Le cadre juridique de la mutualisation des dispositifs de sûreté

mutualisation des dispositifs de sûretéEmmanuel Walle intervient sur le thème du « cadre juridique de la mutualisation des dispositifs de sûreté » lors de la prochaine réunion de l’AN2V  le 6 octobre 2020 à Paris.

L’Association nationale de la vidéoprotection, AN2V, est une association loi 1901 fondée en 2004 qui réunit des fournisseurs et des utilisateurs de technologies de sûreté. L’AN2V organise une réunion par trimestre à Paris, sur un format unique et éprouvé autour :

• de thèmes toujours renouvelés,
• d’intervenants variés, experts dans leur domaine,
• d’interventions courtes et ciblées, un ensemble rythmé, sur le principe d’une table ronde.

La mutualisation des dispositifs de sûreté

La réunion thématique n°3 du 6 octobre 2020 traitera de l’évolution du cadre juridique de la sûreté électronique et de la mutualisation des dispositifs de sûreté, à savoir les partenariats public/public et public/privé qui peuvent être mis en place pour gagner en efficience dans les dispositifs de sûreté. Comment :

  • mutualiser des dispositifs entre acteurs publics ?
  • renforcer les coopérations entre les acteurs publics et privés ?
  • le cadre juridique devrait-il évoluer pour favoriser ces mutualisations ?

Deux tables rondes seront organisées, basées sur des retours d’expérience.

Emmanuel Walle dirige au sein du cabinet Lexing Alain Bensoussan Avocats, le département Droit du travail qui réunit une équipe d’avocats experts en droit social numérique bénéficiant d’une connaissance approfondie de l’impact et de l’évolution des technologies avancées en droit du travail (cybersurveillance, videosurveillance, videoprotection, charte d’utilisation des systèmes d’informations, preuve fichier professionnel/personnel, etc.) et de la protection sociale.

Réunion thématique : « Évolution du cadre juridique de la sûreté électronique »
Le 6 octobre 2020 de 13:00 à 17:30
FFB – 9 Rue La Pérouse 75016 Paris
Programme et inscription
Consultez les conditions de participation, elles varient selon le profil des participants.




Fonctions juridiques : au cœur de la transformation numérique

signature électronique digitale transformation numérique

Polyanna Bigle a participé au webinar sur les « Fonctions juridiques : au cœur de la transformation numérique » de DocuSign Digital Day du 30 juin 2020. Directrice du département Sécurité numérique au sein du Cabinet Lexing Alain Bensoussan Avocats, elle est spécialiste de la dématérialisation.

La transformation numérique au sein des fonctions juridiques

Pour palier les conséquences d’une crise sans précédent, les juristes d’entreprises ont à faire face à de nombreuses questions ; par exemple, sur la légalité de la dématérialisation des processus, la réponse à la cybercriminalité, la protection des données personnelles, ou encore la mise en oeuvre du travail à distance. Le périmètre d’activité des fonctions juridiques s’en trouve d’autant plus élargi.

Les solutions numériques qui peuvent les aider à travailler de manière plus efficaces sont pourtant nombreuses :

  • Signature électronique, gestion du cycle de vie des contrats (CLM), intelligence artificielle : quelle application pour les fonctions juridiques ?
  • Comment préparer, signer, exécuter et gérer vos accords de façon unifiée et 100% dématérialisée ?
  • Comment intégrer l’intelligence artificielle dans vos systèmes d’accords pour repérer des clauses spécifiques ?

Par conséquent, le bon usage des outils numériques dédiés à la gestion des accords sera la clé de leur adaptation aux révolutions futures.

Cette session live était animée par :

  • Polyanna Bigle, Avocate, Lexing Alain Bensoussan Avocats, qui présente la réglementation applicable,
  • Christophe Pépin, Solution Consultant, DocuSign, qui présente les solutions techniques utilisables.

Avocats et juristes : urgentistes de la crise

Les avocats et les juristes ont dû trouver de nouveaux moyens de répondre aux attentes de leurs clients. La dématérialisation en fait indubitablement partie.

Débiteurs d’obligations de résultats dans la rédaction d’actes, les avocats et juristes ont en effet, avec la dématérialisation et la signature électronique, des moyens légaux et efficaces de répondre à leurs clients grâce à des outils informatiques performants et sécurisés.

Le cadre légal de la signature électronique

La signature d’un acte est l’aboutissement de l’accord des parties et la confirmation de l’engagement pris par les protagonistes de respecter les droits et obligations nécessaires à la réalisation de ce contrat.

La signature électronique est standardisée au niveau européen grâce à un règlement, directement applicable dans tous les pays de l’Union, le règlement eIDAS (1) qui uniformise les différents niveaux de signature numérique de façon à ce qu’elle puisse être utilisée dans toute l’Union européenne.

Par exemple, il existe trois niveaux de signature électronique correspondant à trois niveaux de sécurité technologique :

Retrouvez l’intervention de Polyanna Bigle sur notre chaîne Lexing Alain Bensoussan Avocats.

(1) Règlement eIDAS, règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.




Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Petit-déjeuner débat : Sécurité des réseaux, mobilité et externalisation

Sécurité des réseaux, mobilité et externalisationMe Polyanna Bigle, Directeur du département sécurité numérique, animera un petit-déjeuner débat, le 26 février 2020 sur le thème : « Sécurité des réseaux, mobilité et externalisation »

Destiné à débattre sur trois grands thèmes d’actualité mêlant juridique, organisation et technique :

  • Garantir la sécurité du SI en intégrant les nouveaux usages digitaux des collaborateurs
  • Former et sensibiliser les collaborateurs aux bonnes pratiques en cybersécurité
  • Choisir son prestataire informatique : souveraineté nationale ou extraterritorialité (risques, Cloud Act , US Person)

Elle sera accompagné d’un intervenant spécialisé, Mr. Alexandre Souillé, Président d’Olfeo, qui fera partager ses retours d’expérience de mise en œuvre dans les organismes publics et privés.

OLFEO est leader français de la sécurité Web, accompagne depuis plus de 17 ans les entreprises exigeantes dans la sécurisation, l’analyse et l’optimisation de leur flux web. Grâce à sa connaissance extrêmement fine des besoins des organisations françaises, il a développé une passerelle de sécurité web disruptive, basée sur une vision globale, et pas uniquement technologique.

Le petit-déjeuner débat aura lieu le 26 févier de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

 




Etes-vous « NIS » ou Not « NIS » ?

NISPolyanna Bigle évoque pour le magazine Global Security Mag les enjeux de la transposition en droit français de la directive « NIS ».

Dans le numéro de janvier 2019 de Global Security Mag, Polyanna Bigle, Avocate à la Cour d’appel de Paris, directrice du département Sécurité numérique du cabinet Lexing Alain Bensoussan Avocats, évoque les enjeux autour de l’entrée en application de la directive « Network and Infomation Security » du 6 juillet 2016 sur la sécurité des réseaux et des systèmes d’information, mieux connue sous l’appellation « directive NIS », que les Etats membres devaient transposer dans leur droit national avant le 9 mai 2018.

L’Union Européenne a construit collectivement « les conditions de sécurité indispensables à la transformation numérique de l’Union » avec la directive « NIS » en ayant pour objectif « d’assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information » dans chacun des pays de l’Union.

La France a ainsi achevé de transposer la directive avec trois textes :

Quels acteurs sont concernés par les obligations de sécurité réseaux et systèmes d’information de la directive « NIS » dans droit français ?

Que recouvre la notion de « sécurité des réseaux et systèmes d’information » ?

Autant de question abordées par Polyanna Bigle dans son article : « Etes-vous NIS ou Not NIS », Global Security Mag Online janvier 2019.




Polyanna Bigle intervient au Forum de l’innovation d’Investance partners

Investance PartnersPolyanna Bigle participe à une table ronde le 6 décembre 2018 sur la cybersécurité dans le cadre de cet évènement dédié à l’innovation du secteur de la Banque, Finance et Assurance.

Investance Partners, cabinet de conseil en stratégie opérationnelle et gestion du changement, organise le 6 décembre 2018 à Paris (Cloud Business Center Opéra) la 4ème édition de son événement phare entièrement dédié à l’innovation du secteur de la Banque, Finance et Assurance.

A cette occasion, Polyanna Bigle, avocate qui dirige le département Sécurité numérique, interviendra sur le thème de la cybersécurité : «Les défis de la numérisation des usages».

Investance Partners

La transformation numérique a un réel impact sur la sécurité des systèmes d’information ainsi que sur les données en raison des nouveaux modes de consommation : Internet, BYOD, plateformes mobiles, paiement en ligne, réseaux sociaux, communautés sur internet, etc. Cette numérisation des usages impactent tous les domaines qui nous entourent.

Les entreprises étant désormais numériques, peuvent à tout moment être confrontées au vol de leurs données sur lesquelles repose tout leur bon fonctionnement. L’impact sur l’environnement personnel est non négligeable, nous sommes scrutés par un écosystème que nous sommes allés scruter. Enfin, les défis juridiques sont multiples et la législation est totalement bouleversée dans son intégralité.

Les nouvelles réglementations de sécurité informatique ou les nouvelles méthodes de détection des failles de sécurité sont-elles adaptées à cet univers numérique ?

Participent également à cette table ronde :

  • Myriam Quémener, magistrat, docteur en droit ;
  • Guillaume Vassault-Houlière, CEO Yeswehack ;
  • Guy-Philippe Goldstein, analyste cyber sécurité et cyber défense et advisor auprès de PWC.

Le débat est animé par Preeti Ahluwalia, Manager, Investance Partners.

Forum de l’innovation d’Investance Partners

Table ronde : Cyber sécurité : Les défis de la numérisation des usages
Date : 6 décembre 2018
Lieu : Cloud business center à Paris, 10 bis Rue du 4 septembre, 75002 Paris
Horaires : 16h35 – 17h35

Eric Bonnet
Directeur du département Communication juridique




La nouvelle méthode d’analyse de risque EBIOS Risk Manager

EBIOS Risk Manager

L’Anssi a publié en octobre 2018 sa nouvelle méthode d’analyse de risque orientée cyber intitulée EBIOS Risk Manager (1).

Une nouvelle méthode basée sur les retours d’expérience

Cette nouvelle méthodologie, publiée avec le soutien du Club EBIOS, vise à permettre aux dirigeants de mieux appréhender les risques liés aux nouveaux usages numériques.

L’évolution de cette méthodologie, qui se veut agile, prend en compte les différents retours d’expérience des organismes sur la méthodologie EBIOS 2010. Elle intègre notamment les concepts et les normes internationales en vigueur concernant le système de management de la sécurité de l’information.

L’EBIOS Risk Manager repose sur cinq ateliers qui s’inscrivent dans une démarche itérative.

Définition du socle de sécurité

Le premier atelier proposé permet de fixer un périmètre à l’analyse en identifiant les « valeurs métiers » et les biens supports relatifs à ces dernières.

Le premier objectif de cet atelier est d’identifier les événements redoutés associés aux valeurs métiers, ainsi que leurs impacts et leurs gravités.

Le second objectif est de mettre en exergue le socle de sécurité sur la base de référentiels de sécurité qui peuvent s’appliquer à l’objet de l’analyse : par exemple, les règles d’hygiène informatique et bonnes pratiques de sécurité ou les guides de recommandations de l’Anssi, les normes ISO 2700x ou encore les différentes règlementations en vigueur, telles que le RGPD (2), NIS (3), eIDAS (4).

Identification des sources de risques

Le deuxième atelier permet d’évaluer les profils qui pourraient porter atteinte aux missions et aux valeurs métiers de l’organisation. Il s’agit donc principalement d’identifier les sources de risques (organisées ou individuelles) couplées avec leurs objectifs visés. Il s’agit par la suite de sélectionner les couples les plus pertinents en se basant sur la cotation du niveau de motivation, de ressources et d’activité de ces couples.

Définition des scénarios stratégiques

Le troisième atelier a pour objectif d’obtenir une cartographie de l’écosystème pour identifier les parties prenantes les plus vulnérables parmi les partenaires, les prestataires ou les clients. Pour cela, il convient de définir des scénarios stratégiques qui permettent de représenter les chemins d’attaques empruntés par une source de risque pour atteindre son objectif.

Cet atelier permet de définir la cartographie des menaces numériques liées à l’écosystème, ainsi que les parties prenantes critiques, les scénarios stratégiques et les événements redoutés, ainsi que les mesures de sécurité retenues.

Identification des scénarios opérationnels

Le quatrième atelier découle du précédent, afin d’identifier les scénarios opérationnels, en se basant sur les scénarios stratégiques définis précédemment. Ces scénarios opérationnels peuvent se baser sur une multitude de modèles, tel que celui de « cyber kill chain » de Lockheed Martin. La granularité des scénarios opérationnels est à adapter selon la maturité de l’organisation et la profondeur visée par l’analyse de risque. La vraisemblance globale de ces scénarios peut être définie en identifiant la vraisemblance élémentaire de chacune des actions du scénario.

Traitement des risques

En cinquième et dernier lieu, un atelier qui a pour objectif de traiter le risque. De cet atelier, il doit en résulter une cartographie des risques synthétisés, selon leur niveau de vraisemblance et de gravité. Il doit aussi faire ressortir la stratégie de traitement du risque, les mesures de sécurité techniques et organisationnelles à mettre en œuvre et les risques résiduels qui en découlent.

Une méthode qui se veut souple et adaptable

La méthodologie EBIOS Risk Manager est présentée par l’Anssi comme une « boîte à outils » dont les ateliers doivent être adaptés à l’usage désiré.

Ainsi, en plus de permettre de conduire une analyse de risque complète et fine sur un processus ou une activité spécifique de l’organisation, elle permet :

  • d’identifier le socle de sécurité de l’organisation ;
  • d’être en conformité avec les référentiels de sécurité numérique de la Cnil et de l’Anssi ;
  • d’évaluer le niveau de menace de l’écosystème de l’objet de l’analyse ;
  • ou encore d’identifier les axes prioritaires d’amélioration de la sécurité par la réalisation d’une étude préliminaire du risque.

Les différences avec la méthodologie EBIOS 2010

La méthodologie EBIOS Risk Manager apporte des variations terminologiques. Ainsi, les biens essentiels identifiés lors de la réunion d’étude du contexte pour l’EBIOS 2010 deviennent des « valeurs métiers ». Les modules 4 et 5 de l’étude des risques et des mesures de sécurité de l’EBIOS 2010 se retrouvent dans le cinquième atelier sur le traitement des risques. Enfin, on pourra aussi noter que les deux méthodes ne privilégient pas assez l’approche métier dans la démarche d’analyse de risque.

Les divergences se retrouvent essentiellement dans les étapes intermédiaires. On ne considère plus le côté intentionnel des sources de risques : les utilisateurs ou les administrateurs sont alors considérés comme des parties prenantes vulnérables. Par ailleurs, les sources de risques non humaines ne sont plus considérées par la nouvelle méthode.

Le découpage en scénarios stratégiques et opérationnels complexifie la démarche d’analyse mais permet d’offrir une vision globale. Cette approche permet aux dirigeants d’avoir une meilleure compréhension des vulnérabilités de leurs organisations ainsi que des processus.

Une démarche qui reste à éprouver

Si elle se veut plus complète et plus agile, notamment en considérant les transformations rapides liés au numérique, elle semble aussi apporter un niveau de complexité plus important. La méthode EBIOS Risk Manager doit donc désormais être éprouvée par les professionnels de la sécurité des systèmes d’information.

Anthony Coquer
Guillaume Carayon
Lexing Sécurité & Organisation

(1) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.




Les obligations de notification des incidents de sécurité

notification des incidents de sécuritéLes obligations de notification des incidents de sécurité informatique nécessitent une gestion rigoureuse des événements et un système d’alerte performant.

Plusieurs autorités peuvent être notifiées en fonction du secteur d’activité de l’organisme et de sa sensibilité pour la sécurité nationale, de la nature des données collectées et du type de traitement.

Afin de répondre à l’ampleur de ce phénomène, l’introduction d’un guichet unique, qui centralise l’ensemble des incidents de sécurité, peut constituer une solution pragmatique et efficace pour simplifier les démarches des entreprises.

La notification des incidents de sécurité aux Agences régionales de santé

Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) ont l’obligation de notifier les incidents graves de sécurité de leur système d’information aux organismes administratifs chargés de la mise en œuvre de la politique de santé au niveau régional.

Cette notification des incidents graves de sécurité aux Agences régionales de santé (ARS) vise pour l’essentiel à :

  • informer les autorités de l’Etat ;
  • aider les établissements concernés à prendre des mesures adaptées;
  • alerter l’ensemble des acteurs de santé concernés.

Les établissements de santé concernés ont l’obligation de signaler les incidents graves de sécurité, à savoir, les événements générateurs d’une situation exceptionnelle et notamment :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service concerné.

La déclaration de notification des incidents graves de sécurité s’effectue, sans délai, sur le site signalement-sante.gouv.fr, ou, en cas d’impossibilité, par voie de formulaire figurant en annexe de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information (1).

Les notifications des violations de données à caractère personnel à la Cnil

Tout responsable d’un traitement a l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) les violations de données à caractère personnel, c’est-à-dire, toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En cas de recours à la sous-traitance, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Le G29, groupe de travail réunissant les autorités de contrôles européennes, distingue trois cas de violations de données :

  • les violations de confidentialité : en cas de divulgation et/ou d’accès (accidentel ou non-autorisé) à des données personnelles ;
  • les violations de disponibilité : en cas de perte et/ou destruction (accidentel ou non-autorisé) de données personnelles ;
  • les violations d’intégrité : en cas d’altération et/ou modification (accidentel ou non-autorisé) de données personnelles.

La notification devra être effectuée au plus tard dans les 72 heures après que le responsable du traitement a eu connaissance de la violation. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

De plus, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique également la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.

Les notifications des incidents de sécurité à l’Anssi

Trois catégories d’acteurs ont l’obligation de notifier à l’Agence nationale de la sécurité des systèmes d’Information (Anssi) les incidents de sécurité de leur système d’information.

Les Opérateurs d’importance vitale (OIV) sont désignés par le gouvernent. Ces organismes sont des entreprises exploitant des établissements ou utilisant des installations dont l’indisponibilité risquerait de diminuer la sécurité nationale. A cet égard, les OIV ont l’obligation d’informer le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leur système d’information.

On trouve également, les Opérateurs de services essentiels (OSE) qui, désignés par le Premier ministre, offrent des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents affectant leur système d’information. Ces derniers doivent également déclarer à l’Anssi les incidents qui ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés, ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.

Les Fournisseurs de services numériques (FSN), entreprises qui fournissent des services de places de marché en ligne, des moteurs de recherche en ligne, ou services d’informatique en nuage sont également les débiteurs d’une obligation de notification à l’Anssi des incidents de sécurité qui affectent leur système d’information. Ces entreprises ont notamment l’obligation de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services.

En ce qui concerne les modalités de signalement, l’Anssi met à la disposition de ces acteurs un formulaire de déclaration d’un incident de sécurité, accessible depuis son site internet. Ce document devra lui être transmis sur un support adapté à la sensibilité des informations déclarées.

La notification d’incident de sécurité auprès de l’Anssi devra par ailleurs être effectuée, sans retard injustifié, par ces opérateurs.

Les notifications d’incidents à la Banque de France

Les Prestataires de services de paiement (PSP) regroupent les établissements de paiement et les établissements de crédit. Ces derniers doivent informer, sans retard injustifié, l’Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France de tout incident opérationnel majeur qu’ils auraient à connaître dans le cadre de leur activité. Cet incident est défini comme un évènement découlant de processus inadéquats ou défaillants, de personnes et systèmes ou d’événements de force majeure qui affectent l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés aux paiements.

La notification des incidents à l’ACPR et à la Banque de France s’effectue sur la base d’un modèle de notification pour les prestataires de services de paiement conforme à l’annexe 1 des lignes directrices EBA/GL/2017/10 (2). Ce document est communiqué dans les 4 heures qui suivent l’incident en se connectant à la Banque de France via un site internet dédié.

Anthony Coquer
Jean-François Mary
Lexing Département Sécurité et organisation

(1) Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JORF n°0261 du 8-11-2017 .
(2) Orientations sur la notification des incidents majeurs en vertu de la directive (UE) 2015/2366 (DSP2), (EBA/GL/2017/10), 19-12-2017 : Lignes directrices, annexe 1 p. 21.




Université d’été du MEDEF 2017 – La planète du Net est-elle nette ?

planète du NetMe Polyanna Bigle est intervenue à l’Université d’été du MEDEF sur le thème : « La planète du Net est-elle nette ? », le 29 aout 2017, aux côtés de Guillaume Poupard , Directeur Général de l’Anssi, Isabelle Falque Pierrotin, Présidente de la Cnil, Robert Vassoyan, General Manager de Cisco France, Eric Léandri, PDG de Qwant.

Les intervenants ont évoqué les aspects de la cybercrimminalité, cybergouvernance et de la protection des données à caractère personnel du Net. Me Polyanna Bigle s’est notamment exprimée sur les aspects contractuels et d’assurance liés à la sécurité des systèmes d’information.

Pour voir cette vidéo mais aussi les autres conférences de la journée, consultez la médiathèque de l’Université d’été du MEDEF 2017.

 

Vidéo « La planète du Net est-elle nette ? »

 




Assises de la sécurité et des systèmes d’information 2013 : lecabinet est présent !

sécuritéAlain Bensoussan participe à la 13ème édition des Assises de la sécurité et des systèmes d’information, qui se déroulent au Grimaldi Forum à Monaco du 2 au 5 octobre 2013. Les Assises de la sécurité sont un événement très attendu par les décideurs des SSII (RSSI, DSI, DI, Risk managers, Correspondant Informatique et libertés) qui peuvent, lors de conférences plénières, de tables-rondes entre experts et d’ateliers thématiques, échanger sur les problématiques majeures de sécurité informatique, tant nationales qu’internationales.

Alain Bensoussan intervient dans le cadre d’une table ronde portant sur le thème « Le DPO : nouvelles missions, nouvelles responsabilités », afin de préciser le rôle, les qualifications et les obligations du correspondant Informatique et libertés (Cil) en regard des dispositions du projet de règlement européen sur la protection des données.

Le DPO (Data Protection Officer) va en effet devenir un acteur incontournable de la conformité relative à la protection des données. Les entreprises doivent ainsi d’ores et déjà connaître les contours des obligations et les challenges qui vont être pris afin d’intégrer ce nouvel acteur. Donner les clés aux entreprises afin de permettre un passage en douceur lors de la promulgation du futur règlement. Les intervenants de ce débat partageront leur expérience et les best practices à implémenter, tels que des relais de DPO ou des procédures.




La signature électronique : l’essayer, c’est l’adopter !

signature électroniqueLa signature électronique « pour tous », en fort développement, a vocation à se généraliser, non seulement dans la vie des affaires, mais également dans la vie courante. La loi de 2000 adaptant le droit de la preuve aux technologies de l’information et relative à la signature électronique a en effet révolutionné notre Code civil (1). En témoigne la récente décision de la Cour d’appel de Nancy (2) qui a reconnu la validité d’une signature électronique apposée par un particulier sur une autorisation de découvert de 9 000 euros proposée par sa banque. Une autre décision de première instance vient de valider le recours à la signature électronique proposée par un prestataire de services pour saisir la juridiction de proximité (3).

Par principe, la signature électronique pourra s’apposer sur quasiment tous les types d’actes. Les conditions sont simples mais techniques : la nécessité de pouvoir identifier la personne dont il émane et une garantie d’intégrité dans la création et la conservation de l’acte signé. Par exception, certains actes ne pourront pas être établis électroniquement et par là-même ne pourront être signés électroniquement.

La mise en oeuvre d’un processus de signature électronique ne doit pas se faire à l’aveuglette : outre le choix d’un bon prestataire, le juriste de l’organisme devra être intégré à l’équipe projet. En effet, une analyse juridique en amont est essentielle.

Une proposition de règlement européen en voie d’adoption devrait bénéficier aux particuliers comme aux entreprises. Le règlement proposé leur permettra en effet « d’utiliser le système national d’identification électronique de leur pays pour accéder aux services publics en ligne dans d’autres pays de l’Union européenne où l’identification électronique est disponible » (4).

Polyanna Bigle pour Archimag, juin 2013 (n° 265) et juillet-août 2013 (n° 266)

(1) Loi 2000-230 du 13-3-2000
(2) Lire notre précédent post du 5-6-2013
(3) TI Antibes 7-3-2013 M. B c/ Free Mobile
(4) Commission européenne, Proposition de règlement européen COM(2012) 238 final du 4-6-2012 et Communiqué de presse du 4-6-2012




Proposition de directive sur la sécurité des réseaux et de l’information

sécurité des réseauxLe 7 février 2013, la Commission européenne a publié la stratégie de l’Union européenne en matière sécurité des réseaux. En même temps que la stratégie de cybersécurité (1), elle publie une proposition de directive concernant la sécurité des réseaux et des systèmes d’information (2).

La proposition de directive vise à assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne, en demandant aux Etats :

  • d’adopter une stratégie nationale de sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques et les mesures politiques et réglementaires concrètes visant à parvenir à un niveau élevé de sécurité des réseaux et des systèmes d’information à maintenir, et comportant un plan national de coopération en matière de SRI ;
  • de désigner une autorité nationale compétente en matière de sécurité des réseaux et et des systèmes d’information, qui aura un pouvoir de contrôle de l’application de la directive, un pouvoir d’enquête et le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché, mais également la centralisation de l’ensemble des incidents au sein des administrations publiques et des acteurs du marché ;
  • de mettre en place une équipe d’intervention en cas d’urgence informatique chargée de la gestion des incidents et des risques selon un processus bien défini et placée sous la surveillance de l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information.

La proposition de directive prévoit également la mise en place d’un réseau de coopération pour la lutte contre les risques et incidents touchant les réseaux et les systèmes d’information entre l’ensemble des autorités nationales compétentes en matière de sécurité des réseaux et des systèmes d’information. La proposition de directive précise l’organisation de ce réseau de coopération en préconisant :

  • le recours à un système sécurisé d’échange d’informations ;
  • l’établissement d’un mécanisme d’alerte rapide pour les risques et incidents ;
  • la mise en place d’interventions coordonnées.

Par ailleurs, la proposition de directive prévoit la faculté de la Commission, d’une part, d’adopter, au moyen d’actes d’exécution, un plan de coopération de l’Union Européenne en matière de sécurité des réseaux et des systèmes d’information et, d’autre part, de conclure avec des pays tiers ou des organisations internationales des coopérations internationales.

De plus, les Etats devront veiller à ce que les administrations publiques et les acteurs du marché fournissant des services au sein de l’Union Européenne, prennent les mesures de sécurité nécessaires et notifient les incidents à l’autorité nationale compétente en matière de sécurité des réseaux et des systèmes d’information.

Afin de veiller à l’harmonisation des politiques de sécurité des réseaux et des systèmes d’information étatiques, les Etats membres doivent encourager l’utilisation des normes recommandées par actes d’exécution par la Commission. La proposition de directive prévoit également la mise en place par les Etats membres de sanctions effectives, proportionnées et dissuasives. Enfin, elle prévoit un délai de transposition de la directive d’un an et demi à compter de l’adoption de cette dernière.

(1) Commission européenne, Communication du 7-2-2013 (EN)
(2) Proposition de directive COM(2013) 48 final du 7-2-2013

Céline Avignon
Anaïs Gimbert
Lexing Droit Marketing électronique




Vers une carte d’ identité européenne ?

identité européenneVers une carte d’ identité européenne ? L’harmonisation européenne en matière de signature électronique vient de franchir un nouveau palier après que la Commission européenne a proposé, le 5 juin 2012, un règlement en faveur d’une reconnaissance mutuelle de l’identification et de la signature électronique entre les Etats membres.

Face à l’impossibilité de concevoir un système européen unifié, la Commission a préféré mettre en place un principe d’interopérabilité imposant aux Etats membres d’adapter leur système national, permettant ainsi aux particuliers et aux entreprises d’utiliser le système d’identification électronique de leur pays, sous réserve qu’il en existe un, pour accéder aux services publics en ligne dans d’autres pays de l’Union.

La proposition de règlement prévoit également un marché intérieur des signatures électroniques et des services de confiance en ligne qui leur sont associés. Pour ce faire, la Commission souhaite conférer aux formalités électroniques la même valeur juridique que celle qui est conférée aux formalités effectuées avec des documents physiques classiques.

La participation à ce système paneuropéen repose sur la base du volontariat. Toutefois, les pays qui auront choisi d’intégrer ce projet devront impérativement offrir à tous les européens un accès, identique à celui qu’ils offrent à leurs propres citoyens, aux services publics au moyen d’une identification électronique.

A titre d’illustration, les étudiants pourront s’inscrire en ligne dans une université européenne sans avoir à se déplacer pour accomplir les formalités administratives en personne.

Ce projet de règlement fait suite au projet STORCK qui, réunissant dix-sept Etats membres, a prouvé que la reconnaissance mutuelle transnationale de l’identification électronique fonctionne.

Proposition de règlement européen COM (2012) 238




Des contrôles en matière de failles de sécurité prévus par la Cnil en 2012

failles de sécuritéLe 19 février 2012, la Cnil a fait part de son intention d’effectuer durant l’année des contrôles sur les failles de sécurité.

Elle considère que cette question constitue un « enjeu central en matière de protection des données ». Il s’agit en effet d’un sujet d’actualité intéressant aussi bien la Cnil que le législateur.

Le 24 août 2011, une ordonnance a créé l’article 34 bis de la loi du 6 janvier 1978 obligeant les fournisseurs de services de communications électroniques à notifier les violations de données à caractère personnel.

Plus récemment, le décret n° 2012-436 du 30 mars 2012 a fixé les modalités pratiques de ces notifications à la Cnil et aux personnes concernées.

Cnil, rubrique Actualité, article du 19 février 2012
Décret n° 2012-436 du 30-3-2012




L’obligation de notification des failles de sécurité

notification des faillesLe décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.

La loi du 6 janvier 1978 prévoit, en son article 34 bis, qu’en cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit avertir sans délai :

  • la Cnil de l’existence d’une violation ;
  • les personnes concernées, lorsqu’il y a un risque d’atteinte à la vie privée ou d’atteinte aux données à caractère personnel.

Le décret du 30 mars 2012 est venu préciser les informations que le fournisseur doit communiquer à :

  • la Cnil en cas de violation de données à caractère personnel ;
  • la personne concernée en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée d’une personne.

Ce texte précise, toutefois, que le fournisseur peut être dispensé de notifier la violation de sécurité à la personne concernée s’il a mis en place des mesure de protection appropriées (la définition de telles mesures étant donnée par le décret) et si la Cnil a constaté que ces mesures ont été mises en œuvre.

Il est important de rappeler que le non respect des obligations d’information peut coûter cher au fournisseur, le code pénal le punissant de cinq ans d’emprisonnement et de 300 000 € d’amende.

L’implémentation, par les fournisseurs de services de communications électroniques accessibles au public, d’une stratégie interne relative à la possibilité d’informer la Cnil de la mise en œuvre de mesures de protection afin bénéficier de l’exception de notification des failles, semble donc à envisager.

Décret n° 2012-436 du 30-3-2012
Décret n° 2005-1309 du 20-10-2005




Annulation partielle du décret sur le passeport biométrique

décret sur le passeport biométriqueLe Conseil d’Etat annule partiellement le décret sur le passeport biométrique par une décision rendue le 26 octobre 2011. Il annule partiellement le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Le décret sur le passeport biométrique

Plusieurs recours pour excès de pouvoir avaient été intentés par des personnes titulaires de passeports français, par des associations de défense, ainsi que par des professionnels du domaine de la photographie.

Le Conseil d’Etat a annulé la disposition prévoyant la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport et destinée à figurer au sein du fichier national relatif aux titres électroniques sécurisés (TES).

Pour mémoire, le règlement n° 2252/2004 du 13 décembre 2004 prévoyait notamment que les passeports et documents de voyage délivrés par les Etats membres devaient comporter un support de stockage contenant deux éléments biométriques, à savoir une photographie du visage et deux empreintes digitales.

Pour justifier sa décision, le Conseil d’Etat a considéré que la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement.

Toutes les autres dispositions du décret attaqué ont été maintenues par le Conseil d’Etat et notamment celle prévoyant la possibilité pour l’administration de procéder à la prise de photographies lorsque celles fournies par le demandeur ne répondent pas aux exigences de qualité requises.

CE 26-10-2011 n° 317827




Le dispositif français de défense et de sécurité des systèmes d’information

Une communication relative à la protection et à la sécurité des système d’information a été présentée en Conseil des ministres le 25 mai 2011. Elle a pour objet de présenter l’ensemble des mesures permettant le renforcement du dispositif français de défense et de sécurité des systèmes d’information. Les principales mesures sont les suivantes :

  • renforcer les capacités opérationnelles d’intervention de l’état ;
  • augmenter le niveau de sécurité des systèmes d’information de l’Etat ;
  • promouvoir la cybersécurité dans l’enseignement supérieur et la recherche ;
  • améliorer la sécurité des infrastructures vitales.
  • Communication du 25-5-2011




    Publication par l’Anssi du Référentiel Général de Sécurité

    L’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information) a publié, le 11 mai 2011, un projet de référentiel d’exigences pour appel à commentaires applicable aux prestataires qui réalisent des audits techniques de la sécurité des systèmes d’information afin d’être qualifiés au sens du RGS (Référentiel Général de Sécurité). Les activités d’audit de code source, de configuration, d’architecture et organisationnel, ainsi que les tests d’intrusion, sont concernés par ce projet de référentiel.

    Il s’adresse essentiellement aux prestataires réalisant des audits de la sécurité des systèmes d’information des autorités administratives. Cependant, les commanditaires d’audit du secteur privé peuvent s’en inspirer afin d’exprimer leurs besoins. Ce document vise, en effet, à établir une relation de confiance entre le commanditaire et le prestataire d’audit, en exigeant de ce dernier un niveau de compétence spécifique.

    Anssi, Référentiel d’exigences du 11-5-2011