Hébergement : projet de référentiel de certification HDS

Hébergement : projet de référentiel de certification HDSQue peut-on apprendre du référentiel de certification HDS qui a été publié par l’ASIP Santé le 14 septembre 2016 ?

L’ASIP Santé avait soumis à la concertation publique son référentiel de certification HDS (hébergement agréé des données de santé) pour le 31 octobre 2016 (1).

Plusieurs points sont à retenir dans ce référentiel mais, au préalable, il y a lieu de rappeler le champ d’application du régime.

Champ d’application

La formulation de l’article L1111-8 du Code de la santé publique (2), issue de l’article 96 de la loi de modernisation de notre système de santé, avait vocation à clarifier le champ d’application de l’article.

Le statut du déposant (établissement de santé, professionnel du secteur médicosocial, etc.) n’importe plus, l’article s’applique uniquement aux « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médicosocial » et aux déposants « à l’origine du recueil ou de la production » de ces données.

En revanche, faut-il comprendre que seules les données directement recueillies par le déposant sont concernées ou, au contraire, considérer que le sont également les données indirectement recueillies, à l’instar de ce que l’ASIP Santé indiquait dans son FAQ du 30 octobre 2015, qui visait expressément les assurances et les mutuelles (précision supprimée de son FAQ depuis le 24 mai 2016).

En l’état, l’ASIP Santé considère que « l’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel « recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médicosocial » qui souhaiterait en confier la conservation à un tiers ».

Dans le référentiel de certification HDS, l’ASIP Santé indique :

  • « Par conséquent, « demain » toute personne physique ou morale qui mettra à disposition de tout responsable de traitement de données de santé, un service d’hébergement de données de santé à caractère personnel aura l’obligation d’être certifiée pour l’hébergement des données de santé ».

S’agit-il là d’une simplification à visée pédagogique ou d’une véritable volonté d’étendre le périmètre visé par l’article L1111-8 du Code de la santé publique ?

  • Types de certifications

Le principe est désormais celui de la certification et non plus de l’agrément. Deux types de certification sont prévus en l’état par l’ASIP Santé :

  • une certification « hébergeur d’infrastructure » pour les activités d’hébergement physique, de mise en œuvre de matériels informatiques et de maintenance de matériels informatiques ;
  • une certification « hébergeur infogérant » pour les activités d’hébergement physique mais aussi l’activité d’infogérance et de sauvegardes externalisées.
Conformité au référentiel

Quel que soit la certification d’hébergeur HDS visée, l’hébergeur devra :

  • « exploiter un système de gestion de la sécurité des informations conforme à la norme ISO/CEI 27001 :2013 sur le périmètre du système de gestion de la sécurité des informations pour le métier « hébergeur d’infrastructure » ou le métier « hébergeur infogérant » ;
  • être évalué pour la conformité vis-à-vis :
    • d’exigences relatives à la protection des données à caractère personnel qui s’appuient sur l’ISO 27018:2014 ;
    • d’exigences relatives à la gestion des services qui s’appuient sur l’ISO 20000:2011 ;
    •  d’exigences spécifiques au domaine de la santé ».

Dans ce référentiel, l’ASIP Santé livre une liste de 23 exigences issues des normes ISO susmentionnées et des exigences spécifiques Santé.

Processus de certification

L’un des changements principaux entre la procédure d’agrément existante et la procédure de certification à venir est la réalisation d’un audit sur site, tandis qu’actuellement les dossiers de demande sont déclaratifs avec une instruction uniquement sur pièces.

En effet, les exigences HDS reposant sur quatre sources distinctes, l’ASIP Santé prévoit trois cas de figure :

  • le candidat possède les certifications ISO 27001 et 20000 :
    • une vérification sera opérée pour ces deux certifications ;
    • les exigences ISO 27018 et spécifiques santé seront auditées ;
  • le candidat possède la certification ISO 27001 :
    • une vérification sera opérée sur cette certification ;
    • les exigences ISO 20000, ISO 27018 et spécifiques santé seront auditées ;
  • le candidat ne possède aucune certification :
    • il devra obtenir la certification ISO 27001 auprès du certificateur HDS ou de tout autre certificateur habilité ;
    • les exigences ISO 20000, ISO 27018 et spécifiques santé seront auditées.

A la lumière de ce référentiel, les hébergeurs doivent anticiper et procéder aux certifications susvisées.

Annuellement un audit de surveillance aura lieu jusqu’au renouvellement de la certification à l’issue des trois ans.

Sanctions

Le référentiel détaille également le processus de suspension de la certification HDS pendant une durée de 3 mois renouvelable. L’hébergeur aura la possibilité de faire appel de la décision de suspension. Le certificat sera, à l’issue de cette procédure, soit rétabli, soit retiré définitivement.

L’organisme de certification est en charge de contrôler les hébergeurs et suspendre ou retirer les certificats en fonction.

Quel risque pénal en l’absence d’agrément / certification ?

Il n’existe pas de sanction spécifique pour les personnes confiant des données de santé à caractère personnel à un tiers non agréé. Cela constituerait en revanche :

  • une violation des obligations de sécurité imposées par l’article 34 de la loi Informatique et libertés (4) à tout responsable de traitement, sanctionnée par 5 ans d’emprisonnement et 500.000 € d’amende (5) ou 2.500.000 € pour les personnes morales (6) ;
  • une violation du secret professionnel punie d’un an d’emprisonnement et 15.000 € d’amende (7) ou 75.000 € pour les personnes morales (6).

L’article L1115-1 du Code de la santé publique sanctionne l’hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d’établissements de santé ou directement auprès des personnes concernées à défaut d’agrément ou sans respecter les conditions de l’agrément, par trois ans d’emprisonnement et 45.000 euros d’amende (8), ou par 225.000 euros pour les personnes morales (6), et par des peines complémentaires (9).

La formulation de l’article L1115-1 du Code de la santé publique n’ayant pas été alignée avec celle de l’article L1111-8 par la loi de modernisation de notre système de santé du 26 janvier 2016 (10), seules les données recueillies auprès de professionnels et établissements de santé et la personne concernée sont visées, à l’exclusion de tout autre professionnel, notamment du domaine médicosocial.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Référentiel de certification HDS – Vue d’ensemble, 9-2016, V.0.3.0 et Référentiel de certification HDS – Exigences et contrôles, 9-2016, V.0.3.0.
(2) CSP, art. L1111-8.
(3) FAQ ASIP Santé.
(4) loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, art. 34.
(5) C. pén., art. 226-17.
(6) C. pén., art. 131-38.
(7) C. pén., art. 226-13.
(8) CSP, art. L1115-1.
(9) CSP, art. L 1115-2 et C. pén., art. 132-39.
(10) Loi 2016-41 du 26-1-2016 de modernisation de notre système de santé.




Cloud Expo Europe, les grandes tendances pour 2017

Cloud Expo Europe, les grandes tendances pour 2017

A l’occasion du Cloud Expo Europe, la sécurité, l’IoT et le cloud hybride sont au cœur des tendances pour 2017.

Le Cloud Expo Europe est l’occasion pour tous les professionnels du cloud de tenir salon et présenter au public les dernières innovations. Si, depuis toujours, la protection des données, la confidentialité et la sécurité sont au cœur des préoccupations des utilisateurs du cloud, les réponses des acteurs du cloud évoluent en même temps que les solutions techniques elles-mêmes.

IoT et cloud

L’internet Web 3.0 ou « internet of Things » (IoT) resterait au stade du simple « machine to machine » (M2M) sans les développements importants que lui offre le cloud computing. Le Cloud Expo Europe consacre, sans surprise, une majorité des interventions sur le lien entre le cloud et l’IoT, ce qui confirme la tendance de fond. Au cœur des problématiques traitées, on relève celle de la scabilité des services web face à l’afflux massif de données et aux enjeux de volumétrie du big data. La problématique corollaire est aussi celle des données à caractère personnel, à l’approche de l’entrée en vigueur du règlement européen sur la protection des données (1).

La sécurité joue un rôle central sur les objets connectés en eux-mêmes, comme sur les infrastructures cloud associées (2).

La sécurité dans le cloud

Le Cloud Expo Europe est l’occasion pour les professionnels du droit de faire la démonstration de l’état de l’art en matière de sécurité dans le cloud computing. Un outil se systématise, le plan d’assurance sécurité comprenant un volet plan de reprise d’activité.

La transformation numérique engagée dans de nombreuses entreprises ou administrations a accentué la dépendance de nombreuses activités aux infrastructures informatiques mises en place.

En toute logique, moins un utilisateur a d’emprise sur ses données et système, plus un incident peut s’avérer fatal si le prestataire n’est pas digne de confiance.

La première réponse, apportée par les prestataires du cloud, consiste, par contrat, à s’engager à fournir des systèmes présentant de hauts niveaux de sécurité pour prévenir ce type de défaillance. Certains prestataires vont jusqu’à être certifié (norme ISO 27001 et dérivées) pour pouvoir afficher encore plus clairement le respect de procédures de sécurité.

Mais la prévention ne suffit pas toujours et c’est là qu’un plan de reprise d’activité doit aussi démontrer le niveau d’engagement du prestataire en répondant, par anticipation aux questions les plus sensibles afin de limiter l’impact d’une suspension ou dégradation majeure du service et y remédier dans les meilleurs délais (dump en local, back-up à distance, solutions de contournement, notamment).

La tendance majeure pour 2017 se dégageant du programme du Cloud Expo Europe est de mettre à la portée de tous la formalisation d’un plan de reprise d’activités et non plus des seuls gros utilisateurs.

Le cloud hybride

Proposant une solution intéressante entre cloud public et cloud privé, la définition technique de ce que peut être le cloud hybride peut encore prêter à discussion (3).

Dans un contexte mondialisé, mais aussi pour faire face à une situation de crise économique chronique avec des contraintes budgétaires fortes, la DSI doit pouvoir offrir aux métiers plus d’agilité dans le développement de leurs projets. Une autre grande tendance du Cloud Expo Europe pour l’année à venir est ainsi de mettre en avant la force du cloud hybride. En unifiant les usages des clouds publics et privés, le cloud hybride permet de fédérer les nouveaux outils. Le cloud hybride résultat de cette unification offre beaucoup plus d’opportunités pour les DSI que chacun séparément.

Nota : Eric Le Quellenec interviendra au Cloud Expo Europe (4) les 29 et 30 novembre 2016 Porte de Versailles, programme à suivre.

Eric Le Quellenec
Lexing Droit Informatique

(1) Alain Bensoussan, Post du 21-4-2016.
(2) Eric Le Quelllenec, Post du 1-6-2016.
(3) Eric Le Quelllenec, Post du 21-4-2016.
(4) Site internet de Cloud Expo Europe.




IoT et cloud : gérer la sécurité par le contrat

IoT et cloud : gérer la sécurité par le contratIoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.


La sécurité des objets connectés (ou Internet of Things, « IoT ») dépend de celle du cloud permettant d’en recueillir et traiter les données : bien négocier son contrat cloud est dès lors primordial.

Le talon d’Achille des objets connectés est la sécurité. Cela doit s’apprécier au niveau du transfert des données collectées, c’est-à-dire du réseau de télécommunications, mais aussi au niveau de l’espace de stockage et d’hébergement de ces données, voire des outils de traitement de ces données. C’est là qu’intervient le cloud computing, car, en effet, à la différence des simples interactions Machine to Machine (M2M), IoT et cloud sont consubstantiels (1).

Le contrat IoT et cloud sera le plus souvent de type SaaS dans la mesure où il s’agit de stocker une grande quantité de données (big data) mais aussi de les traiter et les analyser au moyen d’outils logiciels performants (smart data). Le porteur de projet pourra toutefois se contenter d’un contrat PaaS, s’il sait développer sa propre application à partir des outils de développement mis à sa disposition ou même simplement IaaS, si c’est juste l’infrastructure de stockage qu’il recherche dans son projet IoT et cloud.

Les recommandations formulées notamment par les autorités de contrôle européennes (groupe de l’article 29) (2) mais aussi les bonnes pratiques formulées par l’Anssi (3) doivent se traduire dans le contrat mettant en place l’architecture d’un système IoT et Cloud.

Plus précisément, le contrat IoT et cloud comprendra toutes les clauses adaptées pour en sécuriser le périmètre et la qualité des livrables (4). La question de la sécurité étant centrale, il convient à ce titre de :

  • fixer le périmètre technique des responsabilités confiées au prestataire et notamment ses missions de surveillance et supervision ;
  • imposer au prestataire le respect de la norme PCIDSS en cas de traitement de données de paiement ;
  • prévoir une garantie de respect des normes constituant l’état de l’art et selon les cas ISO 27001 et 27018 ;
  • exiger du prestataire une annexe sécurité laquelle comprendra un plan de reprise et de continuité d’activité ;
  • organiser contractuellement la gestion des éventuelles failles de sécurité (en particulier grâce à un « data breach process ») ;
  • prévoir que le prestataire se porte fort des engagements de sécurité et de confidentialité par ses collaborateurs et sous-traitants ;
  • prévoir une clause d’audit de sécurité pouvant être mise en œuvre au minimum tous les 18 mois.

Le contrat IoT et cloud, rédigé sur de telles bases, « contribuera à instaurer une relation durable de confiance » entre prestataires, au bénéfice d’utilisateurs toujours plus nombreux.

Eric Le Quellenec
Lexing Informatique conseil

(1) Chantal Polsonetti, « Know the difference between IoT and M2M », Automation world, post du 15-7-2014.
(2) Cnil, Communiqué G29, Avis sur l’internet des objets, 2-10-2014.
(3) ANSSI, Bonnes pratiques de la sécurité informatique.
(4) Éric Le Quellenec, « Cloud computing : renforcer la confiance entre client et prestataire »,  post du 17-8-2015.




Sécurité des autoroutes intelligentes et des données

sécurité des autoroutes intelligentes La sécurité des autoroutes intelligentes est intrinsèquement liée à une priorité d’ordre public, la sécurité routière. La protection des usagers du réseau autoroutier a été érigée en droit français au rang d’impératif public, la France ayant ratifié par décret la convention de Vienne sur la signalisation et la circulation routière du 8 novembre 1968.

A l’époque, seuls les tronçons « normaux » d’autoroutes étaient concernés, mais cette protection des automobilistes a vocation à évoluer en raison du développement des autoroutes intelligentes et passera nécessairement par la sécurisation logique des données collectées, traitées et/ou produites par ces dernières : images, vidéos, données de paiement sans contact aux péages, aide à la conduite, etc.

Assurer la sécurité des données, c’est pouvoir disposer, en permanence, d’un outil fiable pour lequel toutes précautions utiles doivent être prises afin d’empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès à des fins répréhensibles.

Parmi ces données, un certain nombre sera amené à jouer un rôle essentiel sur le comportement même des automobilistes en ce que les autoroutes intelligentes embarqueront notamment des capteurs thermosensibles, adaptant la chaussée aux changements climatiques et/ou régulant les vitesses des véhicules en tant que de besoin si les conditions l’exigent.

Elles joueront donc un rôle préventif fondamental auprès des usagers et l’intégrité et la sécurité desdites données devra être assurée.

La sécurité des autoroutes intelligentes sera inévitablement confrontée à des risques de par leur connexion permanente aux réseaux de télécommunications, problématique qui devra être prise en compte très en amont – on pourrait parler de security by design – tant lors de la conception que de l’exploitation des autoroutes intelligentes.

Il est ainsi impératif de prévoir l’adoption de mesures de sécurité tant physique que logique.

A défaut, les constructeurs et autres fabricants de composants connectés conçus pour les autoroutes intelligentes, voire même les concessionnaires et exploitants des réseaux autoroutiers pourraient voir leur responsabilité engagée en cas d’atteinte aux systèmes en charge de la régulation des autoroutes intelligentes.

Par ailleurs, l’ETSI (European Telecommunications Standards Institute), principal organisme de normalisation des technologies de l’information et de la communication en Europe, a mis en place un comité technique sur la cybersécurité (dénommé « TC CYBER » pour Technical Committee Cyber Security) afin de répondre aux exigences croissantes en matière de normes dans ce domaine. Il conviendra de suivre les travaux de ce comité en ce qu’ils pourraient permettre de définir un niveau de sécurité adapté aux exigences des autoroutes intelligentes.

Dans tous les cas, il est recommandé de prévoir :

  • contractuellement un strict respect a minima des normes ISO dédiées à la sécurité de l’information (1) ;
  • la réalisation d’audits de sécurité afin d’anticiper au mieux les éventuelles attaques ciblant les potentielles failles logicielles relatives aux autoroutes intelligentes.

Des politiques de sécurité des autoroutes intelligentes devront être mises en place, prévoyant des mesures de sécurité adaptées : sécurisation des données hébergées, chiffrement des données, protection accrue des réseaux et des terminaux, etc.

Il n’est aujourd’hui plus concevable d’appréhender les autoroutes comme de simples infrastructures de transport, mais plutôt comme une technologie à part entière nécessairement impactée par les problématiques juridiques relatives à l’informatique, aux télécoms, aux réseaux, à l’électronique embarquée et, plus largement – de par leur statut – aux spécificités du droit des opérateurs d’importance vitale.

Enfin, les enjeux des autoroutes intelligentes devront également être examinés à la lumière du futur règlement européen sur la protection des données personnelles, les données collectées, traitées et/ou produites par ces dernières étant mécaniquement des données de masse à maîtriser.

Les acteurs du secteur devront notamment anticiper la notion de privacy by design et procéder à des études d’impact le cas échéant.

Lexing Alain Bensoussan Avocats
Thomas Boutan
Lexing Droit numérique

(1) Outre les normes ISO 27001 et 27002, les normes ISO 27017 (security) et norme ISO 27018 (privacy) pour le Cloud computing par exemple (voir le Post du 7-12-2015).




Adoption par Microsoft de la norme ISO 27018 pour son cloud

Adoption par Microsoft de la norme ISO 27018 pour son cloudA l’heure où le cloud computing représente un environnement incontournable, l’objectif majeur des prestataires de service de cloud est de veiller à la protection des données personnelles de leurs utilisateurs afin d’assurer l’attractivité et la fiabilité de leurs solutions.

A cet égard, il convient de rappeler que le G29 (1) avait considéré dans un communiqué en date du 24 avril 2014 que les documents contractuels de Microsoft (le « MS Agreement ») étaient conformes aux clauses contractuelles types 2010/87/UE (2) et ainsi aux exigences de l’UE issues de la Directive 95/46/CE (3) en matière de flux transfrontières de données. Néanmoins, le G29 rappelait que cette évaluation partielle n’était pas significative de leur conformité avec l’intégralité des règles européennes de protection des données personnelles et par voie de conséquence avec la loi informatique et libertés française (4). Une telle reconnaissance n’impliquait par ailleurs nullement le respect par Microsoft de ces règles dans la pratique.

Microsoft a donc décidé de se conformer à la norme ISO 27018 (5) pour ses services de cloud computing aux entreprises. Cette norme, élaborée dans le prolongement des normes ISO 27001 et 27002 relatives à la protection des systèmes d’information et notamment des données à caractère personnel pouvant y être traitées, constitue la première norme internationale spécifique au cloud computing.

En effet, l’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC) ont récemment encadré le cloud computing dans trois normes spécifiques dont les normes ISO 17788 et ISO 17789 relatives, respectivement, (i) à la vue d’ensemble, aux acteurs, aux services et au vocabulaire de « l’information en nuage » et (ii) à son « architecture de référence ». Conformément à la Directive 95/46/CE (6), la norme ISO 27018 relative aux techniques de sécurité a, quant à elle, créé un code de bonnes pratiques pour la protection des données personnelles dans l’informatique en nuage. Cette dernière impose aux prestataires de services de cloud computing qui s’y conforment de respecter des mesures précises concernant le traitement des données personnelles par leurs outils.

Cette norme offre ainsi un cadre normatif permettant de contrôler les engagements pris par les prestataires de solutions de cloud computing, et notamment s’agissant de la sécurité et de la confidentialité des données.

En se conformant à la norme ISO 27018, Microsoft choisit donc de s’engager auprès de ses clients à respecter ce « code de bonnes pratiques » pour la protection des données personnelles dans le cadre de l’utilisation des techniques de cloud computing (7).

Microsoft, dans son communiqué du 16 février dernier, rappelle d’ailleurs les principes érigés par cette norme et qu’il s’engage donc à respecter s’agissant de ses services de cloud computing, et notamment :

  • un contrôle par le client du traitement des données à caractère personnel qui ne le seront que selon les instructions de celui-ci ;
  • une connaissance complète par le client de l’utilisation faite des données confiées (localisation, stockage sur les data centers, destination des données, …) ;
  • une information des clients sur tout accès non autorisé, perte, altération ou divulgation d’informations personnelles ;
  • une protection renforcée des données (traitement strictement encadré, diffusion restreinte, processus de récupération et de restauration, soumission de toute personne étant amenée à traiter ces données à une obligation de confidentialité, etc.) ;
  • une absence d’exploitation des données à des fins publicitaires (sauf autorisation du client) ;
  • une information des clients concernant les demandes d’accès à ces données par les autorités étatiques (sauf lorsqu’une telle information est interdite).

En tout état de cause, cette norme ISO 27018 doit être l’occasion, pour les prestataires de services de cloud computing, d’envisager l’opportunité du déploiement, tant technique que juridique, d’un processus de mise en conformité en vue par exemple d’une certification.

Alain Bensoussan
Alexia Chameroy
Lexing Droit informatique et libertés

(1) Groupe de travail de l’article 29 de la directive du 24-10-1995 sur la protection des données et la libre circulation réunissant les autorités européennes de protection des données.
(2) Décision de la commission du 5-2-2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.
(3) Directive 95/46/CE du 24-10-1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(4) Loi n° 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(5) www.iso.org/
(6) Directive Européenne 97/66/ce du 15-12-1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications.
(7)  Eric Le Quellenec , « L’impact des nouvelles normes ISO sur le Cloud computing« , Post du 26-1-2015.




Dématérialisation : les enjeux techniques et juridiques

Dématérialisation : les enjeux techniques et juridiquesIntervenant lors de la première journée Lexing Tendances du 25 octobre 2012, Alain Bensoussan  a évoqué les enjeux techniques et juridiques de la dématérialisation, des propos recueillis par Louise Guerre pour Archimag.

Les enjeux techniques, complexes et protéiforme,précèdent les enjeux juridiques, la technique déterminant le juridique et non le contraire.

La normalisation est aujourd’hui la problématique juridique majeure, les normes de sécurité (Iso 27001), les normes de dématérialisation (NF Z42-013, X509V3 pour le certificat électroniques, RFC 3161 pour l’horodatage, etc.) et les normes génériques (Iso 9001) constituant une véritable mutation pour les juristes. La norme est devenue un élément majeur de la dématérialisation, sans compter les organismes qui définissent leur propre règle : les Archives de France, la Fédération nationale des tiers de confiance (FNTC) qui délivre un label. L’évolution devrait se poursuivre  en ce sens.

Le droit de l’électronique, né en mars 2000, autorise la preuve par écrit, quels que soient le support et les modalités de transmission. « L’écrit sur support électronique a la même force probante que l’écrit sur support papier » : article 1316-3 du Code civil. Quant à la notion de support durable, elle est adoptée en droit national dès 2005, comme incluant les disquettes informatiques, les cédéroms, DVD, disques durs, etc.

La signature électronique, les contrats sous forme électronique sont autorisés sous réserve des procédés mis en place. Concrètement, il s’agit du droit de dématérialiser les factures, les bulletins de paie et les lettres recommandées. Les documents peuvent être électroniques, mais le problème n’est pas là. En cas de contentieux, ce qui fera preuve, c’est le process mis en place afin d’assurer l’identité, prouver l’accord du salarié pour le bulletin de paie ou l’intégrité d’un document – le fait qu’il ne puisse pas être modifié – pour une facture.

Aujourd’hui, nous sommes passés à un nouveau stade. L’Etat comme les collectivités et les entreprises sont soumis à une obligation de dématérialiser : par exemple, les factures pour le secteur public, les réponses aux appels d’offres ou encore l’obligation de télédéclarer la TVA pour les entreprises réalisant plus de 230 000 euros de chiffre d’affaires. Ce seuil sera abaissé, puis supprimé au premier octobre 2014.

Les tendances 2013-2015 verront la notion de « procédé fiable » prendre de plus en plus d’importance. La convention de preuve va se généraliser, car tout consommateur signant un contrat électronique devra au préalable en avoir donné l’autorisation, à travers la signature d’une convention de preuve. La dématérialisation des marchés avance dans presque tous les pays et le contrat vocal ou la lettre recommandée électronique sont en cours de déploiement. Des questions importantes devront être résolues concernant l’identité numérique, avec peut-être un jour le droit au zéro papier.

«Dématérialisation et archivage électronique : les tendances», Archimag, post du 4-1-2013.




norme NF systèmes de management de la sécurité informatique

Expertises judiciaires ICE et Audit

Sécurité des systèmes d’information

Bientôt une norme NF sur les systèmes de management de la sécurité informatique…

La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System).

Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus :

  • Définir une politique de la sécurité des informations,
  • Définir le périmètre du Système de Management de la sécurité de l’information,
  • Réaliser une évaluation des risques liés à la sécurité,
  • Gérer les risques identifiés,
  • Choisir et mettre en oeuvre les contrôles,
  • Préparer un SoA ( « statement of applicability »).

    Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA).

    Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF.

    Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007

    (Mise en ligne Juillet 2007)




  • Management des systèmes d’information:bientôt une nouvelle norme

    Dématérialisation et archivage électronique

    Normes

    Bientôt une norme NF sur les systèmes de management de la sécurité informatique…

    La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System).

    Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus :

  • Définir une politique de la sécurité des informations,
  • Définir le périmètre du Système de Management de la sécurité de l’information,
  • Réaliser une évaluation des risques liés à la sécurité,
  • Gérer les risques identifiés,
  • Choisir et mettre en oeuvre les contrôles,
  • Préparer un SoA ( « statement of applicability »).

    Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA).

    Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF.

    Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007

    (Mise en ligne Juillet 2007)




  • Le management de la sécurité des SI normalisé par l’AFNOR

    management de la sécurité Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée par l’AFNOR le 14 novembre 2007 a été publiée pour prendre effet le 14 décembre 2007 (1).

    Les exigences relatives au management de la sécurité

    La norme spécifie les exigences relatives au management de la sécurité (établissement, mise en oeuvre, fonctionnement, surveillance, réexamen, mise à jour et amélioration d’un Système de Management de la Sécurité et de l’Information (SMSI) documenté, dans le contexte des risques globaux liés à l’activité de tout type d’organisme, public comme privé, y compris à but non lucratif.

    Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2).

    Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi l’adoption d’une approche « processus » pour l’établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration d’un SMSI.

    Elle applique les principes de la qualité à la sécurité de l’information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.

    La norme 27001 : 2007 présente de nombreux avantages. Mais il en est un auquel on ne saurait rester insensible : sa valeur légale. La norme prévoit en effet, l’obligation pour l’entreprise de tenir compte non seulement des exigences liées à son activité mais également « des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles » [voir 4.2.1b)].

    Management de la sécurité et méthodologie

    Pour cela, l’entreprise doit identifier une méthodologie d’appréciation du risque adaptée à son SMSI, ainsi qu’à la sécurité de l’information identifiée et aux exigences légales et réglementaires [voir 4.2.1c)].

    Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d’appréciation du risque et de traitement du risque.

    Cette sélection doit tenir compte des critères d’acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles [voir 4.2.1g)].

    Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice.

    (1) NF ISO/CEI 27001 : 2007-12
    (2) « Planifier-Déployer-Contrôler-Agir » ou roue de Deming

    Paru dans la JTIT n°71/2007

    (Mise en ligne Décembre 2007)

    Autres brèves

    (Mise en ligne Juillet 2007)

    (Mise en ligne Mars 2006)




    une norme NF sur la sécurité des systèmes d'information

    Sécurité des systèmes d’information

    Normes

    Bientôt une norme NF sur les systèmes de management de la sécurité informatique

    La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System).

    Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus :

  • Définir une politique de la sécurité des informations,
  • Définir le périmètre du Système de Management de la sécurité de l’information,
  • Réaliser une évaluation des risques liés à la sécurité,
  • Gérer les risques identifiés,
  • Choisir et mettre en oeuvre les contrôles,
  • Préparer un SoA ( « statement of applicability »).

    Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA).

    Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF.

    Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007

    (Mise en ligne Juillet 2007)




  • L'amélioration de la sécurité des systèmes d'information

    Contentieux informatique
    Sécurité

    Le management de la sécurité des SI enfin normalisé par l’AFNOR !

    La norme NF ISO/CEI 27001 : 2007-12 homologuée par l’AFNOR le 14 novembre 2007 vient d’être publiée pour prendre effet le 14 décembre 2007 (1). Elle spécifie les exigences relatives au management de la sécurité (établissement, mise en oeuvre, fonctionnement, surveillance, réexamen, mise à jour et amélioration d’un Système de Management de la Sécurité et de l’Information (SMSI) documenté, dans le contexte des risques globaux liés à l’activité de tout type d’organisme, public comme privé, y compris à but non lucratif.

    Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2). Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi, l’adoption d’une approche « processus » pour l’établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration d’un SMSI. Elle applique les principes de la qualité à la sécurité de l’information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.

    La norme 27001 : 2007 présente de nombreux avantages. Mais il en est un auquel on ne saurait rester insensible : sa valeur légale. La norme prévoit en effet, l’obligation pour l’entreprise de tenir compte non seulement des exigences liées à son activité mais également « des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles ».

    Pour cela, l’entreprise doit identifier une méthodologie d’appréciation du risque adaptée à son SMSI, ainsi qu’à la sécurité de l’information identifiée et aux exigences légales et réglementaires. Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d’appréciation du risque et de traitement du risque. Cette sélection doit tenir compte des critères d’acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles. Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice.

    (1) NF ISO/CEI 27001 : 2007-12.
    (2) « Planifier-Déployer-Contrôler-Agir » ou roue de Deming

    Paru dans la JTIT n°71/2007

    (Mise en ligne Décembre 2007)

    Autres brèves




    norme NF et systèmes de management de la sécurité informatique

    Contentieux informatique

    Sécurité

    Bientôt une norme NF sur les systèmes de management de la sécurité informatique…

    La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System).

    Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus :

  • Définir une politique de la sécurité des informations,
  • Définir le périmètre du Système de Management de la sécurité de l’information,
  • Réaliser une évaluation des risques liés à la sécurité,
  • Gérer les risques identifiés,
  • Choisir et mettre en oeuvre les contrôles,
  • Préparer un SoA ( « statement of applicability »).

    Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA).

    Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF.

    Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007

    (Mise en ligne Juillet 2007)




  • L’AFNOR normalise le e-management de la sécurité des SI

    e-management de la sécurité des SILe e-management de la sécurité des SI normalisé par l’AFNOR. La norme NF ISO/CEI 27001 : 2007-12 homologuée par l’AFNOR le 14 novembre 2007 a été publiée pour prendre effet le 14 décembre 2007 (1).

    Elle spécifie les exigences relatives au management de la sécurité (établissement, mise en oeuvre, fonctionnement, surveillance, réexamen, mise à jour et amélioration d’un Système de Management de la Sécurité et de l’Information (SMSI) documenté, dans le contexte des risques globaux liés à l’activité de tout type d’organisme, public comme privé, y compris à but non lucratif.

    Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2). Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi, l’adoption d’une approche « processus » pour l’établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration d’un SMSI. Elle applique les principes de la qualité à la sécurité de l’information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.

    La norme 27001 : 2007 présente de nombreux avantages. Mais il en est un auquel on ne saurait rester insensible : sa valeur légale. La norme prévoit en effet, l’obligation pour l’entreprise de tenir compte non seulement des exigences liées à son activité mais également « des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles » [voir 4.2.1b)].

    Pour cela, l’entreprise doit identifier une méthodologie d’appréciation du risque adaptée à son SMSI, ainsi qu’à la sécurité de l’information identifiée et aux exigences légales et réglementaires [voir 4.2.1c)]. Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d’appréciation du risque et de traitement du risque. Cette sélection doit tenir compte des critères d’acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles [voir 4.2.1g)]. Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice.

    (1) NF ISO/CEI 27001 : 2007-12
    (2) « Planifier-Déployer-Contrôler-Agir » ou roue de Deming

    Paru dans la JTIT n°71/2007

    (Mise en ligne Décembre 2007)