu le 31 mars 2008, le Conseil d’état autorise l’apposition de la signature sous forme d’un Fac-similé s’agissant des décisions ministérielles de retrait de points et de retrait du permis de conduire. Le Conseil d’état s’est vu transmettre par le Tribunal administratif de Bordeaux la question de savoir si « l’utilisation systématique d’un Fac-similé de la signature de l’autorité compétente, apposé de manière automatique sur des décisions ministérielles […] était couverte par la présomption de fiabilité qui s’attache, selon le code civil, à la signature électronique ». En effet, l’article 1316-4 du Code civil prévoit que la signature électronique doit consister « en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et que cette fiabilité « est présumée, jusqu’à preuve du contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garanti ». Or, l’article 2 du décret de l’application de cet article (décr. n°2001-272 du 30 mars 2001) dispose que « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ». Bien que le Conseil d’état ne réponde pas à la question de savoir si l’apposition de la signature sous la forme d’un Fac-similé est présumée être un procédé fiable d’identification au sens de l’article 1316-4 du Code civil, l’avis retient que « l’apposition de la signature du sous-directeur de la circulation et de la sécurité routière au ministère de l’intérieur sur les décisions […], sous la forme d’un Fac-similé, procédé inhérent à un traitement automatisé des décisions, identifie l’auteur de la décision et atteste que l’ensemble des informations qui y sont rapportées ont été enregistrées sous l’autorité et sous contrôle du ministre de l’intérieur, dans des conditions prévues par le code de la route et que la notification de chaque décision intervient à l’issu de l’ensemble des étapes rappelées ci-dessus ». Avis du Conseil d’Etat n°311095 du 31 mars 2008 (Mise en ligne Mars 2008) Autres brèves Signature électronique : les premiers certificats «qualifiés» arrivent (Mise en ligne Mars 2008)
Passeports biométriques : deux mesures d’urgence pour le département de l’Essonne.
Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée
Sécurité des systèmes d’information Ecoutes téléphoniques Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006)
Constructeurs ITE – Règlementation Cryptologie : contenu des dossiers de déclaration et d’autorisation L’arrêté du 25 mai 2007 pris en application du décret du 2 mai 2007 vient préciser les caractéristiques techniques qui peuvent être demandées par la Direction centrale de la sécurité des systèmes d’information (DCSSI), dans le cas d’une déclaration ou d’une demande d’autorisation d’opérations relatives à des moyens et des prestations de cryptologie. Les six arrêtés issus du régime antérieur sont abrogés. Les formulaires de déclaration préalable (DM et DP) et de demande d’autorisation (AM) dont les modèles sont annexés à l’arrêté, sont à adresser en trois exemplaires au secrétariat général de la défense nationale, direction centrale de la sécurité des systèmes d’information. Arrêté du 25 mai 2007 (Mise en ligne Mai 2007)
Constructeurs ITE – Libertés publiques Interceptions judiciaires Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Données de connexion : l’arrêté sur la tarification des réquisitions entaché d’illégalité (Mise en ligne Août 2007)
Vote électronique Législation comparée du Sénat sur le vote électronique Le service des études juridiques du Sénat vient de publier une étude de législation comparée sur le vote électronique. L’étude porte sur l’analyse des textes et de la pratique dans neuf pays européens : l’Allemagne, l’Angleterre et le pays de Galles, la Belgique , l’Espagne, l’Irlande, l’Italie, les Pays-Bas, le Portugal et la Suisse. L’étude révèle que : une partie plus ou moins importante du corps électoral vote à l’aide de dispositifs électroniques aux Pays-Bas, en Belgique et en Allemagne ; le vote électronique est instauré de façon très progressive en Suisse depuis 2003 ; l’Irlande a commencé à introduire le vote électronique en 2002, mais a suspendu son expérience ; en Angleterre et au pays de Galles, le vote électronique est expérimenté depuis 2000 à l’occasion d’élections locales dans plusieurs collectivités, mais sa généralisation n’est plus envisagée ; en Espagne, en Italie et au Portugal, le vote électronique ne donne pour l’instant lieu qu’à des tests sans valeur juridique.L’étude montre de façon générale, que le vote électronique ne paraît pas répondre aux espoirs qu’il a nourris. La Suisse, où l’instauration du vote par Internet s’effectue de façon très pragmatique et répond a priori à un réel besoin puisque les citoyens sont appelés à se rendre aux urnes plusieurs fois par an, semble cependant constituer une exception. Rapport d’information du Sénat sur le vote électronique (Mise en ligne Septembre 2007)
Internet contentieux Interception judiciaire Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006) Commercialisation de matériels d’interception de communications électroniques (Mise en ligne Septembre 2006)
Petit-déjeuner débat du 18 novembre 2009 consacré à la nouvelle donne juridique en matière de sécurité des systèmes d’information. L’année 2009 marque à n’en pas douter une « nouvelle donne » dans le droit de la sécurité des systèmes d’information en plaçant « l’abonné » au cœur du dispositif, comme en témoigne la récente loi Hadopi ou encore le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure, Loppsi. A titre d’exemple, l’article 11 de l’Hadopi modifiant l’article 336-3 du Code de la propriété intellectuelle prévoit que « La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits (…) lorsqu’elle est requise ». En environnement professionnel la personne titulaire de l’accès sera, sans nul doute, l’entreprise. De fait, c’est à elle qu’il appartient de veiller à ce que l’accès à internet ne fasse pas l’objet d’une utilisation de nature à réaliser des actes de contrefaçon. De même, la « nouvelle donne » se matérialise par un ensemble de nouvelles menaces qui dépassent de loin, le système d’information de l’entreprise. Il importe aujourd’hui tout autant de s’intéresser à ce qui se passe au sein du SI de l’entreprise, qu’à ce qui peut se dire à son sujet, au sein des réseaux sociaux, nouveau terrain de prédilection des pirates en tout genre ou des concurrents peu scrupuleux. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner. De même, la « nouvelle donne » se matérialise par un ensemble de nouvelles menaces qui dépassent de loin, le système d’information de l’entreprise. Il importe aujourd’hui tout autant de s’intéresser à ce qui se passe au sein du SI de l’entreprise, qu’à ce qui peut se dire à son sujet, au sein des réseaux sociaux, nouveau terrain de prédilection des pirates en tout genre ou des concurrents peu scrupuleux. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner.
Les 10 conseils de la Cnil pour sécuriser son système d’information La Cnil a publié sur son site web « 10 conseils pour sécuriser votre système d’information », le 12 octobre dernier. Ces 10 conseils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés. Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes : les formalités préalables (déclarations normales, simplifiées, autorisations,…) ; le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ; les flux transfrontières de données ; la sécurité des traitements et de leurs données. Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi. Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés. Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises. Les 10 conseils de la Cnil. (Mise en ligne Novembre 2009)
Petit-déjeuner débat consacré à la « Sécurité des SI : la nouvelle donne juridique » le 18 novembre 2009. L’année 2009 marque à n’en pas douter une « nouvelle donne » dans le droit de la sécurité des systèmes d’information en plaçant « l’abonné » au cœur du dispositif, comme en témoigne la récente loi Hadopi ou encore le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure, Loppsi. A titre d’exemple, l’article 11 de l’Hadopi modifiant l’article 336-3 du Code de la propriété intellectuelle prévoit que « La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits (…) lorsqu’elle est requise ». En environnement professionnel la personne titulaire de l’accès sera, sans nul doute, l’entreprise. De fait, c’est à elle qu’il appartient de veiller à ce que l’accès à internet ne fasse pas l’objet d’une utilisation de nature à réaliser des actes de contrefaçon. De même, la « nouvelle donne » se matérialise par un ensemble de nouvelles menaces qui dépassent de loin, le système d’information de l’entreprise. Il importe aujourd’hui tout autant de s’intéresser à ce qui se passe au sein du SI de l’entreprise, qu’à ce qui peut se dire à son sujet, au sein des réseaux sociaux, nouveau terrain de prédilection des pirates en tout genre ou des concurrents peu scrupuleux. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des SI, sont les principaux thèmes qui seront abordés lors de notre prochain petit-déjeuner. Nous vous remercions de bien vouloir confirmer votre présence avant le 9 novembre 2009 par courrier électronique en indiquant vos coordonnées et le nombre de personnes qui assisteront au petit-déjeuner débat à l’adresse suivante : invitation-conference@alain-bensoussan.com ou par fax au 01 41 33 35 36, en joignant le présent bulletin.
Sécurité des systèmes d’information Autorité de régulation Création de l’Agence nationale de la sécurité des systèmes d’information Une nouvelle structure nationale ayant pour objet d’assurer la sécurité des systèmes d’information a été créée par décret n°2009-834 du 7 juillet 2009, paru au journal officiel du 8 juillet 2009. Cette nouvelle institution, appelée Agence nationale de la sécurité des systèmes d’information, remplace l’ancienne Direction centrale de la sécurité des systèmes d’information (DCSSI). L’Agence de la sécurité des systèmes d’information s’est vue attribuer pour mission de détecter au plus tôt et de réagir rapidement en cas d’attaque informatique, prévenir la menace informatique en contribuant au développement d’une offre de produit de haute sécurité pour les administrations et les acteurs économiques, jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, informer régulièrement le public sur les menaces existantes par le biais du site internet gouvernemental de la sécurité informatique. La création de cette agence a été décidée par le Président de la République, à la suite des travaux du livre blanc sur la défense et la sécurité nationale, publié le 17 juin 2008, préconisant que l’expertise de l’Etat en matière de sécurité des systèmes d’information soit fortement développée. Le livre blanc sur la défense et la sécurité nationale mettait en effet en avant l’existence d’un risque d’attaque informatique majeure à prévoir dans les 15 années à venir. Le site créé pour l’ANSSI est accessible à l’adresse suivante : www.anssi.gouv.fr. Décret 2009-834 du 7 juillet 2009 (Mise en ligne Juillet 2009)
Internet conseil Vote électronique Le vote électronique pour les élections des Français de l’Étranger Le décret du 11 mai 2009, relatif au vote par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, vient d’être publié au Journal Officiel. Il est complété par un arrêté du même jour. Ces textes précisent, notamment, les conditions dans lesquelles se déroulent les opérations de vote électronique, la constitution et la mission du bureau de vote par voie électronique, et les règles attachées à la création de traitements automatisés de données à caractère personnel. Ce dispositif réglementaire vient compléter la loi du 28 mars 2003 autorisant le vote à distance, incluant le vote par correspondance, mais également le vote électronique, dans le cadre du développement de l’e-administration. Le 7 juin 2009 sont renouvelés les conseillers de l’Assemblée des Français de l’Étranger (AFE) ( Zone Afrique et Amérique), composée de 150 représentants qui sont élus au suffrage universel direct par les Français établis hors de France. L’option de vote électronique ainsi proposée aux Français établis à l’Étranger dans le cadre de cette élection est confiée à un prestataire technique. La gestion, notamment, de la sécurisation et la diffusion des codes personnels d’authentification des électeurs tient compte des recommandations de la Cnil, validées dans un contexte national, pour une élection à valeur légale, depuis les ordonnances de juillet 2003 et la délibération n°2006-042 du 23 février 2006. Le décret du 11 mai 2009 précise que le vote des Français à l’Étranger peut s’exercer selon trois modes de scrutin : personnellement, dans les bureaux de vote ; par correspondance ; par Internet.Deux traitements automatisés de données à caractère personnel, distincts, dédiés et isolés, dénommés « fichier des électeurs » et « urne électronique », ont été créés puis validés par la Cnil pour le vote électronique. Il est indiqué également que les Français inscrits sur les listes électorales consulaires pourront voter par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, à moins que leur pays de résidence ne soit inscrit sur la liste de ceux depuis lesquels la transmission de flux informatiques chiffrés est impossible ou interdite. L’électeur ayant opté pour le vote électronique ne sera, en revanche, plus admis à voter, ni par correspondance sous pli fermé, ni à se présenter dans l’un des bureaux de vote ouverts le jour du scrutin. Préalablement à sa mise en oeuvre, le système de vote par voie électronique devra faire l’objet d’une expertise indépendante portant sur les garanties apportées à la confidentialité, la sécurité, la sincérité et au contrôle du scrutin. L’expert indépendant aura seul accès au code source du système de vote. Il remettra son rapport au Ministre des Affaires Étrangères, au bureau du vote par voie électronique, et à la Cnil. Également, un bureau du vote électronique a été mis en place afin de contrôler l’ensemble des opérations de vote par voie électronique et du dépouillement du scrutin. Décret n°2009-525 du 14 mai 2009 Arrêté du 13 mai 2009 Arrêté du 11 mai 2009 Délibération 2009-210 du 30 avril 2009 (Mise en ligne Juin 2009) Autres brèves Le vote électronique et la modernisation du processus électoral : les machines à voter (Mise en ligne Septembre 2008)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |