Les risques liés à la digitalisation forcée par le Covid-19

digitalisation forcée par le Covid-19Les risques liés à la digitalisation forcée par le Covid-19 était le thème de la table ronde organisée par l’EFB le 27 avril 2020 à laquelle participait Anne Renard.

Avec le confinement, c’est une nouvelle organisation du travail qui nous a été imposée, et l’utilisation de nouveaux outils. Quels en sont les risques ? Comment s’en prémunir ?

Aussi, le 27 avril dernier, l’Ecole de Formation professionnelle des Barreaux de la Cour d’appel de Paris, et le Cercle Montesquieu, avaient convié avocats, juristes, universitaires et magistrats à en débattre dans le cadre d’une table ronde virtuelle.

Les risques liés à la digitalisation forcée par le Covid-19

Anne Renard

Animée par Marie Potel-Saville, fondatrice et CEO d’Amurabi, celle-ci réunissait :

  • Iohann le Frapper, ancien directeur juridique groupe Pierre Fabre, membre de l’Advisory Board, Elevate Services ;
  • Myriam Quemener, avocat général à la Cour d’appel de Paris, expert au conseil de l’Europe ;
  • Anne Renard, avocat, directeur du département Conformité et certification du cabinet Lexing Alain Bensoussan Avocats ;
  • Bertrand Warusfel, professeur à l’Université Paris 8, avocat, associé, cabinet FWPA ;
  • Georges Saunier, chef du département Sécurité et justice à l’Institut national des hautes études de la sécurité et de la justice (INHESJ) ;
  • Olivier Bélondrade, directeur juridique groupe Coface, la Factory, Cercle Montesquieu
  • Laure Lavorel, senior associate general counsel, Broadcom, présidente du Cercle Montesquieu.

Surtout, ce fut l’occasion pour Anne Renard d’évoquer les risques spécifiques liés à la protection des données à caractère personnel, et au-delà, comment accompagner au mieux les entreprises en fonction de leur degré de maturité dans le domaine digital.

Retrouvez donc la vidéo :

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Atelier sur la nouvelle méthode EBIOS Risk Manager de l’ANSSI

méthode EBIOSLe 24 janvier 2019, Matthieu Grall,  Président du Club EBIOS présentera la nouvelle méthode EBIOS* RM (1).

Chaque jeudi soir, le cabinet Alain Bensoussan Avocats accompagne les DSI, RSSI, DPO, juristes et étudiants qui souhaitent suivre le MOOC SecNumAcadémie de l’Anssi.

Dans le cadre de ces ateliers et après avoir reçu Christian Daviot, Conseiller stratégie de l’Anssi, le département Sécurité et Organisation du Cabinet dirigé par Anthony Coquer est heureux de recevoir Matthieu Grall (Président du Club EBIOS).

La nouvelle méthode EBIOS RM

Matthieu Grall présentera à cette occasion la nouvelle version EBIOS Risk Manager (2). méthode d’appréciation et de traitement des risques publiée par l’Anssi.

Cette nouvelle version, plus agile et collaborative, permet d’appréhender l’ensemble des systèmes dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et actionnable des scénarios de risque. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30 % de temps en comparaison avec la version de 2010.

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est la méthode de gestion des risques publiée par l’Agence nationale de la sécurité des systèmes d’information (Anssi) du Secrétariat général de la défense et de la sécurité nationale (SGDSN)

(1) Voir notre post, « La nouvelle méthode d’analyse de risque EBIOS Risk Manager ».
(2) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.

Date : Le jeudi 24 janvier 2019 de 20h à 21h30.

Inscriptions closes.




La nouvelle méthode d’analyse de risque EBIOS Risk Manager

EBIOS Risk Manager

L’Anssi a publié en octobre 2018 sa nouvelle méthode d’analyse de risque orientée cyber intitulée EBIOS Risk Manager (1).

Une nouvelle méthode basée sur les retours d’expérience

Cette nouvelle méthodologie, publiée avec le soutien du Club EBIOS, vise à permettre aux dirigeants de mieux appréhender les risques liés aux nouveaux usages numériques.

L’évolution de cette méthodologie, qui se veut agile, prend en compte les différents retours d’expérience des organismes sur la méthodologie EBIOS 2010. Elle intègre notamment les concepts et les normes internationales en vigueur concernant le système de management de la sécurité de l’information.

L’EBIOS Risk Manager repose sur cinq ateliers qui s’inscrivent dans une démarche itérative.

Définition du socle de sécurité

Le premier atelier proposé permet de fixer un périmètre à l’analyse en identifiant les « valeurs métiers » et les biens supports relatifs à ces dernières.

Le premier objectif de cet atelier est d’identifier les événements redoutés associés aux valeurs métiers, ainsi que leurs impacts et leurs gravités.

Le second objectif est de mettre en exergue le socle de sécurité sur la base de référentiels de sécurité qui peuvent s’appliquer à l’objet de l’analyse : par exemple, les règles d’hygiène informatique et bonnes pratiques de sécurité ou les guides de recommandations de l’Anssi, les normes ISO 2700x ou encore les différentes règlementations en vigueur, telles que le RGPD (2), NIS (3), eIDAS (4).

Identification des sources de risques

Le deuxième atelier permet d’évaluer les profils qui pourraient porter atteinte aux missions et aux valeurs métiers de l’organisation. Il s’agit donc principalement d’identifier les sources de risques (organisées ou individuelles) couplées avec leurs objectifs visés. Il s’agit par la suite de sélectionner les couples les plus pertinents en se basant sur la cotation du niveau de motivation, de ressources et d’activité de ces couples.

Définition des scénarios stratégiques

Le troisième atelier a pour objectif d’obtenir une cartographie de l’écosystème pour identifier les parties prenantes les plus vulnérables parmi les partenaires, les prestataires ou les clients. Pour cela, il convient de définir des scénarios stratégiques qui permettent de représenter les chemins d’attaques empruntés par une source de risque pour atteindre son objectif.

Cet atelier permet de définir la cartographie des menaces numériques liées à l’écosystème, ainsi que les parties prenantes critiques, les scénarios stratégiques et les événements redoutés, ainsi que les mesures de sécurité retenues.

Identification des scénarios opérationnels

Le quatrième atelier découle du précédent, afin d’identifier les scénarios opérationnels, en se basant sur les scénarios stratégiques définis précédemment. Ces scénarios opérationnels peuvent se baser sur une multitude de modèles, tel que celui de « cyber kill chain » de Lockheed Martin. La granularité des scénarios opérationnels est à adapter selon la maturité de l’organisation et la profondeur visée par l’analyse de risque. La vraisemblance globale de ces scénarios peut être définie en identifiant la vraisemblance élémentaire de chacune des actions du scénario.

Traitement des risques

En cinquième et dernier lieu, un atelier qui a pour objectif de traiter le risque. De cet atelier, il doit en résulter une cartographie des risques synthétisés, selon leur niveau de vraisemblance et de gravité. Il doit aussi faire ressortir la stratégie de traitement du risque, les mesures de sécurité techniques et organisationnelles à mettre en œuvre et les risques résiduels qui en découlent.

Une méthode qui se veut souple et adaptable

La méthodologie EBIOS Risk Manager est présentée par l’Anssi comme une « boîte à outils » dont les ateliers doivent être adaptés à l’usage désiré.

Ainsi, en plus de permettre de conduire une analyse de risque complète et fine sur un processus ou une activité spécifique de l’organisation, elle permet :

  • d’identifier le socle de sécurité de l’organisation ;
  • d’être en conformité avec les référentiels de sécurité numérique de la Cnil et de l’Anssi ;
  • d’évaluer le niveau de menace de l’écosystème de l’objet de l’analyse ;
  • ou encore d’identifier les axes prioritaires d’amélioration de la sécurité par la réalisation d’une étude préliminaire du risque.

Les différences avec la méthodologie EBIOS 2010

La méthodologie EBIOS Risk Manager apporte des variations terminologiques. Ainsi, les biens essentiels identifiés lors de la réunion d’étude du contexte pour l’EBIOS 2010 deviennent des « valeurs métiers ». Les modules 4 et 5 de l’étude des risques et des mesures de sécurité de l’EBIOS 2010 se retrouvent dans le cinquième atelier sur le traitement des risques. Enfin, on pourra aussi noter que les deux méthodes ne privilégient pas assez l’approche métier dans la démarche d’analyse de risque.

Les divergences se retrouvent essentiellement dans les étapes intermédiaires. On ne considère plus le côté intentionnel des sources de risques : les utilisateurs ou les administrateurs sont alors considérés comme des parties prenantes vulnérables. Par ailleurs, les sources de risques non humaines ne sont plus considérées par la nouvelle méthode.

Le découpage en scénarios stratégiques et opérationnels complexifie la démarche d’analyse mais permet d’offrir une vision globale. Cette approche permet aux dirigeants d’avoir une meilleure compréhension des vulnérabilités de leurs organisations ainsi que des processus.

Une démarche qui reste à éprouver

Si elle se veut plus complète et plus agile, notamment en considérant les transformations rapides liés au numérique, elle semble aussi apporter un niveau de complexité plus important. La méthode EBIOS Risk Manager doit donc désormais être éprouvée par les professionnels de la sécurité des systèmes d’information.

Anthony Coquer
Guillaume Carayon
Lexing Sécurité & Organisation

(1) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.




Analyse d’impact à l’heure du règlement européen

Analyse d'impact à l’heure du règlement européenParmi les nouvelles obligations qui pèsent sur les responsables de traitement figure la réalisation d’une analyse d’impact.

L’article 35 du règlement général sur la protection des données (1) prévoit ainsi que lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Il est précisé qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

Risque élevé. Pour évaluer si un type de traitement peut engendrer un risque élevé, il convient de prendre en compte le recours à des nouvelles technologies, ainsi que la nature, la portée, le contexte et les finalités du traitement.

L’article 35 du règlement décrit plusieurs situations dans lesquelles une analyse d’impact relative à la protection des données sera requise, à savoir :

  • « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 (2), ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public ».

A ce jour, les contours de la notion de « risque élevé » demeurent relativement flous. Le Groupe de l’article 29, qui rassemble les autorités de protection des données de l’Union européenne, pourrait toutefois être amené à préciser cette notion d’ici la fin de l’année 2016 (3).

Par ailleurs, l’article 35 du règlement prévoit que les autorités de contrôle établiront et publieront des listes recensant :

  • les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ;
  • les types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

Eléments de méthodologie. L’article 35 du règlement précise que le responsable de traitement effectue une analyse d’impact « avant le traitement ».

Lorsqu’il effectue cette analyse, il demande conseil au délégué à la protection des données, dans le cas où un tel délégué a été désigné.

Concernant le contenu de cette analyse d’impact, celle-ci doit contenir au moins :

  • « une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».

Le respect, par le responsable de traitement ou le sous-traitant concerné, de codes de conduite approuvés conformément aux dispositions du règlement européen est dûment pris en compte au moment de l’évaluation de l’impact des opérations de traitement.

Les personnes concernées peuvent également être impliquées dans l’analyse. Il est ainsi prévu que « le cas échéant, le responsable de traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu », cela « sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement ».

Par ailleurs, l’article 35 § 10 du règlement évoque la possibilité de réaliser des analyses d’impact générales, lorsque le traitement a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable de traitement est soumis, que ce droit réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question.

Pour finir, l’article 35 énonce que « si nécessaire, le responsable de traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement ».

Consultation préalable de l’autorité. L’article 36 du règlement prévoit également que le responsable de traitement consulte l’autorité de contrôle, préalablement au traitement, lorsqu’une analyse d’impact relative à la protection des données qui aurait été effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si jamais le responsable de traitement ne prenait pas de mesures pour atténuer le risque.

Calendrier. Le règlement général sur la protection des données sera applicable à partir du 25 mai 2018. Les responsables de traitement ont donc deux ans pour se préparer.

Notre conseil. Les organismes devraient dès à présent rédiger des procédures d’analyse d’impact, afin de définir :

  • les personnes devant être impliquées dans une analyse d’impact ;
  • la méthodologie à adopter et les différentes étapes à suivre ;
  • le moment auquel l’analyse d’impact doit être menée.

Il est possible de s’inspirer de travaux déjà publiés tels que  :

  • les guides publiés par la Cnil en juin 2015 « PIA la méthode – Comment mener une EIVP, un PIA » (4) et « PIA l’outillage – Modèles et bases de connaissances » (5) ;
  • le Livre blanc « Gouvernance des données personnelles et analyse d’impact » (6), fruit de la réflexion d’un groupe de travail composé de Cils, juristes d’entreprise, avocats, commissaires aux comptes, ingénieurs et RSSI, coprésidé par Serge Yablonsky du cabinet SYC consultants et Maître Alain Bensoussan.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Règlement 2016/679 du 27-4-2016.
(2) Il s’agit des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
(3) En effet, le G29 a inclut dans son plan d’action 2016 la rédaction de procédures et guidelines destinées à accompagner les responsables de traitement et sous-traitant et à les aider à se préparer au règlement européen. La notion de « risque élevé » et l’analyse d’impact relative à la protection des données figurent parmi les principaux thèmes concernés.
(4) Guide Cnil « PIA la méthode – Comment mener une EIVP, un PIA ».
(5) Guide Cnil « PIA l’outillage – Modèles et bases de connaissances ».
(6) Livre blanc « Gouvernance des données personnelles et analyse d’impact », cf. notre post du 11-12-2014.




Smart grids, une nouvelle cible potentielle de cyberattaques

Smart grids, une nouvelle cible potentielle de cyberattaquesLes Smart grids sont des réseaux en pleine expansion, les risques associés relatifs à leur sécurité étant essentiels.

Pour rappel, les Smart grids sont des réseaux énergétiques, essentiellement électriques, intelligents. Ces réseaux sont dans la capacité d’échanger des informations et données très précises sur toute la chaîne de production. En France, l’exemple le plus connu est le compteur Linky d’ERDF.

Le principal risque lié à ces nouveaux réseaux, comme tout système d’information, est la sécurité des systèmes (1). Les Smart grids pourraient devenir la nouvelle cible des pirates informatiques. En effet, l’utilisation de Smart grids permet de pouvoir contrôler les appareils électroménagers et le chauffage. Il s’agit d’une nouvelle voie d’accès aux réseaux des particuliers mais aussi des entreprises. Cela multiplie donc les risques de perte de contrôle ou d’utilisation illégale.

Pour rappel, en 2010, le ver informatique Stuxnet, créé par la NSA pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium, avait contaminé près de 45 000 systèmes d’information, ayant mené à la prise de contrôle d’automates industriels pour modifier les paramètres de fonctionnement d’installations industrielles en accélérant leur vitesse de rotation. Cette affaire est encore dans toutes les mémoires des industriels. En comparaison, un virus envahissant les réseaux des Smart grids pourrait être utilisé pour provoquer de vastes dégâts, pouvant éventuellement aller jusqu’à un blackout national. De même, la menace pourrait aussi partir des consommateurs essayant de détourner leur réseau intelligent pour modifier leurs tarifs ou leurrer le distributeur.

Pour cette raison, le succès de l’implantation d’un Smart grids passe nécessairement par une volonté des entreprises d’anticiper les risques majeurs liés à la protection de leur système d’information, dès sa conception et son déploiement en adoptant des bonnes pratiques (analyse de risques, liaison avec les autorités, mise en œuvre de systèmes de contrôles robustes avec des capacités de mise à jour, audits réguliers et transparents des systèmes). Les directions d’entreprises doivent prendre conscience des risques liés à ces implantations de réseaux, notamment au regard des données présentes sur leur système d’information, aussi bien des données à caractère personnel, que des données commerciales stratégiques confidentielles. Il conviendrait donc de confier la gestion des incidents à une équipe qualifiée, qui saura mieux protéger leurs données sensibles.

Lexing Alain Bensoussan Avocats
Lexing Droit Intelligence économique

(1) Voir le site de l’Anssi.

 




Les risques auxquels sont exposés les membres des réseaux sociaux

réseaux sociauxVirginie Bensoussan-Brulé a été interviewé par Sociétariat Magazine le magazine des sociétaires de la Caisse d’Epargne d’Ile-de-France, sur les risques auxquels sont exposés les membres des réseaux sociaux (fausses rumeurs, escroquerie, phishing, etc.). Que faire en cas d’usurpation d’identité ? Quelles sont les recommandations ?

Virginie Bensoussan-Brulé pour Sociétariat Magazine, n° 14, été 2013.




Les nouveaux risques TIC : quelle assurabilité ?

risques TICPetit-déjeuner nouveaux risques TIC et assurabilité, du 19 juin 2013 – Jean-François Forgeron, directeur du pôle Informatique & Droit et Nicolas Hélénon, Neotech Assurances (groupe LSN) ont animé un petit-déjeuner débat consacré aux nouveaux risques TIC : quelle assurabilité ?

Du piratage informatique, aux virus, en passant par la perte de données, quelles sont les menaces informatiques assurables ?

Le nombre d’attaques ciblées visant les entreprises a été multiplié par trois entre 2011 et 2012 (18e édition du rapport annuel de la société Symantec publié en avril 2013). Aucune taille d’organisation n’est épargnée, les sous-traitants offrant des portes d’entrées aisées vers de plus grosses entreprises.

Une politique de sécurité ne peut garantir contre toutes les menaces informatiques. Aucun réseau n’est à l’abri d’une faille sécuritaire. Or avec le futur règlement européen sur la protection des données, la notification des failles deviendra une obligation pour toute entreprise, à l’égard des clients en cas d’atteinte à leurs données informatiques.

L’assurance peut intervenir quand la sécurité n’a pas suffit.

  • Quelles sont les menaces informatiques assurables ?
  • Peut-on couvrir les frais de notification (Data Risks Protection) ? d’atteinte à la réputation ?
  • Comment estimer ce que vaut réellement une donnée ? (coût pour remédier à un data breach)
  • L’externalisation en mode cloud change-t-elle l’analyse du risque pour les entreprises clientes de ce type de services ?
  • Quels sont les audits de sécurité du SI à mener ? (tests d’intrusion, droits d’accès, etc.)

Telles ont été les questions qui ont été débattues lors de ce petit-déjeuner.

Le petit-déjeuner a eu lieu dans nos locaux, 29 rue du Colonel Pierre Avia, 75015 Paris.




Conférence : L’ ère du Post-PC, une nouvelle ère ?

ère du Post-PCEmmanuel Walle était à l’édition des Matinales de l’innovation de Grand Paris Seine Ouest le 31 janvier 2013 sur L’ ère du Post-PC. 

Un thème portant sur les aspects juridiques d’un nouveau mode de consommation des données de l’entreprise, des risques techniques et organisationnels (ATAWAD).

Une nouvelle ère, celle de l’après-PC, s’ouvre avec la convergence du design et de la fonctionnalité, de la mobilité et de la performance, des logiciels de bureau et de son univers personnel. Micro-ordinateurs, portables, tablettes, smartphones, téléviseurs, consoles de jeux… notre bureau se déplacera-t-il avec nous ?

L’événement avait lieu au Cube (20 Cours Saint-Vincent, 92130 Issy-les-Moulineaux) et était organisé par Seine Ouest Entreprise

Les Matinales de l’Innovation de Grand Paris Seine Ouest – L’ ère du Post-PC ? : Programme.