Impact de la directive et du règlement e-evidence sur les avocats

e-evidence sur les avocats

Virginie Bensoussan-Brulé et Cyrielle Girard-Berthet nous expliquent l’« Impact de la directive et du règlement e-evidence sur les avocats », un article paru dans le numéro 121 de juin 2020 de l’Observateur de Bruxelles (1), consacré au Droit pénal européen.

Le passage à l’ère du numérique a incontestablement entraîné une évolution de la criminalité et des moyens de lutte contre celle-ci.

Les délinquants ont rapidement perçu tout le potentiel des outils numériques. Les nouvelles technologies leur offrent de nouveaux moyens pour commettre des infractions et leur permettent de développer de nouvelles formes de fraudes, notamment informatiques.

Face à ce constat, les services d’enquête, les juridictions pénales, les législateurs français et européens ont dû rapidement mettre en place des contre-mesures efficaces et adaptées. Aujourd’hui près de 85 % des enquêtes pénales font intervenir des données numériques.

Impact de la règlementation e-evidence sur les avocats

Le Conseil européen a souligné la nécessité d’accélérer et de rendre plus efficaces les moyens permettant d’obtenir des preuves numériques (2) et préconise un meilleur accès aux preuves électroniques pour lutter contre la criminalité.

De leur côté, les Etats-Unis ont déjà adopté le « Cloud Act » (3) qui permet aux autorités américaines de requérir des fournisseurs de services ou des hébergeurs les données numériques qu’ils détiennent, même si celles-ci sont stockées à l’étranger, afin de les utiliser dans le cadre d’une procédure pénale.

La règlementation « e-evidence » va établir un cadre juridique stable et uniforme pour la gestion des preuves électroniques au niveau européen, permettant d’aboutir à une harmonisation globale des règles en la matière.

Le règlement e-evidence (4) s’appliquera directement dans tous les États membres, la directive e-evidence (5) nécessitera une transposition en droit interne afin d’harmoniser les règles relatives à la collecte des preuves électroniques en matière pénale dans les différents Etats membres.

Les avocats devront vérifier que les garanties légales dont bénéficient leurs clients ont bien été respectées au cours de la procédure. Mais avec la nouvelle réglementation e-evidence qui posera les bases d’une législation globale en matière de preuves numériques dans les procédures pénales, la procédure pour obtenir des preuves numériques sera considérablement simplifiée et raccourcie.

Virginie Bensoussan-Brulé
Avocat, Lexing Alain Bensoussan Avocats
Lexing Contentieux du numérique
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) L’Observateur de Bruxelles, revue éditée par la Délégation des Barreaux de France, est une revue trimestrielle adressée aux avocats français ainsi qu’à un certain nombre d’institutions françaises et européennes.
(2) Conclusions sur l’amélioration de la justice pénale dans le cyberespace du 9-6-2016.
(3) « Vers l’adoption prochaine d’un Cloud act européen ? », par Éric Le Quellenec, site Alain-Bensoussan.com, 23-08-2018.
(4) Le projet de règlement e-evidence : Proposition de Règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, COM(2018) 225 final – 2018/0108(COD) du 17-4-2018.
(5) Le projet de directive e-evidence : Proposition de Directive du Parlement européen et du Conseil, établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale, COM/2018/226 final – 2018/0107 (COD) du 17-4-2018.




La nouvelle méthode d’analyse de risque EBIOS Risk Manager

EBIOS Risk Manager

L’Anssi a publié en octobre 2018 sa nouvelle méthode d’analyse de risque orientée cyber intitulée EBIOS Risk Manager (1).

Une nouvelle méthode basée sur les retours d’expérience

Cette nouvelle méthodologie, publiée avec le soutien du Club EBIOS, vise à permettre aux dirigeants de mieux appréhender les risques liés aux nouveaux usages numériques.

L’évolution de cette méthodologie, qui se veut agile, prend en compte les différents retours d’expérience des organismes sur la méthodologie EBIOS 2010. Elle intègre notamment les concepts et les normes internationales en vigueur concernant le système de management de la sécurité de l’information.

L’EBIOS Risk Manager repose sur cinq ateliers qui s’inscrivent dans une démarche itérative.

Définition du socle de sécurité

Le premier atelier proposé permet de fixer un périmètre à l’analyse en identifiant les « valeurs métiers » et les biens supports relatifs à ces dernières.

Le premier objectif de cet atelier est d’identifier les événements redoutés associés aux valeurs métiers, ainsi que leurs impacts et leurs gravités.

Le second objectif est de mettre en exergue le socle de sécurité sur la base de référentiels de sécurité qui peuvent s’appliquer à l’objet de l’analyse : par exemple, les règles d’hygiène informatique et bonnes pratiques de sécurité ou les guides de recommandations de l’Anssi, les normes ISO 2700x ou encore les différentes règlementations en vigueur, telles que le RGPD (2), NIS (3), eIDAS (4).

Identification des sources de risques

Le deuxième atelier permet d’évaluer les profils qui pourraient porter atteinte aux missions et aux valeurs métiers de l’organisation. Il s’agit donc principalement d’identifier les sources de risques (organisées ou individuelles) couplées avec leurs objectifs visés. Il s’agit par la suite de sélectionner les couples les plus pertinents en se basant sur la cotation du niveau de motivation, de ressources et d’activité de ces couples.

Définition des scénarios stratégiques

Le troisième atelier a pour objectif d’obtenir une cartographie de l’écosystème pour identifier les parties prenantes les plus vulnérables parmi les partenaires, les prestataires ou les clients. Pour cela, il convient de définir des scénarios stratégiques qui permettent de représenter les chemins d’attaques empruntés par une source de risque pour atteindre son objectif.

Cet atelier permet de définir la cartographie des menaces numériques liées à l’écosystème, ainsi que les parties prenantes critiques, les scénarios stratégiques et les événements redoutés, ainsi que les mesures de sécurité retenues.

Identification des scénarios opérationnels

Le quatrième atelier découle du précédent, afin d’identifier les scénarios opérationnels, en se basant sur les scénarios stratégiques définis précédemment. Ces scénarios opérationnels peuvent se baser sur une multitude de modèles, tel que celui de « cyber kill chain » de Lockheed Martin. La granularité des scénarios opérationnels est à adapter selon la maturité de l’organisation et la profondeur visée par l’analyse de risque. La vraisemblance globale de ces scénarios peut être définie en identifiant la vraisemblance élémentaire de chacune des actions du scénario.

Traitement des risques

En cinquième et dernier lieu, un atelier qui a pour objectif de traiter le risque. De cet atelier, il doit en résulter une cartographie des risques synthétisés, selon leur niveau de vraisemblance et de gravité. Il doit aussi faire ressortir la stratégie de traitement du risque, les mesures de sécurité techniques et organisationnelles à mettre en œuvre et les risques résiduels qui en découlent.

Une méthode qui se veut souple et adaptable

La méthodologie EBIOS Risk Manager est présentée par l’Anssi comme une « boîte à outils » dont les ateliers doivent être adaptés à l’usage désiré.

Ainsi, en plus de permettre de conduire une analyse de risque complète et fine sur un processus ou une activité spécifique de l’organisation, elle permet :

  • d’identifier le socle de sécurité de l’organisation ;
  • d’être en conformité avec les référentiels de sécurité numérique de la Cnil et de l’Anssi ;
  • d’évaluer le niveau de menace de l’écosystème de l’objet de l’analyse ;
  • ou encore d’identifier les axes prioritaires d’amélioration de la sécurité par la réalisation d’une étude préliminaire du risque.

Les différences avec la méthodologie EBIOS 2010

La méthodologie EBIOS Risk Manager apporte des variations terminologiques. Ainsi, les biens essentiels identifiés lors de la réunion d’étude du contexte pour l’EBIOS 2010 deviennent des « valeurs métiers ». Les modules 4 et 5 de l’étude des risques et des mesures de sécurité de l’EBIOS 2010 se retrouvent dans le cinquième atelier sur le traitement des risques. Enfin, on pourra aussi noter que les deux méthodes ne privilégient pas assez l’approche métier dans la démarche d’analyse de risque.

Les divergences se retrouvent essentiellement dans les étapes intermédiaires. On ne considère plus le côté intentionnel des sources de risques : les utilisateurs ou les administrateurs sont alors considérés comme des parties prenantes vulnérables. Par ailleurs, les sources de risques non humaines ne sont plus considérées par la nouvelle méthode.

Le découpage en scénarios stratégiques et opérationnels complexifie la démarche d’analyse mais permet d’offrir une vision globale. Cette approche permet aux dirigeants d’avoir une meilleure compréhension des vulnérabilités de leurs organisations ainsi que des processus.

Une démarche qui reste à éprouver

Si elle se veut plus complète et plus agile, notamment en considérant les transformations rapides liés au numérique, elle semble aussi apporter un niveau de complexité plus important. La méthode EBIOS Risk Manager doit donc désormais être éprouvée par les professionnels de la sécurité des systèmes d’information.

Anthony Coquer
Guillaume Carayon
Lexing Sécurité & Organisation

(1) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.




Cyberattaques : s’assurer est-elle la meilleure solution ?

Cyberattaques : s'assurer est-elle la meilleure solution ?Alain Bensoussan est interrogé par Challenges sur l’opportunité de s’assurer contre les cyberattaques.

« Cyberattaques : pourquoi s’assurer n’est pas la meilleure solution », c’est un titre assez provocateur qu’a choisi le site d’information Challenges.fr pour traiter des risques de cybercriminalité. Alain Bensoussan répond aux questions d’Astrid Landon sur la problématique assurantielle face au caractère exponentiel des cyberattaques.

Les questions que se posent les entreprises sont tout-à-fait légitimes. Va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus s’assurer contre les cyberattaques ? L’assurance est-elle vraiment nécessaire lorsqu’une cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?

Les coûts assurantiels sont tels que bon nombre d’entreprises en arrivent à la conclusion que s’assurer n’est pas forcément la meilleure solution.

Sur ces questions, l’Europe accuse un sérieux retard par rapport aux Etats-Unis où la cyber-assurance a vu le jour dès 1998.

Un retard qu’il va bien falloir combler avec l’entrée en application le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). Cette réforme du cadre européen de la protection des données va obliger les professionnels à augmenter leur niveau de cybersécurité.

Alain Bensoussan rappelle qu’en France, la cyberdélinquance est de plus en plus présente.

Les technologies d’attaques sont disponibles en ligne ou sur le dark web. L’article 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à l’article 33, il contraint dorénavant à notifier à la Cnil les failles de sécurité , précise Alain Bensoussan.

S’ils ne suivent pas les nouvelles directives, les grands groupes pourront être condamnés à une amende représentant jusqu’à 4 % de leur chiffre d’affaires ou 20 millions d’euros.
(…)

Isabelle Pottier
Directrice Études et Publications

Interview de Alain Bensoussan par Astrid Landon, « Cyberattaques: pourquoi s’assurer n’est pas la meilleure solution », parue dans Challenges.fr le 23 juillet 2017.




Failles de sécurité et violation de données personnelles

Couverture Minilex Failles de sécurité« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain Bensoussan Avocats Lexing aux éditions Larcier , premier ouvrage permettant aux entreprises de savoir comment réagir sur le plan juridique lorsqu’elles sont confrontées à une fuite de données.

Les médias se font régulièrement l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur internet, et ce en raison d’une mauvaise configuration d’un site web, d’une « faille de sécurité ».

De la gestion à la production en passant par le marketing, quel que soit le secteur d’activité, l’informatique et plus généralement les réseaux sont omniprésents et rendent vulnérable toute organisation face aux failles de sécurité.

Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?

Cette expression a une acception très large. Elle recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bogues, mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données se trouvent avoir été corrompues.

Les risques sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences tant sur le plan financier qu’en termes d’image.

Comment notifier à la Cnil et informer les clients et partenaires lorsque la faille de sécurité a conduit à une violation de données à caractère personnel ? Quelles sont les organisations soumises à cette obligation de notification et d’information ? Quelles sont les mesures de protection appropriées et les actions qui doivent être mises en œuvre ? Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité par des pirates informatiques ? Quels services spécialisés de la police ou de la gendarmerie peut-on solliciter ? Comment ce cyber risque est-il couvert par les assureurs ?

Autant de questions abordées par cet ouvrage à jour du nouveau Règlement européen sur la protection des données adopté le 27 avril 2016, qui notamment généralise à l’ensemble des entreprises, quel que soit leur secteur d’activité, l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.

Second ouvrage de la collection des MiniLex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie, le MiniLex Failles de sécurité et violation de données personnelles, a été rédigé par Virginie Bensoussan-Brulé, Chloé Torres, avec la collaboration de Gérôme Billois, Senior Manager, et Vincent Nguyen, consultant senior, au cabinet Solucom.

Il est édité par les éditions Larcier dans la collection Lexing-Technologies avancées & Droit. Il est préfacé par Lazaro Pejsachowicz, Président du Clusif.

MiniLex Failles de sécurité et violation de données personnelles, Ed. Larcier, Juillet 2016 (146 p.).




Failles de sécurité : bilan et tendances

Failles de sécurité : bilan et tendancesPetit-déjeuner du 25 mars 2015 « Failles de sécurité : bilan et tendances » – Virginie Bensoussan-Brulé et Chloé Torres ont animé un petit-déjeuner débat sur les bons réflexes et les actions à mettre en œuvre en matière de failles de sécurité.

L’obligation de notification des failles entraînant la divulgation ou l’accès non autorisé à des données à caractère personnel pose une série de questions dont la résolution est d’importance puisqu’elle est sanctionnée pénalement :

  • Quelles sont les personnes soumises à cette obligation ?
  • Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?
  • Comment informer la Cnil et notifier les clients et partenaires ?
  • Quelles sont les  » mesures de protection appropriées  » et les actions qui doivent être mises en œuvre ?
  • Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité ?
  • Comment ce cyber risque est-il couvert par les assureurs ?

Ce petit-déjeuner a été l’occasion de dresser un état des lieux et de préciser les actions à mettre en œuvre par les entreprises en matière de failles de sécurité.




Cyberattaques : l’assurance Cyber Risques

Cyberattaques : l’assurance Cyber RisquesFace aux cyberattaques de plus en plus nombreuses et massives, la sécurité des réseaux et de l’information est devenue l’une des préoccupations majeures des entreprises en France et dans tous les pays du monde.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de conséquences sur le plan financier.

En 2014, selon une étude menée par le groupe PwC, le nombre de cyber-attaques recensées a augmenté de « 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an ».

Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

Les acteurs du secteur des assurances le constatent : les assurances de dommage spécialisées dans la couverture de risques informatiques, bien que très variées et très attractives, ne rencontrent encore que peu de succès et leur souscription reste marginale en partie du fait d’une prise de conscience encore insuffisante des risques, et des difficultés pour les entreprises de définir leur besoin face aux risques cyber.

A ce jour, les assureurs proposent majoritairement des polices « tous risques informatiques » énumérant les risques garantis ou prévoyant une formule « tous risques sauf » couvrant tous les événements non expressément exclus. Adaptées aux évolutions des risques informatiques, ces assurances garantissent aujourd’hui les atteintes aux informations en proposant la couverture de l’information elle-même et celle des pertes résultant de la cyberattaque.

A titre d’exemple, le Syntec informatique (chambre syndicale des sociétés d’études et de conseils) propose une assurance « tous risques sauf » qui assure « les biens informatiques, électroniques, électriques » et « les frais de reconstitution des informations » sauf « les pertes pécuniaires résultant : de disparition inexpliquée de données, de toute utilisation de logiciels acquis illégalement, sauf si son utilisation l’est à l’insu de l’assuré (…) ».

Outre les assurances « tout risque sauf », les assureurs offrent également de nombreuses possibilités d’extensions de garantie spécifiques aux risques cyber. Il en est ainsi, lorsque le contrat d’assurance ne garantit pas les cybers risques et en contrepartie du versement d’une prime complémentaire, des dommages concernant les frais de reconstitution des informations dans l’état antérieur au sinistre, les frais supplémentaires d’exploitation et les pertes d’exploitation.

Face à l’augmentation des cyberattaques qui touchent toutes les entreprises, de toute taille et de tout secteur, il est plus que vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en adaptant sa police d’assurance pour couvrir ces nouveaux risques informatiques.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique