Sécurité numérique et prise de conscience : les leçons de Wannacry

 

Après la vaste cyber-attaque Wannacry, même s’il faut déplorer de nombreux systèmes touchés, la démonstration aura servi de leçon (à tout le moins d’exemple) et sans doute permis une prise de conscience salutaire en matière de sécurité et d’hygiène numérique.

 

En matière de réflexion sur la cybersécurité, plusieurs productions sont à relever :

 

-          La Loi de programmation militaire (LPM) de 2013 avait déjà envisagé la cyberprotection des sites informatiques essentiels avec la création des Opérateurs d’Importance Vitale (OIV). Le point sur la question : https://www.alliancy.fr/expertise/cybersecurite/2017/03/24/loi-de-programmation-militaire-mise-au-point-sur-le-volet-cybersecurite

 

-          Sur le plan des réparations des dommages immatériels suite à une attaque informatique, plusieurs questions déterminantes se posent :

 

1)      Comment estimer le coût d’une faille de données potentielles pour son entreprise ? http://globbsecurity.fr/estimer-cout-dune-faille-de-donnees-potentielle-entreprise-41252/

 

2)      Comment prendre en compte l’indemnisation des atteintes informatiques ?

https://www.lesechos.fr/idees-debats/cercle/cercle-168128-le-marche-de-la-cyber-assurance-risque-pour-les-assureurs-2075814.php

ici aussi : https://www.lesechos.fr/04/02/2014/LesEchos/21619-141-ECH_le-bel-avenir-du-marche-de-la-cyber-assurance.htm

 

-          Et enfin une considération plus générale pertinente en la matière : https://www.lesechos.fr/idees-debats/cercle/cercle-170310-cyber-securite-la-politique-de-lautruche-nest-plus-une-option-2088984.php

 

En attendant l’entrée en vigueur du RGPD …

L’entrée en vigueur du Règlement Général (UE) de protection des données personnelles étant prévue en mai 2018, il reste désormais moins d’un an pour s’y conformer. Une vaste campagne de sensibilisation des entreprises a déjà eu lieu.

 

-          Afin « d’éduquer » les contrevenants à la réglementation « informatique et libertés », en dépit de dénégations au prétexte de dysfonctionnements techniques, une entreprise a été financièrement sanctionnée après deux contrôles sur plainte et recommandations non appliquées. La décision a été rendue publique à titre d’exemple : CNIL, délibération 2017-002, 13/04/2017

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034473080&fastReqId=191427501&fastPos=1

 

Petit rappel : en application du RGPD, il n’existera plus de régime d’autorisation préalable, mais une obligation permanente de se conformer pour tous les acteurs de la chaîne à la confidentialité des données personnelles (intégré en amont avec la règle du privacy by design). Des sanctions financières substantielles sont prévues en cas de contrôle et d’infraction constatée à l’instar du cas visé par la CNIL.

 

-          En matière de cookies, la CNIL a annoncé un contrôle accru des sites Internet (un règlement européen devrait voir le jour prochainement en la matière).

 

Rappel sur les règles applicables : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

 

-          Le contrôleur européen de la protection des données a publié un kit à destination des législateurs des Etats membres sur les futures dispositions applicables : https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf

 

 

Le débat des juristes : nature juridique de l’algorithme

En application de la Loi pour une république numérique, le décret n°2017-330 du 14 mars 2017 es venu préciser l’obligation de mention explicite s’agissant des traitements algorithmiques dont font l’objet les personnes physiques. Ce texte institue le droit, pour la personne concernée, d’obtenir la communication des règles définissant le traitement mis en œuvre et les principales caractéristiques du procédé.

 

On sait désormais qu’un algorithme est un procédé de calculs numériques participant à l’identification d’une solution (ou classement de résultats), élaboré à raison de paramètres intégrés au choix de son auteur (ou donneur d’ordre commanditaire).

 

Précisément, toute la question est de savoir de nos jours si l’algorithme, dans sa protection juridique en tant que savoir-faire technique d’analyse numérique et actif immatériel valorisable (et concurrentiel), relève du droit du logiciel, ou plus largement du droit d’auteur (ou encore du brevet ou du secret des affaires). La question n’est pas neutre, eu égard au coût de la protection notamment, et l’on se souvient combien elle avait déjà agité les juristes concernant le logiciel (question d’ailleurs provisoirement tranchée).

 

L’article 49 de la Loi pour une république numérique fait uniquement référence à la communication du résultat du calcul algorithmique, sans s’attarder sur le mode opératoire.

 

La question demeure donc en suspens.

Usages numériques, e-santé et cybersécurité

Avec la transformation digitale, conduisant au tout dématérialisé, et l’émergence et nouveaux objets connectés (IoT, mais encore drones, imprimantes 3D, robots, intelligence artificielle, …), les risques numériques sont tout autant une réalité augmentée.

 

Réfléchir à cette question essentielle de la cybersécurité dans les usages quotidiens est une des préoccupations portée par la Fédération européenne des experts en cyber sécurité (www.efcse.eu) dont nous sommes un des membres fondateurs, rédacteur du manifeste.

 

Cette question essentielle de l’intégrité des données et de leur préservation à l’égard des tiers est d’autant plus prégnante en matière de santé numérique, enjeu des prochaines années https://portail-ie.fr/analysis/1539/la-sante-connectee-entre-espoir-et-inquietude

 

En revanche, si un récent rapport parlementaire se réjouit du succès des objets connectés et questionne sur la place du droit dans cette dimension économique émergente, il fait malheureusement (ou sciemment ?) l’impasse sur la dimension sécurité http://www.assemblee-nationale.fr/14/rap-info/i1936.asp

 

Cependant, mettant en évidence une prise de conscience publique de la question, le décret n°2017-58 du 23 janvier 2017 a institué un délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces au ministère de l’intérieur https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000033909606

 

 


matrix

Vol au-dessus d’un nid … d’atomes

 

Dans le contexte tendu connu il y a près de 2 ans, où des vols de drones inconnus avaient été régulièrement enregistrés au-dessus de sites interdits de survol, et notamment des centrales de production d’énergie nucléaire, deux utilisateurs de drone avaient été appréhendés, et poursuivis.

 

Il s’avère que ceux-ci avaient agi en amateurs, certes imprudents dans ce climat, d’autant plus qu’un tel agissement restait condamnable en application de l’article L. 6232-2 du Code des transports (15.000 € d’amende et 6 mois d’emprisonnement). Ils ont néanmoins été dispensés de peine https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-bourges-ch-corr-jugement-du-12-octobre-2016/

 

TGI Bourges, 12 octobre 2016

Diffamation, injure et l’art délicat de la communication digitale

L’avènement du web 2.0 a créé un immense espace de communication, à disposition de tout internaute souhaitant s’exprimer sur tout sujet de son choix. Cette nouvelle « démocratie numérique » en est encore à ses débuts mais initie néanmoins un bouleversement des systèmes traditionnels, comme les montrent les élections de cette année 2016, en Europe comme aux Etats-Unis.

 

Loin de cet esprit partisan, ce champ d’expression n’est cependant pas sans risque pour son utilisateur. Un déversoir de haines, d’injures, d’insultes, … est toujours susceptible d’engager la responsabilité de son auteur. La jurisprudence a déjà largement fixé les limites en pareille matière.

 

De nouvelles décisions alimentent ce faisceau jurisprudentiel :

 

Ainsi, si la loi de 1881 prévoit un délai de 3 mois à compter de la publication pour engager les poursuites en diffamation, l’insertion d’un lien hypertexte renvoyant à nouveau sur le texte incriminé, fait de nouveau courir le délai de 3 mois. L’insertion d’un lien doit être considéré comme une nouvelle publication.

 

Cass. Crim., 2 novembre 2016

 

La publication énoncée par la loi de 1881 s’entend comme toute communication, sur tout support. Ainsi en est-il d’un réseau Intranet, où le comité d’entreprise critiquait vertement la « gestion dictatoriale (…) à la Ceaucescu » d’une association. Après avoir été relaxé par la Cour d’appel, la Cour de cassation a quant à elle estimé que la diffamation était bien réelle, justifiant la condamnation de son auteur.

 

Cass. Crim., 6 septembre 2016

 

De même, la chambre sociale de la Cour de cassation a justifié le licenciement pour faute d’un salarié lequel s’était écrié (oralement) « Nous sommes tous des collaborateurs, comme disait Pierre Laval ! »

 

Cass. Soc., 6 octobre 2016

 

Un licenciement pour faute grave a encore été validé, s’agissant d’une salariée qui s’était livrée à une vidéo inopportune et grotesque tournée au sein d’un établissement largement identifiable et publiée sur Facebook. La juridiction a constaté que la vidéo n’avait pas été limitée à son public d’amis et ce faisant avait porté atteinte à l’image de l’entreprise, ce d’autant qu’elle en avait perturbé le bon fonctionnement en sollicitant d’autres salariés pour participer à la mise en scène filmée.

 

CA Reims, 16 novembre 2016

Intrusion numérique, vols de données et coresponsabilité

A l’ère de la dématérialisation, toute donnée est une source d’information plus ou moins qualifiée. Selon son utilisateur, elle contient nombre de renseignements, commerciaux, économiques, fiscaux, …

 

C’est pourquoi, les tribunaux ont infléchi au fil du temps, notamment à l’appui des faisceaux de décisions dont nous avons été artisan (et des formations dispensées à l’ENM), leur position auparavant très académique pour admettre le vol de données, tandis que le législateur a récemment intégré sous l’article 323-3 du Code pénal (loi Godfrain), leur extraction pénalement répréhensible.

 

Sur la base de ce texte, un anonymous a été condamné pour :

  1. avoir accédé frauduleusement au serveur des systèmes d’information d’EDF,
  2. avoir procédé à une attaque par déni de service,
  3. et avoir appelé des internautes à agir de la sorte.

 

TGI Paris, 13e ch. Corr., 28 septembre 2016

 

La loge maçonnique du Grand Orient de France (GODF) en a également fait les frais, mettant en évidence les failles du fichier des frères http://blogs.lexpress.fr/lumiere-franc-macon/2016/11/21/godf-le-mystere-des-fichiers-voles-salourdit/

 

Compte tenu de cette prise de conscience et limiter les sanctions pour des motifs d’intérêt général, les exceptions au principe sont apparues. C’est dans cet esprit que la Loi pour la République Numérique a intégré une reconnaissance des lanceurs d’alerte qui voient leur action d’intrusion numérique être partiellement légitimée par la loi. Cette disposition a été adoptée en regard de l’arrêt du 20 mai 2015 aux termes duquel un blogueur avait été condamné pour pénétration illicite dans le système d’information de l’ANSES http://demaisonrouge-avocat.com/2015/06/15/le-vol-de-donnees-immaterielles-reconsacre-par-la-cour-de-cassation/

Cette dérogation a été intégrée, avec certaines restrictions cependant, sous l’article L 2321-4 du Code de la défense :

https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=63C53714D327C0CE913C9911BE3F8481.tpdila20v_3?idArticle=LEGIARTI000033206854&cidTexte=LEGITEXT000006071307&dateTexte=20161206

 

A noter que la mise à disposition publique d’un réseau WI FI non sécurisé (absence de mot de passe d’accès), par un opérateur économique, ayant servi à réaliser une infraction (en l’occurrence une violation de droits d’auteur), peut engager la responsabilité du commerçant.

 

CJUE, 15 septembre 2016, Aff. C 484/14

 

Un tel « rappel à la loi » n’est pas sans générer quelques inquiétudes pour les hébergeurs de données, notamment, eu égard à l’application du nouveau règlement général sur les données personnelles, qui sera applicable le 25 mai 2018 http://www.lemonde.fr/economie/article/2016/09/27/en-europe-les-hebergeurs-de-donnees-a-l-offensive_5003970_3234.html

La cybersécurité au rapport

Dans son rapport annuel pour 2015, l’ANSSI (agence nationale de a sécurité des systèmes d’information) a fait état pour la première fois publiquement de ses activités et recensé les atteintes dont les systèmes d’informations ont été victimes en France. Il ressort que plus de 4 000 signalements ont été enregistrés sur la période (en hausse de 50%), 2 300 codes malveillants constatés et une vingtaine d’attaques majeures relevant majoritairement de l’espionnage économique http://www.ssi.gouv.fr/administration/actualite/rapport-dactivite-de-lanssi-2015-une-annee-charniere-pour-la-concretisation-des-actions-engagees/

 

L’agence rappelle également sa mission essentielle auprès des OIV (opérateurs d’importance vitale, prévus par la loi de programmation militaire), lesquels sont tenus d’assurer un niveau optimum de sécurité, avec le soutien et les conseils des 460 agents de l’ANSSI (600 prévus en 2018) https://www.lenouveleconomiste.fr/lesdossiers/cybersecurite-la-protection-imposee-des-oiv-32155/

 

De notre côté, nous avons participé au lancement opérationnel de la Fédération Européenne des Experts en Cyber Sécurité le 23 septembre 2016 : http://efcse.eu/news.php?l=fr-fr

La cyber-sécurité, une nécessité vitale pour la Nation

En dépit des avancées technologiques manifestes, il est patent que tout système d’information demeure plus ou moins vulnérable. Toute forteresse, même digitale, n’est jamais inexpugnable.

 

La cyber-sécurité est donc plus que jamais une préoccupation des pouvoirs publics, même si l’époque soumise à la terreur meurtrière veut que la sécurité des biens et des personnes demeure privilégiée par rapport à la protection des informations.

 

A noter, l’adoption de la Directive UE 2016/1148 du 6 juillet 2016 adoptant un mode référentiel de sécurité des réseaux et systèmes d’informations http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.FRA&toc=OJ:L:2016:194:TOC

 

Dans le même esprit, en application de la Loi de programmation militaire (LPM), une première série d’arrêtés a été rendus en vue de déterminer les Opérateurs d’Importance Vitale (OIV), lesquels doivent se soumettre désormais à des règles de sécurité informatique drastiques. Le but recherché, avec le concours de l’ANSSI, est de protéger les sites et davantage encore les activités sensibles du potentiel économique et scientifique de la France en cas d’atteinte extérieure (voire intérieure au vu les temps actuels) et plus précisément assurer le bon fonctionnement des services essentiels en cas de crise http://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/

 

La règlementation adoptée le 1er juillet 2016 identifie 250 métiers susceptibles de répondre aux critères d’exigence retenus, en matière notamment de santé, eau, énergie et alimentation.

Florilège de décisions sur la surveillance électronique

Compte tenu des moyens techniques qui peuvent être déployés, il n’est pas rare de voir des autorités supérieures vouloir en user pour contrôler les comportements d’individus. Nous avons déjà maintes fois abordé la question, raison pour laquelle nous nous dispensons de devoir rappeler les règles principales http://www.cairn.info/revue-securite-et-strategie-2015-2-page-12.htm

 

Il convient essentiellement de garder à l’esprit que tout contrôle intrusif constitue une violation de la vie privée, à moins d’être strictement encadré et/ou préalablement autorisé.

 

C’est ainsi, en matière d’état d’urgence, prorogé par la loi n°2016-987 du 21 juillet 2016, qu’il a été autorisé, en matière antiterroriste, à procéder au recueil en temps réel, auprès des opérateurs téléphoniques, aux données de connexion d’un individu. Mise en œuvre, une telle procédure a été validée par le Conseil d’Etat, statuant en référé, le 5 août 2016, estimant « que la procédure de saisie avait été régulièrement menée », le téléphone portable saisi étant « susceptible de contenir des données relatives à une menace pour la sécurité et l’ordre publics ».

 

 

En revanche, ce que le juge administratif autorise en matière d’ordre public, ne vaut pas en droit social, là où un employeur avait fait surveiller un de ses salariés par un agent de recherche privé (ARP – détective privé) en vue de contrôler ses agissements. Le procédé n’ayant pas été porté préalablement à la connaissance du salarié, toute preuve issue de ce moyen devait être écartée (Cass. Civ 2ème, 17 mars 2016, n°15.11412).

 

En application de cette même règle, si le dispositif est antérieurement connu des salariés, un système de géocontrôle au site d’un site de production n’est alors pas interdit, sous réserve que cette surveillance ne soit pas permanente et que le but poursuivi soit légitime et pas seulement pour sanctionner les comportements constatés http://business.lesechos.fr/directions-ressources-humaines/ressources-humaines/harcelement-au-travail/021898731668-la-geolocalisation-intra-muros-des-salaries-n-est-pas-interdite-210221.php?google_editors_picks=true

 

De même en est-il pour l’installation de logiciels de criblage (destinés à contrôler les messageries des salariés, et à pouvoir identifier des messages réputés sensibles aux moyens de mots-clefs préenregistrés qui génèrent un scan du message et une alerte), lesquels peuvent être utilisés à condition d’avoir été signalés aux salariés de l’entreprise, d’une part, et à la CNIL, d’autre part https://fr.finance.yahoo.com/actualites/employeur-surveille-mails-professionnels-100940462.html

 

Rappelons enfin combien toute communication électronique devient une source appréciable d’information. C’est ce qu’a démontré une étude réalisée par des chercheurs américains sur des métadonnées où, sans accéder au message lui-même, la simple connaissance de ses interlocuteurs, de la durée de conversation, de la concentration des appels sur une période donnée, … la déduction suffit à violer la vie privée des utilisateurs http://www.lemonde.fr/pixels/article/2016/05/18/les-metadonnees-telephoniques-revelent-des-informations-tres-privees_4921532_4408996.html