Sécurité numérique et cyberisques : notre dernier ouvrage

Nous profitons de la promulgation de l’arrêté du 14 septembre 2018 instituant les règles de sécurité des OSE et FSN, en application de la transposition de la directive NIS du 7 juillet 2016 (loi du 26 février 2018) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012&dateTexte=&categorieLien=id et du mois européen de la cybersécurité pour vous annoncer la sortie de note dernier ouvrage (à jour du RGPD, secret des affaires, NIS, …) :

 

https://livre.fnac.com/a11774204/Olivier-de-Maison-Rouge-Les-cyberisques

 

Sommaire :

 

Introduction : Wargames ou le risque dans le cyberespace

 

Chapitre 1 : La gestion juridique des cyberisques structurels

Section 1 : Les acteurs et régulateurs du numérique

Section 2 : La protection des systèmes d’information, des réseaux et des services de communication électronique

 

Chapitre 2 : La gestion juridique des cyberisques informationnels

Section 1 : La protection des données

Section 2 : Le contrôle des usages numériques en entreprise

 

Chapitre 3 : La riposte judiciaire aux cyberatteintes

Section 1 : Les sanctions de l’expression électronique

Section 2 : La répression des atteintes informatiques

 

Conclusion sur les cyberisques émergents : Intelligence artificielle et cyberesponsabilité du robot en questions

 

 

Cybersécurité & cyberdéfense, l’Europe se vaubanise (ou se vassalise ?)

En application de la Directive UE Network and Information Security (NIS) du 6 juillet 2016, transposée par la loi 2108-133 du 26 février 2018, https://www.legifrance.gouv.fr/eli/loi/2018/2/26/INTX1728622L/jo/texte/ le décret du 23 mai 2018 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036939971 a été publié, désignant les opérateurs de services essentiels (OSE) et fournisseurs de service numérique (FSN) visés par les mesures impératives de cybersécurité, sous l’égide de l’ANSSI.

 

Nous avons largement abordé ce sujet avec notre amie Myriam QUEMENER, au cours du cyber day qui s’est déroulé le 6 juin dernier https://www.cyber-day.info/ à l’Ecole de guerre économique (EGE). Ce fut l’occasion de rappeler les préceptes permanents de la guerre tel qu’enseignés notamment par l’ingénieur, philosophe et maréchal VAUBAN dans l’édification de la ceinture de fer, premier ouvrage militaire de résilience destiné à concentrer les forces de l’ennemi, de reconstituer celles de l’assaillant pour mieux riposter. Cela n’est pas sans rappeler les plans de continuité d’activité (PCA) en mode dégradé ou de reprise d’activité (PRA). L’attaque et la défense obéissent à des lois universelles quels que soient les moyens employés.

 

En parallèle, l’UE cherche a développer sa doctrine de cyberdéfense, consciente des cyberconflits à l’œuvre dans le cyber espace. Si l’ENISA doit être renforcée (et renouvelée car son mandat court jusqu’en 2020) il convient de réfléchir en matière d’autonomie et liberté stratégiques, y compris sur le plan industriel. C’est le propos que nous avons tenu devant la commission défense de l’Assemblée nationale qui nous a auditionné le 16 mai 2018.

D’aucuns pensent cependant que cette force de cyberdéfense, dont la France s’est dotée et a déjà une expérience avérée, soit placée auprès de l’OTAN http://www.europarl.europa.eu/news/fr/press-room/20180607IPR05242/pour-une-cyberdefense-europeenne-robuste-et-des-liens-plus-etroits-avec-l-otan on se croirait revenu au dilemme gaullien, si ce n’est que depuis lors le rideau de fer est tombé, ce n’est visiblement pas le cas du mur de l’ouest pour reprendre l’expression d’Hervé JUVIN.

Cybersécurité et souveraineté numérique

Tandis que nous serons prochainement auditionné par l’Assemblée nationale en matière de cyberdéfense, comme annoncé, nous nous félicitons de la transposition de la directive NIS, par la loi du 26 février 2018 https://www.legifrance.gouv.fr/eli/loi/2018/2/26/INTX1728622L/jo/texte qui crée le statut d’Opérateur de Services Essentiels (OSE), d’une part, et de Fournisseur de service numérique (FSN) d’autre part. Ce faisant, en complément des OIV préexistants https://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/ la France intègre la protection des infrastructures numériques sensibles selon un cadre strict et robuste.

 

Ceci devrait davantage inspirer la Caisse nationale d’assurance maladie qui vient de se voir mise en demeure par la CNIL ayant constaté que les données des assurés n’étaient pas suffisamment sécurisées http://www.ticsante.com/la-Cnil-met-en-demeure-la-Cnam-pour-une-securisation-insuffisante-du-Sniiram-NS_3950.html

 

Nous reviendrons plus largement sur cette nouvelle règlementation tendant à la cyberésilience lors du prochain évènement cyber day https://www.cyber-day.info/ qui se tiendra le 6 juin 2018 à l’Ecole de guerre économique (EGE).

 

A noter également dans ce sens la récente proposition de résolution européenne déposée au Sénat pour une cybersécurité robuste https://www.senat.fr/dossier-legislatif/ppr17-455.html

 

De même, il convient de prendre connaissance de la revue stratégique de cyberdéfense du SGDSN qui apporte un éclairage complet sur les besoins en la matière http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf

 

 

Sans toutefois oublier que le facteur humain demeure un élément déterminant dans l’approche de la sécurité numérique : https://www.lesechos.fr/idees-debats/cercle/cercle-179090-lhumain-doit-etre-lelement-central-dune-politique-de-cybersecurite-2153654.php