SlideShare une entreprise Scribd logo
1  sur  53
Sécurité informatique : entre obligations et
opportunités. Comment tirer avantage du
piratage éthique?
Mélanie Gagnon - MGSI
Alexandre Cassart- Lexing
Joachim Parmentier - Lexing
Pauline LIMBREE- Lexing
www.earlegal.beGroupe Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Groupe Larcier et Lexing Belgium
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines plus
tard : https://creactivity.lexing.be/earlegal/
Un fil rouge
Quatre questions
2
Groupe Larcier / Lexing www.earlegal.be
Quelques chiffres relatifs à la cybercriminalité
en Belgique
3
Groupe Larcier / Lexing www.earlegal.be4
 Augmentation de 15 % entre 2017 et 2018
+ 200 000 infractions via internet non signalées
5ème risque le plus importants en 2019
www.earlegal.beGroupe Larcier / Lexing
Programme
Quelles sont les obligations à charge du gestionnaire
informatique ?
Qu’est ce que le pentesting ?
Qu’est ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
5
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.
Groupe Larcier / Lexing www.earlegal.be
Quelles sont les obligations à charge du
gestionnaire d’un système informatique ?
7
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Quelles
obligations
de sécurité
« New-C »
doit-elle
respecter?
www.earlegal.beGroupe Larcier / Lexing
Deux législations à respecter
9
RGPD NIS Cybersecuri
ty Act
www.earlegal.beGroupe Larcier / Lexing
Toute information se
rapportant à une personne
physique identifiée ou
identifiable
Ex : nom, numéro
d'identification, données de
localisation, plaque
d’immatriculation,
identifiant en ligne, adresse
IP, résultats médicaux, e-
mails, affiliations.
RGPD : si donnée à caractère personnel
www.earlegal.beGroupe Larcier / Lexing
RGPD : une approche par les risques
« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de
la nature, de la portée, du contexte et des finalités du traitement ainsi que des
risques, dont le degré de probabilité et de gravité varie, pour les droits et
libertés des personnes physiques, le responsable du traitement et le sous-
traitant mettent en œuvre les mesures techniques et organisationnelles
appropriées afin de garantir un niveau de sécurité adapté au risque, y
compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la
disponibilité et la résilience constantes des systèmes et des services de
traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère
personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident
physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement
l'efficacité des mesures techniques et organisationnelles pour assurer la
sécurité du traitement. »
11
www.earlegal.beGroupe Larcier / Lexing
RGPD : quelques mesures concrètes
12
 Sensibiliser les utilisateurs ;
 Authentifier les utilisateurs ;
 Gérer les habilitations ;
 Tracer les accès et gérer les incidents ;
 Sécuriser les postes de travail ;
 Protéger le réseau informatique interne ;
 Sécuriser les serveurs ;
 Sécuriser les sites web ;
 Sauvegarder et prévoir la continuité d’activité ;
 Archiver de manière sécurisée;
 Encadrer la maintenance et la destruction des données ;
 Gérer la sous-traitance ;
 Sécuriser les échanges avec d’autres organismes ;
 Protéger les locaux ;
 Encadrer les développements informatiques ;
 Chiffrer, garantir l’intégrité ou signer ;
 …
 ;
www.earlegal.beGroupe Larcier / Lexing
RGPD : l’analyse d’impact et l’obligation
de notification
8 cas obligatoires
13
www.earlegal.beGroupe Larcier / Lexing
La directive NIS : si OSE ou FSN
14
RGPD NIS Cybersecuri
ty Act
www.earlegal.beGroupe Larcier / Lexing
La directive NIS : si OSE ou FSN
15
www.earlegal.beGroupe Larcier / Lexing
NIS : une approche par les risques
16
www.earlegal.beGroupe Larcier / Lexing
Éventuellement, le Cybersecurity Act pour
les produits, services et processus TIC
17
RGPD NIS Cybersecuri
ty Act
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Quelles
obligations
de sécurité
« New-C »
doit-elle
respecter?
RGPD
Éventuellement,
Cybersecurity Act lors
du choix des appareils
médicaux
A priori NIS
Groupe Larcier / Lexing www.earlegal.be
Qu’est-ce que le pentesting ?
19
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
« New-C »
aimerait tester
se sécurité
informatique
par une
démarche
encadrée.
www.earlegal.beGroupe Larcier / Lexing
Pentesting : définition
Pentesting ou « tests de pénétration », est un moyen efficace
d'identifier et d'atténuer les vulnérabilités, avant qu'un hacker ne les
exploite. L'objectif des tests de pénétration est d'identifier les
faiblesses et de les signaler aux personnes en charge du système, afin
de prendre les mesures appropriées et améliorer le niveau de sécurité
des informations.
Grâce au pentesting, une société obtient une vue indépendante et
objective sur la sécurité de l'information, avec des données concrètes
et fiables sur les vulnérabilités et les impacts.
21
www.earlegal.beGroupe Larcier / Lexing
Pentesting : définition
Security testing in which evaluators mimic real-world attacks in an
attempt to identify ways to circumvent the security features of an
application, system, or network. Penetration testing often involves
issuing real attacks on real systems and data, using the same tools
and techniques used by actual attackers. Most penetration tests
involve looking for combinations of vulnerabilities on a single system
or multiple systems that can be used to gain more access than could
be achieved through a single vulnerability.
Source : NIST SP800-115
22
www.earlegal.beGroupe Larcier / Lexing
Pentesting : pourquoi, quoi et quand ?
Pourquoi ?
Évidemment, la sécurité de l’information mais aussi…
Respect du RGPD (art. 32 Sécurité du traitement)
Data breach… Sanctions…
Quoi ?
Tests d’intrusion du système informatique : applications, réseaux, site web,
réseaux téléphoniques/VoIP, passerelle e-mail, etc.
Peut inclure les tests d’intrusion physique, ingénierie sociale
Quand ?
Approche basée par les risques…
Données accessibles sont confidentielles ou sensibles (données financières,
de santé, code utilisateur et mot de passe, données stratégiques d’entreprise,
etc.)
23
www.earlegal.beGroupe Larcier / Lexing
Pentesting : pourquoi, quoi et quand ?
Data breach… Sanctions…
L’autorité de contrôle en Allemagne a sanctionné un site internet d’une
entreprise d’agroalimentaire parce qu’elle n’avait pas protégé les dossier de
candidatures de postulants en ligne. Amende de 100.000€ pour violation des
articles 5 et 32 RGPD
L’ICO a notifié British Airways de l’intention de les sanctionner d’une amende
de plus de 204€ million car du fait de leur mauvaise sécurité (concernant les
log in, les moyens de paiement et les détails de voyages).
24
www.earlegal.beGroupe Larcier / Lexing
Pentesting : comment ?
Démarche encadrée
Démarche d’audit de sécurité en suivant un protocole stricte
Contrat détaillé par écrit (art. 28 RGPD)
Scope précisé
Journalisation complète des actions (permettant un suivi et une
reproduction des tests)
Règles d’engagements (ce qui est permis ou non de faire)
Ex : arrêt du test dès que des données personnelles sont accessibles
www.earlegal.beGroupe Larcier / Lexing
Pentesting : comment ?
Sous-traitant
Société externe agit pour le compte du responsable de traitement
(le client) et est donc sous-traitant
Sous-traitant n'effectue que les tâches demandées par le responsable
de traitement
Attention !
On ne s’improvise pas pentesteur. Grands risques pour vos systèmes.
Soyez prudent avec les outils libres d’accès en ligne…
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
« New-C »
aimerait tester
se sécurité
informatique
par une
démarche
encadrée.
« New-C » sous-traite le
test sécurité (Pentest) à
une société externe
experte
« New-C » procède à la
mise en œuvre des
recommandations
Elle s’assure d’avoir un
contrat écrit détaillé avec
le sous-traitant
Groupe Larcier / Lexing www.earlegal.be
Qu’est-ce que le piratage éthique ?
28
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
« New-C » aimerait
que sa sécurité
informatique soit
testée le plus
régulièrement
possible et selon
les méthodes
utilisées par les
hackers.
www.earlegal.beGroupe Larcier / Lexing
Un exemple parmi d’autres
APD : 317 fuites de données signalées en 6 mois
(contre 13 en 2017!)
CNIL : 1200
30
www.earlegal.beGroupe Larcier / Lexing
Introduction
31
Sociétés spécialisées
dans les tests
d’intrusion
(supra)
Pirates éthiques
Identification de vulnérabilités informatiques en
externe
Mission
identique :
feindre une
attaque
www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : concept
32
Pirate failleIntrusion
Système
informatique
Dexia
Invitation
?
www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : une forme particulière
33
failleDexia
Intrusion
Système
informatiqueInvitation
Communauté
informatique
Pirate
Programme de Bug Bounty Hunting
www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : une forme particulière
34
Programme de Bug Bounty Hunting
www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : synthèse
35
Piratage éthique
Pirate
désintéressé
Pirate
intéressé
Programme de
Bug Bounty
Hunting
Contrat de test
d’intrusion
Dans un cadre Hors de tout cadre
www.earlegal.beGroupe Larcier / Lexing
Quel est l’intérêt de faire pirater sa
propre entreprise?
36
www.earlegal.beGroupe Larcier / Lexing
Quel est le risque de faire pirater sa
propre entreprise?
37
www.earlegal.beGroupe Larcier / Lexing
Autorisation : en pratique – politique de divulgation
coordonnées des vulnérabilités
38
* Bien déterminer les limites de l’autorisation explicite + les résultats escomptés + les risques acceptés
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.
Afin de tester régulièrement la résilience de son
système, New-C recourt fréquemment au hacking
éthique
Rapport des hackers :
• Introduction via réseau wifi :
• Introduction via une adresse IP :
• Introduction via le système de mot de passe :
Actions de New-C :
• les adresses IP ont été sécurisées ;
• le personnel a été formé et conscientisé (session de
PC ouverte, badges/clés qui trainent, etc.) ;
• les routeurs WIFI ont été placés à l’abris des regards
;
• …
Groupe Larcier / Lexing www.earlegal.be
Quelles réactions en cas d’attaque ?
40
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur … mais une attaque a eu lieu
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.
Afin de tester régulièrement la résilience de son
système, New-C recourt fréquemment au hacking
éthique
Rapport des hackers :
• Introduction via réseau wifi :
• Introduction via une adresse IP :
• Introduction via le système de mot de passe :
Actions de New-C :
• les adresses IP ont été sécurisées ;
• le personnel a été formé et conscientisé (session de
PC ouverte, badges/clés qui trainent, etc.) ;
• les routeurs WIFI ont été placés à l’abris des regards
;
• …
www.earlegal.beGroupe Larcier / Lexing
3 corps de règles
42
1. Notification
• Sur base du RGPD
• Sur base de la loi du 7
avril 2019 (directive NIS)
• Sur base de la loi sur les
communications
électroniques (IBPT)
2. Plainte pénale
• Plainte aux services de
police (RCCU)
• Plainte avec constitution
de partie civile (juge
d’instruction)
3. Cessation - civil
• Mesures provisoires
• Actions en cessation
Lecho.be
Service audiovisuel de l’UNamur
www.earlegal.beGroupe Larcier / Lexing
1. Notification
43
RGPD NIS Communications
72 h Sans retard Sans délai
Si risque : À l’APD
Si impact significatif/négatif :
- au CCB (CSIRT national);
- à l’autorité sectorielle ou à
son CSIRT sectoriel
- au Centre de crise du SPF
Intérieur
À l’APD (qui avertit l’IBPT)
Si risque élevé : aux personnes
concernées /
Si affecte négativement vie
privée ou DCP :
au particulier
Sanctions administratives et
pénales
Sanctions administratives ou
pénales /
Formulaire en ligne sur site
APD
Plate- forme de notification
(https://nis-incident.be/fr/)
APD informe l’IBPT
www.earlegal.beGroupe Larcier / Lexing
2. Sur le plan pénal - Violation de données : quelles
infractions?
44
Hacking
interne
Hacking
externe
Sabotage
Faux en
écritures
Faux
informati
que
Fraude
informati
que
Extorsion Abus de
confiance
Vol
www.earlegal.beGroupe Larcier / Lexing
Au pénal : démarches
45
Réparation (si
coupable
identifié)
…ENQUÊTE…
www.earlegal.beGroupe Larcier / Lexing
Dépôt de plainte
Zone de police compétente
Informations à fournir :
Type de SI contaminé?
Système d’exploitation du SI?
Présence antivirus?
Propriétaire du SI?
Mode de contamination?
Etc.
Selon type d’attaque, transmission à la
RCCU/FCCU
46
www.earlegal.beGroupe Larcier / Lexing
Exemple d’informations à fournir: ransomware
47
www.earlegal.beGroupe Larcier / Lexing
Signalement
48
http://www.cert.be/ suspect@safeonweb.be
tromperie, arnaque, fraude ou escroquerie:
https://meldpunt.belgie.be/meldpunt/fr/bienvenue
www.earlegal.beGroupe Larcier / Lexing
3. Sur le plan civil - Mesures d’urgence / Action au fond
49
Action en cessation
Sur base de la
violation d’un secret
d’affaires
Référé
 Mesures
provisoires
Contre tiers :
Hébergeur,
Moteur de recherche
(déréférencement)…
Possibilité de
réparation
www.earlegal.beGroupe Larcier / Lexing
Violation de données = violation du secrets d’affaires ?
Conditions cumulatives :
Informations secrètes,
valeur commerciale parce qu'elles sont
secrètes,
dispositions raisonnables destinées à les
garder secrètes (ex : clauses contrat)
Exemples de secret d’affaires contenant
des données à caractère personnel
• profils des consommateurs
• informations relatives aux clients et aux fournisseurs
• Études cliniques
www.earlegal.beGroupe Larcier / Lexing
Au civil et au pénal : possibilité de réparation
51
Infraction
pénale
Faute civile
Dommage
Lien causal
Lien causal
Prouver
responsa
bilité
Prouver
$$$
www.earlegal.beGroupe Larcier / Lexing
Résumé des actions : pénal - civil
52
Au pénal Au civil
Action contre une
personne identifiée
Action contre X
Action contre une
personne identifiée
Action contre X
Nous vous remercions
pour votre attention

Contenu connexe

Tendances

Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...Lexing - Belgium
 
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?Lexing - Belgium
 
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?Lexing - Belgium
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRTechnofutur TIC
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 

Tendances (20)

Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
 
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
 
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Le dossier GDPR
Le dossier GDPRLe dossier GDPR
Le dossier GDPR
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratique
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdpr
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 

Similaire à earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?

Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 

Similaire à earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ? (20)

Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 

Plus de Lexing - Belgium

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?Lexing - Belgium
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Lexing - Belgium
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...Lexing - Belgium
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?Lexing - Belgium
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...Lexing - Belgium
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeLexing - Belgium
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?Lexing - Belgium
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?Lexing - Belgium
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?Lexing - Belgium
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...Lexing - Belgium
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Lexing - Belgium
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Lexing - Belgium
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...Lexing - Belgium
 

Plus de Lexing - Belgium (20)

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 

earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?

  • 1. Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique? Mélanie Gagnon - MGSI Alexandre Cassart- Lexing Joachim Parmentier - Lexing Pauline LIMBREE- Lexing
  • 2. www.earlegal.beGroupe Larcier / Lexing Présentation et logistique Présentation co-organisée par Groupe Larcier et Lexing Belgium La présentation vous est envoyée par courriel Les vidéos sont disponibles en ligne quelques semaines plus tard : https://creactivity.lexing.be/earlegal/ Un fil rouge Quatre questions 2
  • 3. Groupe Larcier / Lexing www.earlegal.be Quelques chiffres relatifs à la cybercriminalité en Belgique 3
  • 4. Groupe Larcier / Lexing www.earlegal.be4  Augmentation de 15 % entre 2017 et 2018 + 200 000 infractions via internet non signalées 5ème risque le plus importants en 2019
  • 5. www.earlegal.beGroupe Larcier / Lexing Programme Quelles sont les obligations à charge du gestionnaire informatique ? Qu’est ce que le pentesting ? Qu’est ce que le piratage éthique ? Quelles réactions en cas d’attaque ? 5
  • 6. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Trois cliniques décident de se regrouper au sein d'une même structure « New-C ». Elles fusionnent leurs bases de données et souhaitent sécuriser le mieux possible leur système d'information.
  • 7. Groupe Larcier / Lexing www.earlegal.be Quelles sont les obligations à charge du gestionnaire d’un système informatique ? 7
  • 8. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Quelles obligations de sécurité « New-C » doit-elle respecter?
  • 9. www.earlegal.beGroupe Larcier / Lexing Deux législations à respecter 9 RGPD NIS Cybersecuri ty Act
  • 10. www.earlegal.beGroupe Larcier / Lexing Toute information se rapportant à une personne physique identifiée ou identifiable Ex : nom, numéro d'identification, données de localisation, plaque d’immatriculation, identifiant en ligne, adresse IP, résultats médicaux, e- mails, affiliations. RGPD : si donnée à caractère personnel
  • 11. www.earlegal.beGroupe Larcier / Lexing RGPD : une approche par les risques « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous- traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel; b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. » 11
  • 12. www.earlegal.beGroupe Larcier / Lexing RGPD : quelques mesures concrètes 12  Sensibiliser les utilisateurs ;  Authentifier les utilisateurs ;  Gérer les habilitations ;  Tracer les accès et gérer les incidents ;  Sécuriser les postes de travail ;  Protéger le réseau informatique interne ;  Sécuriser les serveurs ;  Sécuriser les sites web ;  Sauvegarder et prévoir la continuité d’activité ;  Archiver de manière sécurisée;  Encadrer la maintenance et la destruction des données ;  Gérer la sous-traitance ;  Sécuriser les échanges avec d’autres organismes ;  Protéger les locaux ;  Encadrer les développements informatiques ;  Chiffrer, garantir l’intégrité ou signer ;  …  ;
  • 13. www.earlegal.beGroupe Larcier / Lexing RGPD : l’analyse d’impact et l’obligation de notification 8 cas obligatoires 13
  • 14. www.earlegal.beGroupe Larcier / Lexing La directive NIS : si OSE ou FSN 14 RGPD NIS Cybersecuri ty Act
  • 15. www.earlegal.beGroupe Larcier / Lexing La directive NIS : si OSE ou FSN 15
  • 16. www.earlegal.beGroupe Larcier / Lexing NIS : une approche par les risques 16
  • 17. www.earlegal.beGroupe Larcier / Lexing Éventuellement, le Cybersecurity Act pour les produits, services et processus TIC 17 RGPD NIS Cybersecuri ty Act
  • 18. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Quelles obligations de sécurité « New-C » doit-elle respecter? RGPD Éventuellement, Cybersecurity Act lors du choix des appareils médicaux A priori NIS
  • 19. Groupe Larcier / Lexing www.earlegal.be Qu’est-ce que le pentesting ? 19
  • 20. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur « New-C » aimerait tester se sécurité informatique par une démarche encadrée.
  • 21. www.earlegal.beGroupe Larcier / Lexing Pentesting : définition Pentesting ou « tests de pénétration », est un moyen efficace d'identifier et d'atténuer les vulnérabilités, avant qu'un hacker ne les exploite. L'objectif des tests de pénétration est d'identifier les faiblesses et de les signaler aux personnes en charge du système, afin de prendre les mesures appropriées et améliorer le niveau de sécurité des informations. Grâce au pentesting, une société obtient une vue indépendante et objective sur la sécurité de l'information, avec des données concrètes et fiables sur les vulnérabilités et les impacts. 21
  • 22. www.earlegal.beGroupe Larcier / Lexing Pentesting : définition Security testing in which evaluators mimic real-world attacks in an attempt to identify ways to circumvent the security features of an application, system, or network. Penetration testing often involves issuing real attacks on real systems and data, using the same tools and techniques used by actual attackers. Most penetration tests involve looking for combinations of vulnerabilities on a single system or multiple systems that can be used to gain more access than could be achieved through a single vulnerability. Source : NIST SP800-115 22
  • 23. www.earlegal.beGroupe Larcier / Lexing Pentesting : pourquoi, quoi et quand ? Pourquoi ? Évidemment, la sécurité de l’information mais aussi… Respect du RGPD (art. 32 Sécurité du traitement) Data breach… Sanctions… Quoi ? Tests d’intrusion du système informatique : applications, réseaux, site web, réseaux téléphoniques/VoIP, passerelle e-mail, etc. Peut inclure les tests d’intrusion physique, ingénierie sociale Quand ? Approche basée par les risques… Données accessibles sont confidentielles ou sensibles (données financières, de santé, code utilisateur et mot de passe, données stratégiques d’entreprise, etc.) 23
  • 24. www.earlegal.beGroupe Larcier / Lexing Pentesting : pourquoi, quoi et quand ? Data breach… Sanctions… L’autorité de contrôle en Allemagne a sanctionné un site internet d’une entreprise d’agroalimentaire parce qu’elle n’avait pas protégé les dossier de candidatures de postulants en ligne. Amende de 100.000€ pour violation des articles 5 et 32 RGPD L’ICO a notifié British Airways de l’intention de les sanctionner d’une amende de plus de 204€ million car du fait de leur mauvaise sécurité (concernant les log in, les moyens de paiement et les détails de voyages). 24
  • 25. www.earlegal.beGroupe Larcier / Lexing Pentesting : comment ? Démarche encadrée Démarche d’audit de sécurité en suivant un protocole stricte Contrat détaillé par écrit (art. 28 RGPD) Scope précisé Journalisation complète des actions (permettant un suivi et une reproduction des tests) Règles d’engagements (ce qui est permis ou non de faire) Ex : arrêt du test dès que des données personnelles sont accessibles
  • 26. www.earlegal.beGroupe Larcier / Lexing Pentesting : comment ? Sous-traitant Société externe agit pour le compte du responsable de traitement (le client) et est donc sous-traitant Sous-traitant n'effectue que les tâches demandées par le responsable de traitement Attention ! On ne s’improvise pas pentesteur. Grands risques pour vos systèmes. Soyez prudent avec les outils libres d’accès en ligne…
  • 27. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur « New-C » aimerait tester se sécurité informatique par une démarche encadrée. « New-C » sous-traite le test sécurité (Pentest) à une société externe experte « New-C » procède à la mise en œuvre des recommandations Elle s’assure d’avoir un contrat écrit détaillé avec le sous-traitant
  • 28. Groupe Larcier / Lexing www.earlegal.be Qu’est-ce que le piratage éthique ? 28
  • 29. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur « New-C » aimerait que sa sécurité informatique soit testée le plus régulièrement possible et selon les méthodes utilisées par les hackers.
  • 30. www.earlegal.beGroupe Larcier / Lexing Un exemple parmi d’autres APD : 317 fuites de données signalées en 6 mois (contre 13 en 2017!) CNIL : 1200 30
  • 31. www.earlegal.beGroupe Larcier / Lexing Introduction 31 Sociétés spécialisées dans les tests d’intrusion (supra) Pirates éthiques Identification de vulnérabilités informatiques en externe Mission identique : feindre une attaque
  • 32. www.earlegal.beGroupe Larcier / Lexing Le piratage éthique : concept 32 Pirate failleIntrusion Système informatique Dexia Invitation ?
  • 33. www.earlegal.beGroupe Larcier / Lexing Le piratage éthique : une forme particulière 33 failleDexia Intrusion Système informatiqueInvitation Communauté informatique Pirate Programme de Bug Bounty Hunting
  • 34. www.earlegal.beGroupe Larcier / Lexing Le piratage éthique : une forme particulière 34 Programme de Bug Bounty Hunting
  • 35. www.earlegal.beGroupe Larcier / Lexing Le piratage éthique : synthèse 35 Piratage éthique Pirate désintéressé Pirate intéressé Programme de Bug Bounty Hunting Contrat de test d’intrusion Dans un cadre Hors de tout cadre
  • 36. www.earlegal.beGroupe Larcier / Lexing Quel est l’intérêt de faire pirater sa propre entreprise? 36
  • 37. www.earlegal.beGroupe Larcier / Lexing Quel est le risque de faire pirater sa propre entreprise? 37
  • 38. www.earlegal.beGroupe Larcier / Lexing Autorisation : en pratique – politique de divulgation coordonnées des vulnérabilités 38 * Bien déterminer les limites de l’autorisation explicite + les résultats escomptés + les risques acceptés
  • 39. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Trois cliniques décident de se regrouper au sein d'une même structure « New-C ». Elles fusionnent leurs bases de données et souhaitent sécuriser le mieux possible leur système d'information. Afin de tester régulièrement la résilience de son système, New-C recourt fréquemment au hacking éthique Rapport des hackers : • Introduction via réseau wifi : • Introduction via une adresse IP : • Introduction via le système de mot de passe : Actions de New-C : • les adresses IP ont été sécurisées ; • le personnel a été formé et conscientisé (session de PC ouverte, badges/clés qui trainent, etc.) ; • les routeurs WIFI ont été placés à l’abris des regards ; • …
  • 40. Groupe Larcier / Lexing www.earlegal.be Quelles réactions en cas d’attaque ? 40
  • 41. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur … mais une attaque a eu lieu Trois cliniques décident de se regrouper au sein d'une même structure « New-C ». Elles fusionnent leurs bases de données et souhaitent sécuriser le mieux possible leur système d'information. Afin de tester régulièrement la résilience de son système, New-C recourt fréquemment au hacking éthique Rapport des hackers : • Introduction via réseau wifi : • Introduction via une adresse IP : • Introduction via le système de mot de passe : Actions de New-C : • les adresses IP ont été sécurisées ; • le personnel a été formé et conscientisé (session de PC ouverte, badges/clés qui trainent, etc.) ; • les routeurs WIFI ont été placés à l’abris des regards ; • …
  • 42. www.earlegal.beGroupe Larcier / Lexing 3 corps de règles 42 1. Notification • Sur base du RGPD • Sur base de la loi du 7 avril 2019 (directive NIS) • Sur base de la loi sur les communications électroniques (IBPT) 2. Plainte pénale • Plainte aux services de police (RCCU) • Plainte avec constitution de partie civile (juge d’instruction) 3. Cessation - civil • Mesures provisoires • Actions en cessation Lecho.be Service audiovisuel de l’UNamur
  • 43. www.earlegal.beGroupe Larcier / Lexing 1. Notification 43 RGPD NIS Communications 72 h Sans retard Sans délai Si risque : À l’APD Si impact significatif/négatif : - au CCB (CSIRT national); - à l’autorité sectorielle ou à son CSIRT sectoriel - au Centre de crise du SPF Intérieur À l’APD (qui avertit l’IBPT) Si risque élevé : aux personnes concernées / Si affecte négativement vie privée ou DCP : au particulier Sanctions administratives et pénales Sanctions administratives ou pénales / Formulaire en ligne sur site APD Plate- forme de notification (https://nis-incident.be/fr/) APD informe l’IBPT
  • 44. www.earlegal.beGroupe Larcier / Lexing 2. Sur le plan pénal - Violation de données : quelles infractions? 44 Hacking interne Hacking externe Sabotage Faux en écritures Faux informati que Fraude informati que Extorsion Abus de confiance Vol
  • 45. www.earlegal.beGroupe Larcier / Lexing Au pénal : démarches 45 Réparation (si coupable identifié) …ENQUÊTE…
  • 46. www.earlegal.beGroupe Larcier / Lexing Dépôt de plainte Zone de police compétente Informations à fournir : Type de SI contaminé? Système d’exploitation du SI? Présence antivirus? Propriétaire du SI? Mode de contamination? Etc. Selon type d’attaque, transmission à la RCCU/FCCU 46
  • 47. www.earlegal.beGroupe Larcier / Lexing Exemple d’informations à fournir: ransomware 47
  • 48. www.earlegal.beGroupe Larcier / Lexing Signalement 48 http://www.cert.be/ suspect@safeonweb.be tromperie, arnaque, fraude ou escroquerie: https://meldpunt.belgie.be/meldpunt/fr/bienvenue
  • 49. www.earlegal.beGroupe Larcier / Lexing 3. Sur le plan civil - Mesures d’urgence / Action au fond 49 Action en cessation Sur base de la violation d’un secret d’affaires Référé  Mesures provisoires Contre tiers : Hébergeur, Moteur de recherche (déréférencement)… Possibilité de réparation
  • 50. www.earlegal.beGroupe Larcier / Lexing Violation de données = violation du secrets d’affaires ? Conditions cumulatives : Informations secrètes, valeur commerciale parce qu'elles sont secrètes, dispositions raisonnables destinées à les garder secrètes (ex : clauses contrat) Exemples de secret d’affaires contenant des données à caractère personnel • profils des consommateurs • informations relatives aux clients et aux fournisseurs • Études cliniques
  • 51. www.earlegal.beGroupe Larcier / Lexing Au civil et au pénal : possibilité de réparation 51 Infraction pénale Faute civile Dommage Lien causal Lien causal Prouver responsa bilité Prouver $$$
  • 52. www.earlegal.beGroupe Larcier / Lexing Résumé des actions : pénal - civil 52 Au pénal Au civil Action contre une personne identifiée Action contre X Action contre une personne identifiée Action contre X
  • 53. Nous vous remercions pour votre attention