Contenu connexe
Similaire à Gouvernance de la sécurité des Systèmes d'Information Volet-3 (20)
Gouvernance de la sécurité des Systèmes d'Information Volet-3
- 2. AGENDA VOLET III
Module N°1 : Organisation de la sécurité
en France
Organisation de la sécurité en France
Lutte contre la cybercriminalité en France
Comment réagir en cas de cyber crime ?
Module N°2 : Aspects juridiques et
réglementaires
Contexte juridique - Droit des T.I.C.
Loi Godfrain - CNIL
OIV - LPM
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Pour aller plus loin
Magazine
Articles - Web
- 3. TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture du chapitre suivant
Chapitre 2.5 Cyber criminalité
Chapitre 3.7 Prise en compte des besoins juridiques
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 4. MODULE N°1 : ORGANISATION DE LA
SÉCURITÉ EN FRANCE
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORGANISATION DE LA SÉCURITÉ EN FRANCE
LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE
COMMENT RÉAGIR EN CAS DE CYBER CRIME ?
- 5. ORGANISATION DE LA SÉCURITÉ EN FRANCE
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Cyberdéfense : un véritable enjeu de sécurité nationale
« Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort
d’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès
aujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menace
majeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les priorités
stratégiques, livre blanc 2013)
« Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort
marqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)
- 6. ORGANISATION DE LA SÉCURITÉ EN FRANCE
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Premier Ministre
Secrétaire général de la
défense et de la sécurité
nationale (SGDSN)
Agence nationale de la
sécurité des systèmes
d’information (ANSSI)
Ministères
Défense
Intérieur
Affaires étrangères
Economie
Budget
Industrie
…
Hauts fonctionnaires de
défense et de sécurité
(HFDS)
Organisation interministérielle :
Pilotage de la politique nationale en
matière de sécurité des systèmes
d’information
Proposition des règles à appliquer pour la protection des S.I. de l’État.
Vérification de l’application des mesures adoptées
Conseil/soutien Sécurité aux administrations
Information du public
Contribution au développement de Services de confiance
…
Coordination de la préparation des mesures de
défense (Vigipirate) et chargés de la sécurité
des systèmes d'information
- 7. LE DROIT DES T.I.C.
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définition de la cybercriminalité :
« Ensemble des actes contrevenants aux traités internationaux ou aux lois
nationales utilisant les réseaux ou les systèmes d’information comme moyens
de réalisation d’un délit ou d’un crime, ou les ayant pour cible. »
Définition de l’investigation numérique (forensics) :
« Ensemble des protocoles et de mesures permettant de rechercher des
éléments techniques sur un conteneur de données numériques en vue de
répondre à un objectif technique en respectant une procédure de préservation
du conteneur. »
La lutte contre la cybercriminalité en France
- 8. ORGANISATION DE LA SÉCURITÉ EN FRANCE
8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• http://www.clusif.asso.fr/fr/production/cybervictime/
Comment réagir en cas de cyber crime ?
- 9. RÉSUMÉ DU MODULE
9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Organisation
de la sécurité
en France
Comment réagir
en cas de cyber
crime ?
- 10. MODULE N°2 : ASPECTS JURIDIQUES ET
RÉGLEMENTAIRES
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTEXTE JURIDIQUE - DROIT DES T.I.C.
LOI GODFRAIN - CNIL
OIV - LPM
- 11. LE DROIT DES T.I.C.
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le contexte juridique
Liberté d’expression
Propriété intellectuelle
Protection de la vie privée
Cybercriminalité
Protection des entreprises
Protection du e-commerce
… et bien d’autres…
- 12. LE DROIT DES T.I.C.
12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
– Un droit non codifié : des dizaines de codes en vigueur
– … et difficile d’accès
• Au carrefour des autres droits
• En évolution constante et rapide
• Issu de textes de toute nature /niveaux
• Caractérisé par une forte construction jurisprudentielle*
– nécessitant un effort de veille juridique.
(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui
donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.
Code civil
Code pénal
Droit du travail
Code de la propriété
intellectuelle
Code des postes et
communicat. électroniques
Code de la défense
Code de la consommation
…
Le contexte juridique
- 13. LE DROIT DES T.I.C.
13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le contexte juridique
Entreprise
Loi Godfrain
« condamne le délit
informatique »
Cryptologie
Informatique et libertés (CNIL)
« protection du patrimoine informationnel »
Droit d’auteur
Secret des
correspondances
Traitements de données à
caractère personnel
Cyber surveillance des
salariés
Logiciels et bases
de données
Reprographie
Loi Confiance en
l’Économie
Numérique
(LCEN)
Signature électronique,
Spam et Commerce en ligne
Code civile
« protection des biens sous
sa garde »
Droit du travail
« surveillance »
- 14. 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LA PROTECTION DES BIENS IMMATERIELS
Attribuer des droits aux auteurs de logiciels en tant qu’œuvres originales
Protéger ces droits face à la contrefaçon
Art. L. 335-2. (modifié par L. n° 94-102 du 5 fév. 1994)
Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de
toute autre production imprimée ou gravée en entier ou en partie, au mépris des
lois et règlements relatifs à la propriété des auteurs, est une contrefaçon ; et
toute contrefaçon est un délit :
La contrefaçon en France d’ouvrages publics en France ou à l’étranger est punie de
deux ans d’emprisonnement et de 152.450 € d’amende.
Sont punis des mêmes peines l’exportation et l’importation des ouvrages contrefaits.
- 15. LA PROTECTION DES DONNEES & DES SYSTEMES
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans tout
ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 du
CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.
– Élément matériel de l’infraction : la notion d’accès ou maintien
– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause »
– Éléments indifférents :
• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)
• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)
• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;
affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)
La lutte contre la cybercriminalité en France
Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines
« victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée
Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire,
un disque dur, une radio, un téléphone, un site internet…
- 16. LA PROTECTION DES DONNEES & DES SYSTEMES
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du
CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende
• L'introduction, la suppression ou la modification frauduleuse de données dans
un système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5
ans d'emprisonnement et de 75.000 € d'amende
• L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,
de céder ou de mettre à disposition, sans motif légitime, un programme ou un
moyen permettant de commettre les infractions prévues aux articles 323-1 à 323-
3. (mêmes sanctions)
• Art. 323-4 : l’association de malfaiteurs en informatique
• Art. 323-5 : les peines complémentaires
• Art. 323-6 : la responsabilité pénale des personnes morales
• Art. 323-7 : la répression de la tentative
La lutte contre la cybercriminalité en France
- 17. LA PROTECTION DES DONNEES & DES SYSTEMES
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Pédopornographie
Le fait en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la
représentation d’un mineur lorsque cette image ou cette représentation présente un
caractère pornographique est puni de trois ans d’emprisonnement et de 45.000 euros
d’amende.
Le fait d’offrir ou de diffuser une telle image ou représentation, par quelque moyen
que ce soit, de l’importer ou de l’exporter, de la faire importer ou de la faire exporter, est
puni des mêmes peines.
Le fait de détenir une telle image ou représentation est puni de deux ans
d’emprisonnement et 30000 euros d’amende.
Les peines sont portées à cinq ans d’emprisonnement et à 75.000 euros d’amende
lorsqu’il a été utilisé, pour la diffusion de l’image ou de la représentation du mineur à
destination d’un public non déterminé, un réseau de télécommunications
Art. 227-23 du Code pénal
- 18. LA PROTECTION DES DONNEES & DES SYSTEMES
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Art. L163-4-1 du Code monétaire et financier
Générateurs de numéros de CB, clonage de CB (yescard)
Est puni de sept ans d’emprisonnement et de 750.000 euros d’amende le fait pour
toute personne de fabriquer, d’acquérir, de détenir de céder d’offrir ou de mettre à
disposition des équipements, instruments programmes informatiques ou toutes
données conçus ou spécialement adaptés pour commettre les infractions
prévues à l’art. L163-3 et L163-4.
- 19. LA PROTECTION DES DONNEES & DES SYSTEMES
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Art. 434-15-2 du Code Pénal
Cryptologie
Est puni de trois ans d’emprisonnement le fait, pour quiconque ayant connaissance
de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir
été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de
remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les
réquisitions de ces autorités délivrées en application des titres I et III du livre 1er du code
de procédure pénale.
Si le refus est opposé alors que le remise ou la mise ne œuvre de la convention aurait
permis d’éviter la commission d’un crime ou d’un délit, ou d’en limiter les effets, la peine
est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.
- 20. LA PROTECTION DES PERSONNES
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Quel est le champ d’application de la loi ?
– Art. 2 « La présente loi s’applique aux traitements automatisés de
données à caractère personnel, ainsi qu’aux traitements non
automatisés de données à caractère personnel contenues ou appelées
à figurer dans des fichiers, à l’exception des traitements mis en œuvre
pour l’exercice d’activités exclusivement personnelles, lorsque leur
responsable remplit les conditions prévues à l’article 5 (relevant du droit
national). »
• Qu’est qu’une donnée à caractère personnel ?
– « Constitue une donnée à caractère personnel toute information relative
à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification
ou à un ou plusieurs éléments qui lui sont propres. »
Le rôle de la CNIL : La protection des données à caractère personnel
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés – modifié le 6 aout 2004
- 21. LA PROTECTION DES PERSONNES
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Un traitement de données à caractère personnel doit être « loyal et
licite »
– Les données sont collectées pour des finalités déterminées explicites et
légitimes
– de manière proportionnée (adéquates, pertinentes et non excessives)
– avec le consentement de la personne concernée (sauf exception)
– pendant une durée n’excédant pas celle nécessaire à la réalisation des
finalités !
• Les personnes physiques disposent de différents droits sur les données
à caractère personnel qui font l’objet d’un traitement…
– Un droit d’information préalable au consentement
– Un droit d’accès aux données collectées
– Un droit de rectification
– Un droit d’opposition pour raison légitime
Le rôle de la CNIL : La protection des données à caractère personnel
La loi protège les droits des personnes physiques identifiées ou
identifiables par les données à caractère personnel
- 22. LA PROTECTION DES PERSONNES
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Obligations administratives auprès de la CNIL
– Le régime de la déclaration préalable (art. 22 à 24)
• Le traitement peut faire l’objet d’une dispense de déclaration
• Le traitement échappe à l’obligation de déclaration car le responsable du
traitement a désigné un correspondant à la protection des données (CIL)
• Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une
déclaration préalable
– Le régime d’autorisation préalable (art. 25 à 27)
• Régime applicable pour les « traitements sensibles » (listés à l’art. 25)
• Examen de la demande par la CNIL sous deux mois (le silence vaut rejet).
Le rôle de la CNIL : La protection des données à caractère personnel
Le responsable de traitement est la personne qui détermine les finalités
et les moyens du traitement de données à caractère personnel
- 23. LA PROTECTION DES PERSONNES
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Des obligations de confidentialité et de sécurité des traitements et de
secret professionnel
– De mettre en œuvre les mesures techniques et organisationnelles
appropriées, au regard de la nature des données et des risques, pour
préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès
(art. 34)
• Absence de prescriptions techniques précises
• Recommandation de réaliser une analyse de risques préalable voire, pour les
traitements les plus sensibles, une étude d’impact sur la vie privée (PIA)
• Publication par la CNIL de « guides sécurité pour gérer les risques sur la vie
privée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques)
– De veiller à ce que, le cas échéant, les sous-traitants apportent des
garanties suffisantes au regard des mesures de sécurité techniques et
d’organisation
• Est considéré comme sous-traitant celui qui traite des données à caractère
personnel pour le compte et sous la responsabilité du responsable du traitement
(article 35)
Le rôle de la CNIL : La protection des données à caractère personnel
- 24. LA PROTECTION DES PERSONNES
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Des sanctions pénales (articles 226-16 et suivants du Code pénal) :
– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de
données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi
n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000
Euros d'amende » (art. 226-17)
• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en
fonction du préjudice causé aux personnes concernées
• Des sanctions administratives associées aux pouvoirs conférés à la CNIL
– Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de
l’autorisation accordée
– Pouvoir de sanction pécuniaire
– Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage
des données (3 mois)
– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions
Le rôle de la CNIL : La protection des données à caractère personnel
Les différents risques et sanctions en cas de manquements aux
différentes obligations
- 25. LA PROTECTION DES PERSONNES
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Extrait des
Conditions
Générales
d’Utilisation des
services de
Google (Gmail,
Google Calendar,
Picasa, Google+,
etc…)
Conclusion
Il est facile de
comprendre
l’incompatibilité
entre ces services
et une activité
professionnelle…..
« Vous accordez à Google
le droit permanent,
irrévocable, mondial,
gratuit et non exclusif de
reproduire, adapter,
modifier, traduire, publier,
présenter en public et
distribuer tout contenu
que vous avez fourni,
publié ou affiché sur les
services Google ou par le
biais de ces derniers. »
- 26. CYBER SURVEILLANCE - CONTRÔLE DE LA CONNEXION INTERNET
Le contrôle de l’utilisation d’Internet
Aucune disposition légale n’interdit l’employeur de fixer les conditions et les
limites d’utilisation d’Internet
Mise en place de dispositifs de filtrage de sites non autorisés associés au pare-feu
peut constituer une mesure de prévention dont il y a lieu d’informer les salariés
Possibilité offerte aux salariés de se connecter à Internet à des fins non
professionnelles peut s’accompagner de prescriptions légitimes (Chat, Web mail perso,
téléchargement) dictées par l’exigence de sécurité de l’entreprise (politique de sécurité,
charte utilisateur)
Le contrôle nominatif des connexions Internet des salariés
Conformément à l’art. L432-2-1 du code du travail, ce contrôle doit faire l’objet au
préalable d’une consultation du comité d’entreprise ou du comité technique paritaire ou
toute instance équivalente et d’une information des utilisateurs
Faire une déclaration à la CNIL en précisant la finalité du traitement, la durée de
conservation…
Un employeur peut ainsi sanctionner un salarié pour consultation excessive de sites
privés pendant le temps de travail.
26 PRONETIS© 200926 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DROITS DES EMPLOYEURS
- 27. CYBER SURVEILLANCE - CONTRÔLE LA MESSAGERIE ÉLECTRONIQUE
Un message émis ou reçu depuis le poste de travail de l’entreprise revêt
un caractère professionnel :
Sauf indication manifeste dans l’objet du message ou dans le nom du répertoire dans
lequel ce message a été archivé qu’il lui conférerait le caractère et la nature d’une
correspondance privée protégée par le secret des correspondances
Exception : si les messages sont stockés dans un répertoire identifié comme «
personnel ».
Néanmoins, si un risque ou événement particulier le justifie (virus...), la consultation
sera possible.
Un contrôle de l’encombrement du réseau peut conduire l’entreprise à
Mettre en place des quotas pour la taille des fichiers transmis en pièces jointes ou
encore des outils d’archivage des messages échangés.
L’emploi de tels outils de contrôle et d’archivage doivent être portés à la
connaissance des salariés ainsi que la durée de conservation des messages
27 PRONETIS© 200927 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DROITS DES EMPLOYEURS
- 28. CYBER SURVEILLANCE - CONTRÔLE DES FICHIERS – MESSAGES SMS
Cas des fichiers et des répertoires crées par un employé
Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition
pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant
personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006). Tout fichier
qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que
l’employeur peut y accéder hors la présence du salarié.
En revanche, si un fichier est identifié comme étant personnel, l’employeur ne peut y avoir accès
« qu’en présence du salarié ou si celui-ci a été dûment appelé, ou en cas de risque ou
événement particulier ».
Messages vocaux et SMS:
Les messages vocaux laissés par un salarié sur le téléphone professionnel d’un collègue aux
temps et lieu de travail ne revêtent pas un caractère privé et ne sont pas couverts par le secret
des correspondances. Il en est de même des SMS.
28 PRONETIS© 200928 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DROITS DES EMPLOYEURS
- 29. CYBER PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés
Article 34
Le responsable du traitement est tenu de prendre toutes précautions utiles, au
regard de la nature des données et des risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès.
Art. 226-17 du Code pénal
Le fait de procéder ou de faire procéder à un traitement de données à caractère
personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-
17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de
300.000 € d'amende.
OBLIGATION DES EMPLOYEURS
- 30. CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX
Administrateurs systèmes et réseaux
Ils sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations
relatives aux utilisateurs (messagerie, connexions au internet, fichiers "logs" ou de
journalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de
travail. Un tel accès n'est contraire à aucune disposition de la loi du 6 Aout 2004
De même, l'utilisation encadrée de logiciels de télémaintenance ne soulève aucune
difficulté particulière au regard de la loi du 6 Aout 2004 à condition que les mesures de
sécurité nécessaires à la protection des données soient mises en œuvre.
Toutefois, aucune exploitation à des fins autres que celles liées au bon fonctionnement
et à la sécurité des applications ne saurait être opérée, d'initiative ou sur ordre
hiérarchique.
30 PRONETIS© 200930 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 31. CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX
Secret professionnel des administrateurs systèmes et réseaux
De même, les administrateurs de réseaux et systèmes, tenus au secret professionnel,
ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dans
le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le
secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent
en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni
l'intérêt de l'entreprise.
Ils ne sauraient non plus être contraints de le faire, sauf disposition législative
particulière en ce sens.
L’obligation de confidentialité pesant sur les administrateurs informatiques doit ainsi
être clairement rappelée dans leur contrat, ainsi que dans la charte d’utilisation des
outils informatiques annexée au règlement intérieur de l’entreprise ou de
l’administration.
31 PRONETIS© 200931 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 32. 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Une salariée a permis à un collègue qui n’y était pas habilité d’utiliser son code d’accès
pour télécharger des informations confidentielles, contrevenant ainsi à la charte
informatique applicable dans la société. La Cour de cassation a retenu que cette violation
de la charte rendait impossible son maintien dans l’entreprise et justifiait son licenciement
pour faute grave.
Cour de cassation juillet 2011
• Le salarié qui a installé des logiciels sur son poste de travail alors que la charte
informatique l’interdisait formellement, a fait un usage anormal de l’outil informatique qui
lui était confié, nuisant au bon fonctionnement du système, et ne respectant pas la charte
informatique. L’analyse des logs du salarié ont de plus révélé une utilisation importante
d’internet à des fins personnelles. Le licenciement de ce salarié était dès lors justifié.
Cour de cassation Paris 19 01 2012 SAS Zetes France
• Le salarié qui a tenté sans motif légitime et par « emprunt » du mot de passe d’un autre
salarié, de se connecter sur le poste informatique du directeur de la société a un
comportement contraire à l’obligation de respect de la charte informatique en vigueur dans
l’entreprise. Ce comportement rend impossible son maintien dans l’entreprise pendant la
durée du préavis et constitue une faute grave.
Cour de cassation soc, 21 déc. 2006, n°05-41.165
NON-RESPECT DE LA CHARTE INFORMATIQUE - EXEMPLES
- 33. RÉQUISITION JUDICIAIRE – LEVÉ DU SECRET
33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Article 77-1-1 CPP :
" Le procureur de la République ou, sur autorisation de celui-ci, l’officier
de police judiciaire, peut, par tout moyen, requérir de toute personne, de
tout établissement ou organisme privé ou public ou de toute
administration publique qui sont susceptibles de détenir des documents
intéressant l’enquête, y compris ceux issus d’un système informatique
ou d’un traitement de données nominatives, de lui remettre ces
documents, notamment sous forme numérique, sans que puisse lui être
opposée, sans motif légitime, l’obligation au secret professionnel ".
Seul secret réellement protégé : Défense nationale
« Aux termes de la loi actuelle, les magistrats instructeurs ont le droit de
demander la communication de documents couverts par le secret-
défense». Ils doivent alors saisir la Commission consultative du secret
de la défense nationale (CCSDN) qui donne son avis.
- 34. LPM : LOI DE PROGRAMMATION MILITAIRE
Une prise en compte récente mais au pas de course
Livre blanc de la défense 2008: identification du besoin
Evolution majeure avec la création de l’ANSSI en 2009
Passage de la LPM en fin 2013 L’article 22 définit la protection des systèmes
critiques
Les systèmes Critiques sont pris en compte
Création d’obligation forte de sécurisation
Avec des sanctions pénales lourdes à la clé
La loi de programmation militaire 2014-2019
Loi 2013-1168 du 18 décembre 2013, article 22
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 35. LPM : LOI DE PROGRAMMATION MILITAIRE
Promulguée le 18 décembre 2013, la loi de programmation
militaire fait suite aux orientations fixées par le Livre blanc sur la
défense et la sécurité nationale 20
« Son article 22 prévoit l’adoption de mesures de renforcement de
la sécurité des opérateurs d’importance vitale et confère à
l’ANSSI de nouvelles prérogatives : l’agence, au nom du Premier
Ministre pourra imposer aux OIV des mesures de sécurité et
des contrôles de leurs systèmes d’information les plus
critiques. De plus, l’article 22 rend obligatoire la déclaration des
incidents constatés par les OIV sur leurs systèmes
d’information.13. »
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 36. DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV
Toujours dans la préoccupation de maîtriser les risques, le législateur a
défini les réseaux et points sensibles :
Secteur d’importance vitale : SAIV
Opérateurs d’importance vitale : OIV
Points d’importance vitale : PIV
La LPM précise qu’il est de la responsabilité de l’état d’assurer une cyber sécurité
suffisante des systèmes critiques des opérateurs d’importance vitale. 4 mesures
principales pour les organisations
Fixer les obligations comme par exemple l’interdiction de connecter certaines systèmes critiques à
Internet
Mettre en place des systèmes de détection par des prestataires labélisé par l’état
Vérifier le niveau de sécurité des systèmes d’information critiques au moyen d’un système d’audit
En cas de crise majeure, imposer les mesures nécessaires aux OIV
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 37. DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV
SAIV : Secteurs d’Activité d’Importance Vitale
Ensemble d’activités concourant a un même objectif
Qui ont trait a la production et la distribution de biens ou de services
indispensables :
A la satisfaction des besoins essentiels pour la vie des populations
Ou à l’exercice de l’autorité de l’Etat
Ou au fonctionnement de l’économie
Ou au maintien du potentiel de défense
Ou a la sécurité de la Nation
Des lors que ces activités sont difficilement substituables ou remplaçables
Ou peuvent présenter un danger grave pour la population
Liste des SAIV définie par l’article R332-2 du code de la défense
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 38. DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV
SAIV : Secteurs d’Activité d’Importance Vitale
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 39. OIV : OPÉRATEUR D’IMPORTANCE VITALE
OIV ?
Exerce des activités [...] comprises dans un secteur d’activités d’importance vitale
Gere ou utilise au titre de ces activités un ou des établissements ou ouvrages,
une ou des installations dont le dommage ou l’indisponibilité ou la destruction par
suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait,
directement ou indirectement :
D’obérer gravement le potentiel de guerre ou économique, la sécurité ou la
capacité de survie de la nation
Ou de mettre gravement en cause la sante ou la vie de la population
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 40. OIV : OPÉRATEUR D’IMPORTANCE VITALE
Les OIV sont désignés parmi
Operateurs publics ou privés exploitant des établissements ou utilisant des
installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon
importante le potentiel de guerre ou économique, la sécurité ou la capacité de
survie de la nation
Gestionnaires d’établissements comprenant une installation nucléaire ou autres
et dont la destruction ou l’avarie peuvent présenter un danger grave
pour la population
Sont désignés par arrêté eux-mêmes non publiés et non communicables
218 OIV, liste reputé classifiée Confidentiel
Défense
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 41. OIV : OPÉRATEUR D’IMPORTANCE VITALE
Synthèse des mesures de protection
Les mesures de protection générique peuvent être regroupées
selon 3 catégories
Prévention
Protection
Limitation des dommages
41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 42. OIV : OPÉRATEUR D’IMPORTANCE VITALE
Synthèse des mesures de protection
Prévention
Clauses contractuelles de cyber sécurité avec les fournisseurs et prestataires
Qualification et déploiement des correctifs de sécurité y compris les
équipements de remplacement
Sensibilisation, formation et entraînement des personnels
Protection
Contrôle d’accès physiques
Contrôle d’accès logiques
Dispositifs de détection d’intrusion
Filtrage, anti-malware
Limitation des dommages
Zone de parcage et de confinement de l’intrus (honeypot)
Procédure d’urgence, d’isolement et d’assainissement
Capture et sauvegarde des éléments probants
Réaction éventuelle (en conformité avec la législation) et procédures
judiciaires
42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 43. RÉSUMÉ DU MODULE
43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Lutte contre la
cybercriminalité
en France
Contexte
juridique – Le
droit des TIC
Loi Godfrain
CNIL
OIV - LPM
- 45. POUR ALLER PLUS LOIN
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
LPM http://www.dailymotion.com/video/x3rqnzx_qu-est-ce-que-la-lpm-fic-
2016_tech
OIV http://www.dailymotion.com/video/x3rqtov_qu-est-ce-qu-un-oiv-fic-
2016_tech
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés45 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
- 46. FIN DU VOLET
MERCI POUR VOTRE
ATTENTION
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés