Le Blog Level Up Legal

Sécurité des systèmes d’information

Notification des failles de sécuritéSécurité des systèmes d'information

Nos anciens articles (mai 2016) – Hackers éthiques, défaut de sécurité et République numérique

François Coupez 387 Views 1 min read

Le sujet des lanceurs d’alerte occupe le devant de la scène médiatique. Qu’en est-il quand des white hats ou hackers éthiques alertent de l’existence d’un défaut de sécurité ?

Les magistrats avaient pourtant déjà répondu à cette question en traçant des lignes claires (cf. notre commentaire de l’affaire Bluetouff), mais le projet de loi Lemaire ne pouvait décemment pas être adopté sans aborder (aussi) cette question.

C’est l’objet de l’article 20 septies du projet de loi dont le contenu a été profondément remanié au Sénat.

Contrairement à la rédaction proposé par l’Assemblée nationale en première lecture, En insérant un nouvel article L. 2321-4[1] à la suite de ces dispositions, les sénateurs prévoient ainsi non seulement des conditions très claires de « lancement de l’alerte » en matière de SSI, mais surtout un point d’entrée unique en insérant un nouvel article L. 2321-4[1] dans le Code de la défense.. En synthèse, cet article ouvre la possibilité d’avertir l’ANSSI de l’existence de vulnérabilités affectant un système d’information. Si le white hat est de bonne foi et n’a pas préalablement rendu l’information publique, l’ANSSI se charge alors de préserver son identité confidentielle, ainsi que les conditions d’obtention de l’information, et avertit l’hébergeur, l’opérateur ou le responsable du système d’information de la menace, une fois le risque caractérisé.

Comment et pourquoi en est-on arrivé là ? Vous trouverez toutes les réponses à ces questions dans notre chronique publiée sur silicon.fr.

En savoir plus...
Règlement européen sur la protection des données à caractère personnel
Cloud ComputingContrats informatiquesNotification des failles de sécuritéProtection des données à caractère personnelSécurité des systèmes d'information

Nos anciens articles (avril 2016) – Le RGPD finalement adopté ! [Edit du 4 mai 2016]

Level Up Legal 444 Views 5 min read

[Edit 4 mai 2016 : le règlement 2016/679 vient d’être publié ce jour au Journal Officiel de l’Union Européenne !]

Enfin !

Le Parlement européen a adopté, il y a quelques heures, le Règlement européen relatif à la protection des données à caractère personnel et à la libre circulation de ces données (dit aussi  « RGDP »). Pour applaudir et saluer cette adoption comme il se doit, il faut en comprendre la genèse.

Retour sur l’histoire de ce Règlement européen…

Souhaitant réformer la protection des données à caractère personnel pour aboutir à un ensemble de règles uniques, la Commission européenne a proposé un Règlement européen le 25 janvier 2012. Cette proposition a pour objectif de remplacer la Directive 95/46/CE du 24 octobre 1995 afin de mettre à jour les règles qu’elle prévoyait, de l’adapter aux nouveautés technologiques mais surtout de lutter contre la disparité des règles sur la protection des données à caractère personnel pouvant exister entre plusieurs pays européens, du fait de leur transposition. Rappelons en effet que (…)

En savoir plus...
Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'informationUncategorized

« Chartes informatiques » en entreprise : contre la cybercriminalité, le temps n’est (malheureusement) plus aux demi-mesures…

Level Up Legal 403 Views 19 min read

La cybercriminalité et la menace qu’elle fait peser sur les entreprises de toutes tailles s’inscrivent maintenant dans la réalité de la vie économique. Si, en France, certains chefs d’entreprise pouvaient se dire que les conséquences dramatiques des piratages de Target ou de Sony Entertainment Pictures ne les concernaient pas et qu’ils n’avaient pas à en tirer toutes les conséquences, le piratage de grande ampleur mené contre TV5 Monde a prouvé, a contrario, que la France n’était pas épargnée. Elle a surtout démontré que les attaques informatiques pouvaient avoir d’autres finalités que de subtiliser des secrets industriels ou des données personnelles, soit par exemple mettre à mal, voire détruire l’activité et l’outil industriel de l’entreprise.

Face à ces risques et aux piratages (…)

En savoir plus...
OIVSécurité des systèmes d'information

Nos anciens articles (mai 2015) – Jurisprudence vol de données : un train de retard ?

François Coupez 415 Views 1 min read

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de « vol » appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de « l’affaire Bluetouff ».

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

« soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

En savoir plus...
Secret d'affairesSécurité des systèmes d'information

Nos anciens articles (avril 2015) – Protection du secret des affaires : la contre-attaque du retour de la revanche ?

François Coupez 491 Views 0 min read

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

En savoir plus...
CyberdéfenseInterventions Level Up LegalLevel Up dans les médiasProtection des données à caractère personnelSécurité des systèmes d'information

Nos anciens articles (février 2015) – Transformation numérique et risques juridiques: à découvrir sur butter-cake.com !

Level Up Legal 487 Views 0 min read

Youmna Ovazza, grande expert des problématiques de transformation numérique et qui propose sur son blog, avec brio et entrain, des nourritures digitales pour l’esprit, s’est penchée sur le sujet de la cybersécurité dans le cadre de la transformation numérique. Elle a ainsi interviewé Diane Rambaldini et Hadi El Khoury, co-fondateurs du chapitre français de l’ISSA.

Elle a également interviewé François Coupez, Avocat à la Cour associé d’ATIPIC Avocat sur la transformation digitale et les risques juridiques.

A noter : les agences de notation auront prochainement un critère de notation lié au risque et aux mesures prises par les entreprises pour lutter contre la cyber criminalité. Une incitation à l’action certaine pour ceux qui ne sont pas encore sensibilisés au sujet !

Crédits photo : © Thomas R. – Fotolia.com

En savoir plus...
Droit social et nouvelles technologiesSécurité des systèmes d'information

SMS présumés professionnels par la chambre commerciale: que dit la chambre sociale ?

Level Up Legal 370 Views 1 min read

On parle beaucoup ces derniers jours de la décision de la Cour de cassation du 10 février 2015 dans l’affaire opposant deux sociétés de courtage financier (GFI Securities Limited et Newedge Group), concernant l’accusation de désorganisation de l’activité et de débauchage d’un grand nombre de salariés de la seconde par la première.

Dans cette affaire, la chambre commerciale a décidé que les SMS « envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ». En l’espèce, n’étant pas identifiés comme personnels, les SMS présumés professionnels pouvaient être produits en justice par Newedge.

Question cependant : cette décision a été rendue par la Chambre commerciale de la Cour de cassation. Or, c’est la chambre sociale qui fixe ce type de principes. Peut-on anticiper une opposition de deux chambres et donc des solutions différentes en fonction des contentieux, comme cela a déjà pu arriver dans d’autres sujets ?

[edit] C’est la question qui est traitée dans « l’addition du mois » de la Newsletter ATIPIC de mars/avril 2015, qui vient de paraître.

Pour recevoir gratuitement ce numéro, il vous suffit (…)

En savoir plus...
Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'information

Espionnage dans l’entreprise : le DSI prenait ses aises

François Coupez 477 Views 11 min read

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du SI de l’employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiés. Quant aux administrateurs des systèmes informatiques, chargés en pratique s’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, certains d’entre eux abusent effectivement de leur droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoit de façon fréquente aux formalités « informatique et libertés » accomplies mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclation… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de (…)

En savoir plus...
Next level concept with young woman using a laptop computer
Droit bancaire et nouvelles technologiesSécurité des systèmes d'information

Nos anciens articles (novembre 2014) – Le règlement 97-02 abrogé… Vive l’arrêté du 3 novembre 2014 !

François Coupez 331 Views 1 min read

Après une vie longue et fructueuse, le désormais célèbre règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 modifié relatif au contrôle interne des établissements de crédit et des entreprises d’investissement n’est plus.

Pour autant, ses principales dispositions lui survivront.

Elles sont ainsi reprises dans l’un des 7 arrêtés du 3 novembre 2014, celui « relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution« . Cet arrêté abroge donc l’ancien règlement (cf. son article 287)…

En savoir plus...
Virtual Private Network. Overhead top above view of woman using cellphone with mobile vpn application, touching screen, connecting to local network over the internet. Information and location security
Droit social et nouvelles technologiesLevel Up dans les médiasProtection des données à caractère personnelSécurité des systèmes d'information

Nos anciens articles (octobre 2014) – Must read : « 5 questions pour comprendre le déchiffrement SSL »

Level Up Legal 366 Views 0 min read

Reynald Fléchaux a publié sur silicon.fr un article très complet sur cette problématique déjà ancienne au sein des entreprises, aujourd’hui sous les feux de l’actualité, et qui recèle de très intéressantes questions juridiques : le déchiffrement des flux SSL. Le journaliste y interroge notamment François Coupez, associé d’ATIPIC Avocat, sur les aspects juridiques.

Pour lire cet article passionnant et tout comprendre de la problématique en 5 questions, cela se passe sur le site de silicon.fr.

En savoir plus...