INTELLIGENCE JURIDIQUE ET SYSTÈMES D’INFORMATIONS
AXELLE OFFROY-FRANCÈS // CLÉMENT MICHEL
1
 Droit de l’informatique
 Droit commercial
 Droit de la concurrence,
de la distribution et de la consommation
 Transac...
3
Droit de l’informatique
Rédaction et négociations de contrats informatiques
Contrat de vente de matériel informatique ...
Clément MICHEL
4
 Security Consultant
 French Startuper
 CEO & Co-Founder @Synhack
 CEO & Co-Founder @Synspark
 Presi...
SYNHACK, consultants en sécurité
5
 Cabinet de consultants indépendants en sécurité informatique
 Notre mission : Protég...
Synspark, plateforme de sécurité Next-Gen
6
 Plateforme de sécurité « Full-Stack »
 Donner du sens aux données de sécuri...
Sécurité informatique : Un enjeu de taille
 Aspects techniques : CIAP
 Confidentiality
 Integrity
 Availability
 Proo...
Cas Pratiques – Jurisprudence
 ORANGE
Cyber attaque en Avril 2014 - vol massif de données personnelles
Sanction de la CNI...
Sécurité informatique et cadre légal : Quelles
obligations ?
Principe : mise en œuvre de moyens suffisants pour respecter...
Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité civile
De son fait personnel
•Pour faute (1...
Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité pénale
Principe : « nul n’est pénalement res...
Les responsabilités des Salariés: Quels
Risques ?
Responsabilité civile
Responsabilité pénale
Le cas des délégations au...
La protection de son système d’information :
Quelles solutions ?
Les solutions techniques
Les solutions juridiques
13
14
Se protéger : Quelles solutions ?
15
Oui cette image est un magnifique cliché !
Pare-feu
Antivirus
Antimalwares
Certificat...
Mieux se connaître pour mieux se défendre
Définissons votre maturité SSI (Sécurité des Systèmes d’Informations)
 Quelles...
Maturité SSI (Phase de réflexion)
17
Niveau adéquat de maturité SSI
Niveau des conséquences
potentielles
Adhérence au SI
N...
Maturité SSI (Phase de réflexion)
 Niveau des impacts internes : Quelles sont les conséquences internes (perturbations du...
Maturité SSI (Phase de réflexion)
AdhérenceauSI
Niveaudesimpactsinternes
Niveaudesimpactsexternes
Besoinsdedisponibilité
B...
Niveau de maturité SSI (Phase de réflexion)
Somme des quatre valeurs Niveau adéquat de maturité SSI
De 0 à 2 1 – Pratique ...
21
Exigences d’atteinte du niveau de maturité SSI
DéfinirlastratégieSSI
GérerlesrisquesSSI
GérerlesrèglesSSI
SuperviserlaS...
Niveau de maturité SSI (Phase opérationnelle)
22
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir ...
Niveau de maturité SSI (Phase opérationnelle)
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les...
Maturité SSI – Le Récap
1. Définir son niveau de maturité cible
2. Analyser son niveau de maturité effectif
3. Poser sa vi...
Quelques conseils opérationnels
CHOISIR AVEC SOIN SES MOTS DE PASSE
METTRE À JOUR RÉGULIÈREMENT VOS
LOGICIELS
25
Quelques conseils opérationnels
BIEN CONNAÎTRE SES UTILISATEURS ET SES
PRESTATAIRES
EFFECTUER DES SAUVEGARDES RÉGULIÈRES
26
Quelques conseils opérationnels
SÉCURISER L’ACCÈS WIFI DE VOTRE
ENTREPRISE
ÊTRE AUSSI PRUDENT AVEC SON SMARTPHONE
OU SA TA...
Quelques conseils opérationnels
PROTÉGER SES DONNÉES LORS DE SES
DÉPLACEMENTS
ÊTRE PRUDENT LORS DE L’UTILISATION DE SA
MES...
Quelques conseils opérationnels
TÉLÉCHARGER SES PROGRAMMES SUR LES
SITES OFFICIELS DES ÉDITEURS
ÊTRE VIGILANT LORS D’UN PA...
Quelques conseils opérationnels
SÉPARER LES USAGES PERSONNELS DES
USAGES PROCESSIONNELS
PRENDRE SOIN DE SES INFORMATIONS E...
Les solutions Juridiques
Les chartes et codes éthiques
•Principe : Liberté du chef d’entreprise dans la mise en œuvre des...
Sources
Guide des bonnes pratiques informatiques élaboré par l’ANSSI
http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_b...
33
72 rue de la République
Bâtiment Seine Innopolis
76140 Le Petit-Quevilly
Tel (33) 09 67 53 63 76
contact@synhack.fr
www...
Prochain SlideShare
Chargement dans…5
×

#NSD15 - Intelligence juridique & systèmes d'informations

416 vues

Publié le

Toutes les informations sur http://www.netsecure-day.fr/nsd15

Publié dans : Droit
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
416
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

#NSD15 - Intelligence juridique & systèmes d'informations

  1. 1. INTELLIGENCE JURIDIQUE ET SYSTÈMES D’INFORMATIONS AXELLE OFFROY-FRANCÈS // CLÉMENT MICHEL 1
  2. 2.  Droit de l’informatique  Droit commercial  Droit de la concurrence, de la distribution et de la consommation  Transactions immobilières 2
  3. 3. 3 Droit de l’informatique Rédaction et négociations de contrats informatiques Contrat de vente de matériel informatique et maintenance Contrat de licence et de développement de logiciel Contrat d'assistance Technique, forfait, et contrat d'infogérance Exploitation de solutions (Cloud Computing et services SaaS, licences, maintenance, etc.) Intégration de système clé en main Grands projets informatiques (intégration de systèmes de type ERP, CRM etc.) Conditions générales de ventes, conditions générales d’achats, de vente en ligne (e-commerce) Rédaction de chartes informatiques  Résolution des litiges liés aux systèmes d'information Mode alternatif de règlement des litiges (négociation, médiation, expertise amiable ...) Procédure d'expertise judiciaire et suivi des opérations d'expertise
  4. 4. Clément MICHEL 4  Security Consultant  French Startuper  CEO & Co-Founder @Synhack  CEO & Co-Founder @Synspark  President & Co-Founder @NetSecureDay
  5. 5. SYNHACK, consultants en sécurité 5  Cabinet de consultants indépendants en sécurité informatique  Notre mission : Protéger, Sensibiliser, Accompagner  Audits de sécurité, formation du personnel et accompagnement sur vos projets numériques  Notre champs d’action : Votre entreprise
  6. 6. Synspark, plateforme de sécurité Next-Gen 6  Plateforme de sécurité « Full-Stack »  Donner du sens aux données de sécurité des entreprises  Solutions de protections en temps réel :  Tableaux de bords  Alertes en temps réel  Rapports de menaces  Protection contre les attaques
  7. 7. Sécurité informatique : Un enjeu de taille  Aspects techniques : CIAP  Confidentiality  Integrity  Availability  Proof  Aspects stratégiques :  Protéger vos actifs  Rester compétitif  Eviter les pertes financières 10% 90% Aspects techniques Habitudes du personnel 7
  8. 8. Cas Pratiques – Jurisprudence  ORANGE Cyber attaque en Avril 2014 - vol massif de données personnelles Sanction de la CNIL : Avertissement public sur les manquements de l’opérateur à ses obligations de sécurité et de confidentialité  SONY Novembre 2014, filiale américaine de Sony est victime d’une attaque sur ses systèmes d’informations (vol de fichiers de données à caractère personnel concernant 47.000 personnes, de 33.000 documents confidentiels mais également de cinq films)  BLUETOUFF Bluetouff co-fondateur du site reflets.info et spécialiste de la sécurité informatique A l’occasion d’une enquête sur le régime syrien, découverte des documents confidentiels diffusés sur le réseau privé de l’agence nationale de la sécurité sanitaire (ANSES). Sanction pénale 8
  9. 9. Sécurité informatique et cadre légal : Quelles obligations ? Principe : mise en œuvre de moyens suffisants pour respecter les engagements pris en matière de sécurité des SI vis-à-vis des collaborateurs, clients, et partenaires. Pas de cadre légal spécifique - Nécessité de se respecter les dispositions légales et règlementaires existantes (code pénal, code civil etc…) Exemple de cas particulier : Les activité de traitement de données nominatives - loi Informatique et Liberté du 6 janvier 1978 article 34 Sanction : Article 226-17 du Code pénal - 5 ans d’emprisonnement et 300.000 € d’amende. 9
  10. 10. Les responsabilités du chef d’entreprise : Quels Risques ? La responsabilité civile De son fait personnel •Pour faute (1382 du code civil) •Pour négligence ou imprudence (1383 du code civil)  Du fait de ses préposés/salariés (1384 alinéa 5 du code civil) 10
  11. 11. Les responsabilités du chef d’entreprise : Quels Risques ? La responsabilité pénale Principe : « nul n’est pénalement responsable que de son propre fait » (121-1 code pénal) En pratique : Pas de responsabilité pénale en dehors d’une faute détachable ou séparable de ses fonctions. Risque pour le chef d’entreprise : complicité pour aide et assistance au salarié 11
  12. 12. Les responsabilités des Salariés: Quels Risques ? Responsabilité civile Responsabilité pénale Le cas des délégations aux DSI, RSSI 12
  13. 13. La protection de son système d’information : Quelles solutions ? Les solutions techniques Les solutions juridiques 13
  14. 14. 14
  15. 15. Se protéger : Quelles solutions ? 15 Oui cette image est un magnifique cliché ! Pare-feu Antivirus Antimalwares Certificats SSL Clés GPG Connexions VPN Chiffrement des données IDS / IPS Passwords OTP MDM Kerberos Double Auth Tokens ID Containers chiffrés
  16. 16. Mieux se connaître pour mieux se défendre Définissons votre maturité SSI (Sécurité des Systèmes d’Informations)  Quelles sont les conséquences potentielles ?  Quelle est la sensibilité de votre patrimoine ?  Quel est votre degré d’exposition aux menaces ?  Quelle est l’importance des vulnérabilités ? 16
  17. 17. Maturité SSI (Phase de réflexion) 17 Niveau adéquat de maturité SSI Niveau des conséquences potentielles Adhérence au SI Niveau des impacts internes Niveau des impacts externes Sensibilité du patrimoine informationnel Besoins de disponibilité Besoins d'intégrité Besoins de confidentialité Degré d'exposition aux menaces Fréquence des incidents SSI Degré de motivation des attaquants Moyens des attaquants Importance des vulnérabilités Hétérogénéité du SI Ouverture du SI Variabilité du SI
  18. 18. Maturité SSI (Phase de réflexion)  Niveau des impacts internes : Quelles sont les conséquences internes (perturbations du fonctionnement, impacts financiers, impacts juridiques...) d'un sinistre touchant la sécurité de votre système d’information (ex : déni de service, perte d’informations, attaque virale...) ?  Cette question permet d’évaluer la portée des impacts internes suite à un sinistre. 18 Réponses Valeur Les conséquences internes d’un sinistre SSI ne peuvent qu'être négligeables 0 Les conséquences internes d’un sinistre SSI peuvent être significatives 1 Les conséquences internes d’un sinistre SSI peuvent être graves 2 Les conséquences internes d’un sinistre SSI peuvent être fatales 3
  19. 19. Maturité SSI (Phase de réflexion) AdhérenceauSI Niveaudesimpactsinternes Niveaudesimpactsexternes Besoinsdedisponibilité Besoinsd’intégrité Besoinsdeconfidentialité FréquencedesincidentsSSI Degrédemotivationdesattaquants Moyensdesattaquants HétérogénéitéduSI OuvertureduSI VariabilitéduSI 0 1 1 2 0 0 2 1 0 0 1 0 Niveau des conséquences potentielles Sensibilité du patrimoine informationnel Degré d’exposition aux menaces Importance des vulnérabilités 2 2 3 1 Somme totale : 8 Niveau adéquat de maturité SSI : Niveau 3 19 Exemple :
  20. 20. Niveau de maturité SSI (Phase de réflexion) Somme des quatre valeurs Niveau adéquat de maturité SSI De 0 à 2 1 – Pratique informelle De 3 à 5 2 – Pratique répétable et suivie De 6 à 8 3 – Processus définis De 9 à 10 4 – Processus contrôlés De 11 à 12 5 – Processus continuellement optimisés 20
  21. 21. 21 Exigences d’atteinte du niveau de maturité SSI DéfinirlastratégieSSI GérerlesrisquesSSI GérerlesrèglesSSI SuperviserlaSSI Concevoirlesmesures SSI RéaliserlesmesuresSSI ExploiterlesmesuresSSI Des actions sont réalisées en employant des pratiques de base X X X X X X X Niveau 1 OK OK OK OK OK OK OK Les actions sont planifiées X X X X Les acteurs sont compétents en SSI X X X X X X Certaines pratiques sont formalisées X X X X Des mesures qualitatives sont réalisées X X X Les autorités compétentes sont informées des mesures effectuées X X X X X Niveau 2 OK OK OK Le processus est défini, standardisé et formalisé X Les acteurs ont des compétences appropriées au processus X L’organisme soutien le processus X Niveau 3 Le processus est coordonné dans tout le périmètre choisi Des mesures quantitatives sont régulièrement effectuées Les mesures effectuées sont analysées Le processus est amélioré en fonction des mesures effectuées Niveau 4 Le processus est adapté de façon dynamique à la situation L'analyse des mesures est définie, standardisée et formalisée L'amélioration du processus est définie, standardisée et formalisée Les évolutions du processus sont journalisées Niveau 5 Niveau effectif de maturité SSI des processus 1 1 2 2 1 2 1 Exemple :
  22. 22. Niveau de maturité SSI (Phase opérationnelle) 22 0 1 2 3 4 5 Exploiter les mesures SSI Réaliser les mesures SSI Concevoir les mesures SSI Superviser la SSI Gérer les règles SSI Gérer les risques SSI Définir la stratégie SSI Niveaux de maturité SSI – Base de travail Effectifs Ciblés
  23. 23. Niveau de maturité SSI (Phase opérationnelle) 0 1 2 3 4 5 Exploiter les mesures SSI Réaliser les mesures SSI Concevoir les mesures SSI Superviser la SSI Gérer les règles SSI Gérer les risques SSI Définir la stratégie SSI Niveaux de maturité SSI – Phase 1 Effectifs Ciblés 23 0 1 2 3 4 5 Exploiter les mesures SSI Réaliser les mesures SSI Concevoir les mesures SSI Superviser la SSI Gérer les règles SSI Gérer les risques SSI Définir la stratégie SSI Niveaux de maturité SSI – Phase 2 Effectifs Ciblés
  24. 24. Maturité SSI – Le Récap 1. Définir son niveau de maturité cible 2. Analyser son niveau de maturité effectif 3. Poser sa vision, définir sa stratégie 4. Piloter la gouvernance N’oubliez pas que 90% des actions qui à effectuer seront liées à l’Humains alors que 10% seront liées à des aspects techniques. Humains : Formations, méthodologies, procédures… 24
  25. 25. Quelques conseils opérationnels CHOISIR AVEC SOIN SES MOTS DE PASSE METTRE À JOUR RÉGULIÈREMENT VOS LOGICIELS 25
  26. 26. Quelques conseils opérationnels BIEN CONNAÎTRE SES UTILISATEURS ET SES PRESTATAIRES EFFECTUER DES SAUVEGARDES RÉGULIÈRES 26
  27. 27. Quelques conseils opérationnels SÉCURISER L’ACCÈS WIFI DE VOTRE ENTREPRISE ÊTRE AUSSI PRUDENT AVEC SON SMARTPHONE OU SA TABLETTE QU’AVEC SON ORDINATEUR 27
  28. 28. Quelques conseils opérationnels PROTÉGER SES DONNÉES LORS DE SES DÉPLACEMENTS ÊTRE PRUDENT LORS DE L’UTILISATION DE SA MESSAGERIE 28
  29. 29. Quelques conseils opérationnels TÉLÉCHARGER SES PROGRAMMES SUR LES SITES OFFICIELS DES ÉDITEURS ÊTRE VIGILANT LORS D’UN PAIEMENT SUR INTERNET 29
  30. 30. Quelques conseils opérationnels SÉPARER LES USAGES PERSONNELS DES USAGES PROCESSIONNELS PRENDRE SOIN DE SES INFORMATIONS ET DE SON IDENTITÉ NUMÉRIQUE 30
  31. 31. Les solutions Juridiques Les chartes et codes éthiques •Principe : Liberté du chef d’entreprise dans la mise en œuvre des documents •Attention au respect de principes (proportionnalité, justification, transparence et loyauté) •Droit du travail et volet disciplinaire : Intégration au règlement intérieur Dispositif d’alerte professionnelle 31
  32. 32. Sources Guide des bonnes pratiques informatiques élaboré par l’ANSSI http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf Communiqué de presse 16.10.2015 : La France se dote d’une stratégie nationale pour la sécurité du numérique http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_dossierpress e1.pdf 32
  33. 33. 33 72 rue de la République Bâtiment Seine Innopolis 76140 Le Petit-Quevilly Tel (33) 09 67 53 63 76 contact@synhack.fr www.synhack.fr 2 bis rue Georges Charpak 76130 Mont Saint Aignan Tel (33) 02 76 01 50 07 Fax (33) 02 35 59 96 27 contact@offroyfrances-avocats.fr www.offroyfrances-avocats.fr

×