Réagir juridiquement à
une attaque informatique
CYBER@HACK
10 avril 2014
/ /BenjaminBenifei Juriste ITrust
Sommaire
1. De quoiparle-t-on ?
2. Agir avantl'attaque
3. Le cyber-droit?
4. Aperçu de laprocédure
5. Obligations légales
Attaque informatique,
cyberattaque, incident
de sécurité ?
Point de vue technique
« Une cyberattaque toutes les deux secondes » (L'Express)
« 10 à100 attaques automatiques àlasecond...
Point de vue technique
Un ping?Une tentative de connexion ?L'ensemble de ces
tentatives ayantmené au DDoS du site ou àlafu...
Point de vue juridique
L'attaque, dans sadiversité, n'estpas définie en droit
Ce seraitdonc un faitpouvantêtre constitutif...
Point de vue juridique
Une attaque informatique pourraitdonc être :
Un acte malveillant
Un sinistre
Une négligence
La nécessaire gestion ex ante
des attaques informatiques
Limiter techniquement le
risque d'attaques
Analyse de risques, sensibilisation, solutions logicielles, etc.
Ces moyens doi...
Anticiper juridiquement
le risque d'attaques
Gestion des responsabilités, PSSI, vérification de lapolice
d'assurance, prép...
Reconnaissance des
cyberattaques par le droit
Loi du 5 janvier 1988
Loi Godfrain
Lutte contre lafraude informatique (le piratage ou l'atteinte aux
systèmes automatisés ...
Loi Godfrain (2)
Sanction de latentative
Punition majorée en cas d'atteinte au STAD de l'État
Arrêtde laCour d'appelde Par...
Le droit de la propriété intellectuelle
Propriété littéraire etartistique (œuvres de l'esprit) : œuvre
écrite, œuvre graph...
Droit sui generis du producteur de base de
données
Monopole d'exploitation permettantd'interdire l'extraction etla
republi...
La protection du secret des affaires
Révéler un secretde fabrication estpunid'une amende de
30 000 euros etde deux ans d'e...
Procédures légales
Préparer l'action
Dresser une liste des atteintes (journalisation, traces de logiciels
illégitimes, etc.) etdes préjudices...
Voie civile
Contrefaçon : atteinte portée aux droits de propriété
intellectuelle réparée financièrement
(gain manqué etper...
Voie pénale
Lavictime d'une infraction dépose plainte
Perquisitions etsaisies : recherche des preuves (avec les moyens
de ...
Des obligations pour les
victimes d'attaques
Obligation de sécurité des données
personnelles
Toutresponsable d'un traitementde données àcaractère
personnelesttenu d'as...
Obligation de notification à l'ANSSI des
incidents de sécurité des opérateurs de
communication
Vise le secteur des réseaux...
Obligation de notification à la CNIL
des atteintes aux données personnelles
Vise essentiellementles FAI etopérateurs de té...
Obligation de notification à la CNIL (2)
CNIL doitêtre avertie sans délai
Information de l'utilisateur des services en cas...
Notification des failles et attaques entre
partenaires
Avez-vous pensé àl'intégrer dans vos contrats ?
Réagir juridiquement à
une attaque informatique
CYBER @HACK
/ /
PrésentationsouslicenceCC-BY-ND4.0réaliséeavec publiésousl...
Quelques lectures
, CabinetBensoussan.
, Céline Castets-Renard
,
Stéphane Bortzmeyer
, Le Comptoir Sécu
,
ThiébautDevergra...
Prochain SlideShare
Chargement dans…5
×

Réagir juridiquement à une attaque informatique

338 vues

Publié le

Présentation du Cyber@Hack #1 en 2014.

Publié dans : Droit
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
338
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Réagir juridiquement à une attaque informatique

  1. 1. Réagir juridiquement à une attaque informatique CYBER@HACK 10 avril 2014 / /BenjaminBenifei Juriste ITrust
  2. 2. Sommaire 1. De quoiparle-t-on ? 2. Agir avantl'attaque 3. Le cyber-droit? 4. Aperçu de laprocédure 5. Obligations légales
  3. 3. Attaque informatique, cyberattaque, incident de sécurité ?
  4. 4. Point de vue technique « Une cyberattaque toutes les deux secondes » (L'Express) « 10 à100 attaques automatiques àlaseconde » (Le Figaro) Est-ce vraimentsérieux ?
  5. 5. Point de vue technique Un ping?Une tentative de connexion ?L'ensemble de ces tentatives ayantmené au DDoS du site ou àlafuite de données ? In fine, c'estsurtoutlaprise de conscience de lavaleur croissante du patrimoine informationnel
  6. 6. Point de vue juridique L'attaque, dans sadiversité, n'estpas définie en droit Ce seraitdonc un faitpouvantêtre constitutif d'une faute dont résulte un préjudice (droitcivil) ou une infraction (droitpénal) exercé par ou contre un système d'information
  7. 7. Point de vue juridique Une attaque informatique pourraitdonc être : Un acte malveillant Un sinistre Une négligence
  8. 8. La nécessaire gestion ex ante des attaques informatiques
  9. 9. Limiter techniquement le risque d'attaques Analyse de risques, sensibilisation, solutions logicielles, etc. Ces moyens doiventrépondre àde multiples exigences, notammentjuridiques
  10. 10. Anticiper juridiquement le risque d'attaques Gestion des responsabilités, PSSI, vérification de lapolice d'assurance, préparation de l'aménagementdes preuves, etc.
  11. 11. Reconnaissance des cyberattaques par le droit
  12. 12. Loi du 5 janvier 1988 Loi Godfrain Lutte contre lafraude informatique (le piratage ou l'atteinte aux systèmes automatisés de données) Sontpunis les cas de fraude : 1. Visantles systèmes (accès/maintien) 2. Visantles données (suppression/altération)
  13. 13. Loi Godfrain (2) Sanction de latentative Punition majorée en cas d'atteinte au STAD de l'État Arrêtde laCour d'appelde Paris du 5 février 2014
  14. 14. Le droit de la propriété intellectuelle Propriété littéraire etartistique (œuvres de l'esprit) : œuvre écrite, œuvre graphique, logiciel, etc. Propriété industrielle (formalités préalables) : brevet, marque, dessins etmodèles, etc.
  15. 15. Droit sui generis du producteur de base de données Monopole d'exploitation permettantd'interdire l'extraction etla republication sous conditions Sanction de 300 000 euros d'amende etde cinq ans d'emprisonnement
  16. 16. La protection du secret des affaires Révéler un secretde fabrication estpunid'une amende de 30 000 euros etde deux ans d'emprisonnement Plusieurs projets en cours : Délitd'atteinte au secretd'une information économique protégée Protection du secretd'affaires
  17. 17. Procédures légales
  18. 18. Préparer l'action Dresser une liste des atteintes (journalisation, traces de logiciels illégitimes, etc.) etdes préjudices subis Adresse exacte des appareils touchés par l'attaque Éventuellementun constatsur internet(norme Afnor Z676147) ou une saisie-contrefaçon (voie civile) Voie civile ou pénale ?
  19. 19. Voie civile Contrefaçon : atteinte portée aux droits de propriété intellectuelle réparée financièrement (gain manqué etperte générée) Action en concurrence déloyale (responsabilité délictuelle)
  20. 20. Voie pénale Lavictime d'une infraction dépose plainte Perquisitions etsaisies : recherche des preuves (avec les moyens de l'action publique) Laloid'orientation etde programmation pour laperformance de lasécurité intérieure de 2011 adapte les perquisitions au contexte numérique
  21. 21. Des obligations pour les victimes d'attaques
  22. 22. Obligation de sécurité des données personnelles Toutresponsable d'un traitementde données àcaractère personnelesttenu d'assurer lasécurité des données « Toutes précautions utiles » (article 34 LIL) Cinq ans d'emprisonnementet300 000 euros d'amendes (article 226-17 du Code pénal)
  23. 23. Obligation de notification à l'ANSSI des incidents de sécurité des opérateurs de communication Vise le secteur des réseaux de communications publics ou services de communications électroniques Notification des atteintes àlasécurité ou des pertes d'intégrité ayantun « impactsignificatif »
  24. 24. Obligation de notification à la CNIL des atteintes aux données personnelles Vise essentiellementles FAI etopérateurs de téléphonie Cas de violation de données àcaractère personnel Sanction de 300 000 euros d'amende etde cinq ans d'emprisonnement
  25. 25. Obligation de notification à la CNIL (2) CNIL doitêtre avertie sans délai Information de l'utilisateur des services en cas d'atteinte àsavie privée (sauf moyens cryptographiques) Illustration récente avec Orange
  26. 26. Notification des failles et attaques entre partenaires Avez-vous pensé àl'intégrer dans vos contrats ?
  27. 27. Réagir juridiquement à une attaque informatique CYBER @HACK / / PrésentationsouslicenceCC-BY-ND4.0réaliséeavec publiésouslicenceMIT BenjaminBenifei Juriste ITrust reveal.js
  28. 28. Quelques lectures , CabinetBensoussan. , Céline Castets-Renard , Stéphane Bortzmeyer , Le Comptoir Sécu , ThiébautDevergranne Droitinternational des TIC Droitde l'internet Compter sérieusementle nombre d'attaques informatiques ? Juridique, réponse àincidentetLPM Etvous pensiezdéposer plainte pour attaque informatique ?

×