Alain Bensoussan est intervenu au colloque sur l’avenir des ESSD en France, organisé par le Conseil supérieur de la formation et de la recherche stratégiques (CSFRS), dirigé par Alain Bauer, en partenariat avec le Club des directeurs de sécurité des entreprises (CDSE) présidé par Alain Juillet, qui s’est tenu à l’Ecole militaire, le 28 mai 2013. S’intéressant aux perspectives juridiques, Alain Bensoussan a tracé les grandes lignes des modifications pouvant être envisagées afin de faire évoluer le secteur des ESSD.

L’enjeu, c’est un marché économique stratégique. Le défi c’est l’acceptabilité sociale, on ne peut pas externaliser la souveraineté. L’actualité, c’est la multiplication des zones de conflit sans guerre au sens du droit de la guerre. Le contexte international et géostratégique actuel est en effet caractérisé par la multiplication des crises régionales et des théâtres d’opérations à intérêts stratégiques. Comme il n’y a pas de guerre, il ne peut y avoir de militaires. Ce qui explique le recours croissant à des entreprises de services de sécurité et de défense (ESSD), qualifiées indûment par certains de mercenaires ou de corsaires, termes à bannir parce qu’étant inappropriés.

La situation légale est paradoxale et se situe à la fois dans le vide juridique mais aussi dans le trop plein. Il faut faire évoluer certains éléments de langage. La sécurité ressort de la souveraineté, il est donc nécessaire de recourir aux concepts de protection et de tranquillité, appartenant eux, au domaine du marché privé.

Il faut aussi faire évoluer la situation légale contraignante relative à l’acquisition, au stockage et au transport d’armes, de munitions et d’équipements de sécurité. L’enjeu important c’est évidement le transport et la détention des armes. Il est possible de modifier les textes en matière d’armes, pour un objectif défensif et non offensif. Par ce biais-là, en créant une norme, un label, des certificats et des contrats, la norme du marché sera l’avenir de la loi future.

Voir les actes du Colloque du 28-5-2013.

Politique de sécurité, urgence – Chaque année, l’éditeur de logiciels anti-virus Symantec dresse un aperçu des menaces observées au niveau mondial dans un rapport intitulé « Internet Security Threat Report » (ISTR).

Selon le 18ème rapport paru en avril 2013, le nombre d’attaques ciblées a augmenté de 42 % dans le monde entre 2011 et 2012. Entre cyber espionnage, logiciels malveillants, phishing, rançongiciels, maliciels sur mobile et sites web malveillants, les menaces ne cessent de s’accroître.

Les PME représentent le chemin d’accès le moins résistant – Si la France se classe au 16ème rang mondial des pays les plus actifs en matière de cybercriminalité, elle est aussi placée parmi les pays les plus vulnérables aux attaques ciblant les réseaux. Elle occupe le 10ème rang au niveau mondial et le 5ème au niveau européen. En revanche, on note un fort recul du spam, puisque la France se place 42ème dans le monde et 17ème en Europe dans ce domaine.

Aucune taille d’organisation n’est épargnée, les sous-traitants offrant souvent des portes d’entrées aisées vers de plus grosses entreprises en utilisant la technique du « watering hole » (trou d’eau ou abreuvoir).

Il s’agit d’une technique d’attaque consistant pour les hackers, à identifier les hobbies des cadres ou grands patrons de société, puis à les attendre patiemment sur un site référent en la matière que l’on a compromis pour les infecter lorsqu’ils s’y rendent.

En 2012, 50 % des attaques ciblées ont visé des entreprises de moins de 2500 salariés. 31 % des attaques ont concerné des entreprises de moins de 250 salariés, une multiplication par 3 par rapport à 2011.

Le niveau de sophistication des attaques va de pair avec la complexité croissante des infrastructures informatiques actuelles, tels que la virtualisation, la mobilité et le cloud computing. Il faut donc avoir une politique de sécurité pro-active.

Actualiser sa politique de sécurité contre les menaces informatiques – L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie régulièrement de précieux outils pour avoir une politique de sécurité opérationnelle. Elle met continuellement en garde les entreprises contre toutes les menaces pesant sur les sites : défigurations, dénis de service, clés USB piégées ou scénarios d’attaques plus insidieux permettant de se servir d’un site comme une porte d’entrée vers le système d’information.

L’Agence a émis des recommandations en avril 2013 rappelant que la protection passe à la fois par des mesures préventives et par des mécanismes permettant de détecter les tentatives d’attaques (1).

De même, l’ANSSI a émis des recommandations en mai 2013 sur les risques liés à l’usage de plus en plus répandu des « ordiphones » (smartphones) ou des tablettes en environnement professionnel.

Ces terminaux qui disposent de nombreuses fonctionnalités rendent possible la connexion à un réseau d’entreprise pour travailler sur des applications métier ou accéder à des documents professionnels. Or les solutions de sécurisation actuelles sont peu efficaces pour assurer une protection correcte des données professionnelles (2).

Enfin, l’ANSSI a publié en janvier 2013, la version finalisée du guide d’hygiène informatique à destination des entreprises (3). Ce document présente 40 recommandations simples pour sécuriser leur(s) système(s) d’information.

Enfin, parce qu’une politique de sécurité ne peut garantir contre toutes les menaces informatiques, l’assurance peut intervenir quand la sécurité n’a pas suffit… Lire à ce propos, l’interview de Nicolas Hélénon, Directeur Associé, NeoTech Assurances sur l’assurabilité des Cyber-risques.

Un petit-déjeuner est organisé au cabinet le 19 juin 2013 pour analyser les nouveaux risques TIC et leur assurabilité.

Jean-François Forgeron
Isabelle Pottier
Lexing Droit Informatique

(1) Recommandations ANSSI n° DAT-NT-009/ANSSI/SDE/NP du 22-4-2013.
(2) Recommandations ANSSI n° DAT-NT-010/ANSSI/SDE/NP du 15-5-2013.
(3) Guide d’hygiène informatique, ANSSI Version 1.0, Janvier 2013.

Entreprises de services de sécurité et de défense – Alain Bensoussan est intervenu au colloque organisé par le Conseil supérieur de la formation et de la recherche stratégiques (CSFRS), dirigé par Alain Bauer, en partenariat avec le Club des directeurs de sécurité des entreprises (CDSE) présidé par Alain Juillet, qui s’est tenu à l’Ecole militaire, le 28 mai 2013.

Ce colloque intitulé « Les entreprises de services de sécurité et de défense : Quels développements pour la France après le rapport parlementaire Ménard-Viollet 2012 ? » avait pour objet de cerner les voies juridiques susceptibles de favoriser l’émergence d’un secteur national des entreprises de services de sécurité et de défense (ESSD).

Pour Alain Bensoussan interviewé par Nathalie Guibert (1), il faut encourager les ESSD à avancer sans attendre. « La loi de 2003 est une loi marketing, vous pouvez avancer », plaide Me Bensoussan. « Un opérateur qui détiendrait des armes dans des conditions éthiquement et économiquement défendables, c’est possible », assure-t-il.

Rappelons que la loi de 2003 sur le mercenariat oblige les entreprises nationales à faire appel à des sociétés militaires privées étrangères pour protéger leurs intérêts dans les pays à risques. Cette même loi interdit de faire travailler des sociétés de sécurité et des assurances françaises. Pourtant les entreprises de services de sécurité et de défense (ESSD) sont devenues des acteurs incontournables de la sécurité internationale.

Le sujet est des plus sensible. Il a fait l’objet d’un rapport parlementaire en février 2012 (2) qui prône de légiférer pour définir clairement un ensemble d’activités autorisées par la loi.

De son côté, le gouvernement a présenté le 29 avril dernier, le Livre blanc de la défense et de la sécurité nationales dans lequel il fixe les orientations stratégiques des quinze prochaines années qui serviront de socle à la future loi de programmation militaire (2014-2019). Si le sort des ESSD n’y est pas évoqué, il est toutefois mentionné à propos de l’intensité de certaines menaces et risques (en particulier, l’ampleur des actes de piraterie au large de la Somalie), que « pour répondre aux besoins de la sécurité du transport maritime, et lorsqu’il n’est pas possible de recourir aux équipes de protection de la marine nationale, des solutions appropriées seront étudiées » (3).

(1) Alain Bensoussan pour Le Monde du 30 05 2013.
(2) Rapport d’informatique présenté par les Députés Christian Ménard et Jean-Claude Viollet, enregistré à la Présidence de l’Assemblée nationale le 14 février 2012.
(3) Livre Blanc 2013 Défense et sécurité nationale 2013, p. 78.

Le 7 février 2013, la Commission européenne a publié la stratégie de l’Union européenne en matière sécurité des réseaux. En même temps que la stratégie de cybersécurité (1), elle publie une proposition de directive concernant la sécurité des réseaux et des systèmes d’information (2).

La proposition de directive vise à assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne, en demandant aux Etats :

• d’adopter une stratégie nationale de sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques et les mesures politiques et réglementaires concrètes visant à parvenir à un niveau élevé de sécurité des réseaux et des systèmes d’information à maintenir, et comportant un plan national de coopération en matière de SRI ;
• de désigner une autorité nationale compétente en matière de sécurité des réseaux et et des systèmes d’information, qui aura un pouvoir de contrôle de l’application de la directive, un pouvoir d’enquête et le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché, mais également la centralisation de l’ensemble des incidents au sein des administrations publiques et des acteurs du marché ;
• de mettre en place une équipe d’intervention en cas d’urgence informatique chargée de la gestion des incidents et des risques selon un processus bien défini et placée sous la surveillance de l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information.

La proposition de directive prévoit également la mise en place d’un réseau de coopération pour la lutte contre les risques et incidents touchant les réseaux et les systèmes d’information entre l’ensemble des autorités nationales compétentes en matière de sécurité des réseaux et des systèmes d’information. La proposition de directive précise l’organisation de ce réseau de coopération en préconisant :

• le recours à un système sécurisé d’échange d’informations ;
• l’établissement d’un mécanisme d’alerte rapide pour les risques et incidents ;
• la mise en place d’interventions coordonnées.

Par ailleurs, la proposition de directive prévoit la faculté de la Commission, d’une part, d’adopter, au moyen d’actes d’exécution, un plan de coopération de l’Union Européenne en matière de sécurité des réseaux et des systèmes d’information et, d’autre part, de conclure avec des pays tiers ou des organisations internationales des coopérations internationales.

De plus, les Etats devront veiller à ce que les administrations publiques et les acteurs du marché fournissant des services au sein de l’Union Européenne, prennent les mesures de sécurité nécessaires et notifient les incidents à l’autorité nationale compétente en matière de sécurité des réseaux et des systèmes d’information.

Afin de veiller à l’harmonisation des politiques de sécurité des réseaux et des systèmes d’information étatiques, les Etats membres doivent encourager l’utilisation des normes recommandées par actes d’exécution par la Commission. La proposition de directive prévoit également la mise en place par les Etats membres de sanctions effectives, proportionnées et dissuasives. Enfin, elle prévoit un délai de transposition de la directive d’un an et demi à compter de l’adoption de cette dernière.

(1) Commission européenne, Communication du 7-2-2013 (EN)
(2) Proposition de directive COM(2013) 48 final du 7-2-2013

Céline Avignon
Anaïs Gimbert
Lexing Droit Marketing électronique

Une communication relative à la protection et à la sécurité des système d’information a été présentée en Conseil des ministres le 25 mai 2011. Elle a pour objet de présenter l’ensemble des mesures permettant le renforcement du dispositif français de défense et de sécurité des systèmes d’information. Les principales mesures sont les suivantes :

renforcer les capacités opérationnelles d’intervention de l’état ;

augmenter le niveau de sécurité des systèmes d’information de l’Etat ;

promouvoir la cybersécurité dans l’enseignement supérieur et la recherche ;

améliorer la sécurité des infrastructures vitales.

Communication du 25-5-2011

Le ministère de l’Économie, des Finances et de l’Industrie a été victime d’une attaque d’espionnage informatique sans précédent. Les pirates informatiques ont envoyé, à partir d’une adresse mél piratée, des pièces jointes qui, une fois ouvertes, permettent l’installation d’un cheval de Troie. Ils ont ainsi pu prendre le contrôle de 150 ordinateurs des services centraux du ministère de décembre à février et ont pu passer des ordres pour exfiltrer les données choisies. Les ordinateurs visés ne comprenaient aucune donnée personnelle de contribuables. Les pirates se sont emparés de dossiers sensibles concernant le G20, qui regroupe les principaux pays développés et émergeants de la planète. Le ministre du Budget, Monsieur François Baroin, a annoncé avoir porté plainte contre X.

ANSSI, Communiqué du 8 mars 2011

Expertises judiciaires ICE et Audit

Sécurité des systèmes d’information

Le «full disclosure» une pratique désormais prohibée ?

Publier les moyens d’exploiter la vulnérabilité d’un système informatique peut constituer un délit. C’est ce qu’un expert en informatique, spécialisé en sécurité, a appris à ses dépends. Sous couvert d’informer et de sensibiliser le public à la sécurité informatique, il avait diffusé, sur le portail internet de sa société de conseil en sécurité informatique, des informations précises et accessibles à tous, relatives à l’existence et aux moyens d’exploiter plusieurs failles de sécurité dans un format d’image numérique fourni par Microsoft, ce avant la publication officielle des patchs correctifs. Le gérant de la société avait parallèlement informé par mail la société Microsoft de sa découverte, qui l’en avait remercié en retour. Poursuivi par Microsoft, qui estimait que le gérant n’aurait pas dû publier sur son site les scripts permettant de contourner son système avant qu’elle ne publie les correctifs, ce dernier a été condamné. La Cour de cassation a confirmé la condamnation à une peine d’amende de 1000 euros prononcée par la cour d’appel. Cette dernière l’avait jugé coupable de l’infraction incriminée par l’article 323-3-1 du Code pénal, à savoir mise à disposition sans motif légitime de programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé de données.

Il y a une grande différence entre faire état de l’existence d’une vulnérabilité (full disclosure) et délivrer les moyens techniques et la procédure à suivre en vue d’exploiter cette vulnérabilité (publication d’un «exploit»). Dans cette affaire, le gérant n’avait pas seulement publié l’existence de la faille dans le système de traitement automatisé de données (STAD), mais les moyens techniques de l’exploiter, faisant ainsi courir le risque qu’un « public malveillant » utilise les moyens ainsi diffusés à des fins de piratage d’un STAD, ce risque ne pouvant d’ailleurs pas être méconnu du gérant « du fait de son expertise ». Ainsi, il apparaît que ce n’est pas la publication de la révélation de la faille de sécurité qui est visée par la condamnation de la Cour, mais bien la diffusion accessible à tous de l’exploit y étant associé. Il en résulte qu’il semble autorisé d’informer les utilisateurs sur les failles de sécurité et ainsi de diffuser des informations sur l’existence d’une vulnérabilité, la simple publication d’une vulnérabilité ne constituant pas un délit. L’article 323-3-1 du Code pénal vise, sans les nommer, la détention et/ou l’utilisation de virus informatiques, et a vocation à englober de façon plus large les programmes visant à exploiter les failles informatiques, comme c’est le cas en l’espèce. Il faut espérer que cet arrêt ne condamne pas définitivement les travaux de recherche, dans la mesure où la publication d’une vulnérabilité par un tiers constitue également un moyen de contraindre l’éditeur du programme défaillant à résoudre le problème, ce qui est bénéfique pour l’ensemble des utilisateurs.

Cass. crim. 27-10-2009 n° 09-82346

Paru dans la JTIT n°97/2010(Mise en ligne Février 2010)

Autres brèves

 

• Le management de la sécurité des SI enfin normalisé par l’AFNOR !

 

 

(Mise en ligne Décembre 2007)

• Bientôt une norme NF sur les systèmes de management de la sécurité informatique…

 

 

(Mise en ligne Juillet 2007)

• Respecter l’état de l’art en matière de sécurité des systèmes d’information

 

 

(Mise en ligne Mars 2006)

Constructeurs ITE – Règlementation

Cryptologie : contenu des dossiers de déclaration et d’autorisation

L’arrêté du 25 mai 2007 pris en application du décret du 2 mai 2007 vient préciser les caractéristiques techniques qui peuvent être demandées par la Direction centrale de la sécurité des systèmes d’information (DCSSI), dans le cas d’une déclaration ou d’une demande d’autorisation d’opérations relatives à des moyens et des prestations de cryptologie. Les six arrêtés issus du régime antérieur sont abrogés. Les formulaires de déclaration préalable (DM et DP) et de demande d’autorisation (AM) dont les modèles sont annexés à l’arrêté, sont à adresser en trois exemplaires au secrétariat général de la défense nationale, direction centrale de la sécurité des systèmes d’information.

Arrêté du 25 mai 2007

(Mise en ligne Mai 2007)

Sécurité des systèmes d’information

Sinistralité

Aspects juridiques de la sécurité informatique : le rapport Clusif 2008

Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité.

Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services.

Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres.

Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque.

Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données.

Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales.

La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur.

L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées.

Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information.

Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière.

De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu.

Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information.

Rapport 2008 du Clusif disponible sur www.clusif.asso.fr

(Mise en ligne Septembre 2008)