EXPLORER

Recommendations

Info

12 <strong>EXPLORER</strong> – IMPACTS ET RÉPONSES Technologie et sécurité Après de bons et loyaux services pendant presque 40 ans, notre très chère loi de 1978 « informatique et libertés » vit ses derniers mois, puisqu’elle sera remplacée, dès mai 2018, au profit du règlement européen en matière de protection des données personnelles. Nous ne pouvons que nous féliciter d’une telle harmonisation. En matière de respect de la vie privée, il est essentiel de pouvoir donner un véritable contrôle aux usagers, qu’ils puissent disposer d’une capacité de décision raisonnable s’agissant de la façon dont leurs données sont collectées et utilisées. En tant qu’acteur privé, nous sommes trop souvent confrontés à des gouvernements qui prennent de plus en plus de mesures unilatérales en vue de saisir des informations conservées en dehors de leurs frontières. Cela peut créer une certaine insécurité juridique et occasionner des conflits de lois obligeant les entreprises privées à ignorer sciemment une loi nationale pour se conformer à celle d’un autre État. Pour exemple récent, le 14 juillet dernier, la Cour d’appel du Second Circuit de New York (« New York Warrant Case ») a donné raison à Microsoft dans un contentieux qui l’opposait au Gouvernement américain. En l’espèce, le FBI avait mis en demeure Microsoft de fournir des données de contenus d’un utilisateur hébergées en Irlande. Microsoft avait contesté l’accès à cette demande au motif que cette requête ne respectait pas les principes de coopération judicaire internationale (« Mutual Legal Assistance Treaty – MLAT ») et devait, en l’espèce, être validée par le juge local irlandais. Le respect de la procédure doit être d’autant plus strict au regard de la typologie des informations stockées. Globalement, nous pouvons identifier trois typologies de données : (1) données de contenu type e-mails, fichiers électroniques, (2) les données hors contenus qui incluent les données de connexion, adresse IP par exemple et (3) les données relatives aux informations d’abonnement, comprenant notamment ce qui est rempli à titre déclaratif par les usagers lors de leur inscription pour ouvrir un compte ou une messagerie par exemple. On comprend aisément que les informations relatives au contenu sont les données les plus sensibles, car elles constituent la substance même de l’échange de l’individu. Il nous semble, en conséquence, nécessaire d’appliquer des règles de procédure plus strictes comprenant un renforcement du contrôle judiciaire lorsqu’une autorité cherche à accéder à ce type de contenu. Si nous reprenons le cas décrit ci-dessus du New York Warrant Case, on comprend qu’un mandat américain portant sur une donnée de contenu hébergée en Europe sans respect des règles procédurales internationales ne peut être accepté. A contrario, ceci reviendrait à lui donner une portée extraterritoriale. Les entreprises et les individus s’attendent légitimement à ce que les informations qu’ils créent et stockent au › SOMMAIRE format numérique bénéficient des mêmes mesures de protection de la vie privée que les informations qu’ils confient en version papier. Toutefois, afin de lutter efficacement contre le terrorisme auquel nous sommes confrontés, nous comprenons que les États aient un besoin manifeste d’accéder aux données numériques. Lorsque des situations d’urgence s’imposent à nous, notamment lorsqu’il y a une atteinte imminente à la vie d’autrui, il est important, voire vital, de pouvoir déroger aux procédures de droit commun. Ainsi, lors des attaques sanglantes au Bataclan le 13 Novembre 2016, Microsoft a mis en place des exceptions au traitement des données, ceci en toute transparence. Lorsque les forces de l’ordre doivent faire face à l’exceptionnel, il est important que les entreprises privées aient la latitude d’adapter leurs procédures en fonction de situations exceptionnelles. Toutefois, la transparence doit être la garante de ces dérogations. Ainsi nous publions, chaque semestre, un rapport annuel de transparence permettant au public de comprendre la manière dont les États exercent leur pouvoir d’investigation. Nous considérons que les innovations actuelles doivent être accompagnées par des lois modernes en mesure de fournir aux autorités compétentes et forces de l’ordre nationales des mécanismes d’accès aux informations numériques garantissant un traitement conforme à la loi, protégeant les droits fondamentaux des citoyens et respectant la souveraineté des nations. Toutefois, nous souhaiterions une meilleure harmonisation et rationalisation des accords internationaux, afin de faciliter le traitement des requêtes et éviter parfois de graves répercussions sur les investigations en cours. Pour Microsoft, construire un Cloud universel passe par la mise en place d’un cadre juridique qui respecte certains droits et valeurs intemporels et assure la sécurité publique. Ce cadre doit être élaboré par les États et soumis à la règle de droit. Même si les approches internationales ou européennes sont importantes, le régime législatif de chaque pays sera différent, car il est bien naturel que les législateurs tiennent compte de leur culture locale et nationale, des usages, des normes, des réalités politiques et économiques du moment. Toutefois, une harmonisation du cadre législatif et réglementaire est nécessaire et vitale. Pour faciliter ce dialogue, nous avons édicté une feuille de route pour un Cloud fiable, responsable et inclusif : «A Cloud For Global Good ». Avec des experts juridiques, des organisations professionnelles, les leaders de notre écosystème et de simples citoyens, nous avons regroupé un ensemble de propositions et de recommandations destinées à offrir un cadre moderne et adapté à la mise en oeuvre d’une nouvelle génération de lois et faire face à ces nouveaux enjeux sociétaux. • n°7 - 2016
<strong>EXPLORER</strong> – IMPACTS ET RÉPONSES Technologie et sécurité 113 LES ENTREPRISES : VICTIMES DE LA CONSUMÉRISATION DES CYBERATTAQUES Nicolas ARPAGIAN Directeur scientifique, Cycle « Sécurité des Usages Numériques », INHESJ L’informatisation des entreprises et des administrations a débuté il y a plusieurs décennies. Depuis lors, les organisations se sont développées en empilant les technologies du moment. Avec un seul mot d’ordre : que l’ensemble continue à fonctionner, sans faire exploser les coûts et en intégrant les épisodes classiques de la vie des affaires (fusion, absorption, délocalisation, externalisation...). Dans ce contexte, la vaste majorité des systèmes d’information en place dans le tissu économique et administratif des pays industrialisés est composée d’ensembles disparates combinant des équipements de plusieurs générations. Ce contexte est une première explication de la vulnérabilité desdits systèmes d’information. Les entreprises sont des corps sociaux qui ont un impact qui va bien au-delà de leur stricte activité économique. Leur fragilisation atteint ces producteurs de richesses mais également leurs collaborateurs et, par extension, toute une chaîne économique : les familles, les fournisseurs, les clients... Avec des conséquences tangibles en ce qui concerne la prospérité collective et l’état d’esprit d’une nation. C’est la raison pour laquelle les cyberattaques visant les entreprises ou les administrations peuvent avoir des finalités crapuleuses classiques, mais également des visées politiques afin de marquer les opinions publiques. Et ainsi influer sur le climat politique. Cette façon de faire peut s’inscrire dans une démarche terroriste, dont le but est précisément de diffuser un sentiment de peur auprès du grand public. Utiliser la cyberattaque comme arme de communication En janvier 2015, plusieurs centaines de sites Internet de collectivités locales, de syndicats d’initiative et autres musées à travers la France ont été victimes de « défaçage », consistant en la prise de contrôle du système de publication d’un site vitrine pour en modifier la page d’accueil. Ici, ce sont des appels au Jihad, de soutien à l’islam et des encouragements à conduire des opérations violentes qui se sont multipliés, prenant la place des informations habituellement présentées sur ces sites. Très impressionnantes, car étant très visuelles, ces campagnes sont en fait d’un faible niveau technique. Les attaquants ayant utilisé un logiciel qui leur désigne simplement les sites Internet dont les gestionnaires n’ont pas effectué les mises à jour basiques de sécurité. n°7 - 2016 › SOMMAIRE
Page 1 and 2:
La revue du département Intelligen
Page 3 and 4:
3 ÉDITORIAL Angélique LAFONT Chef
Page 5 and 6:
EXPLORER L’ENTREPRISE FACE AU TER
Page 7 and 8:
INTRODUCTION 7 d’un malaise socia
Page 9 and 10:
EXPLORER - QUELS ENJEUX ? EXPLORER
Page 11 and 12:
EXPLORER - QUELS ENJEUX ? 11 Attent
Page 13 and 14:
EXPLORER - QUELS ENJEUX ? 13 LES EN
Page 15 and 16:
EXPLORER - QUELS ENJEUX ? 15 de la
Page 17 and 18:
EXPLORER - QUELS ENJEUX ? 17 Interv
Page 19 and 20:
EXPLORER - QUELS ENJEUX ? 19 popula
Page 21 and 22:
EXPLORER - QUELS ENJEUX ? 21 ÉVOLU
Page 23 and 24:
EXPLORER - QUELS ENJEUX ? 23 marqu
Page 25 and 26:
EXPLORER - QUELS ENJEUX ? 25 publiq
Page 27 and 28:
EXPLORER - QUE PEUT L’ÉTAT 27 En
Page 29 and 30:
EXPLORER - QUE PEUT L’ÉTAT Entre
Page 31 and 32:
EXPLORER - QUE PEUT L’ÉTAT Entre
Page 33 and 34:
EXPLORER - QUE PEUT L’ÉTAT Des m
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
EXPLORER - QUE PEUT L’ÉTAT Vers
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
Page 57 and 58:
Page 59 and 60:
Page 61 and 62: EXPLORER - QUE PEUT L’ÉTAT Vers
Page 63 and 64: EXPLORER IMPACTS ET RÉPONSES Quell
Page 65 and 66: EXPLORER - IMPACTS ET RÉPONSES Que
Page 67 and 68: —(3) Cass Soc 26 septembre 2012,
Page 69 and 70: EXPLORER - IMPACTS ET RÉPONSES Que
Page 71 and 72: DOCUMENT PRÉSENTÉ PAR LE GROUPE D
Page 73 and 74: EXPLORER - IMPACTS ET RÉPONSES Fai
Page 87 and 88: EXPLORER - IMPACTS ET RÉPONSES Té
Page 109 and 110: EXPLORER - IMPACTS ET RÉPONSES Tec
Page 111: EXPLORER - IMPACTS ET RÉPONSES Tec
Page 115 and 116: EXPLORER - IMPACTS ET RÉPONSES Tec
Page 117 and 118: —(3) Pour lire le communiqué de
Page 119 and 120: —(8) Pour davantage d’informati
Page 121 and 122: PORTRAIT 121 HÉLÈNE CAZAUX-CHARLE
Page 123 and 124: PORTRAIT 123 réponses pénales, en
Page 125 and 126: ENJEU 125 VERS UNE NORME DE MANAGEM
Page 127 and 128: ENJEU 127 sphère publique. Lorsqu
Page 129 and 130: ACTUALITÉS ÉDITORIALES 129 FOCUS
Page 131 and 132: ACTUALITÉS ÉDITORIALES 131 Le dro
Page 133 and 134: ACTUALITÉS ÉDITORIALES 133 Le sec
Page 135 and 136: ACTUALITÉS ÉDITORIALES 135 Alstom
Page 137 and 138: ACTUALITÉS ÉDITORIALES 137 L’an
Page 139 and 140: ACTUALITÉS ÉDITORIALES 139 Le mon
Page 141 and 142: TEMPS FORTS 141 Ouverture du 7 e cy
Page 143 and 144: TEMPS FORTS 143 Ouverture des sessi
Page 145 and 146: TEMPS FORTS 145 Séminaire de clôt
Page 147 and 148: AGENDA 147 Le 15 décembre 2016 Col
show all

EXPLORER

Create successful ePaper yourself

Delete template?

Save as template?