La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Marie Barel – Orange Consulting

Présentations similaires


Présentation au sujet: "Marie Barel – Orange Consulting"— Transcription de la présentation:

1 Marie Barel – Orange Consulting
Le vol d’informations n’existe pas Quelle protection pour l’information ? Marie Barel – Orange Consulting presentation title

2 reconnaît pas le vol d’informations
Une idée reçue … en conflit avec la réalité économique Non, le droit ne reconnaît pas le vol d’informations SSTIC’09 – Marie Barel, Orange Consulting 2 presentation title

3 Le vol : article 311-1 du Code pénal
Position unanime de la doctrine classique (J. Devèze, J. Pradel, J. Huet, …) Principaux obstacles : dans la rédaction et l’esprit du code pénal, les faits de vol nécessitent … la « soustraction » frauduleuse : une vision matérielle Arrêt Beaudet (1937) > il faut « prendre, enlever, ravir » Nécessité d’un support : CA Grenoble, 4 mai 2000 Critère du déplacement de la chose volée (// UK, Theft Act 1916: « takes and carries ») de la « chose » d’autrui : l’information, un objet susceptible d’appropriation ? Droit comparé (UK, Suisse, Finlande, Espagne, Inde, …) : chose matérielle, biens mobiliers et corporels De l’immatérialité de l’information : // création prétorienne du vol d’électricité (Crim., > art CP) ; Crim., 2 septembre 2008 SSTIC’09 – Marie Barel, Orange Consulting 3 presentation title

4 Jurisprudence : de l’audace mais pas de consécration
De l’appropriation (corpus) à la dépossession (animus) : l’usurpation ou la soustraction juridique de la chose Précédents : affaires Logabax (1979) et Antoniolli (1989) Attendu de principe : « attendu que la détention matérielle d’une chose, non accompagnée de la remise de la possession, n’est pas exclusive de l’appréhension qui constitue l’un des éléments constitutifs du vol. » Dissociation du support et de son « contenu informationnel » : premier pas vers une reconnaissance du vol d’informations ? Arrêt de référence : affaire Bourquin - Crim., 12 janvier 1989 ; voir aussi, CA Limoges, SSTIC’09 – Marie Barel, Orange Consulting 4 presentation title

5 Bilan du droit positif et perspectives
Les juges conduits à une « extension considérable » des textes dans le souci de ne pas laisser impunies des infractions qui sont en pleine expansion Une adaptation des éléments traditionnels du vol contraire au principe de légalité : nécessité d’une intervention législative Si le droit ne protège pas contre l’appréhension (vol) de l’information, il permet généralement de protéger celle-ci contre sa divulgation ou son détournement SSTIC’09 – Marie Barel, Orange Consulting 5 presentation title 5

6 Et pourtant, une réalité économique !
Besoin de se prémunir … Intelligence économique « défensive » et protection des intérêts fondamentaux de la Nation (FIC 2009) : secrets industriels ou militaires, ICS*, … (*) Informations commercialement sensibles Piratage informatique et « marché noir » des informations à caractère personnel (CB, n°SS, …) Menace externe ou étrangère SSTIC’09 – Marie Barel, Orange Consulting 6 presentation title 6

7 Des moyens de réponse spécifiques
Face à cette menace, si le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles et suivants du Code Pénal), elle la protège plus efficacement contre sa divulgation : Livraison d’informations à une puissance étrangère (art à du Code pénal) : vise les « données informatisées ou fichiers » Protection par le secret : secret de la défense nationale (art à C.Pén. ; IGI n° 1300 et 900) secret professionnel (articles et du Code pénal) secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002) Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n° du 26 juillet 1968 Guide des bonnes pratiques en matière d’intelligence économique - Publié en février 2009 par le SCIE : 7

8 Autre constat : la menace interne
1 chiffre 59% des employés américains ayant quitté leur société en 2008 admettent dérober des données confidentielles appartenant à l’entreprise qu’ils quittent Source : enquête conjointe menée par le Ponemon Institue et Symantec (février 2009) – https://www4.symantec.com/Vrt/offer?a_id=78695 « Barbie hacker » by Mattel SSTIC’09 – Marie Barel, Orange Consulting 8 presentation title 8

9 Menace interne : pistes d’explication possible
Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont-elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? … Principes d’efficacité issus de Retex ? Quel périmètre pour la politique de protection de l’information ? … Faux sentiment de propriété Méconnaissance des obligations nées du contrat de travail ou de prestation de service « Vol d’informations » par un Utilisateur (insiders/ex-employees) Déficit de sensibilisation ou complexité de la politique de protection et de classification de l’information Quelle est la portée et le contenu de l’obligation de loyauté ? Quelles sont les clauses importantes des contrats d’externalisation ? … Comment la Charte peut-elle protéger l’entreprise ? Quelles sont les dispositions à prévoir ? … Contrôle de l’application des règles d’utilisation du SI SSTIC’09 – Marie Barel, Orange Consulting 9 presentation title

10 Statut juridique de l’information
Propositions diverses pour la reconnaissance des « biens informationnels » : Zenati, Catala, Bourgeois et d’autres D’une propriété auto proclamée à une propriété énoncée par le droit ou la jurisprudence Rappel des principes de propriété intellectuelle : brevets, marques, D&M (déposant) bases de données (investisseur) logiciels (employeur) productions intellectuelles (auteur) Le produit de l’activité du salarié, propriété de l’employeur : CA Grenoble, 15 février 1995 Difficulté d’un statut global des informations, qui possèdent des formes et des contenus hétérogènes SSTIC’09 – Marie Barel, Orange Consulting 10 presentation title 10

11 Voies de protection de l’information
1 Contrat de travail Normes internes Autres dispositions légales 2 3 SSTIC’09 – Marie Barel, Orange Consulting 11 presentation title 11

12 L’obligation de loyauté : art. 1135 C. civil / art. 1222-1 C. Travail
Contrat de travail L’obligation de loyauté : art C. civil / art C. Travail Contenu général : ne pas nuire à la réputation et au bon fonctionnement de l’organisme employeur Comprend aussi : Le devoir de réserve : discrétion applicable aux informations dont le salarié a connaissance de par ses fonctions L’utilisation non autorisée de la propriété de l’employeur dans des buts privés notamment Sanction : licenciement légitimé par la perte de confiance SSTIC’09 – Marie Barel, Orange Consulting 12

13 Politiques et normes internes (1)
Politique de classification et de gestion de l’information : facteurs clés de succès Axiomes : simplicité, réalisme Dimension humaine et organisationnelle prépondérante Outillage : chiffrement, techniques de « data loss prevention », labellisation électronique, … La protection de l’information : enjeux, gouvernance et bonnes pratiques – Publications Cigref 2008 : SSTIC’09 – Marie Barel, Orange Consulting 13

14 Politiques et normes internes (2)
Charte « Utilisateurs » Vecteur le plus fréquent pour l’éducation des comportements Un mode de déploiement privilégié : l’insertion au RI Facteurs d’appropriation : une campagne de sensibilisation adaptée Des messages ciblés Se concentrer moins sur les règles (liste d’interdits) que sur la compréhension de ces règles : expliquer SSTIC’09 – Marie Barel, Orange Consulting 14

15 Politiques et normes internes (3)
Politique de gestion des tiers et contractualisation : Engagement de confidentialité (NDA) Respect des règles et procédures de sécurité définies par l’Entreprise Règles spécifiques d’accès et d’habilitation au SI Clauses de qualité : niveau de services (SLA), engagement sur la documentation, organisation d’un transfert de compétences, … Exigences de transparence et de reporting : suivi de la prestation réalisée par le tiers, clauses d’audit, … SSTIC’09 – Marie Barel, Orange Consulting 15

16 Sanction du détournement d’informations
Applicabilité du parasitisme et de la concurrence déloyale même en l’absence de droit privatif Poursuites pour abus de confiance (art C. Pénal) Ex. affaire Valeo (2005>2007) ; Crim. 14 novembre 2000 Applicabilité du recel : une brèche dans l’alinéa 2 de l’art du code pénal ? Vise le fait de bénéficier, par tout moyen, du « produit » d’un crime ou d’un délit Des décisions divergentes : Affaire Calvet, Crim. 3 avril 1995 : recel d’informations (non) TGI Paris, 1er juin 2007 : recel de fichiers informatiques (oui) SSTIC’09 – Marie Barel, Orange Consulting 16

17 Conclusion Responsabilisation Communication Contrôle
La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information. On ne peut pas faire l’économie de campagnes d’information et de sensibilisation auprès des différents acteurs. La maîtrise de l’information passe par la connaissance des règles. La confiance n’exclut pas le contrôle. Responsabilisation Communication Contrôle SSTIC’09 – Marie Barel, Orange Consulting 17 presentation title

18 Merci pour votre attention


Télécharger ppt "Marie Barel – Orange Consulting"

Présentations similaires


Annonces Google