Réagir juridiquement à une attaque informatique

407 vues

Publié le

Présentation du Cyber@Hack #1 en 2014.

Publié dans : Droit
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
407
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Réagir juridiquement à une attaque informatique

  1. 1. Réagir juridiquement à une attaque informatique CYBER@HACK 10 avril 2014 / /BenjaminBenifei Juriste ITrust
  2. 2. Sommaire 1. De quoiparle-t-on ? 2. Agir avantl'attaque 3. Le cyber-droit? 4. Aperçu de laprocédure 5. Obligations légales
  3. 3. Attaque informatique, cyberattaque, incident de sécurité ?
  4. 4. Point de vue technique « Une cyberattaque toutes les deux secondes » (L'Express) « 10 à100 attaques automatiques àlaseconde » (Le Figaro) Est-ce vraimentsérieux ?
  5. 5. Point de vue technique Un ping?Une tentative de connexion ?L'ensemble de ces tentatives ayantmené au DDoS du site ou àlafuite de données ? In fine, c'estsurtoutlaprise de conscience de lavaleur croissante du patrimoine informationnel
  6. 6. Point de vue juridique L'attaque, dans sadiversité, n'estpas définie en droit Ce seraitdonc un faitpouvantêtre constitutif d'une faute dont résulte un préjudice (droitcivil) ou une infraction (droitpénal) exercé par ou contre un système d'information
  7. 7. Point de vue juridique Une attaque informatique pourraitdonc être : Un acte malveillant Un sinistre Une négligence
  8. 8. La nécessaire gestion ex ante des attaques informatiques
  9. 9. Limiter techniquement le risque d'attaques Analyse de risques, sensibilisation, solutions logicielles, etc. Ces moyens doiventrépondre àde multiples exigences, notammentjuridiques
  10. 10. Anticiper juridiquement le risque d'attaques Gestion des responsabilités, PSSI, vérification de lapolice d'assurance, préparation de l'aménagementdes preuves, etc.
  11. 11. Reconnaissance des cyberattaques par le droit
  12. 12. Loi du 5 janvier 1988 Loi Godfrain Lutte contre lafraude informatique (le piratage ou l'atteinte aux systèmes automatisés de données) Sontpunis les cas de fraude : 1. Visantles systèmes (accès/maintien) 2. Visantles données (suppression/altération)
  13. 13. Loi Godfrain (2) Sanction de latentative Punition majorée en cas d'atteinte au STAD de l'État Arrêtde laCour d'appelde Paris du 5 février 2014
  14. 14. Le droit de la propriété intellectuelle Propriété littéraire etartistique (œuvres de l'esprit) : œuvre écrite, œuvre graphique, logiciel, etc. Propriété industrielle (formalités préalables) : brevet, marque, dessins etmodèles, etc.
  15. 15. Droit sui generis du producteur de base de données Monopole d'exploitation permettantd'interdire l'extraction etla republication sous conditions Sanction de 300 000 euros d'amende etde cinq ans d'emprisonnement
  16. 16. La protection du secret des affaires Révéler un secretde fabrication estpunid'une amende de 30 000 euros etde deux ans d'emprisonnement Plusieurs projets en cours : Délitd'atteinte au secretd'une information économique protégée Protection du secretd'affaires
  17. 17. Procédures légales
  18. 18. Préparer l'action Dresser une liste des atteintes (journalisation, traces de logiciels illégitimes, etc.) etdes préjudices subis Adresse exacte des appareils touchés par l'attaque Éventuellementun constatsur internet(norme Afnor Z676147) ou une saisie-contrefaçon (voie civile) Voie civile ou pénale ?
  19. 19. Voie civile Contrefaçon : atteinte portée aux droits de propriété intellectuelle réparée financièrement (gain manqué etperte générée) Action en concurrence déloyale (responsabilité délictuelle)
  20. 20. Voie pénale Lavictime d'une infraction dépose plainte Perquisitions etsaisies : recherche des preuves (avec les moyens de l'action publique) Laloid'orientation etde programmation pour laperformance de lasécurité intérieure de 2011 adapte les perquisitions au contexte numérique
  21. 21. Des obligations pour les victimes d'attaques
  22. 22. Obligation de sécurité des données personnelles Toutresponsable d'un traitementde données àcaractère personnelesttenu d'assurer lasécurité des données « Toutes précautions utiles » (article 34 LIL) Cinq ans d'emprisonnementet300 000 euros d'amendes (article 226-17 du Code pénal)
  23. 23. Obligation de notification à l'ANSSI des incidents de sécurité des opérateurs de communication Vise le secteur des réseaux de communications publics ou services de communications électroniques Notification des atteintes àlasécurité ou des pertes d'intégrité ayantun « impactsignificatif »
  24. 24. Obligation de notification à la CNIL des atteintes aux données personnelles Vise essentiellementles FAI etopérateurs de téléphonie Cas de violation de données àcaractère personnel Sanction de 300 000 euros d'amende etde cinq ans d'emprisonnement
  25. 25. Obligation de notification à la CNIL (2) CNIL doitêtre avertie sans délai Information de l'utilisateur des services en cas d'atteinte àsavie privée (sauf moyens cryptographiques) Illustration récente avec Orange
  26. 26. Notification des failles et attaques entre partenaires Avez-vous pensé àl'intégrer dans vos contrats ?
  27. 27. Réagir juridiquement à une attaque informatique CYBER @HACK / / PrésentationsouslicenceCC-BY-ND4.0réaliséeavec publiésouslicenceMIT BenjaminBenifei Juriste ITrust reveal.js
  28. 28. Quelques lectures , CabinetBensoussan. , Céline Castets-Renard , Stéphane Bortzmeyer , Le Comptoir Sécu , ThiébautDevergranne Droitinternational des TIC Droitde l'internet Compter sérieusementle nombre d'attaques informatiques ? Juridique, réponse àincidentetLPM Etvous pensiezdéposer plainte pour attaque informatique ?

×