Hackers éthiques, défaut de sécurité et République numérique

Hackers éthiques, défaut de sécurité et République numérique

Le sujet des lanceurs d’alerte occupe le devant de la scène médiatique. Qu’en est-il quand des white hats ou hackers éthiques alertent de l’existence d’un défaut de sécurité ?

Les magistrats avaient pourtant déjà répondu à cette question en traçant des lignes claires (cf. notre commentaire de l’affaire Bluetouff), mais le projet de loi Lemaire ne pouvait décemment pas être adopté sans aborder (aussi) cette question.

C’est l’objet de l’article 20 septies du projet de loi dont le contenu a été profondément remanié au Sénat.

Contrairement à la rédaction proposé par l’Assemblée nationale en première lecture, En insérant un nouvel article L. 2321-4[1] à la suite de ces dispositions, les sénateurs prévoient ainsi non seulement des conditions très claires de « lancement de l’alerte » en matière de SSI, mais surtout un point d’entrée unique en insérant un nouvel article L. 2321-4[1] dans le Code de la défense.. En synthèse, cet article ouvre la possibilité d’avertir l’ANSSI de l’existence de vulnérabilités affectant un système d’information. Si le white hat est de bonne foi et n’a pas préalablement rendu l’information publique, l’ANSSI se charge alors de préserver son identité confidentielle, ainsi que les conditions d’obtention de l’information, et avertit l’hébergeur, l’opérateur ou le responsable du système d’information de la menace, une fois le risque caractérisé.

Comment et pourquoi en est-on arrivé là ? Vous trouverez toutes les réponses à ces questions dans notre chronique publiée sur silicon.fr.

Jurisprudence vol de données : un train de retard ?

Jurisprudence vol de données : un train de retard ?

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de « vol » appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de « l’affaire Bluetouff ».

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

« soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

CNIL, anonymisation et décisions de justice : évitons la caricature !

CNIL, anonymisation et décisions de justice : évitons la caricature !

Le 11 mars 2015, le Conseil d’Etat a enjoint la Commission Nationale Informatique et Libertés (CNIL) de procéder à l’anonymisation du nom d’une société citée dans une de ses décisions, la seule société E.[1], cette dernière n’ayant pas fait l’objet de la sanction prononcée : elle n’opérait qu’en tant que fournisseur de la solution technique dont l’utilisation était l’objet du litige.

Cette solution a pu provoquer un certain trouble, c’est peu de le dire, lié au fait que la CNIL dispense elle-même les règles à adopter en matière d’anonymisation des décisions de justice.

Mais est-ce aussi simple ? Et la décision du Conseil d’Etat est-elle aussi surprenante ? (…)

Les data issues des objets connectés du salarié, objets de convoitise ?

Les data issues des objets connectés du salarié, objets de convoitise ?

Nous avions évoqué l’évolution de la notion du BYOD dans l’entreprise dans notre premier billet du triptyque, intitulé Les défis du BYOD face à la transition numérique de l’entreprise”. La pratique s’est surtout développée aux USA, où les entreprises y ont vu un élément d’attractivité et d’image auprès des plus jeunes candidats et collaborateurs, tout en comprenant les avantages financiers qu’elles pouvaient en tirer.
En revanche, l’intégration dans les entreprises françaises ne s’est pas véritablement opérée. Le plus souvent, le phénomène a mué vers le développement du COPE (“Corporate Owned, Personnaly Enabled”), en raison de contraintes culturelles, sociales, fiscales, sécuritaires.
Rien de révolutionnaire toutefois, puisque le COPE consiste simplement à agrandir le catalogue des terminaux informatiques fournis par l’entreprise et destinés à être connectés à son système d’information, tout en laissant une liberté plus grande au salarié concernant une utilisation faite à titre privé dudit terminal. 

Quel COPE pour les objets connectés ?

Si l’on étudie les conséquences de l’émergence prévisible des objets connectés dans l’entreprise (cf. notre second billet “Droit à la déconnexion et objets connectés”), la situation apparaît bien différente (…)

Protection du « secret d’affaires » : la contre-attaque du retour de la revanche ?

Protection du « secret d’affaires » : la contre-attaque du retour de la revanche ?

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

Une signature électronique trop vite présumée fiable ?

Une signature électronique trop vite présumée fiable ?

La juridiction de proximité de Nantes a rendu un jugement le 19 décembre 2014 concernant un litige sur le mauvais fonctionnement d’une connexion haut débit. Mais ce qui est intéressant dans cette décision n’est pas le fond de l’affaire – une décision parmi d’autres en matière de droit à la consommation – ni le fait que le tribunal valide l’utilisation par le demandeur de la solution « DemanderJustice.com », comme l’avait fait avant elle la juridiction de proximité d’Antibes le 7 mars 2013.

Ce qui nous intéresse ici est plutôt la qualification juridique opérée par le Tribunal de la solution de signature mise à disposition par le service DemanderJustice, et utilisée par le client. L’analyse des éléments de l’affaire, tout comme le fondement de la décision, montre ainsi une vision particulièrement floue de la solution de signature électronique utilisée, qui aurait mérité d’autres égards. D’autant que la qualification juridique opérée prête – inutilement ! – le flanc à une éventuelle cassation, avec les conséquences négatives que cela pourrait entraîner quant à la reconnaissance juridique de (…)

Espionnage dans l’entreprise : le DSI prenait ses aises

Espionnage dans l’entreprise : le DSI prenait ses aises

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du SI de l’employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiés. Quant aux administrateurs des systèmes informatiques, chargés en pratique s’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, certains d’entre eux abusent effectivement de leur droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoit de façon fréquente aux formalités « informatique et libertés » accomplies mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclation… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de (…)

Droit à la déconnexion et objets connectés

Droit à la déconnexion et objets connectés

Le “droit” à la déconnexion que nous évoquions à la fin de notre billet introductif Les défis du BYOD face à la transition numérique de l’entreprise” est un sujet récurrent depuis plus d’une quinzaine d’années. Il s’inscrit aujourd’hui avec d’autant plus d’urgence dans l’agenda des entreprises que la transition numérique devient le principal axe stratégique et que les nouveaux outils de communication semblent modeler une nouvelle organisation du travail.

Juridiquement, le “droit” à la déconnexion n’est pas (encore ?) un droit opposable à l’employeur, les magistrats de la Cour d’appel de Paris ayant par exemple refusé de le reconnaître en tant que tel dans une affaire le 23 novembre 2011 alors que le salarié invoquait sa violation. Néanmoins, (…)

Co-écrit avec Franck La Pinta.

Droit des nouvelles technologies: un droit en plein essor… mais au contenu imprécis ?

Droit des nouvelles technologies: un droit en plein essor… mais au contenu imprécis ?
La question m’ayant été adressée à plusieurs reprises ces derniers temps, un billet semble utile pour décrire et tenter de circonscrire la notion de « droit des nouvelles technologies ». Est-ce une (nouvelle ?) matière en soi ? Que recouvre le terme ? Quels sont les domaines du droit concernés ? Petite synthèse…

[N’hésitez pas à me faire part de vos commentaires : le contenu de ce billet est destiné à être enrichi au cours du temps, en fonction notamment des remarques et observations que vous pourrez formuler]

Une précision tout d’abord : le « droit des nouvelles technologies », si la matière a acquis petit à petit ses lettres de noblesse, est une notion relativement récente, surtout par rapport à d’autres domaines juridiques (droit civil, droit administratif, etc.). Elle est apparue avec l’essor de l’informatique, notamment dans le domaine contractuel (contrat de mise à disposition de temps machine, de cession de matériel informatique, d’infogérance ou « facilities management » , etc.), si bien qu’on a pu parler à l’époque de « droit de l’informatique ». Historiquement très liée également avec la propriété intellectuelle (contrat de licences, etc.), elle n’a toutefois obtenu une véritable reconnaissance législative que plus récemment, avec l’adoption le 21 juin 2004 de la Loi pour la Confiance dans l’Economique Numérique  (LCEN), tout à la fois texte de référence existant en tant que tel et, dans le même temps (…)

Les défis du BYOD face à la transition numérique de l’entreprise

Les défis du BYOD face à la transition numérique de l’entreprise

Cuddling with multiple devices Le BOYD – entendez le “Bring Your Own Device” ou en français dans le texte, le fait d’apporter son matériel personnel sur le lieu de travail et de travailler avec – semble paré de toutes les vertus. Il fait partie de ces “buzz words”, qui sont nés de l’identification d’une tendance émergente, pour prendre les apparences d’une pierre philosophale qui, frottée à l’entreprise, résoudrait tous ses problèmes : engagement et fidélisation du collaborateur, attractivité des candidats digital natives, image “cool” et 2.0 de l’entreprise, accélérateur de la transition numérique et économies substantielles.

Cette vision idyllique néglige bien souvent d’aborder les conséquences de cet usage, tant pour le collaborateur que pour l’employeur. Or l’un comme l’autre a des droits, mais également des devoirs. Et la question est d’autant plus d’actualité que le collaborateur ne travaille plus seulement avec sa tablette, son téléphone ou son ordinateur portable, mais également avec tous les autres outils de sa vie connecté, de son système de stockage personnel dans le Cloud aux dernières lunettes connectées qu’il vient d’acquérir (…)

Co-écrit avec Franck La Pinta.