SlideShare une entreprise Scribd logo
1  sur  46
Télécharger pour lire hors ligne
VOLET 3
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET III
Module N°1 : Organisation de la sécurité
en France
Organisation de la sécurité en France
Lutte contre la cybercriminalité en France
Comment réagir en cas de cyber crime ?
Module N°2 : Aspects juridiques et
réglementaires
Contexte juridique - Droit des T.I.C.
Loi Godfrain - CNIL
OIV - LPM
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Pour aller plus loin
Magazine
Articles - Web
TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture du chapitre suivant
Chapitre 2.5 Cyber criminalité
Chapitre 3.7 Prise en compte des besoins juridiques
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MODULE N°1 : ORGANISATION DE LA
SÉCURITÉ EN FRANCE
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORGANISATION DE LA SÉCURITÉ EN FRANCE
LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE
COMMENT RÉAGIR EN CAS DE CYBER CRIME ?
ORGANISATION DE LA SÉCURITÉ EN FRANCE
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Cyberdéfense : un véritable enjeu de sécurité nationale
« Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort
d’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès
aujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menace
majeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les priorités
stratégiques, livre blanc 2013)
« Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort
marqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)
ORGANISATION DE LA SÉCURITÉ EN FRANCE
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Premier Ministre
Secrétaire général de la
défense et de la sécurité
nationale (SGDSN)
Agence nationale de la
sécurité des systèmes
d’information (ANSSI)
Ministères
Défense
Intérieur
Affaires étrangères
Economie
Budget
Industrie
…
Hauts fonctionnaires de
défense et de sécurité
(HFDS)
Organisation interministérielle :
Pilotage de la politique nationale en
matière de sécurité des systèmes
d’information
Proposition des règles à appliquer pour la protection des S.I. de l’État.
Vérification de l’application des mesures adoptées
Conseil/soutien Sécurité aux administrations
Information du public
Contribution au développement de Services de confiance
…
Coordination de la préparation des mesures de
défense (Vigipirate) et chargés de la sécurité
des systèmes d'information
LE DROIT DES T.I.C.
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définition de la cybercriminalité :
« Ensemble des actes contrevenants aux traités internationaux ou aux lois
nationales utilisant les réseaux ou les systèmes d’information comme moyens
de réalisation d’un délit ou d’un crime, ou les ayant pour cible. »
Définition de l’investigation numérique (forensics) :
« Ensemble des protocoles et de mesures permettant de rechercher des
éléments techniques sur un conteneur de données numériques en vue de
répondre à un objectif technique en respectant une procédure de préservation
du conteneur. »
La lutte contre la cybercriminalité en France
ORGANISATION DE LA SÉCURITÉ EN FRANCE
8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• http://www.clusif.asso.fr/fr/production/cybervictime/
Comment réagir en cas de cyber crime ?
RÉSUMÉ DU MODULE
9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Organisation
de la sécurité
en France
Comment réagir
en cas de cyber
crime ?
MODULE N°2 : ASPECTS JURIDIQUES ET
RÉGLEMENTAIRES
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTEXTE JURIDIQUE - DROIT DES T.I.C.
LOI GODFRAIN - CNIL
OIV - LPM
LE DROIT DES T.I.C.
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le contexte juridique
Liberté d’expression
Propriété intellectuelle
Protection de la vie privée
Cybercriminalité
Protection des entreprises
Protection du e-commerce
… et bien d’autres…
LE DROIT DES T.I.C.
12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
– Un droit non codifié : des dizaines de codes en vigueur
– … et difficile d’accès
• Au carrefour des autres droits
• En évolution constante et rapide
• Issu de textes de toute nature /niveaux
• Caractérisé par une forte construction jurisprudentielle*
– nécessitant un effort de veille juridique.
(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui
donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.
Code civil
Code pénal
Droit du travail
Code de la propriété
intellectuelle
Code des postes et
communicat. électroniques
Code de la défense
Code de la consommation
…
Le contexte juridique
LE DROIT DES T.I.C.
13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le contexte juridique
Entreprise
Loi Godfrain
« condamne le délit
informatique »
Cryptologie
Informatique et libertés (CNIL)
« protection du patrimoine informationnel »
Droit d’auteur
Secret des
correspondances
Traitements de données à
caractère personnel
Cyber surveillance des
salariés
Logiciels et bases
de données
Reprographie
Loi Confiance en
l’Économie
Numérique
(LCEN)
Signature électronique,
Spam et Commerce en ligne
Code civile
« protection des biens sous
sa garde »
Droit du travail
« surveillance »
14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LA PROTECTION DES BIENS IMMATERIELS
Attribuer des droits aux auteurs de logiciels en tant qu’œuvres originales
Protéger ces droits face à la contrefaçon
Art. L. 335-2. (modifié par L. n° 94-102 du 5 fév. 1994)
Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de
toute autre production imprimée ou gravée en entier ou en partie, au mépris des
lois et règlements relatifs à la propriété des auteurs, est une contrefaçon ; et
toute contrefaçon est un délit :
La contrefaçon en France d’ouvrages publics en France ou à l’étranger est punie de
deux ans d’emprisonnement et de 152.450 € d’amende.
Sont punis des mêmes peines l’exportation et l’importation des ouvrages contrefaits.
LA PROTECTION DES DONNEES & DES SYSTEMES
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans tout
ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 du
CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.
– Élément matériel de l’infraction : la notion d’accès ou maintien
– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause »
– Éléments indifférents :
• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)
• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)
• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;
affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)
La lutte contre la cybercriminalité en France
Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines
« victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée
Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire,
un disque dur, une radio, un téléphone, un site internet…
LA PROTECTION DES DONNEES & DES SYSTEMES
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du
CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende
• L'introduction, la suppression ou la modification frauduleuse de données dans
un système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5
ans d'emprisonnement et de 75.000 € d'amende
• L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,
de céder ou de mettre à disposition, sans motif légitime, un programme ou un
moyen permettant de commettre les infractions prévues aux articles 323-1 à 323-
3. (mêmes sanctions)
• Art. 323-4 : l’association de malfaiteurs en informatique
• Art. 323-5 : les peines complémentaires
• Art. 323-6 : la responsabilité pénale des personnes morales
• Art. 323-7 : la répression de la tentative
La lutte contre la cybercriminalité en France
LA PROTECTION DES DONNEES & DES SYSTEMES
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Pédopornographie
Le fait en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la
représentation d’un mineur lorsque cette image ou cette représentation présente un
caractère pornographique est puni de trois ans d’emprisonnement et de 45.000 euros
d’amende.
Le fait d’offrir ou de diffuser une telle image ou représentation, par quelque moyen
que ce soit, de l’importer ou de l’exporter, de la faire importer ou de la faire exporter, est
puni des mêmes peines.
Le fait de détenir une telle image ou représentation est puni de deux ans
d’emprisonnement et 30000 euros d’amende.
Les peines sont portées à cinq ans d’emprisonnement et à 75.000 euros d’amende
lorsqu’il a été utilisé, pour la diffusion de l’image ou de la représentation du mineur à
destination d’un public non déterminé, un réseau de télécommunications
Art. 227-23 du Code pénal
LA PROTECTION DES DONNEES & DES SYSTEMES
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Art. L163-4-1 du Code monétaire et financier
Générateurs de numéros de CB, clonage de CB (yescard)
Est puni de sept ans d’emprisonnement et de 750.000 euros d’amende le fait pour
toute personne de fabriquer, d’acquérir, de détenir de céder d’offrir ou de mettre à
disposition des équipements, instruments programmes informatiques ou toutes
données conçus ou spécialement adaptés pour commettre les infractions
prévues à l’art. L163-3 et L163-4.
LA PROTECTION DES DONNEES & DES SYSTEMES
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Art. 434-15-2 du Code Pénal
Cryptologie
Est puni de trois ans d’emprisonnement le fait, pour quiconque ayant connaissance
de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir
été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de
remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les
réquisitions de ces autorités délivrées en application des titres I et III du livre 1er du code
de procédure pénale.
Si le refus est opposé alors que le remise ou la mise ne œuvre de la convention aurait
permis d’éviter la commission d’un crime ou d’un délit, ou d’en limiter les effets, la peine
est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.
LA PROTECTION DES PERSONNES
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Quel est le champ d’application de la loi ?
– Art. 2 « La présente loi s’applique aux traitements automatisés de
données à caractère personnel, ainsi qu’aux traitements non
automatisés de données à caractère personnel contenues ou appelées
à figurer dans des fichiers, à l’exception des traitements mis en œuvre
pour l’exercice d’activités exclusivement personnelles, lorsque leur
responsable remplit les conditions prévues à l’article 5 (relevant du droit
national). »
• Qu’est qu’une donnée à caractère personnel ?
– « Constitue une donnée à caractère personnel toute information relative
à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification
ou à un ou plusieurs éléments qui lui sont propres. »
Le rôle de la CNIL : La protection des données à caractère personnel
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés – modifié le 6 aout 2004
LA PROTECTION DES PERSONNES
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Un traitement de données à caractère personnel doit être « loyal et
licite »
– Les données sont collectées pour des finalités déterminées explicites et
légitimes
– de manière proportionnée (adéquates, pertinentes et non excessives)
– avec le consentement de la personne concernée (sauf exception)
– pendant une durée n’excédant pas celle nécessaire à la réalisation des
finalités !
• Les personnes physiques disposent de différents droits sur les données
à caractère personnel qui font l’objet d’un traitement…
– Un droit d’information préalable au consentement
– Un droit d’accès aux données collectées
– Un droit de rectification
– Un droit d’opposition pour raison légitime
Le rôle de la CNIL : La protection des données à caractère personnel
La loi protège les droits des personnes physiques identifiées ou
identifiables par les données à caractère personnel
LA PROTECTION DES PERSONNES
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Obligations administratives auprès de la CNIL
– Le régime de la déclaration préalable (art. 22 à 24)
• Le traitement peut faire l’objet d’une dispense de déclaration
• Le traitement échappe à l’obligation de déclaration car le responsable du
traitement a désigné un correspondant à la protection des données (CIL)
• Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une
déclaration préalable
– Le régime d’autorisation préalable (art. 25 à 27)
• Régime applicable pour les « traitements sensibles » (listés à l’art. 25)
• Examen de la demande par la CNIL sous deux mois (le silence vaut rejet).
Le rôle de la CNIL : La protection des données à caractère personnel
Le responsable de traitement est la personne qui détermine les finalités
et les moyens du traitement de données à caractère personnel
LA PROTECTION DES PERSONNES
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Des obligations de confidentialité et de sécurité des traitements et de
secret professionnel
– De mettre en œuvre les mesures techniques et organisationnelles
appropriées, au regard de la nature des données et des risques, pour
préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès
(art. 34)
• Absence de prescriptions techniques précises
• Recommandation de réaliser une analyse de risques préalable voire, pour les
traitements les plus sensibles, une étude d’impact sur la vie privée (PIA)
• Publication par la CNIL de « guides sécurité pour gérer les risques sur la vie
privée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques)
– De veiller à ce que, le cas échéant, les sous-traitants apportent des
garanties suffisantes au regard des mesures de sécurité techniques et
d’organisation
• Est considéré comme sous-traitant celui qui traite des données à caractère
personnel pour le compte et sous la responsabilité du responsable du traitement
(article 35)
Le rôle de la CNIL : La protection des données à caractère personnel
LA PROTECTION DES PERSONNES
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Des sanctions pénales (articles 226-16 et suivants du Code pénal) :
– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de
données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi
n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000
Euros d'amende » (art. 226-17)
• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en
fonction du préjudice causé aux personnes concernées
• Des sanctions administratives associées aux pouvoirs conférés à la CNIL
– Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de
l’autorisation accordée
– Pouvoir de sanction pécuniaire
– Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage
des données (3 mois)
– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions
Le rôle de la CNIL : La protection des données à caractère personnel
Les différents risques et sanctions en cas de manquements aux
différentes obligations
LA PROTECTION DES PERSONNES
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Extrait des
Conditions
Générales
d’Utilisation des
services de
Google (Gmail,
Google Calendar,
Picasa, Google+,
etc…)
Conclusion
Il est facile de
comprendre
l’incompatibilité
entre ces services
et une activité
professionnelle…..
« Vous accordez à Google
le droit permanent,
irrévocable, mondial,
gratuit et non exclusif de
reproduire, adapter,
modifier, traduire, publier,
présenter en public et
distribuer tout contenu
que vous avez fourni,
publié ou affiché sur les
services Google ou par le
biais de ces derniers. »
CYBER SURVEILLANCE - CONTRÔLE DE LA CONNEXION INTERNET
Le contrôle de l’utilisation d’Internet
Aucune disposition légale n’interdit l’employeur de fixer les conditions et les
limites d’utilisation d’Internet
Mise en place de dispositifs de filtrage de sites non autorisés associés au pare-feu
peut constituer une mesure de prévention dont il y a lieu d’informer les salariés
Possibilité offerte aux salariés de se connecter à Internet à des fins non
professionnelles peut s’accompagner de prescriptions légitimes (Chat, Web mail perso,
téléchargement) dictées par l’exigence de sécurité de l’entreprise (politique de sécurité,
charte utilisateur)
Le contrôle nominatif des connexions Internet des salariés
Conformément à l’art. L432-2-1 du code du travail, ce contrôle doit faire l’objet au
préalable d’une consultation du comité d’entreprise ou du comité technique paritaire ou
toute instance équivalente et d’une information des utilisateurs
Faire une déclaration à la CNIL en précisant la finalité du traitement, la durée de
conservation…
Un employeur peut ainsi sanctionner un salarié pour consultation excessive de sites
privés pendant le temps de travail.
26 PRONETIS© 200926 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DROITS DES EMPLOYEURS
CYBER SURVEILLANCE - CONTRÔLE LA MESSAGERIE ÉLECTRONIQUE
Un message émis ou reçu depuis le poste de travail de l’entreprise revêt
un caractère professionnel :
Sauf indication manifeste dans l’objet du message ou dans le nom du répertoire dans
lequel ce message a été archivé qu’il lui conférerait le caractère et la nature d’une
correspondance privée protégée par le secret des correspondances
Exception : si les messages sont stockés dans un répertoire identifié comme «
personnel ».
Néanmoins, si un risque ou événement particulier le justifie (virus...), la consultation
sera possible.
Un contrôle de l’encombrement du réseau peut conduire l’entreprise à
Mettre en place des quotas pour la taille des fichiers transmis en pièces jointes ou
encore des outils d’archivage des messages échangés.
L’emploi de tels outils de contrôle et d’archivage doivent être portés à la
connaissance des salariés ainsi que la durée de conservation des messages
27 PRONETIS© 200927 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DROITS DES EMPLOYEURS
CYBER SURVEILLANCE - CONTRÔLE DES FICHIERS – MESSAGES SMS
Cas des fichiers et des répertoires crées par un employé
Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition
pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant
personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006). Tout fichier
qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que
l’employeur peut y accéder hors la présence du salarié.
En revanche, si un fichier est identifié comme étant personnel, l’employeur ne peut y avoir accès
« qu’en présence du salarié ou si celui-ci a été dûment appelé, ou en cas de risque ou
événement particulier ».
Messages vocaux et SMS:
Les messages vocaux laissés par un salarié sur le téléphone professionnel d’un collègue aux
temps et lieu de travail ne revêtent pas un caractère privé et ne sont pas couverts par le secret
des correspondances. Il en est de même des SMS.
28 PRONETIS© 200928 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DROITS DES EMPLOYEURS
CYBER PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés
Article 34
Le responsable du traitement est tenu de prendre toutes précautions utiles, au
regard de la nature des données et des risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès.
Art. 226-17 du Code pénal
Le fait de procéder ou de faire procéder à un traitement de données à caractère
personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-
17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de
300.000 € d'amende.
OBLIGATION DES EMPLOYEURS
CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX
Administrateurs systèmes et réseaux
Ils sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations
relatives aux utilisateurs (messagerie, connexions au internet, fichiers "logs" ou de
journalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de
travail. Un tel accès n'est contraire à aucune disposition de la loi du 6 Aout 2004
De même, l'utilisation encadrée de logiciels de télémaintenance ne soulève aucune
difficulté particulière au regard de la loi du 6 Aout 2004 à condition que les mesures de
sécurité nécessaires à la protection des données soient mises en œuvre.
Toutefois, aucune exploitation à des fins autres que celles liées au bon fonctionnement
et à la sécurité des applications ne saurait être opérée, d'initiative ou sur ordre
hiérarchique.
30 PRONETIS© 200930 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX
Secret professionnel des administrateurs systèmes et réseaux
De même, les administrateurs de réseaux et systèmes, tenus au secret professionnel,
ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dans
le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le
secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent
en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni
l'intérêt de l'entreprise.
Ils ne sauraient non plus être contraints de le faire, sauf disposition législative
particulière en ce sens.
L’obligation de confidentialité pesant sur les administrateurs informatiques doit ainsi
être clairement rappelée dans leur contrat, ainsi que dans la charte d’utilisation des
outils informatiques annexée au règlement intérieur de l’entreprise ou de
l’administration.
31 PRONETIS© 200931 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Une salariée a permis à un collègue qui n’y était pas habilité d’utiliser son code d’accès
pour télécharger des informations confidentielles, contrevenant ainsi à la charte
informatique applicable dans la société. La Cour de cassation a retenu que cette violation
de la charte rendait impossible son maintien dans l’entreprise et justifiait son licenciement
pour faute grave.
Cour de cassation juillet 2011
• Le salarié qui a installé des logiciels sur son poste de travail alors que la charte
informatique l’interdisait formellement, a fait un usage anormal de l’outil informatique qui
lui était confié, nuisant au bon fonctionnement du système, et ne respectant pas la charte
informatique. L’analyse des logs du salarié ont de plus révélé une utilisation importante
d’internet à des fins personnelles. Le licenciement de ce salarié était dès lors justifié.
Cour de cassation Paris 19 01 2012 SAS Zetes France
• Le salarié qui a tenté sans motif légitime et par « emprunt » du mot de passe d’un autre
salarié, de se connecter sur le poste informatique du directeur de la société a un
comportement contraire à l’obligation de respect de la charte informatique en vigueur dans
l’entreprise. Ce comportement rend impossible son maintien dans l’entreprise pendant la
durée du préavis et constitue une faute grave.
Cour de cassation soc, 21 déc. 2006, n°05-41.165
NON-RESPECT DE LA CHARTE INFORMATIQUE - EXEMPLES
RÉQUISITION JUDICIAIRE – LEVÉ DU SECRET
33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Article 77-1-1 CPP :
" Le procureur de la République ou, sur autorisation de celui-ci, l’officier
de police judiciaire, peut, par tout moyen, requérir de toute personne, de
tout établissement ou organisme privé ou public ou de toute
administration publique qui sont susceptibles de détenir des documents
intéressant l’enquête, y compris ceux issus d’un système informatique
ou d’un traitement de données nominatives, de lui remettre ces
documents, notamment sous forme numérique, sans que puisse lui être
opposée, sans motif légitime, l’obligation au secret professionnel ".
Seul secret réellement protégé : Défense nationale
« Aux termes de la loi actuelle, les magistrats instructeurs ont le droit de
demander la communication de documents couverts par le secret-
défense». Ils doivent alors saisir la Commission consultative du secret
de la défense nationale (CCSDN) qui donne son avis.
LPM : LOI DE PROGRAMMATION MILITAIRE
Une prise en compte récente mais au pas de course
Livre blanc de la défense 2008: identification du besoin
Evolution majeure avec la création de l’ANSSI en 2009
Passage de la LPM en fin 2013 L’article 22 définit la protection des systèmes
critiques
Les systèmes Critiques sont pris en compte
Création d’obligation forte de sécurisation
Avec des sanctions pénales lourdes à la clé
La loi de programmation militaire 2014-2019
Loi 2013-1168 du 18 décembre 2013, article 22
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LPM : LOI DE PROGRAMMATION MILITAIRE
Promulguée le 18 décembre 2013, la loi de programmation
militaire fait suite aux orientations fixées par le Livre blanc sur la
défense et la sécurité nationale 20
« Son article 22 prévoit l’adoption de mesures de renforcement de
la sécurité des opérateurs d’importance vitale et confère à
l’ANSSI de nouvelles prérogatives : l’agence, au nom du Premier
Ministre pourra imposer aux OIV des mesures de sécurité et
des contrôles de leurs systèmes d’information les plus
critiques. De plus, l’article 22 rend obligatoire la déclaration des
incidents constatés par les OIV sur leurs systèmes
d’information.13. »
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV
Toujours dans la préoccupation de maîtriser les risques, le législateur a
défini les réseaux et points sensibles :
Secteur d’importance vitale : SAIV
Opérateurs d’importance vitale : OIV
Points d’importance vitale : PIV
La LPM précise qu’il est de la responsabilité de l’état d’assurer une cyber sécurité
suffisante des systèmes critiques des opérateurs d’importance vitale. 4 mesures
principales pour les organisations
Fixer les obligations comme par exemple l’interdiction de connecter certaines systèmes critiques à
Internet
Mettre en place des systèmes de détection par des prestataires labélisé par l’état
Vérifier le niveau de sécurité des systèmes d’information critiques au moyen d’un système d’audit
En cas de crise majeure, imposer les mesures nécessaires aux OIV
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV
SAIV : Secteurs d’Activité d’Importance Vitale
Ensemble d’activités concourant a un même objectif
Qui ont trait a la production et la distribution de biens ou de services
indispensables :
A la satisfaction des besoins essentiels pour la vie des populations
Ou à l’exercice de l’autorité de l’Etat
Ou au fonctionnement de l’économie
Ou au maintien du potentiel de défense
Ou a la sécurité de la Nation
Des lors que ces activités sont difficilement substituables ou remplaçables
Ou peuvent présenter un danger grave pour la population
Liste des SAIV définie par l’article R332-2 du code de la défense
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV
SAIV : Secteurs d’Activité d’Importance Vitale
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OIV : OPÉRATEUR D’IMPORTANCE VITALE
OIV ?
Exerce des activités [...] comprises dans un secteur d’activités d’importance vitale
Gere ou utilise au titre de ces activités un ou des établissements ou ouvrages,
une ou des installations dont le dommage ou l’indisponibilité ou la destruction par
suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait,
directement ou indirectement :
D’obérer gravement le potentiel de guerre ou économique, la sécurité ou la
capacité de survie de la nation
Ou de mettre gravement en cause la sante ou la vie de la population
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OIV : OPÉRATEUR D’IMPORTANCE VITALE
Les OIV sont désignés parmi
Operateurs publics ou privés exploitant des établissements ou utilisant des
installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon
importante le potentiel de guerre ou économique, la sécurité ou la capacité de
survie de la nation
Gestionnaires d’établissements comprenant une installation nucléaire ou autres
et dont la destruction ou l’avarie peuvent présenter un danger grave
pour la population
Sont désignés par arrêté eux-mêmes non publiés et non communicables
218 OIV, liste reputé classifiée Confidentiel
Défense
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OIV : OPÉRATEUR D’IMPORTANCE VITALE
Synthèse des mesures de protection
Les mesures de protection générique peuvent être regroupées
selon 3 catégories
Prévention
Protection
Limitation des dommages
41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OIV : OPÉRATEUR D’IMPORTANCE VITALE
Synthèse des mesures de protection
Prévention
Clauses contractuelles de cyber sécurité avec les fournisseurs et prestataires
Qualification et déploiement des correctifs de sécurité y compris les
équipements de remplacement
Sensibilisation, formation et entraînement des personnels
Protection
Contrôle d’accès physiques
Contrôle d’accès logiques
Dispositifs de détection d’intrusion
Filtrage, anti-malware
Limitation des dommages
Zone de parcage et de confinement de l’intrus (honeypot)
Procédure d’urgence, d’isolement et d’assainissement
Capture et sauvegarde des éléments probants
Réaction éventuelle (en conformité avec la législation) et procédures
judiciaires
42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Lutte contre la
cybercriminalité
en France
Contexte
juridique – Le
droit des TIC
Loi Godfrain
CNIL
OIV - LPM
PAUSE-RÉFLEXION
Avez-vous des questions ?
44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POUR ALLER PLUS LOIN
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
LPM http://www.dailymotion.com/video/x3rqnzx_qu-est-ce-que-la-lpm-fic-
2016_tech
OIV http://www.dailymotion.com/video/x3rqtov_qu-est-ce-qu-un-oiv-fic-
2016_tech
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés45 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE
ATTENTION
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Contenu connexe

Tendances

Tendances (20)

Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 

En vedette

Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 

En vedette (20)

C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
Un hold up comme si l’on y était
Un hold up comme si l’on y étaitUn hold up comme si l’on y était
Un hold up comme si l’on y était
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-filsAlphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
 
Alphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 IIIAlphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 III
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Audit et pentesting- Les tests d'intrusion 101
Audit et pentesting- Les tests d'intrusion 101Audit et pentesting- Les tests d'intrusion 101
Audit et pentesting- Les tests d'intrusion 101
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...
 
Wallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilègesWallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilèges
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 

Similaire à Gouvernance de la sécurité des Systèmes d'Information Volet-3

Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
Thiebaut Devergranne
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 

Similaire à Gouvernance de la sécurité des Systèmes d'Information Volet-3 (20)

Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapest
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatique
 
Ch3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_introCh3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_intro
 
La lutte contre la cybercriminalité
La lutte contre la cybercriminalitéLa lutte contre la cybercriminalité
La lutte contre la cybercriminalité
 
Criminalité financière et risques numériques
Criminalité financière et risques numériquesCriminalité financière et risques numériques
Criminalité financière et risques numériques
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatique
 
Piratage
Piratage Piratage
Piratage
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminaliteLoi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
 
PoissonPilote - INIZIA - Présentation données personnelles mai 2016
PoissonPilote - INIZIA - Présentation données personnelles mai 2016PoissonPilote - INIZIA - Présentation données personnelles mai 2016
PoissonPilote - INIZIA - Présentation données personnelles mai 2016
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
 
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
 
Apercu
ApercuApercu
Apercu
 
Zoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéZoom Sur La Cybercriminalité
Zoom Sur La Cybercriminalité
 
01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 

Plus de PRONETIS

Plus de PRONETIS (15)

C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
 

Dernier

Dernier (12)

Nathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseNathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre française
 
Quitter la nuit. pptx
Quitter          la        nuit.    pptxQuitter          la        nuit.    pptx
Quitter la nuit. pptx
 
Webinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctionsWebinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctions
 
Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"
 
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
 
Cours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLS
Cours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLSCours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLS
Cours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLS
 
PowerPoint-de-Soutenance-de-TFE-infirmier.pdf
PowerPoint-de-Soutenance-de-TFE-infirmier.pdfPowerPoint-de-Soutenance-de-TFE-infirmier.pdf
PowerPoint-de-Soutenance-de-TFE-infirmier.pdf
 
Un petit coin etwinning- Au fil des cultures urbaines
Un petit coin  etwinning- Au fil des cultures urbainesUn petit coin  etwinning- Au fil des cultures urbaines
Un petit coin etwinning- Au fil des cultures urbaines
 
Quitter la nuit. pptx
Quitter        la             nuit.   pptxQuitter        la             nuit.   pptx
Quitter la nuit. pptx
 
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
 
Bonnes pratiques biomédicales en établissement de soins : Guide
Bonnes pratiques biomédicales en établissement de soins  : GuideBonnes pratiques biomédicales en établissement de soins  : Guide
Bonnes pratiques biomédicales en établissement de soins : Guide
 
rapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdfrapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdf
 

Gouvernance de la sécurité des Systèmes d'Information Volet-3

  • 1. VOLET 3 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 2. AGENDA VOLET III Module N°1 : Organisation de la sécurité en France Organisation de la sécurité en France Lutte contre la cybercriminalité en France Comment réagir en cas de cyber crime ? Module N°2 : Aspects juridiques et réglementaires Contexte juridique - Droit des T.I.C. Loi Godfrain - CNIL OIV - LPM 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Pour aller plus loin Magazine Articles - Web
  • 3. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture du chapitre suivant Chapitre 2.5 Cyber criminalité Chapitre 3.7 Prise en compte des besoins juridiques 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 4. MODULE N°1 : ORGANISATION DE LA SÉCURITÉ EN FRANCE 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ORGANISATION DE LA SÉCURITÉ EN FRANCE LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE COMMENT RÉAGIR EN CAS DE CYBER CRIME ?
  • 5. ORGANISATION DE LA SÉCURITÉ EN FRANCE 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Cyberdéfense : un véritable enjeu de sécurité nationale « Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort d’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès aujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menace majeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les priorités stratégiques, livre blanc 2013) « Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)
  • 6. ORGANISATION DE LA SÉCURITÉ EN FRANCE 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Premier Ministre Secrétaire général de la défense et de la sécurité nationale (SGDSN) Agence nationale de la sécurité des systèmes d’information (ANSSI) Ministères Défense Intérieur Affaires étrangères Economie Budget Industrie … Hauts fonctionnaires de défense et de sécurité (HFDS) Organisation interministérielle : Pilotage de la politique nationale en matière de sécurité des systèmes d’information Proposition des règles à appliquer pour la protection des S.I. de l’État. Vérification de l’application des mesures adoptées Conseil/soutien Sécurité aux administrations Information du public Contribution au développement de Services de confiance … Coordination de la préparation des mesures de défense (Vigipirate) et chargés de la sécurité des systèmes d'information
  • 7. LE DROIT DES T.I.C. 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Définition de la cybercriminalité : « Ensemble des actes contrevenants aux traités internationaux ou aux lois nationales utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible. » Définition de l’investigation numérique (forensics) : « Ensemble des protocoles et de mesures permettant de rechercher des éléments techniques sur un conteneur de données numériques en vue de répondre à un objectif technique en respectant une procédure de préservation du conteneur. » La lutte contre la cybercriminalité en France
  • 8. ORGANISATION DE LA SÉCURITÉ EN FRANCE 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • http://www.clusif.asso.fr/fr/production/cybervictime/ Comment réagir en cas de cyber crime ?
  • 9. RÉSUMÉ DU MODULE 9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Organisation de la sécurité en France Comment réagir en cas de cyber crime ?
  • 10. MODULE N°2 : ASPECTS JURIDIQUES ET RÉGLEMENTAIRES 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CONTEXTE JURIDIQUE - DROIT DES T.I.C. LOI GODFRAIN - CNIL OIV - LPM
  • 11. LE DROIT DES T.I.C. 11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le contexte juridique Liberté d’expression Propriété intellectuelle Protection de la vie privée Cybercriminalité Protection des entreprises Protection du e-commerce … et bien d’autres…
  • 12. LE DROIT DES T.I.C. 12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés – Un droit non codifié : des dizaines de codes en vigueur – … et difficile d’accès • Au carrefour des autres droits • En évolution constante et rapide • Issu de textes de toute nature /niveaux • Caractérisé par une forte construction jurisprudentielle* – nécessitant un effort de veille juridique. (*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société. Code civil Code pénal Droit du travail Code de la propriété intellectuelle Code des postes et communicat. électroniques Code de la défense Code de la consommation … Le contexte juridique
  • 13. LE DROIT DES T.I.C. 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le contexte juridique Entreprise Loi Godfrain « condamne le délit informatique » Cryptologie Informatique et libertés (CNIL) « protection du patrimoine informationnel » Droit d’auteur Secret des correspondances Traitements de données à caractère personnel Cyber surveillance des salariés Logiciels et bases de données Reprographie Loi Confiance en l’Économie Numérique (LCEN) Signature électronique, Spam et Commerce en ligne Code civile « protection des biens sous sa garde » Droit du travail « surveillance »
  • 14. 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés LA PROTECTION DES BIENS IMMATERIELS Attribuer des droits aux auteurs de logiciels en tant qu’œuvres originales Protéger ces droits face à la contrefaçon Art. L. 335-2. (modifié par L. n° 94-102 du 5 fév. 1994) Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon ; et toute contrefaçon est un délit : La contrefaçon en France d’ouvrages publics en France ou à l’étranger est punie de deux ans d’emprisonnement et de 152.450 € d’amende. Sont punis des mêmes peines l’exportation et l’importation des ouvrages contrefaits.
  • 15. LA PROTECTION DES DONNEES & DES SYSTEMES 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 du CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum. – Élément matériel de l’infraction : la notion d’accès ou maintien – La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause » – Éléments indifférents : • Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données) • Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002) • La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ; affaire Anses / Bluetouff TGI Créteil, 23 avril 2013) La lutte contre la cybercriminalité en France Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines « victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire, un disque dur, une radio, un téléphone, un site internet…
  • 16. LA PROTECTION DES DONNEES & DES SYSTEMES 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende • L'introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende • L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir, de céder ou de mettre à disposition, sans motif légitime, un programme ou un moyen permettant de commettre les infractions prévues aux articles 323-1 à 323- 3. (mêmes sanctions) • Art. 323-4 : l’association de malfaiteurs en informatique • Art. 323-5 : les peines complémentaires • Art. 323-6 : la responsabilité pénale des personnes morales • Art. 323-7 : la répression de la tentative La lutte contre la cybercriminalité en France
  • 17. LA PROTECTION DES DONNEES & DES SYSTEMES 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Pédopornographie Le fait en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de trois ans d’emprisonnement et de 45.000 euros d’amende. Le fait d’offrir ou de diffuser une telle image ou représentation, par quelque moyen que ce soit, de l’importer ou de l’exporter, de la faire importer ou de la faire exporter, est puni des mêmes peines. Le fait de détenir une telle image ou représentation est puni de deux ans d’emprisonnement et 30000 euros d’amende. Les peines sont portées à cinq ans d’emprisonnement et à 75.000 euros d’amende lorsqu’il a été utilisé, pour la diffusion de l’image ou de la représentation du mineur à destination d’un public non déterminé, un réseau de télécommunications Art. 227-23 du Code pénal
  • 18. LA PROTECTION DES DONNEES & DES SYSTEMES 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Art. L163-4-1 du Code monétaire et financier Générateurs de numéros de CB, clonage de CB (yescard) Est puni de sept ans d’emprisonnement et de 750.000 euros d’amende le fait pour toute personne de fabriquer, d’acquérir, de détenir de céder d’offrir ou de mettre à disposition des équipements, instruments programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les infractions prévues à l’art. L163-3 et L163-4.
  • 19. LA PROTECTION DES DONNEES & DES SYSTEMES 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Art. 434-15-2 du Code Pénal Cryptologie Est puni de trois ans d’emprisonnement le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres I et III du livre 1er du code de procédure pénale. Si le refus est opposé alors que le remise ou la mise ne œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit, ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.
  • 20. LA PROTECTION DES PERSONNES 20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Quel est le champ d’application de la loi ? – Art. 2 « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 (relevant du droit national). » • Qu’est qu’une donnée à caractère personnel ? – « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Le rôle de la CNIL : La protection des données à caractère personnel Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés – modifié le 6 aout 2004
  • 21. LA PROTECTION DES PERSONNES 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Un traitement de données à caractère personnel doit être « loyal et licite » – Les données sont collectées pour des finalités déterminées explicites et légitimes – de manière proportionnée (adéquates, pertinentes et non excessives) – avec le consentement de la personne concernée (sauf exception) – pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités ! • Les personnes physiques disposent de différents droits sur les données à caractère personnel qui font l’objet d’un traitement… – Un droit d’information préalable au consentement – Un droit d’accès aux données collectées – Un droit de rectification – Un droit d’opposition pour raison légitime Le rôle de la CNIL : La protection des données à caractère personnel La loi protège les droits des personnes physiques identifiées ou identifiables par les données à caractère personnel
  • 22. LA PROTECTION DES PERSONNES 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Obligations administratives auprès de la CNIL – Le régime de la déclaration préalable (art. 22 à 24) • Le traitement peut faire l’objet d’une dispense de déclaration • Le traitement échappe à l’obligation de déclaration car le responsable du traitement a désigné un correspondant à la protection des données (CIL) • Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une déclaration préalable – Le régime d’autorisation préalable (art. 25 à 27) • Régime applicable pour les « traitements sensibles » (listés à l’art. 25) • Examen de la demande par la CNIL sous deux mois (le silence vaut rejet). Le rôle de la CNIL : La protection des données à caractère personnel Le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données à caractère personnel
  • 23. LA PROTECTION DES PERSONNES 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Des obligations de confidentialité et de sécurité des traitements et de secret professionnel – De mettre en œuvre les mesures techniques et organisationnelles appropriées, au regard de la nature des données et des risques, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (art. 34) • Absence de prescriptions techniques précises • Recommandation de réaliser une analyse de risques préalable voire, pour les traitements les plus sensibles, une étude d’impact sur la vie privée (PIA) • Publication par la CNIL de « guides sécurité pour gérer les risques sur la vie privée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques) – De veiller à ce que, le cas échéant, les sous-traitants apportent des garanties suffisantes au regard des mesures de sécurité techniques et d’organisation • Est considéré comme sous-traitant celui qui traite des données à caractère personnel pour le compte et sous la responsabilité du responsable du traitement (article 35) Le rôle de la CNIL : La protection des données à caractère personnel
  • 24. LA PROTECTION DES PERSONNES 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Des sanctions pénales (articles 226-16 et suivants du Code pénal) : – Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende » (art. 226-17) • Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en fonction du préjudice causé aux personnes concernées • Des sanctions administratives associées aux pouvoirs conférés à la CNIL – Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de l’autorisation accordée – Pouvoir de sanction pécuniaire – Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage des données (3 mois) – Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions Le rôle de la CNIL : La protection des données à caractère personnel Les différents risques et sanctions en cas de manquements aux différentes obligations
  • 25. LA PROTECTION DES PERSONNES 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Extrait des Conditions Générales d’Utilisation des services de Google (Gmail, Google Calendar, Picasa, Google+, etc…) Conclusion Il est facile de comprendre l’incompatibilité entre ces services et une activité professionnelle….. « Vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout contenu que vous avez fourni, publié ou affiché sur les services Google ou par le biais de ces derniers. »
  • 26. CYBER SURVEILLANCE - CONTRÔLE DE LA CONNEXION INTERNET Le contrôle de l’utilisation d’Internet Aucune disposition légale n’interdit l’employeur de fixer les conditions et les limites d’utilisation d’Internet Mise en place de dispositifs de filtrage de sites non autorisés associés au pare-feu peut constituer une mesure de prévention dont il y a lieu d’informer les salariés Possibilité offerte aux salariés de se connecter à Internet à des fins non professionnelles peut s’accompagner de prescriptions légitimes (Chat, Web mail perso, téléchargement) dictées par l’exigence de sécurité de l’entreprise (politique de sécurité, charte utilisateur) Le contrôle nominatif des connexions Internet des salariés Conformément à l’art. L432-2-1 du code du travail, ce contrôle doit faire l’objet au préalable d’une consultation du comité d’entreprise ou du comité technique paritaire ou toute instance équivalente et d’une information des utilisateurs Faire une déclaration à la CNIL en précisant la finalité du traitement, la durée de conservation… Un employeur peut ainsi sanctionner un salarié pour consultation excessive de sites privés pendant le temps de travail. 26 PRONETIS© 200926 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DROITS DES EMPLOYEURS
  • 27. CYBER SURVEILLANCE - CONTRÔLE LA MESSAGERIE ÉLECTRONIQUE Un message émis ou reçu depuis le poste de travail de l’entreprise revêt un caractère professionnel : Sauf indication manifeste dans l’objet du message ou dans le nom du répertoire dans lequel ce message a été archivé qu’il lui conférerait le caractère et la nature d’une correspondance privée protégée par le secret des correspondances Exception : si les messages sont stockés dans un répertoire identifié comme « personnel ». Néanmoins, si un risque ou événement particulier le justifie (virus...), la consultation sera possible. Un contrôle de l’encombrement du réseau peut conduire l’entreprise à Mettre en place des quotas pour la taille des fichiers transmis en pièces jointes ou encore des outils d’archivage des messages échangés. L’emploi de tels outils de contrôle et d’archivage doivent être portés à la connaissance des salariés ainsi que la durée de conservation des messages 27 PRONETIS© 200927 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DROITS DES EMPLOYEURS
  • 28. CYBER SURVEILLANCE - CONTRÔLE DES FICHIERS – MESSAGES SMS Cas des fichiers et des répertoires crées par un employé Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006). Tout fichier qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder hors la présence du salarié. En revanche, si un fichier est identifié comme étant personnel, l’employeur ne peut y avoir accès « qu’en présence du salarié ou si celui-ci a été dûment appelé, ou en cas de risque ou événement particulier ». Messages vocaux et SMS: Les messages vocaux laissés par un salarié sur le téléphone professionnel d’un collègue aux temps et lieu de travail ne revêtent pas un caractère privé et ne sont pas couverts par le secret des correspondances. Il en est de même des SMS. 28 PRONETIS© 200928 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DROITS DES EMPLOYEURS
  • 29. CYBER PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés Article 34 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Art. 226-17 du Code pénal Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78- 17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300.000 € d'amende. OBLIGATION DES EMPLOYEURS
  • 30. CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX Administrateurs systèmes et réseaux Ils sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions au internet, fichiers "logs" ou de journalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de travail. Un tel accès n'est contraire à aucune disposition de la loi du 6 Aout 2004 De même, l'utilisation encadrée de logiciels de télémaintenance ne soulève aucune difficulté particulière au regard de la loi du 6 Aout 2004 à condition que les mesures de sécurité nécessaires à la protection des données soient mises en œuvre. Toutefois, aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications ne saurait être opérée, d'initiative ou sur ordre hiérarchique. 30 PRONETIS© 200930 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 31. CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX Secret professionnel des administrateurs systèmes et réseaux De même, les administrateurs de réseaux et systèmes, tenus au secret professionnel, ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt de l'entreprise. Ils ne sauraient non plus être contraints de le faire, sauf disposition législative particulière en ce sens. L’obligation de confidentialité pesant sur les administrateurs informatiques doit ainsi être clairement rappelée dans leur contrat, ainsi que dans la charte d’utilisation des outils informatiques annexée au règlement intérieur de l’entreprise ou de l’administration. 31 PRONETIS© 200931 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 32. 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Une salariée a permis à un collègue qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles, contrevenant ainsi à la charte informatique applicable dans la société. La Cour de cassation a retenu que cette violation de la charte rendait impossible son maintien dans l’entreprise et justifiait son licenciement pour faute grave. Cour de cassation juillet 2011 • Le salarié qui a installé des logiciels sur son poste de travail alors que la charte informatique l’interdisait formellement, a fait un usage anormal de l’outil informatique qui lui était confié, nuisant au bon fonctionnement du système, et ne respectant pas la charte informatique. L’analyse des logs du salarié ont de plus révélé une utilisation importante d’internet à des fins personnelles. Le licenciement de ce salarié était dès lors justifié. Cour de cassation Paris 19 01 2012 SAS Zetes France • Le salarié qui a tenté sans motif légitime et par « emprunt » du mot de passe d’un autre salarié, de se connecter sur le poste informatique du directeur de la société a un comportement contraire à l’obligation de respect de la charte informatique en vigueur dans l’entreprise. Ce comportement rend impossible son maintien dans l’entreprise pendant la durée du préavis et constitue une faute grave. Cour de cassation soc, 21 déc. 2006, n°05-41.165 NON-RESPECT DE LA CHARTE INFORMATIQUE - EXEMPLES
  • 33. RÉQUISITION JUDICIAIRE – LEVÉ DU SECRET 33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Article 77-1-1 CPP : " Le procureur de la République ou, sur autorisation de celui-ci, l’officier de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l’enquête, y compris ceux issus d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel ". Seul secret réellement protégé : Défense nationale « Aux termes de la loi actuelle, les magistrats instructeurs ont le droit de demander la communication de documents couverts par le secret- défense». Ils doivent alors saisir la Commission consultative du secret de la défense nationale (CCSDN) qui donne son avis.
  • 34. LPM : LOI DE PROGRAMMATION MILITAIRE Une prise en compte récente mais au pas de course Livre blanc de la défense 2008: identification du besoin Evolution majeure avec la création de l’ANSSI en 2009 Passage de la LPM en fin 2013 L’article 22 définit la protection des systèmes critiques Les systèmes Critiques sont pris en compte Création d’obligation forte de sécurisation Avec des sanctions pénales lourdes à la clé La loi de programmation militaire 2014-2019 Loi 2013-1168 du 18 décembre 2013, article 22 34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 35. LPM : LOI DE PROGRAMMATION MILITAIRE Promulguée le 18 décembre 2013, la loi de programmation militaire fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 20 « Son article 22 prévoit l’adoption de mesures de renforcement de la sécurité des opérateurs d’importance vitale et confère à l’ANSSI de nouvelles prérogatives : l’agence, au nom du Premier Ministre pourra imposer aux OIV des mesures de sécurité et des contrôles de leurs systèmes d’information les plus critiques. De plus, l’article 22 rend obligatoire la déclaration des incidents constatés par les OIV sur leurs systèmes d’information.13. » 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 36. DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV Toujours dans la préoccupation de maîtriser les risques, le législateur a défini les réseaux et points sensibles : Secteur d’importance vitale : SAIV Opérateurs d’importance vitale : OIV Points d’importance vitale : PIV La LPM précise qu’il est de la responsabilité de l’état d’assurer une cyber sécurité suffisante des systèmes critiques des opérateurs d’importance vitale. 4 mesures principales pour les organisations Fixer les obligations comme par exemple l’interdiction de connecter certaines systèmes critiques à Internet Mettre en place des systèmes de détection par des prestataires labélisé par l’état Vérifier le niveau de sécurité des systèmes d’information critiques au moyen d’un système d’audit En cas de crise majeure, imposer les mesures nécessaires aux OIV 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 37. DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV SAIV : Secteurs d’Activité d’Importance Vitale Ensemble d’activités concourant a un même objectif Qui ont trait a la production et la distribution de biens ou de services indispensables : A la satisfaction des besoins essentiels pour la vie des populations Ou à l’exercice de l’autorité de l’Etat Ou au fonctionnement de l’économie Ou au maintien du potentiel de défense Ou a la sécurité de la Nation Des lors que ces activités sont difficilement substituables ou remplaçables Ou peuvent présenter un danger grave pour la population Liste des SAIV définie par l’article R332-2 du code de la défense 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 38. DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV SAIV : Secteurs d’Activité d’Importance Vitale 38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 39. OIV : OPÉRATEUR D’IMPORTANCE VITALE OIV ? Exerce des activités [...] comprises dans un secteur d’activités d’importance vitale Gere ou utilise au titre de ces activités un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : D’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation Ou de mettre gravement en cause la sante ou la vie de la population 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 40. OIV : OPÉRATEUR D’IMPORTANCE VITALE Les OIV sont désignés parmi Operateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation Gestionnaires d’établissements comprenant une installation nucléaire ou autres et dont la destruction ou l’avarie peuvent présenter un danger grave pour la population Sont désignés par arrêté eux-mêmes non publiés et non communicables 218 OIV, liste reputé classifiée Confidentiel Défense 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 41. OIV : OPÉRATEUR D’IMPORTANCE VITALE Synthèse des mesures de protection Les mesures de protection générique peuvent être regroupées selon 3 catégories Prévention Protection Limitation des dommages 41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 42. OIV : OPÉRATEUR D’IMPORTANCE VITALE Synthèse des mesures de protection Prévention Clauses contractuelles de cyber sécurité avec les fournisseurs et prestataires Qualification et déploiement des correctifs de sécurité y compris les équipements de remplacement Sensibilisation, formation et entraînement des personnels Protection Contrôle d’accès physiques Contrôle d’accès logiques Dispositifs de détection d’intrusion Filtrage, anti-malware Limitation des dommages Zone de parcage et de confinement de l’intrus (honeypot) Procédure d’urgence, d’isolement et d’assainissement Capture et sauvegarde des éléments probants Réaction éventuelle (en conformité avec la législation) et procédures judiciaires 42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 43. RÉSUMÉ DU MODULE 43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Lutte contre la cybercriminalité en France Contexte juridique – Le droit des TIC Loi Godfrain CNIL OIV - LPM
  • 44. PAUSE-RÉFLEXION Avez-vous des questions ? 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 45. POUR ALLER PLUS LOIN Magazine http://boutique.ed-diamond.com/ (revue MISC) Web LPM http://www.dailymotion.com/video/x3rqnzx_qu-est-ce-que-la-lpm-fic- 2016_tech OIV http://www.dailymotion.com/video/x3rqtov_qu-est-ce-qu-un-oiv-fic- 2016_tech 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés45 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 46. FIN DU VOLET MERCI POUR VOTRE ATTENTION 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés