La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le vol dinformations nexiste pas Quelle protection pour linformation ? Marie Barel – Orange Consulting.

Présentations similaires


Présentation au sujet: "Le vol dinformations nexiste pas Quelle protection pour linformation ? Marie Barel – Orange Consulting."— Transcription de la présentation:

1 Le vol dinformations nexiste pas Quelle protection pour linformation ? Marie Barel – Orange Consulting

2 SSTIC09 – Marie Barel, Orange Consulting Non, le droit ne reconnaît pas le vol dinformations Une idée reçue … en conflit avec la réalité économique 2

3 Le vol : article du Code pénal Position unanime de la doctrine classique (J. Devèze, J. Pradel, J. Huet, …) Principaux obstacles : dans la rédaction et lesprit du code pénal, les faits de vol nécessitent … –la « soustraction » frauduleuse : une vision matérielle Arrêt Beaudet (1937) > il faut « prendre, enlever, ravir » Nécessité dun support : CA Grenoble, 4 mai 2000 Critère du déplacement de la chose volée (// UK, Theft Act 1916: « takes and carries ») –de la « chose » dautrui : linformation, un objet susceptible dappropriation ? Droit comparé (UK, Suisse, Finlande, Espagne, Inde, …) : chose matérielle, biens mobiliers et corporels De limmatérialité de linformation : // création prétorienne du vol délectricité (Crim., > art CP) ; Crim., 2 septembre SSTIC09 – Marie Barel, Orange Consulting

4 Jurisprudence : de laudace mais pas de consécration De lappropriation (corpus) à la dépossession (animus) : lusurpation ou la soustraction juridique de la chose –Précédents : affaires Logabax (1979) et Antoniolli (1989) –Attendu de principe : « attendu que la détention matérielle dune chose, non accompagnée de la remise de la possession, nest pas exclusive de lappréhension qui constitue lun des éléments constitutifs du vol. » Dissociation du support et de son « contenu informationnel » : premier pas vers une reconnaissance du vol dinformations ? –Arrêt de référence : affaire Bourquin - Crim., 12 janvier 1989 ; voir aussi, CA Limoges, SSTIC09 – Marie Barel, Orange Consulting 4

5 Bilan du droit positif et perspectives Les juges conduits à une « extension considérable » des textes dans le souci de ne pas laisser impunies des infractions qui sont en pleine expansion –Une adaptation des éléments traditionnels du vol contraire au principe de légalité : nécessité dune intervention législative Si le droit ne protège pas contre lappréhension (vol) de linformation, il permet généralement de protéger celle-ci contre sa divulgation ou son détournement SSTIC09 – Marie Barel, Orange Consulting 5

6 Et pourtant, une réalité économique ! Besoin de se prémunir … Intelligence économique « défensive » et protection des intérêts fondamentaux de la Nation (FIC 2009) : secrets industriels ou militaires, ICS*, … (*) Informations commercialement sensibles SSTIC09 – Marie Barel, Orange Consulting 6 Piratage informatique et « marché noir » des informations à caractère personnel (CB, n°SS, …) Menace externe ou étrangère

7 Des moyens de réponse spécifiques Face à cette menace, si le droit français ne protège pas tant contre lappréhension de linformation (sous réserve des articles et suivants du Code Pénal), elle la protège plus efficacement contre sa divulgation : Livraison dinformations à une puissance étrangère (art à du Code pénal) : vise les « données informatisées ou fichiers » Protection par le secret : –secret de la défense nationale (art à C.Pén. ; IGI n° 1300 et 900) –secret professionnel (articles et du Code pénal) –secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002) Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n° du 26 juillet Guide des bonnes pratiques en matière dintelligence économique - Publié en février 2009 par le SCIE :

8 1 chiffre Autre constat : la menace interne 59% des employés américains ayant quitté leur société en 2008 admettent dérober des données confidentielles appartenant à lentreprise quils quittent Source : enquête conjointe menée par le Ponemon Institue et Symantec (février 2009) – https://www4.symantec.com/Vrt/offer?a_id=78695 https://www4.symantec.com/Vrt/offer?a_id=78695 SSTIC09 – Marie Barel, Orange Consulting « Barbie hacker » by Mattel 8

9 Faux sentiment de propriété Méconnaissance des obligations nées du contrat de travail ou de prestation de service Contrôle de lapplication des règles dutilisation du SI Déficit de sensibilisation ou complexité de la politique de protection et de classification de linformation « Vol dinformations » par un Utilisateur (insiders/ex-employees) Menace interne : pistes dexplication possible Quelle est la portée et le contenu de lobligation de loyauté ? Quelles sont les clauses importantes des contrats dexternalisation ? … Comment la Charte peut-elle protéger lentreprise ? Quelles sont les dispositions à prévoir ? … SSTIC09 – Marie Barel, Orange Consulting Principes defficacité issus de Retex ? Quel périmètre pour la politique de protection de linformation ? … Quel est le statut juridique de linformation ? Toutes les informations présentes sur le SI sont-elles protégées ? Quels sont les titulaires des droits qui sappliquent ? … 9

10 Statut juridique de linformation Propositions diverses pour la reconnaissance des « biens informationnels » : Zenati, Catala, Bourgeois et dautres Dune propriété auto proclamée à une propriété énoncée par le droit ou la jurisprudence –Rappel des principes de propriété intellectuelle : brevets, marques, D&M (déposant) bases de données (investisseur) logiciels (employeur) productions intellectuelles (auteur) –Le produit de lactivité du salarié, propriété de lemployeur : CA Grenoble, 15 février 1995 Difficulté dun statut global des informations, qui possèdent des formes et des contenus hétérogènes SSTIC09 – Marie Barel, Orange Consulting 10

11 1 2 3 Voies de protection de linformation Contrat de travail Normes internes Autres dispositions légales SSTIC09 – Marie Barel, Orange Consulting 11

12 Contrat de travail Lobligation de loyauté : art C. civil / art C. Travail –Contenu général : ne pas nuire à la réputation et au bon fonctionnement de lorganisme employeur –Comprend aussi : Le devoir de réserve : discrétion applicable aux informations dont le salarié a connaissance de par ses fonctions Lutilisation non autorisée de la propriété de lemployeur dans des buts privés notamment –Sanction : licenciement légitimé par la perte de confiance SSTIC09 – Marie Barel, Orange Consulting 12

13 Politiques et normes internes (1) Politique de classification et de gestion de linformation : facteurs clés de succès –Axiomes : simplicité, réalisme –Dimension humaine et organisationnelle prépondérante –Outillage : chiffrement, techniques de « data loss prevention », labellisation électronique, … SSTIC09 – Marie Barel, Orange Consulting La protection de linformation : enjeux, gouvernance et bonnes pratiques – Publications Cigref 2008 : protection.html protection.html 13

14 Politiques et normes internes (2) Charte « Utilisateurs » –Vecteur le plus fréquent pour léducation des comportements –Un mode de déploiement privilégié : linsertion au RI –Facteurs dappropriation : une campagne de sensibilisation adaptée – Des messages ciblés – Se concentrer moins sur les règles (liste dinterdits) que sur la compréhension de ces règles : expliquer SSTIC09 – Marie Barel, Orange Consulting 14

15 Politiques et normes internes (3) Politique de gestion des tiers et contractualisation : –Engagement de confidentialité (NDA) –Respect des règles et procédures de sécurité définies par lEntreprise Règles spécifiques daccès et dhabilitation au SI –Clauses de qualité : niveau de services (SLA), engagement sur la documentation, organisation dun transfert de compétences, … –Exigences de transparence et de reporting : suivi de la prestation réalisée par le tiers, clauses daudit, … SSTIC09 – Marie Barel, Orange Consulting 15

16 Sanction du détournement dinformations Applicabilité du parasitisme et de la concurrence déloyale même en labsence de droit privatif Poursuites pour abus de confiance (art C. Pénal) Ex. affaire Valeo (2005>2007) ; Crim. 14 novembre 2000 Applicabilité du recel : une brèche dans lalinéa 2 de lart du code pénal ? Vise le fait de bénéficier, par tout moyen, du « produit » dun crime ou dun délit Des décisions divergentes : Affaire Calvet, Crim. 3 avril 1995 : recel dinformations (non) TGI Paris, 1 er juin 2007 : recel de fichiers informatiques (oui) SSTIC09 – Marie Barel, Orange Consulting 16

17 Responsabilisation Conclusion La politique de protection de linformation a besoin de tous pour sappliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes dInformation. On ne peut pas faire léconomie de campagnes dinformation et de sensibilisation auprès des différents acteurs. La maîtrise de linformation passe par la connaissance des règles. La confiance nexclut pas le contrôle. SSTIC09 – Marie Barel, Orange Consulting 17 Communication Contrôle

18 Merci pour votre attention


Télécharger ppt "Le vol dinformations nexiste pas Quelle protection pour linformation ? Marie Barel – Orange Consulting."

Présentations similaires


Annonces Google