2. 2
• Un "risque" est un événement dont l'arrivée aléatoire, est susceptible de causer un
dommage aux personnes ou aux biens ou aux deux à la fois.
• Il est donc potentiel
• Il ne relève pas d’un cas de force majeure
• Même s’il est inhérent à toute convention, le risque aléatoire n’implique pas que tout
contrat comportant un risque soit aléatoire
1. qu’est ce que le risque?
3. 3
2./ Le risque informatique et la confiance
dans l’économie numérique : exemple
4. 4
• Charte SI : le plus souvent la faille vient de l’intérieur et a pour origine un facteur humain
•Contrats avec les autres acteurs du SI : sous traitance, niveaux de services, cloud computing
• les accords de confidentialité
3. La gestion des risques : la prévention
interne : sécuriser pour garantir la confiance
5. 5
•Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
• Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique
•Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant
dispositions diverses relatives à la sécurité et aux contrôles frontaliers
•Le projet de loi pour une république numérique
•Le projet de règlement général sur la protection des données
4. La gestion des risques : assurer la
confiance par le respect des textes légaux
6. 6
•L’atteinte à un système de traitement automatisé de données : articles 323-1 et suivants
du Code pénal
•Le vol d’informations : article 311-1 code pénal
•Directive et projet de loi sur le secret des affaires ?
•Le délit d’identité d’usurpation numérique : Article 226-4-1 du code pénal
•L’article 1382 du code civil
5. La gestion des risques : bénéficier d’outils
de sanctions
7. 7
Cadre légal technique de la sécurité : très peu de texte
– Le référentiel général de sécurité relatif aux échanges électroniques entre les
usages et les autorités administratives et entre ces dernières
– La certification des hébergeurs de données de santé agréés
– Les opérateurs de jeux d’argent et de hasard en ligne
•Une vision pragmatique, même de la part, de l’ANSSI
• Recommandée par l’ANSSI, la démarche d’homologation d’un système d’information est
un préalable à l’instauration de la confiance dans les systèmes d’information et dans leur
exploitation.
• Son objectif est de trouver un équilibre entre le risque acceptable et les coûts de
sécurisation, puis de faire arbitrer cet équilibre, de manière formelle, par un responsable
qui a autorité pour le faire. L’homologation de sécurité permet à un responsable, en
s’appuyant sur l’avis des experts, de s’informer et d’attester aux utilisateurs d’un système
d’information que les risques qui pèsent sur eux, sur les informations qu’ils manipulent et
sur les services rendus, sont connus et maîtrisés.
•Il n’est pas mentionné « sont évités »….
6. La gestion des risques : état de l’art, bon
père de famille et mesure adéquate
8. 8
•Le principe d’accountabilty tiré du projet de règlement général sur la protection des
données
•Quel degré d’obligation ? Obligation de résultat ou obligation de moyen renforcé
•Pour un plan d’assurance Accountabilty ?
•Le respect de normes (ISO…) sans avoir valeur de texte légal
7. La gestion des risques : état de l’art, bon
père de famille et mesure adéquate
9. 9
E-réputation
Big data
Internet des objets
Voitures connectées
La cigarette électronique
8. Risques et confiance dans l’économie
numérique : nouveaux enjeux
10. 10
9. Cartographie des risques SI et
cartographie des risques juridiques
Source : enquête AFAI 8 avril 2010 cartographie des risques informatiques : exemple méthodes et outils
11. LYON
63 avenue de Saxe
BP 3167 - 69406 Lyon - Cedex 03
Tél. +33 (0)4 72 60 53 93
PARIS
7 rue de Madrid
75008 Paris
Tél. +33 (0)1 44 90 17 10
mathieu,martin@bismuth.fr
www.bismuth.fr
@Bismuth_Avocats
Visio conférence ip :
217.108.168.203
Cabinet certifié iso 9001 / 2008
selarl au capital de 12 800 euros
Siège social : 63 avenue de saxe 69003 Lyon
Rcs lyon n°438 751 737
Siret n°438 751 737 00018
MERCI DE VOTRE ATTENTION