Appréhension de la sécurité informatique par le droit: une approche imparfaite Jacques – Louis Colombani AVOCAT 21//01/09.

Slides:



Advertisements
Présentations similaires
Copyright ©: SAMSUNG & Samsung Hope for Youth. All rights reserved Tutorials Internet : Configurer une adresse Niveau : Débutant.
Advertisements

ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
Solutions Techno ! Le projet mobilité du cabinet Emportez votre cabinet chez vos clients !
Botnet, défense en profondeur
DISPONIBILITE & REUTILISABILITE DES DONNEES DU TRANSPORT PUBLIC LE CADRE JURIDIQUE DU PARTAGE DES INFORMATIONS JOURNEE PREDIM 26 juin 2008 Jean-Louis GRAINDORGE.
Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
Internet.
DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft
Thierry Sobanski – HEI Lille
2nd thème : La notion de données à caractère personnel.
La politique de Sécurité
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
Vote électronique par internet, du 13 au 20 octobre 2011 Le nouveau cadre des élections professionnelles 2011.
Protéger la personne et la vie privée
Les réseaux informatiques
LE DOCUMENT UNIQUE DE DELEGATION
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Le piratage informatique
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Internet pour tous La Souris Chéroise Mardi 15 octobre 2002
C2i Être responsable à l'ère du numérique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Sécurité Informatique Module 01
Quelle est la nationalité dun site web ? Quelles sont les lois quil doit respecter ? 1 Quentin Boitelle Présentation TIC Février 2013.
Le Droit Le Droit est  l' ensemble des règles qui régissent la conduite de l'homme en société. D’une manière générale, le droit intervient dans la vie.
GED Masters: Gestion Électronique de Documents
SECURITE DU SYSTEME D’INFORMATION (SSI)
Validation des compétences C.2.1 – C.2.2 et C.2.3
1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette PARIS Tel / .
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
L’attaque rebond Réunion de crise
Solidarités et réussites Académie de Créteil 1. Présentation du Cartable en ligne 2. Intégration des emplois du temps 3. Charte, droits.
Les relations clients - serveurs
Gestion des bases de données
1. SITE WEB DU SERVICE INFORMATIQUE DU RECTORAT
ADMINISTRATION ELECTRONIQUE L'administration, nouvel hébergeur.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
DROIT, COMMUNICATION ELECTRONIQUE et GESTION DES RELATIONS DU TRAVAIL
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Barreau de Grenoble Présentation Grilog 6 février 2014
La.
L’identité numérique.
CHARTE D’UTILISATION DE L’INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIA PREAMBULE Cette charte s’applique à tout utilisateur membre du personnel ou.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Sécurité et Internet Formation.
3.3 Communication et réseaux informatiques
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
11° Rencontres Médicales de L’Eure Messagerie Sécurisée de Santé
V- Identification des ordinateurs sur le réseau
USURPATION D’IDENTITE SUR INTERNET
Les données personnelles
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
L’usurpation d’identité sur internet.
Externat Bon Accueil Mars 2008
TICE Exposé L’école et la Vie Privée
La Cyber-Surveillance des employés: usages, limites légales, …
ÉDUCALOI : Votre référence pour intégrer le droit en classe © Le présent matériel est la propriété exclusive d’Éducaloi. Les enseignants du Québec.
Les newsletters d’un point de vue légal
LE DROIT ET LE WEB SI28 GODEAU Manon A2006. Le droit et le Web Introduction Le droit d’auteur Création d’un site Un site illicite.
Le Droit et le Web Exposé SI28 Printemps 2006 M. Gabriela Scanu
Le droit et le Web MTEYREK Mohamad.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
SÉANCE 12: Les droits et libertés de la personne Session automne 2014.
La Charte Informatique
M2.22 Réseaux et Services sur réseaux
ISFSC. RESEAUX SOCIAUX E-contrôle – Quels sont les moyens de contrôle et de surveillance dont disposent les employeurs envers leurs travailleurs ?
LES FAILLES DE SÉCURITÉ INFORMATIQUE PRÉSENTÉ PAR MOISSON ARTHUR, TORRES BALTAZAR, FULCHER ARNAUD.
Transcription de la présentation:

Appréhension de la sécurité informatique par le droit: une approche imparfaite Jacques – Louis Colombani AVOCAT 21//01/09

Appréhension de la sécurité informatique par le droit: une approche imparfaite La notion de réseau Un réseau est d’une part composé d’éléments physiques qui jouent un rôle distinct dans la circulation des biens et des services, mais aussi désormais de la monnaie et de l’information sensible; Il est d’autre part composé de liaisons matérielles ou immatérielles qui doivent être protégées contre les intrusions. La position française n’autorisant que le chiffrage d’intensité moyenne permet aux textes du code pénal (411-1 et 411-6) de s’appliquer: il faut en effet pouvoir raisonnablement et légalement accéder aux flux pour savoir ce qui se passe sur son réseau.

Appréhension de la sécurité informatique par le droit: une approche imparfaite La notion de réseau Les réseaux ont fortement évolué passant d’une architecture hiérarchisée de type GSM à une architecture complexe de type « Peer to Peer » (Annexe 1). La protection des réseaux sensibles se heurte parfois à la protection des données personnelles d’où la nécessité: 1°) D’une charte d’utilisation qui soit connue des salariés et acceptée; 2°) De la mise en place d’une surveillance acceptable dans l’entreprise; 3°) De la désignation d’un correspondant CNIL dans l’entrepprise Les principaux textes applicables et les autorités de contrôle

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôle Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») Exemple: Les Témoins de connexion («cookies») Les témoins de connexion (cookies) sont des informations cachées échangées entre un utilisateur Internet et un serveur web, et sauvegardées dans un fichier sur le disque dur de l'utilisateur. Ces informations permettaient initialement la persistance d'informations entre deux connexions. Elles constituent aussi un outil de contrôle de l'activité de l'internaute souvent décrié. La directive prévoit que les utilisateurs doivent avoir la possibilité de refuser qu'un témoin de connexion ou qu'un dispositif similaire soit placé sur leur équipement terminal. Pour ce faire, les utilisateurs devront également recevoir des informations claires et précises sur la finalité et le rôle des cookies.

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôle LE CONTROLEUR EUROPEEN DE LA PROTECTION DES DONNEES Possède un site internet et est compétent popur juger de l’application des textes précités. LA COMMISSION NATIONALE INFORMATIQUE ET LIBERTES Cet organisme offre aux entreprises depuis la réforme de la loi informatique et libertés la possibilité de s’exonérer des déclarations systématiques par la mise en place d’un correspondant

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôle LA COMMISSION NATIONALE INFORMATIQUE ET LIBERTES Cet organisme offre aux entreprises depuis la réforme de la loi informatique et libertés la possibilité de s’exonérer des déclarations systématiques par la mise en place d’un correspondant (Annexe 2).

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôle La Haute Autorité en charge de contrôler le téléchargement illicite de films ou de musique Le site internet: internet.signalement.gouv.fr permet désormais au ministère de l’intérieur de recevoir des plaintes directement

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales difficultés pour le contrôleur: A/ Les attaques humaines dans l’entreprise Mettre en place une charte de sécurité et des contrôles adaptés B/ Les attaques extérieures « automatiques » Mettre en place des logiciels adaptés qui ne causent pas eux-mêmes des dommages illicites (Fire wall/Fire wall) DANS TOUS LES CAS RECHERCHER LA REPONSE JURIDIQUE OU CONCRETE QUI CORRESPONDE AUX DOMMAGES CONSTATES

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaques Manipulations des programmes Manipulations sur le terminal Manipulations à l’entrée ou à la sortie du terminal Utilisation abusive des services informatiques Manipulations de données à saisir à l’entrée du système Espionnage Vol de données/d’informations Destruction ou altération de données Atteintes aux logiciels

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaques Exemples: Couper l’accès du réseau (déni de service). Ecouter la bande passante: Un pirate peut écouter le trafic réseau aux heures de connexion du personnel, il pourra lire tous les noms d'utilisateurs ainsi que leur mot de passe, le sniffing est facilité par le WIFI; Analyser les flux « in » et « out » des machines à l’aide d’un scanner;

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaques Exemples: Accès au réseau sous couvert de maintenance par un tiers Trouver les mots de passe et code d’accès (les fournisseurs privés connaissent très souvent les mots de passe de leurs clients, il existe des logiciels dits « routines »)

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaques Exemples: Usurpation de l'adresse IP En changeant d'adresse IP, on peut se faire passer pour un autre ordinateur et obtenir des informations sensibles qui ne nous sont pas destinées. Usurpation de l'adresse e-mail Lors de la réception d'un courrier électronique, nous pouvons lire l'adresse de l'expéditeur. Mais, il est possible de changer l'adresse. Ainsi, un pirate peut vous envoyer un mail en usurpant l'adresse de votre supérieur. Usurpation WEB Phishing ou création de sites miroirs…

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaques Exemples: Intrusion d’une machine entre deux machines connectées (Man in the middle) Attendre que la victime se connecte au réseau pour… prendre sa place sur la session Etc…

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manœuvres L’intrusion dans un système de traitement informatisé de données: Les actes d'intrusion informatique sont sanctionnés pénalement par l’article 323-1 du Code pénal qui incrimine le fait « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données »(STAD). Questions ouvertes: Le scannage des ports est–il interdit? Certaines actions peuvent ainsi être effectuées de manière parfaitement légitime (un administrateur scanne ses machines pour identifier les logiciels utilisés dans son entreprise, dans le cadre de la réalisation de tests d’intrusion - ou par de simples curieux notamment des personnes soucieuses de la sécurité qui souhaitent vérifier qu’une machine hébergeant des données est bien sécurisée).

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvres La destruction de données est également pénalement réprimée Il faut prendre des précautions (expert accompagnant l’huissier) pour ne pas altérer les machines que l’on souhaite auditer.

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvres Les atteintes aux biens REPONSE PENALE - Escroquerie: Cyberbraquage du président - Abus de confiance - Vol: problème du caractère immatériel des données

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvres Les atteintes aux biens REPONSE CIVILE Article 1382 C. Civ Code de la propriété intellectuelle (contrefaçon)

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvres Les atteintes aux personnes Pédophilie, risques d’enlèvements etc…

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvres Les atteintes aux bases de données (Loi du 1er juillet 1998) Les infractions propres à la CNIL La CNIL redoute la centralisation en « une seule main » par un identifiant unique des données relatives à un individu ou un groupe.

Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvres Les infractions propres à la CNIL Délit de création de fichiers clandestins Délit d’enregistrement ou de conservation illicite d’informations nominatives Divulgation illicite d’informations nominatives Contravention d’entrave au droit d’accès et de communication de la CNIL

Appréhension de la sécurité informatique par le droit: une approche imparfaite MERCI! QUESTIONS?