La sécurité des objets connectés : faites le point

sécurité des objets connectésLe cabinet organise le 14 novembre 2018 un petit-déjeuner débat sur la sécurité des objets connectés, animé par Frédéric  Forster et Nathalie Plouviet.

La sécurité des objets connectés : un enjeu majeur

Les objets connectés continuent inexorablement leur développement et irriguent non seulement les activités personnelles mais aussi les activités professionnelles, au point que les réseaux de télécommunication mobile de future génération (« 5G ») ont été conçus pour faire face aux nouveaux usages qu’ils promettent et qu’ils permettent déjà.

Dans ce contexte, le respect des impératifs de sécurité devient naturellement incontournable, qu’il s’agisse de la sécurité des accès physiques à ces objets, mais aussi de leur sécurité d’accès logique qui, si elle n’est pas – ou mal – prise en compte peut contaminer l’ensemble de l’écosystème technique auquel ils sont connectés.

En créant de nouveaux usages, ces objets révolutionnent la vie quotidienne y compris au sein de l’entreprise, rendant plus prégnantes les questions de sécurité.

A ce jour, le travail normatif peine quelque peu à faire émerger un référentiel commun et universel. En revanche, la législation contient déjà un certain nombre de pistes de résolution de ces problématiques sécuritaires, notamment au travers des dispositions du RGPD en application depuis le 25 mai. Ces objets servent en effet de source dans le processus de la collecte d’information.

Ce petit déjeuner sera donc l’occasion de faire le point sur ces questions et notamment sur les dernières nouveautés dans le domaine des normes et réglementations techniques et sur les impacts du RGPD et la loi Informatique et libertés française du 20 juin 2018 dans le domaine de la sécurité des objets connectés.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Cyberattaques : s’assurer est-elle la meilleure solution ?

Cyberattaques : s'assurer est-elle la meilleure solution ?Alain Bensoussan est interrogé par Challenges sur l’opportunité de s’assurer contre les cyberattaques.

« Cyberattaques : pourquoi s’assurer n’est pas la meilleure solution », c’est un titre assez provocateur qu’a choisi le site d’information Challenges.fr pour traiter des risques de cybercriminalité. Alain Bensoussan répond aux questions d’Astrid Landon sur la problématique assurantielle face au caractère exponentiel des cyberattaques.

Les questions que se posent les entreprises sont tout-à-fait légitimes. Va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus s’assurer contre les cyberattaques ? L’assurance est-elle vraiment nécessaire lorsqu’une cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?

Les coûts assurantiels sont tels que bon nombre d’entreprises en arrivent à la conclusion que s’assurer n’est pas forcément la meilleure solution.

Sur ces questions, l’Europe accuse un sérieux retard par rapport aux Etats-Unis où la cyber-assurance a vu le jour dès 1998.

Un retard qu’il va bien falloir combler avec l’entrée en application le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). Cette réforme du cadre européen de la protection des données va obliger les professionnels à augmenter leur niveau de cybersécurité.

Alain Bensoussan rappelle qu’en France, la cyberdélinquance est de plus en plus présente.

Les technologies d’attaques sont disponibles en ligne ou sur le dark web. L’article 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à l’article 33, il contraint dorénavant à notifier à la Cnil les failles de sécurité , précise Alain Bensoussan.

S’ils ne suivent pas les nouvelles directives, les grands groupes pourront être condamnés à une amende représentant jusqu’à 4 % de leur chiffre d’affaires ou 20 millions d’euros.
(…)

Isabelle Pottier
Directrice Études et Publications

Interview de Alain Bensoussan par Astrid Landon, « Cyberattaques: pourquoi s’assurer n’est pas la meilleure solution », parue dans Challenges.fr le 23 juillet 2017.




Quels sont les enjeux juridiques de l’Internet des Objets ?

Internet des Objets - J. Bensoussan F. Forster -Master DESMA 2017Le point de vue de Frédéric Forster et Jérémy Bensoussan sur les aspects juridiques de l’ Internet des Objets (IoT). Avocats du cabinet Alain Bensoussan Avocats Lexing, Frédéric Forster, Directeur du pôle Télécoms, et Jérémy Bensoussan, Directeur du département Technologies robotiques, ont été interrogés par les élèves du master Desma de l’IAE de Grenoble sur les aspects juridique de l’IoT.

Les sujets abordés étaient les suivants :

1. Qu’en est-il de l’assurabilité des objets robots ? Où en est-on de la prise en charge par les assureurs des conséquences dommageables des actions des robots ?
2. Comment se prémunir, dans les contrats, contre les collectes ou les utilisations non souhaitées/non autorisées des données à caractère personnel ?
3. En tant qu’acheteur, quelles sont les clauses spécifiques à insérer dans les contrats avec des fabricants d’objets connectés ?
4. On pourrait envisager que, grâce à l’IoT, le crime parfait à distance existe ! Comment déterminer les responsabilités ? quelles sont les protections possibles ?
5. Comment appréhender la gestion de la propriété intellectuelle au travers des contrats conclus avec les éditeurs ou les fabricants d’objets ?

Retrouvez les réponses en vidéo sur notre chaîne Lexing Alain Bensoussan – Avocats à cette adresse.

L’interview a eut lieu en marge d’une conférence organisée par le master DESMA de Grenoble IAE et le Cabinet Alain Bensoussan Avocats le 12 avril 2017.

Eric Bonnet
Directeur du Département Communication juridique




La standardisation et les objets connectés

Sans standardisation, quel avenir pour les objets connectés?Les différents éléments des objets connectés doivent être interopérables, la standardisation est-elle nécessaire ?

Pour pouvoir connecter l’objet, les différents éléments doivent pouvoir se connecter entre eux et garantir une interopérabilité.

Les objets connectés font partie d’un vaste écosystème composé de capteurs, de connexions, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments ou composants doivent pouvoir s’interconnecter, s’intégrer, communiquer tout en étant compatibles et sécurisés dans leur utilisation et leur usage. Cette interconnexion est nécessaire pour leur environnement mais également pour les données qu’ils peuvent recueillir, conserver, stocker ou partager.

L’objet connecté s’intègre dans différents écosystèmes. Ces acteurs interviennent dans différents pays et l’objet peut, par conséquent, être soumis à différentes réglementations, tant au regard de sa fabrication que de sa commercialisation.

Au regard de l’hétérogénéité des objets connectés et des éléments qu’ils peuvent contenir, des réglementations spécifiques interviennent en fonction de la nature de l’objet connecté, de son utilisation, de sa localisation ou de la nature de l’innovation.

Si de nombreuses règlementations existent d’ores et déjà et trouvent à s’appliquer, elles sont amenées à évoluer pour s’adapter à des nouveaux usages ou à la transformation de la nature de l’objet en raison de sa connexion.

Néanmoins, il semble illusoire, au regard de l’emboîtement des règlementations, tant sectorielles que locales, de vouloir créer une règlementation unique des objets connectés.

Dès lors, d’un point de vue purement pragmatique, les fabricants ou les juristes intervenant dans une étude de faisabilité, par exemple, chercheront à légitimer l’objet connecté en utilisant des labels, des normes ou encore des standards.

Par conséquent, on constate ,avec le développement des objets connectés, de nombreuses initiatives de standardisation, généralement issues d’acteurs privés.

Conception : Normes, labels et certifications

Une norme est un référentiel qui précise les caractéristiques spécifiques de services ou de produits. La norme a pour fonction de garantir une qualité constante des produits et services considérés. Elle est régulièrement actualisée ( ). Les normes sont éditées par des organismes de normalisation officiels comme l’AFNOR (au niveau national) ou l’ISO (au niveau international), elles sont d’application volontaire. Certaines ont néanmoins été rendues obligatoires par les pouvoirs publics.

Un label est un signe distinctif, une étiquette ou une marque spéciale créée par un syndicat professionnel ou un organisme parapublic et apposé sur un produit destiné à la vente. Il en certifie l’origine, la qualité et indique que les conditions de fabrication sont en conformité avec les normes préétablies ( ).

Une certification est une activité par laquelle un organisme tierce partie atteste qu’un produit, un système de management de la qualité ou un service, est conforme aux exigences spécifiées dans un référentiel. La certification est réalisée par le biais d’audit ( ) d’un organisme tiers indépendant. La démarche n’est pas obligatoire mais, parce qu’elle s’accompagne d’un logo, elle offre, le plus souvent, une meilleure visibilité aux bonnes pratiques. Au sens strict, une certification s’appuie sur un référentiel qui a été conçu par un organisme certificateur et publié au Journal officiel.

Un label, une norme, ou une certification adapté peuvent apporter un gage de qualité ou de sécurité aux objets connectés. Toutefois, il ne faut pas que cela soit parcellaire.

L’appréciation de ces aspects devra prendre en compte l’objet connecté dans son écosystème, car ces démarches tendent à garantir la qualité de l’objet connecté, sans nécessairement prendre en compte son utilisation par les consommateurs ou sa communication avec d’autres objets.

Utilisation et traçabilité

Sous l’angle de l’utilisation de l’objet connecté, la standardisation permet de mettre en œuvre, de manière indépendante et consensuelle, un langage global, ouvert et interopérable entre les acteurs économiques d’un écosystème.

Elle permet également d’identifier et de tracer l’objet, ce qui, en cas de défaillance dudit objet, permettra plus facilement d’identifier les responsabilités.

Les objets connectés doivent pouvoir communiquer entre eux dans des standards communs. A titre d’exemple, une voiture autonome devra être en mesure de pouvoir communiquer en toute sécurité avec des capteurs installés sur une route ou sur des feux de circulation.

Il est indispensable que les standards de tel ou tel objet connecté puissent reconnaître d’autres standards et ce, pour toutes les différentes couches contenues dans l’objet.

L’harmonisation par des standards communs

L’utilisation et le passage à l’échelle, l’industrialisation d’un objet et sa réussite commerciale, induisent qu’il puisse être utilisé en toute sécurité et qu’il puisse communiquer en dehors de son écosystème.

La création de standards universels pourrait, en conséquence, être une réponse à l’impossibilité pratique de créer un droit de l’Internet des Objets.

Cette standardisation nécessite, néanmoins, que l’indépendance des organismes puisse être garantie et ne pas être issue d’une seule entité privée qui pourrait contrôler indirectement tout ou partie d’objets connectés.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Les normes sont régulièrement actualisées. C’est un principe que l’on trouve dans le Guide des métiers du centre Inffo, Dunod, 2006
(2) Définition Larousse
(3) Norme FD X 50-751




Internet des objets, une normalisation est-elle à espérer ?

Internet des objets, une normalisation à espérer ?La connectivité des objets connectés est dominée par des technologies propriétaire hors de toute normalisation.

Ceci est tout particulièrement le cas pour les connexions réalisées par voie radio, pour lesquelles les connexions utilisent très fréquemment des protocoles propres à chaque fabricant d’objet.

Ainsi, pour un type de connexion radio donné, par exemple par Wi-Fi, il existe quasiment autant de protocoles de transmissions que de fabricants, rendant l’interopérabilité des objets « inter-fabricants » complexe.

Par voie de conséquence, la diffusion de pratiques sécuritaires et de technologies de protection en sont d’autant plus difficiles, par absence de base commune ou, à tout le moins, hétérogénéité des technologies déployées par les industriels.

IoT et interopérabilité

Cette situation a conduit à une estimation étonnante selon laquelle un peu plus de la moitié seulement de la valeur dégagée par les objets connectés serait exploitable, en raison de la trop faible interopérabilité de ceux-ci entre eux et avec leur écosystème d’utilisation.

C’est pourquoi des réflexions sont en cours pour mettre en place une normalisation ayant pour objectif d’améliorer cette interopérabilité, à un niveau qui serait positionné au-dessus des objets eux-mêmes.

Cette interopérabilité serait gérée grâce à des API (Application Programming Interfaces) positionnées sur une plateforme transversale à laquelle les objets se connecteraient indépendamment de la technologie que chacun d’eux utilise.

Plutôt que d’avoir une normalisation des interfaces pour la communauté des objets, l’idée est donc de ne pas gommer les spécificités technologiques de ces derniers mais de les contraindre à se connecter à une plateforme gommant ces hétérogénéités pour réintroduire une couche protocolaire minimale et commune, notamment au plan sécuritaire.

Cette plateforme pourrait également créer un ensemble homogène au plan sémantique, par exemple pour la réutilisation des données générées par les objets connectés en vue de les mettre à disposition d’autres objets connectés ou de les exploiter indépendamment de leur source de production.

Tel est le projet mis en avant par les huit principaux organismes de normalisation dans le secteur des TIC que sont Arib (Japon), Atis (Amérique du Nord), CCSA (Chine), Etsi (Europe), Tia (Amérique du Nord), TSDSI (Inde), TTA (Corée du Sud) et TTC (Japon).

Ce projet, intitulé oneM2M, a pour ambition de fournir un cadre technique commun à l’ensemble des acteurs de l’internet des objets, au moyen d’une norme qui serait reconnue mondialement, tout en cassant la fragmentation des technologies qui est, aujourd’hui, la règle.
Ce projet n’est pas le seul puisque des industriels ont également pris des initiatives de même nature. Citons, par exemple, Qualcomm avec son projet open source ALLJoyn, qui aurait réussi à rassembler une centaine d’industriels comme LG, Sony, Canon ou Microsoft.

IoT et sécurité

Si on se concentre davantage encore sur la sécurité de ces objets connectés, il apparaît que, là encore, force est de constater que les industriels se sont plus penchés sur les applications offertes, leur ergonomie et les usages (réels ou supposés) que sur la sécurité des objets eux-mêmes.

L’actualité sur les piratages de systèmes informatiques ayant utilisé, comme porte d’entrée, tel ou tel objet mal protégé montre que les failles de sécurité sont nombreuses, exploitées, voire privilégiées, par les pirates en raison de la croissance exponentielle des objets connectés et de la non-croissance, tout aussi exponentielle, de leur sécurisation.

Ces objets constituent, à n’en pas douter, le nouveau maillon faible pour la pénétration des réseaux auxquels ils sont raccordés.

Ainsi, l’absence de normalisation induit la possibilité, non seulement que des tiers aient accès à des données, notamment à caractère personnel, qui auraient dû rester protégées et confidentielles, mais aussi que ces données soient détournées des finalités pour lesquelles elles ont été collectées. Elles viennent alors alimenter des bases de données totalement occultes, autorisant dès lors toutes les dérives imaginables.

Selon le Gartner, 80% des objets connectés présentent de telles failles ce qui, à quelques mois de la prise d’effet des dispositions du Règlement européen sur la protection des données personnelles, est évidemment hautement problématique, notamment au regard du niveau d’exigences posé par ce règlement et mis à la charge des responsables de traitement, que des sanctions prévues.

En l’absence de normalisation sur les aspects sécuritaires des objets connectés, la démarche consiste à sécuriser les infrastructures réseaux auxquels ces objets sont raccordés, au moyen, par exemple, d’antivirus, de firewalls, de politiques de mots de passe robustes et de tests réguliers d’intrusion.

Frédéric Forster
Lexing Droit Télécoms




Cloud Expo Europe, les grandes tendances pour 2017

Cloud Expo Europe, les grandes tendances pour 2017

A l’occasion du Cloud Expo Europe, la sécurité, l’IoT et le cloud hybride sont au cœur des tendances pour 2017.

Le Cloud Expo Europe est l’occasion pour tous les professionnels du cloud de tenir salon et présenter au public les dernières innovations. Si, depuis toujours, la protection des données, la confidentialité et la sécurité sont au cœur des préoccupations des utilisateurs du cloud, les réponses des acteurs du cloud évoluent en même temps que les solutions techniques elles-mêmes.

IoT et cloud

L’internet Web 3.0 ou « internet of Things » (IoT) resterait au stade du simple « machine to machine » (M2M) sans les développements importants que lui offre le cloud computing. Le Cloud Expo Europe consacre, sans surprise, une majorité des interventions sur le lien entre le cloud et l’IoT, ce qui confirme la tendance de fond. Au cœur des problématiques traitées, on relève celle de la scabilité des services web face à l’afflux massif de données et aux enjeux de volumétrie du big data. La problématique corollaire est aussi celle des données à caractère personnel, à l’approche de l’entrée en vigueur du règlement européen sur la protection des données (1).

La sécurité joue un rôle central sur les objets connectés en eux-mêmes, comme sur les infrastructures cloud associées (2).

La sécurité dans le cloud

Le Cloud Expo Europe est l’occasion pour les professionnels du droit de faire la démonstration de l’état de l’art en matière de sécurité dans le cloud computing. Un outil se systématise, le plan d’assurance sécurité comprenant un volet plan de reprise d’activité.

La transformation numérique engagée dans de nombreuses entreprises ou administrations a accentué la dépendance de nombreuses activités aux infrastructures informatiques mises en place.

En toute logique, moins un utilisateur a d’emprise sur ses données et système, plus un incident peut s’avérer fatal si le prestataire n’est pas digne de confiance.

La première réponse, apportée par les prestataires du cloud, consiste, par contrat, à s’engager à fournir des systèmes présentant de hauts niveaux de sécurité pour prévenir ce type de défaillance. Certains prestataires vont jusqu’à être certifié (norme ISO 27001 et dérivées) pour pouvoir afficher encore plus clairement le respect de procédures de sécurité.

Mais la prévention ne suffit pas toujours et c’est là qu’un plan de reprise d’activité doit aussi démontrer le niveau d’engagement du prestataire en répondant, par anticipation aux questions les plus sensibles afin de limiter l’impact d’une suspension ou dégradation majeure du service et y remédier dans les meilleurs délais (dump en local, back-up à distance, solutions de contournement, notamment).

La tendance majeure pour 2017 se dégageant du programme du Cloud Expo Europe est de mettre à la portée de tous la formalisation d’un plan de reprise d’activités et non plus des seuls gros utilisateurs.

Le cloud hybride

Proposant une solution intéressante entre cloud public et cloud privé, la définition technique de ce que peut être le cloud hybride peut encore prêter à discussion (3).

Dans un contexte mondialisé, mais aussi pour faire face à une situation de crise économique chronique avec des contraintes budgétaires fortes, la DSI doit pouvoir offrir aux métiers plus d’agilité dans le développement de leurs projets. Une autre grande tendance du Cloud Expo Europe pour l’année à venir est ainsi de mettre en avant la force du cloud hybride. En unifiant les usages des clouds publics et privés, le cloud hybride permet de fédérer les nouveaux outils. Le cloud hybride résultat de cette unification offre beaucoup plus d’opportunités pour les DSI que chacun séparément.

Nota : Eric Le Quellenec interviendra au Cloud Expo Europe (4) les 29 et 30 novembre 2016 Porte de Versailles, programme à suivre.

Eric Le Quellenec
Lexing Droit Informatique

(1) Alain Bensoussan, Post du 21-4-2016.
(2) Eric Le Quelllenec, Post du 1-6-2016.
(3) Eric Le Quelllenec, Post du 21-4-2016.
(4) Site internet de Cloud Expo Europe.




Sécurité et Objets Connectés

Sécurité et Objets ConnectésPetit-déjeuner du 20 mai 2015 « Sécurité et Objets Connectés » – Polyanna Bigle et Nacira Salvan, responsable du pôle architecture sécurité de SAFRAN Aerospace Defense Security, ont animé un petit-déjeuner sur le management de la sécurité des objets connectés.
Avec une prévision de 20 milliards d’objet connectés, l’enjeu des objets connectés est aujourd’hui de créer des outils pour établir une véritable interconnexion ou un dialogue entre ces objets et ainsi dépasser le stade de la simple collection ou accumulation d’objets connectés à internet.

Dans ce cadre, la sécurité va être cruciale pour agréger et analyser l’ensemble des informations produites par les objets connectés. L’utilisateur qui à terme, aura des dizaines d’objets connectés voudra, à partir d’un seul outil, administrer et consulter les données de ses différents objets.

Partant du constat qu’internet n’est pas un lieu « sûr », la sécurité est au cœur de sa mise en place de tout projet. Elle prendra une importance grandissante : attaques ciblées par méls envoyés par des objets connectés, peut-être le vôtre ? hacking d’un système de climatisation à l’origine d’une énorme attaque d’une chaine de supermarchés, etc.

En termes de régulation spécifique, tout est à construire ; en termes de droits liés à la sécurité, les questions se bousculent :

  • Qu’en est-il de la sécurisation :
    – de l’identité des objets connectés ?
    – des données du monde physique récupérées, stockées et transférées ?
    – des transmissions d’ordre d’action, nécessitant des garanties techniques et contractuelles ?
  • Quels sont les moyens de lutte contre une cybercriminalité des objets connectés ?
  • Qui est responsable de quoi ?
  • Qu’apporte le système de contrôle et d’acquisition de données SCADA (Supervisory Control And Data Acquisition) ?
  • Comment lutter contre les failles ?

Ce petit-déjeuner a été l’occasion de faire le point sur ces questions.




La sécurité de l’internet des objets au cœur de son développement

La sécurité de l'internet des objets au cœur de son développementL’internet des objets, c’est « l’objet le plus usuel (pour ne pas dire « bête») qui deviendrait intelligent… l’objet le plus anodin sera alors en mesure de communiquer avec l’environnement qui les entoure ».

La définition retenue par des précurseurs de l’internet des objets (« IdO ») est « un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisées et unifiés, et des dispositifs mobiles sans fil, d’identifier directement et sans ambiguïté des entités numériques et des objets physiques et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s’y rattachant» (1).

L’internet des objets regroupe de manière large les objets reliés entre eux « machine to machine » (« MtoM ») et des objets reliés à des systèmes d’information passant par internet.

Partant du constat qu’internet n’est pas un « lieu » sécurisé, la sécurité de l’IdO est au cœur de sa mise en place et prendra une importance grandissante.

Trois problématiques de sécurité se dégagent déjà dans l’IdO :

  • la sécurisation de l’identité des objets dans IdO ainsi que des données du monde physique récupérées, stockées et transférées ;
  • la sécurisation des transmissions d’ordre d’action, nécessitant des garanties techniques et contractuelles ;
  • les moyens de lutte contre une cybercriminalité des IdO.

Cette ouverture du monde physique des objets à l’internet avec ou sans l’action de la main de l’homme nécessite en effet que les aspects de sécurité technique et juridique soient bien maîtrisés. Les « cybercrimes » vont peut-être changer de mode de déploiement, mais certainement pas d’objectifs : soustraction frauduleuse d’argent ou de biens, usurpation d’identité, abus de confiance et dol, espionnage industriel, etc…

Sécurité de l’identité d’un objet. La sécurisation de l’identité des objets dans l’IdO pourrait sembler purement technique : cadre technique sécurisé avec systèmes d’authentification élevés, moyens de cryptologie, création de fédération d’identité d’objets, etc…

Cependant la sécurité de l’identité d’un objet est aussi juridique. Si tant est qu’un objet dispose d’une « identité » juridique, sans rentrer dans le débat, derrière l’identité d’un objet, c’est l’identité de son « maître » ou plutôt de son « propriétaire » qu’il convient de protéger.

Ainsi le système d’identification de l’objet devra sans doute répondre, dans une mesure adaptée, au cadre légal de la protection des données à caractère personnel sur l’identification, la traçabilité et la surveillance.

L’utilisation des prestataires de services de confiance deviendra un impératif nécessaire, d’autant qu’ils sont soumis à un cadre légal déjà défini. Rappelons qu’au sens de l’Ordonnance du 8 décembre 2005, son rôle consiste à offrir « des services tendant à la mise en oeuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique » (2). La course aux prestataires de services de confiance qualifiés est ainsi ouverte vu les potentiels du marché de l’IdO.

La sécurisation des ordres de transmission. Dans les exemples de la vie quotidienne, l’IdO, c’est le réfrigérateur qui commande au supermarché les denrées alimentaires manquantes selon un contrat conclu entre le supermarché et le propriétaire.

Là encore, outre les aspects de paramétrage technique et de choix d’un réseau sécurisé (réseau privé virtuel) ou internet « world wide web », de choix d’un administrateur externe ou interne, des problématiques de garantie contractuelles émergent.

D’une part les normes et référentiels de sécurité ainsi que les guides des bonnes pratiques de sécurité comme par exemple ceux publiés par l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), vont devenir les références essentielles dans les contrats d’IdO, comme gage de la sécurité

D’autre part, il parait essentiel que les clause de sécurité des contrats d’IdO soient rédigées avec soin, développent les plans de mise en œuvre de la sécurité et de détection des failles et intrusions, etc…, et surtout les garanties associées adéquates pour la protection du consommateur, de sa famille, ou du professionnel qui l’utilise pour son entreprise.

L’IdO ne peut se développer que dans un cadre de confiance fort entre ses acteurs « humains ».

Au niveau contractuel, un des différents contractuels principal qui pourra découler d’un défaut de sécurité, sera la contestation de l’ordre de transmission et donc la preuve de la commande : le propriétaire de l’objet relié à internet contestera l’ordre de transmission et par là même la commande. Les conventions de preuve auront tout leur rôle à jouer.

La lutte contre des « cybercrimes » de l’IdO. Si bien entendu l’arsenal des délits et crimes de droit commun demeurent applicables à l’IdO comme le vol, l’abus de confiance, la contrefaçon, ou même l’atteinte à l’intégrité d’une personne tout en priant pour que le scénario d’IdO tueur ne reste que pure fiction.

En droit de l’informatique, le cadre légal est et semble demeurer celui de la loi dite Godfrain adoptée en 1988 codifiée aux articles 323-1 et suivants du Code pénal réprimant les « atteintes aux systèmes de traitement automatisés de données ». Voici pour mémoire ces textes pérennes :

  • « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende. »
  • « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »
  • « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »

Derrière l’objet, se trouve nécessairement l’homme et la responsabilité qu’il devra supporter. Mais la problématique judiciaire sera là encore la question des preuves et de la traçabilité des cybercriminels qui décideront de s’attaquer aux IdO.

On n’oubliera pas l’existence de l’article 34 bis sur les violations de données à caractère personnels qui aura vocation à s’appliquer à l’IdO et faisant peser des risques pénaux sur les fournisseurs de communication électronique en cas de défaillance de sécurité de leur réseau.

Enfin, si le sport favori des nouveaux cybercriminels est de faire passer un objet relié au réseau par un autre objet, les délits d’usurpation d’identité des articles 226-4-1 et 434-23 du Code pénal pourront servir l’arsenal judiciaire. La problématique sera alors de savoir dans quelle mesure l’identité d’un objet usurpée se considérée comme l’identité de son propriétaire.

En conclusion, l’IdO doit conduire dès maintenant à revoir les questions de sécurité tant au niveau organisationnel, qu’au niveau contractuel, par une « sécurité by design ». Ainsi, les analyses de risques juridico-techniques des solutions proposées en amont et de leurs mises en œuvre en aval sont plus que nécessaires.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information

(1) « L’Internet des objets. Quels enjeux pour l’Europe ? », Ed. Maison des sciences de l’Homme, Paris, 2009 – Françoise MassitFolléa – Pierre-Jean Benghozi et Sylvain Bureau.
(2) Ord. n° 2005-1516 du 8 12 2005.




DSI : les enjeux de l’internet des objets

Internet des objets et DSIDSI – Ils seront bientôt des milliards, ces objets du quotidien connectés aux systèmes d’information des entreprises.

Pour les DSI, le premier des enjeux majeur est naturellement de disposer des technologies qui permettront de traiter les « big data » collectées, et de doter les objets de systèmes embarqués fiables et performants.

Si la gestion de ces technologies est au cœur des compétences de la DSI, leur encadrement juridique ne doit pas être négligé, car il est nécessaire, en particulier du point de vue des responsabilités.

Ainsi, en complément des questions classiques liées à la confidentialité des données personnelles, à la propriété des bases de données ou encore au consentement des utilisateurs, celle de la responsabilité technico-juridique des objets se pose, en particulier quand il s’agira de rédiger et de négocier les contrats relatifs aux technologies concernées. L’hypothèse est simple : c’est celle des dommages causés par les objets et de la réparation du préjudice qui en résulte. Elle est au centre de la gestion des risques de l’entreprise et de sa DSI.

Au plan juridique, le sujet peut être abordé autour des trois axes de réflexion suivants : celui de l’encadrement légal de la responsabilité, des mécanismes contractuels disponibles, et de l’externalisation du risque.

Le premier est caractérisé par la Directive 85/374/CEE qui, depuis le 25 juillet 1985, constitue au niveau européen le cadre juridique de la responsabilité du fait des produits défectueux. Le législateur français l’a adopté de son côté en 1998, au moyen des articles 1386-1 et suivants du Code civil, qui instituent un régime de responsabilité de plein droit des producteurs.

Que l’utilisateur du produit soit lié ou non au producteur par un contrat n’y change rien, c’est un mécanisme de responsabilité sans faute, et qui permet à la victime d’un dommage matériel ou corporel causé par un produit (et bien sur un « objet ») du fait d’un défaut de sécurité d’être indemnisée sans débat sur la portée des engagements du producteur. La mise sur marché des objets intelligents implique donc, du point de vue technique, d’anticiper les risques de dommages susceptibles d’être causés pour tenter de les réduire. Il ne faut cependant pas omettre les recours, du producteur (ou fabricant) de l’objet à l’encontre des fournisseurs des technologies impliquées. Ceci nous amène au second.

Le second axe de réflexion proposé porte sur la notion de responsabilité contractuelle. Sachant que le risque lié à l’objet connecté est bien réel, comment le partager avec ses fournisseurs ? Par un examen attentif du contrat, par exemple en identifiant clairement le fournisseur comme assujetti, pour la part qui le concerne, à la responsabilité du fait des produits défectueux, ou encore en anticipant les garanties techniques qui trouveront à s’appliquer comme la garantie de scalabilité ou de robustesse. L’important pour la DSI est d’anticiper les conditions notamment liées aux volumétries et de ne pas être démuni si l’objet mis sur le marché cause un dommage à son utilisateur du fait d’un composant, tel qu’une application informatique.

Le troisième consiste à transférer le risque à un tiers dont c’est le métier ; un assureur de responsabilité civile. Dans ce domaine, si le principe de la couverture du risque est en principe acquis au moyen des polices de responsabilité civile « après livraison », les difficultés peuvent en revanche porter sur les exclusions. Il faudra donc bien vérifier que l’intelligence des objets ne les rende pas imperméables à l’assurance !

Voici donc, comme toujours lorsque de nouvelles technologies sont mises en œuvre, du travail en plus pour les DSI !

Jean-François Forgeron
Lexing Droit informatique