Actualité web & High tech sur Usine Digitale

Dans la jungle de la cybersécurité

Twitter Facebook Linkedin Google + Email
×

Droit, technique et organisation... Voici le tryptique sur lequel doit reposer la cybersécurité, selon l'avocat Eric A. Caprioli. A l'heure de la transformation digitale et à la veille de la mise en application de la RGPD (GDPR), l'expert revient sur les risques auxquels sont de plus en plus exposées les entreprises et comment les anticiper.

Dans la jungle de la cybersécurité
Dans la jungle de la cybersécurité © dr

Depuis l’an 2000, le fameux bug et le ver « I love You », beaucoup d’eau a coulé sous et par delà les remparts de la protection des systèmes d’information et du patrimoine informationnel des organisations privées et publiques. On est loin des dispositions de la loi Godfrain du 5 janvier 1988, même si cette loi a posé de solides fondations. Trente ans se sont écoulés et si les textes ont évolué, c’est surtout  au début des années 2000 que les menaces sont devenues mondiales. Ces dernières  empruntent des contours variés, parfois on relève des cas de cyber-guerre où certains Etats prennent une part active (ex. les Systèmes d’information (SI) de l’Estonie ou les sites nucléaires de l’Iran), mais aussi des fraudes, usurpations d’identité et escroqueries en tout genre via des malwares et de l’ingénierie sociale.


Transformation digitale rime avec hausse des risques cybers

La transformation digitale est en marche, le cybercrime aussi ! En criminalité, les chiffres témoignent d’une diminution des attaques à main armée et d’un accroissement des délits numériques (ou cybercriminalité), que l’on appelait encore il y a peu de temps criminalité informatique. Il est, en effet, plus facile de voler des bitcoins stockés sur un ordinateur que de s’attaquer physiquement à un individu ou à ses biens puisque la tentative ou l’exécution ne laisse que peu de traces, contrairement à une effraction ou une agression surtout lorsque les victimes sont des particuliers ou des PME.

La « nouvelle économie » se fonde sur l’ouverture et le partage, ce qui n’est pas sans incidence sur le niveau d’exposition des SI des organisations. De plus, comme l’a excellemment remarqué M. Alain Bouillé, Président du CESIN, « nous assistons impuissants à une formidable concentration du patrimoine informationnel des entreprises mondiales virtuellement aux mêmes endroits sur des systèmes par définition faillibles un jour ou l’autre. ». D’ailleurs, le Règlement Général sur la Protection des Données (RGPD) n’impose-t-il pas aux sous-traitants d’évaluer les risques que les traitements présentent en terme de vie privée et de prendre des mesures de sécurité (art. 32) ? Cela se traduira dans les documents contractuels avec ces prestataires.


De Equifax à Uber, qui dit mieux !

Entre mai et juillet 2017, l’agence américaine de crédit Equifax a subi un important piratage de données personnelles (noms, n° de sécurité sociale, dates de naissance, …) appartenant à plus de 145 millions de ses clients pouvant ainsi permettre des usurpations d’identité. Il y a quelques jours à peine, le Président d’Uber a révélé que l’entreprise avait fait l’objet d’une violation de données personnelles (noms, adresses mail et n° de téléphone des clients, mais aussi les numéros de permis de conduire des chauffeurs) portant sur 50 millions d’utilisateurs et 7 millions de chauffeurs, en … octobre 2016, soit plus d’un an après. Mais le pire, c’est qu’Uber a agi à l’ancienne, en ce sens que l’entreprise a caché la violation aux autorités des pays en cause et aux personnes concernées au mépris de ses obligations légales. Au surplus, elle a payé 100.000 dollars aux hackers pour qu’ils ne dévoilent pas leurs méfaits.


Du ramsonware au déni de service

Avec les récentes attaques de 2017 via les virus Wannacry, Pethya ou NotPethya, l’évolution est notable car elle a causé des dégâts importants en paralysant des systèmes d’information cibles et paradoxalement avec des gains relativement faibles par rapport aux autres ramsonwares aux termes desquels la prise en otage des données numériques rendues inutilisables avait pour objet le paiement de rançon en cryptomonnaie sur le darkweb.  Autant le ramsonware peut revêtir plusieurs qualifications juridiques, autant le déni de service constitue un délit d’entrave à un SI, réprimé par l’article 323-2 du code pénal : 5 ans d’emprisonnement et 150.000€ d’amende nonobstant les dommages et intérêts réparant les préjudices matériel et d’image. Une décision du TGI de Paris du 28 septembre 2016 a sanctionné une attaque par déni de service contre EDF.

 

Dans une décision du 7 novembre 2017, la Cour de cassation a rejeté le pourvoi contre un arrêt de la Cour d’appel de Paris où un individu avait été reconnu coupable du délit de participation à une entente établie en vue de la préparation d’entrave au bon fonctionnement de SI et l’avait condamné à une peine de 2 mois de prison avec sursis avec mise à l’épreuve pendant 18 mois. Le prévenu avait diffusé une adresse webIRC dans des documents des anonymous (qui lui avait donné le statut de « semi-opérateurs ») permettant notamment de donner des informations sur leurs opérations et de mettre à disposition des moyens techniques permettant de réaliser des dénis de service contre EDF.


Le triptyque de la cybersécurité

Avec le Règlement général de protection des données, applicable le 25 mai 2018 et la directive NIS du 6 juillet 2016 (partiellement transposée avec la Loi de programmation militaire de décembre 2013), la sécurité doit être implémentée avant que l’incident ou l’attaque ne se produise. Pour être en conformité avec le RGPD, la sécurité doit être intégrée dès la conception des applications et dès la collecte des données (« privacy by design » et « privacy by default » art. 25 du RGPD) par la mise en œuvre de mesures techniques et organisationnelles. Les risques d’atteinte aux données doivent être anticipés, et pour les traitements à grande échelle ou portant sur des données sensibles, les responsables de traitement auront l’obligation de réaliser une analyse de risques et d’impact sur la vie privée (EIVP). De même, la directive NIS impose aux entités assujetties de prendre des mesures techniques et organisationnelles.

Lorsqu’une entreprise est victime d’une attaque cyber, elle est susceptible d’engager sa responsabilité, spécialement, si elle est opérateur d’importance vitale ou que les données ayant fait l’objet d’une violation sont à caractère personnel, à tout le moins, elle aura l’obligation de notifier la violation de données et/ou la faille de sécurité aux autorités compétentes (en France la CNIL et l’ANSSI), voire aux personnes dont les données auront été atteintes. Les victimes potentielles devront tout mettre en œuvre pour pallier les risques et en minimiser les conséquences. Elles auront l’obligation de documenter leurs procédures et de répercuter leurs obligations dans les contrats conclus avec les sous-traitants dont la responsabilité pourra à l’avenir être engagée (sanctions de la CNIL et sanctions pénales).

Au final, la cybersécurité impose une démarche transversale que nous rappelons depuis de nombreuses années ;  elle repose sur un tryptique : droit, technique et organisation.

Dans la jungle, terrible jungle, la cybersécurité rugit de plus en plus fort !


Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président de la FNTC et du Club des Experts de la Sécurité de l’Information et du Numérique
Société d’avocats membre du réseau JurisDéfi


 

Les avis d'experts et les points de vue sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale