Hacking éthique : risques et solutions juridiques
*Ceci est un article basé sur la présentation de Raphaël Rault aux RSSIL*
Les trois thèmes abordés pendant la conférence ont été les risques juridiques, les risques médiatiques pour les entreprises et enfin les sanctions administratives, en particulier les sanctions CNIL, qui est une autorité de contrôle qui vérifie et enregistre les demandes de traitements automatisés de données par les entreprises. Par exemple, la CNIL a sanctionné Google, ce qui a d’ailleurs été sa sanction la plus élevée puisqu’elle a condamné l’entreprise Mountain View à 100 000€. En comparaison la CNIL espagnole condamne à hauteur de 22 Millions d’Euros en 2010 (cumulés) ce qui s’explique par le fait qu’elle se finance sur les sanctions qu’elle prononce. Ce n’est pas le cas de la CNIL qui est financée par l’Etat.
Les risques juridiques
Lorsque quelqu’un est responsable d’un système d’information, il doit s’intéresser aux menaces extérieures et aux menaces intérieures.
Pour les menaces extérieures, il doit veiller à la sécurisation logicielle, c’est-à-dire contre les attaques globales (virus), les attaques ciblées (déni de service), à la sécurisation matérielle, à savoir, l’accès aux locaux.
Pour les menaces intérieures, c’est surtout la gestion humaine qui va entrer en scène avec des salariés qui notent les mots de passe sur des post-it à côté de leurs postes de travail.
La sécurité va également dépendre de l’activité de l’entreprise. Lorsque l’on gère des données personnelles relatives à la santé, le degré de sécurité ne sera pas le même qu’une entreprise gérant le calibrage des navets. Il faut donc garder une certaine vigilance.
Il convient alors d’imposer certaines règles de vigilance et de sécurité mais également de les expliquer.
Le premier risque est le risque pénal. Quand on a un système d’information et que l’on se fait attaquer, c’est un manquement à l’obligation de sécurisation, figurant dans la loi informatique et liberté et qui prend de plus en plus d’ampleur. En effet, actuellement, un projet communautaire concernant l’informatique travaille sur un renforcement de l’obligation de sécurisation pour les entreprises. A l’heure actuelle, la situation est la même que celle qui avait été soulevée dans l’affaire Tati c/ Kitetoa. En l’espèce, Kitetoa avait informé qu’il existait des failles sur le site de Tati et que des données personnelles pouvaient potentiellement se retrouver dans la nature. Tati s’était alors retourné contre Kitetoa qui avait opposé à l’entreprise son obligation de sécurisation et de surveillance.
Le risque civil concerne le monde du travail : le chef d’entreprise est responsable des fautes commises par son salarié sauf si le salarié a agi en dehors de ses fonctions et que l’acte délictueux est totalement étranger à sa mission de travail. Un salarié qui va attaquer le site d’une société concurrente, cela peut relever de la responsabilité de l’employeur sauf si l’employeur peut prouver que le salarié a agi de façon indépendante, en dehors de toutes instructions.
Le risque administratif est la sanction de la CNIL. Le risque administratif est corrélé au risque médiatique car la première crainte d’une entreprise est l’impact que cela peut avoir sur sa réputation. C’est pour cela que les entreprises essaient de beaucoup faire parler d’elles sur le Net car plus il y a d’informations sur elles, plus les commentaires négatifs seront noyés dans la masse de données.
Concernant les sanctions CNIL, il y a Google mais il y a également la sanction qu’il y a eu contre Acadomia et l’enjeu de ces sanctions est qu’elles sont publiées. Il faut donc éviter la publication de cette sanction pour que cela n’impacte pas l’image numérique et médiatique de l’entreprise.
Il existe une obligation de signalement des failles de sécurité qui ne concerne actuellement que les FAI. Ils ont l’obligation – à partir du moment où ils constatent qu’il y a une violation des données à caractère personnel – d’en avertir la CNIL dans un premier temps mais aussi et si cela va plus loin, en informer les intéressés.
En l’espèce, Sony aux Etats-Unis, avait dû informer et notifier l’attaque de PSN à ses abonnés américains. En France, cela n’est pas encore une obligation pour les entreprises, cela ne concerne que les FAI.
L’exception concernant cette obligation est la preuve que les mesures de sécurité appropriées ont été mises en œuvre. En l’espèce, Sony avait dû prouver que toutes les mesures de sécurité avaient été déployées or elle avait licencié tout un pôle de sécurité avant l’attaque et elle a dû prouver que ce licenciement n’avait pas diminué le niveau de sécurité.
L’obligation de sécurité figure dans la loi Informatique et Libertés et les sanctions sont – théoriquement – lourdes : 5 ans d’emprisonnement et 500 000€ d’amende. A ce jour, aucune condamnation de ce type n’a été prononcée.
La CNIL a édicté 10 commandements pour instaurer une politique de sécurité rigoureuse :
1. Adopter une politique de mot de passe rigoureuse ;
2. Concevoir une procédure de création et de suppression des comptes utilisateurs ;
3. Sécuriser les postes de travail ;
4. Identifier précisément qui peut avoir accès aux fichiers ;
5. Veiller à la confidentialité des données vis-à-vis des prestataires ;
6. Sécuriser le réseau local ;
7. Sécuriser l’accès physique aux locaux ;
8. Anticiper le risque de perte ou de divulgation de données ;
9. Anticiper et formaliser une politique de sécurité du système d’information ;
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés ».
Les solutions juridiques
Elles vont être relativement simples. Cela consiste en une analyse de risques, une audit de sécurité et aujourd’hui la CNIL édicte un label et des certificats qui vient valider une procédure d’audit de sécurité au regard des critères de l’institution, à la fois sur le plan juridique et sur le plan technique.
Le règlement communautaire va venir renforcer cette obligation de sécurisation notamment en mettant en avant la vie privée. On va prendre en compte la confidentialité des données avant même la création du logiciel. Par ailleurs, il va venir généraliser la question de la notification des failles de sécurité.
Sur le plan juridique, la loi Godfrain est venue créer des infractions spécifiques à l’informatique, par exemple, l’accès et le maintien frauduleux dans un système informatique. Il faudra un élément intentionnel et un élément matériel. Il faudra prouver la volonté de vol et de destruction des données. La charge de la preuve pèse sur le demandeur.
Pour éviter le vol et la destruction des données, il faut procéder à des pentests mais il faut les encadrer contractuellement jusqu’où le prestataire peut aller, avec quels outils, sur quelle cible, à qui le rapport sera adressé, si les données doivent être anonymisées. Cela permet également d’éviter d’impacter les tiers.
L’autre solution consiste à avoir une charte informatique, qui va définir la politique de l’entreprise en matière informatique et qui permettra à l’employeur de s’en prévaloir devant les salariés lorsqu’une faute va être commise. Elle doit être annexée au contrat de travail et être signée par le salarié.
Enfin, concernant les FAI (cela concerne aussi les hôtels, les cybercafés, les aéroports, en bref toutes les infrastructures qui proposent un accès à Internet), ils ont l’obligation de conserver les logs de connexion pendant un an.
La problématique actuelle est celle du BYOD : Bring Your Own Device dans laquelle réside des enjeux quant à la sécurisation des outils, de la responsabilité, etc, ainsi que celle des réseaux sociaux.
Vous pourrez très prochainement retrouver les vidéos des conférences sur le site du RSSIL.
Bonjour, Encore un article de
Bonjour, Encore un article de qualité et instructif, merci !
J’ai juste une petite question (qui s’adresse autant aux éventuels lecteurs qu’à vous). Vous dites: En France, cela n’est pas encore une obligation pour les entreprises, cela ne concerne que les FAI. (parlant de l’obligation de déclarer un sinistre informatique ayant abouti à une fuite d’informations personnelles).
Qu’en est-il pour les entreprises qui, de part l’accès qu’elles procurent à leurs employés, se placent de facto dans une position de FAI vis à vis de ces employés, justement ? Ne sont-elles pas concernées au même titre que les « vrais » FAI eux-mêmes ?
C’est bien ainsi que je l
C’est bien ainsi que je l’avais compris, donc en fin de compte, en France les sociétés peuvent également être concernées si elles fournissent un accès Internet à leurs employés. Et il y en a de plus en plus… :/
Bonne soirée et merci !
Hello et merci 🙂
Hello et merci 🙂
Alors d’après ce que j’ai compris (et je pense que Raphaël veille aux grains), à partir du moment où tu fournis un accès à Internet et que tu ne contestes pas ta qualification de FAI, de facto tu es FAI, donc en fait, à lire strictement la loi de 1978, tu as une obligation de signalement des failles de sécurité. Donc oui, elles sont théoriquement concernées au même titre que les « vrais » FAI.