[cyber-sécurité] l’obligation légale de sécurisation des systèmes d’information [conférence Polytechnique CEA Aristote 1er octobre 2018]

[mis à jour le 2 octobre 2018] Lorsque l’association Aristote m’invite dans les locaux du CEA sur le plateau de Saclay pour évoquer la protection du patrimoine immatériel, évidemment que j’y vais ! Vous avez lu le programme du 1er octobre 2018 ? Impossible de faire l’impasse sur un sujet aussi brûlant quand on s’intéresse à titre professionnel à la sécurité des systèmes d’information. Venir, d’accord, mais pour parler ? Ah… et… parler de quoi ? Des nouvelles contraintes techniques obligatoires ? Oui, je vais parler de l’obligation légale de sécurisation des systèmes d’information applicable aux data numériques (I) et aux « Réseaux et Systèmes d’Information » (II). C’est vrai de dit comme ça, ça a pas l’air trop drôle. Vous trouverez ma présentation (complète) dans le slider ci-dessous et pour les littéraires, as usual, un résumé illustré encore en dessous. 



l’obligation légale de sécurisation des systèmes d’information : la protection des données [personnelles] pour TOUS les opérateurs !

C’est la loi ! Il est OBLIGATOIRE de dépenser des (gros) sous quand on est un professionnel et qu’on utilise un système d’information. il faut SE_CU_RI_SER ses bases de données, l’accès à ses soft, etc… En droit, ça a commencé vraiment avec… hé oui, la GDPR en vigueur depuis le 25 mai (on le saura…) ! Ce ne sont que certains opérateurs (de Service Essentiel) ou fournisseur (de Service Numérique) qui se voient imposer une obligation de sécurisation des réseaux et du S.I. (data incluses). Ce sera la seconde partie de cette présentation. Et ce n’est pas parce que j’ai zappé cette partie de ma présentation à Saclay qu’il faut faire l’impasse dessus, hein ?


l’obligation légale de sécurisation des systèmes d’information : un rappel du droit des bases de données ?

Impossible d’y échapper, dans la mesure où la GDPR s’appliquent aux bases de « données à caractère personnel ». Pensez à vos « fichiers » clients / prospects / RH… Si vos bases de données ne représentent pas une partie de votre « patrimoine immatériel », il faudra m’expliquer ce que vous mettez dans cette  notion…. Quelques slides de rappel, donc, sur la protection du CONTENU des bases de données numériques (Directive 96/9 du 11 mars 1996)


l’obligation légale de sécurisation des systèmes d’information : que les « données personnelles » ou TOUTES les data ?

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : quelles mesures techniques « appropriées » ?

Lorsqu’une entreprise / personne publique traite des données personnelles, soit comme « responsable du traitement » (ce sont MES data) soit comme professionnel prestataire « sous-traitant » (je traite les data de MES CLIENTS), les obligations de sécurité sont aussi lourdes pour l’un que pour l’autre, les textes sont très très clairs sur ce point (et la CNIL n’arrête pas de le répéter !). Par prudence, je n’ai pas insisté sur mes explications techniques autours du chiffrement (pas devant un public avec autant d’ingénieurs – je ne crains pas le ridicule mais quand même, même moi, j’ai des limites…). 

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : le risque de sanction dans la GDPR ?

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : le risque technique ? la « violation » de données

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : un « niveau de sécurité adapté au risque » ? 

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : de la jurisprudence avec des condamnations ?

9 décisions de la CNIL depuis 2014 rien que sur les défauts de sécurisation !!! Dont 5 entre janvier et le 6 septembre 2018 !!! Je vous suggère (avec insistance…) de regarder les points techniques à retenir… Pour consulter le détail de la délibération « Darty », de la délibération « Optical Center » ou de la délibération « DailyMotion » (la première délibération concernant une cyber-attaque avérée), cliquez sur les liens correspondant. Vous verrez, c’est pas folichon à lire (je trouve personnellement le style un peu lourd et répétitif) mais ça a le mérite d’être clair sur ce que les D.S.I. et les R.S.S.I. doivent mettre en oeuvre.

RAPPEL : pour l’instant, c’est « sécurité obligatoire, aux frais de l’entreprise/personne publique » et sous la responsabilité de l’entreprise. Avec les O.S.E. et les F.S.N., ce seront les « dirigeants » qui devront répondre à titre personnel, des sanctions pécuniaires (vous allez adorer ce passage là de la loi S.R.S.I… ).


l’obligation légale de sécurisation des systèmes d’information : S.R.S.I. comme « Sécurité des Réseaux et Systèmes d’Information »

La « Sécurité des Réseaux et Systèmes d’Information », c’est au départ une Directive de l’UE dite « N.I.S. » pour Network Information Security de 2016. C’est depuis le 26 février 2018 une loi française n°2018-133, un décret d’application du 23 mai 2018 et un arrêté (le premier) du 13 juin 2018. Sans compter le « Règlement d’exécution » de la Commission du Bruxelles du 30 janvier 2018 ! OUFFFF ! Ma présentation complète sur cette législation un tantinet technique est programmée sur ce blog pour les prochaines semaines…

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : une définition légale de la « sécurité »

C’est curieux, on retrouve les mêmes notions dans la définitions des « violations » de données au sens de la GDPR et dans la règlementation sur la cryptographie (LCEN de 2004 et décret du 2 mai 2007)… Je me demande si c’est un hasard… Sans rire, la définition légale est déterminante puisqu’il va falloir notifier à l’ANSSI certains incident (les actions qui compromettent…) la « sécurité ». Le terme « incident » n’a pas besoin d’être défini, alors on relit bien la définition de « sécurité » (rien de révolutionnaires pour celles et ceux qui pratiquent la matière).

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : (1) les « Opérateurs de Service Essentiels »


l’obligation légale de sécurisation des systèmes d’information : désignation des O.S.E. par décret !!!

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : 2 points communs aux O.S.E. et aux F.S.N.

l'obligation légale de sécurisation des systèmes d'information


[mise à jour du 2 octobre 2018] Quel niveau de sécurité pour les OSE ?

Quel niveau de sécurité pour les OSE ? La question était brulante, et voici la réponse : l’arrête du 14 septembre 2018 paru au J.O le 29 septembre 2018. Je vous fais une ou deux slides dans les jours qui viennent. Voici ce qu’annonce l’ANSSI sur son site web :

« Avec la parution au journal officiel le 28 septembre de l’arrêté des règles de sécurité s’appliquant aux Opérateurs de Services Essentiels, la transposition de la Directive européenne Network and Information System Security (NIS) en droit français est achevée. Cet arrêté précise les règles de sécurité que doivent appliquer les opérateurs de services essentiels à leurs systèmes d’information essentiels, ainsi que leurs délais d’application. »


l’obligation légale de sécurisation des systèmes d’information : (2) et les « Fournisseurs de Service Numérique » ?

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information : le « niveau de sécurité » imposé aux F.S.N. directement par Bruxelles !!!

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information: obligation de notifier les « incidents » de sécurité


l’obligation légale de sécurisation des systèmes d’information: les sanctions pécuniaires

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisations systèmes d’information: ATTENTION ! les sanctions visent les « dirigeants » !!!

l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information: un rappel sur la LPM 2013 et les O.I.V. ?

Ce ne sera qu’un rappel avec les principales obligations contractuelles qui pèsent sur les O.I.V. Ma présentation complète de la LPM 2013 et les « Systèmes d’Information d’Importance Vitale » est accessible en cliquant sur le lien http.

l'obligation légale de sécurisation des systèmes d'information



l'obligation légale de sécurisation des systèmes d'information


l'obligation légale de sécurisation des systèmes d'information


l’obligation légale de sécurisation des systèmes d’information: merci « La Nef des Fous » aux éditions Delcourt

le tome 9 est annoncé pour octobre 2018 !!! Vraiment, il est fou, ce Turf !

l'obligation légale de sécurisation des systèmes d'information


  l'obligation légale de sécurisation des systèmes d'information


l'obligation légale de sécurisation des systèmes d'information