[cyber-sécurité] Le droit de la data ? un peu d’histoire [formation ISEP 13 octobre 2017]

[13 octobre 2017] Pourquoi – en octobre 2017 – évoquer l’obligation de cyber-sécurité ? Parce que l’année 2018 va marquer indéniablement un tournant dans l’histoire de la data numérique et de sa règlementation. L’Union Européenne (et la France avec un tout petit peu d’anticipation) a pris conscience de la réalité de la menace cyber. La réalité de la menace provenant de notre monde virtuel… Voilà le monde dans lequel nous vivons… En fait, cette menace cyber n’est plus du tout virtuelle, mais au contraire, très palpable dans ses conséquences. Tout est dans la présentation en BD « Pourquoi l’obligation de cyber-sécurité ? » intégrée le slider ci-dessous. C’est une version longue, actualisée et spéciale « sécurité » de ma précédente présentation sur le droit de la data. Pour les littéraires, comme toujours (non, je ne vous oublie pas !), un résumé juste après dans un format qui vous sera – j’espère – agréable.


The specified gallery id does not exist.


cyber-sécurité ? attaque informatique ? virus ? 

Vous vous souvenez de l’attaque cyber contre l’Estonie en mai 2007 ? Vous vous souvenez de l’attaque cyber contre la Géorgie en 2008, lors du conflit avec la Russie ? Vous vous souvenez de l’attaque cyber avec le virus StuxNet, qui a stoppé le programme nucléaire iranien en 2010 ? Vous vous souvenez de l’affaire Yahoo! en 2015 ? 1 milliards de comptes Yahoo! partis dans la nature avec les mots de passe associés ? Vous vous souvenez de la grande « cyberattaque mondiale massive, touchant plus de 300 000 ordinateurs, dans plus de 150 pays » en mai 2017 ? Le virus s’appelait « WannaCry » ? Vous vous souvenez de la cyberattaque NotPetya en juin 2017 ? 

2018, année de l’obligation de cyber-sécurité !

Revenons à notre année 2018 et regardons – plus modestement – nos entreprises et les problématiques de cyber-sécurité. Alors que les cotillons du nouvel an étaient encore en train de virevolter, la CNIL a rendu publique le 8 janvier 2018 sa délibération « Darty ». Que quoi y parlait-on ? D’un défaut de sécurisation d’un système de traitement de données numériques.obligation de cyber-sécurité

Le 26 février suivant ? Publication de la loi n°2018-133 relative à la sécurité des réseaux et des systèmes d’information. Même s’il s’agit d’une loi de transposition d’une Directive UE, félicitons-nous de l’arrivée d’une définition légale de la « sécurité » des « réseaux et systèmes d’information ». Le droit semble même s’adapter à la réalité technique dans laquelle beaucoup d’entre nous travaillent au quotidien.

obligation de cyber-sécurité

2018 est enfin et surtout l’année de l’entrée en vigueur du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel qui impose (enfin) aux professionnels de la data une obligation de sécurisation de leurs systèmes d’information. A lui seul, l’article 32 RGPD-GDPR est un monument qui n’a pas fini de faire couler de l’encre au sein des DSI et des cabinet d’avocats.

obligation de cyber-sécurité

Si j’utilise volontiers expression « sécurisation des systèmes d’information », c’est parce que c’est ainsi que nos législateurs évoquent le probleme actuel et tentent de le résoudre. Le mouvement politique est simple à comprendre : forcer ceux qui opèrent ces systèmes complexes à les sécuriser, avec l’épée de Damoclès de la sanction pécuniaire pour l’entreprise (RGPD) ou pour son dirigeant personnellement (Loi du 26 février 2018).

obligation de cyber-sécurité et « Systèmes d’Information d’Importance Vitale »

Pour la République française, l’obligation de cyber-sécurité est une réalité depuis la Loi de Programmation Militaire de 2013 avec l’obligation de sécurisation et de contrôle des « Systèmes d’Information d’Importance Vitale ». 

obligation de cyber-sécurité

Mais si les systèmes doivent être protégés par leurs opérateurs, c’est surtout la capacité de transfert des information, la circulation des data entre les systèmes qui pose aujourd’hui un véritable problème.

obligation de cyber-sécurité : « security by design » ?

Le fond du fond du problème ? Toutes ces techniques géniales qui permettent de convertir des informations en data numériques et de les transporter de manière quasi-instantanée d’un point du globe à l’autre n’ont pas été pensé au départ avec des contraintes de sécurité. Rien n’a été conçu en mode « security by design » pour caricaturer une expression juridique en vogue. Et naturellement, quand il faut faire de la sécurité « après », ça coûte des sous, ça prend du temps, c’est d’un résultat… variable… au point de se demander parfois « si ça vaut le coup » ?


Alors, pour donner du sens à cette matière somme toute assez nouvelle (je parle de la cyber-sécurité), je vous propose de nous pencher sur l’histoire de la transmission des messages par l’Homme.

obligation de cyber-sécurité : « information » ? « message » ? 

Qu’est-ce qu’un message ? Qu’est-ce qu’une information ? Depuis Néandertal, l’Homme est confronté au problème du transfert – du transport – de ses messages. 

Comment s’assurer qu’un message est transféré correctement, sans modification ?

obligation de cyber-sécurité

Les révolutions successives de l’information

Nous le savons tous, « Rome ne s’est pas bâtie en un jour« . Il faudra une succession de révolutions pour comprendre aujourd’hui les problématiques d’hier. Car, depuis que l’Homme est Homme, les problèmes autours de la data sont les mêmes.

L’information, le message SANS support :

– quelle fiabilité ?

– comment la transporter ? Avec quels risques ? 

obligation de cyber-sécurité

La révolution de l’écriture et l’apparition du support de l’information

Les deux révolutions successives déterminantes de notre problématique ? L’apparition de l’écriture et celle du support de l’information. C’est pratique un support, en terme de durabilité du message. Mais… un support léger ? Donc pratique mais fragile ? Un support lourd ? Donc pérenne mais difficile de transport et de stockage ? 

obligation de cyber-sécurité

Le transport des messages : quelles constantes ? 

– c’est cher

– c’est long

– le secret n’est pas garanti

– l’intégrité du message n’est pas garantie

– la fiabilité de la détermination de l’expéditeur ou du destinataire est variable, etc.

obligation de cyber-sécurité

Des informations radio analogiques aux data numériques

Le XX° siècle ? C’est la révolution des télécommunications par onde radio ! La notion de support disparait ! L’information se dématérialisée.

obligation de cyber-sécurité


La sécurisation des transmissions de data par radio n’a posée de problème au XX° siècle qu’aux militaires. Nous citerons pour exemple le chiffrement et le décryptage de la machine Enigma au cours de la Seconde guerre mondiale.

Mais depuis 1990, la révolution du tout numérique est en marche. Et aujourd’hui, à l’ère du web et des terminaux mobile d’accès à Internet, ce sont bien les problèmes autours de la data numérique et de son usage généralisé qu’ils convient de régler. 

obligation de cyber-sécurité

obligation de cyber-sécurité : le transport des messages

Pour donner du sens à cette problématique de l’obligation de cyber-sécurité, il faut repartir de Néandertal pour aller jusqu’à la jurisprudence « Darty » du 8 janvier 2018 pour réaliser combien les problématiques d’hier sont bien les mêmes que celles auxquelles nous, hommes et femmes du début de l’ère numériques, sommes confrontés. Bon parcours !

 obligation de cyber-sécurité


Un merci tout particulier à l’ISEP – École d’ingénieurs du numérique et aux étudiants de la promo 2017-2018 qui furent mes cobayes pour la première présentation de cette histoire de la data confrontée aux problématiques de sécurité. Je leur avais promis en septembre 2017 que je terminerais vite mes slides… Les voici donc… hum…


… et un IMMENSE MERCI à la team Delcourt / Soleil pour me laisser carte blanche pour illustrer mes propos sur ces techniques / législations parfois un peu… complexes. Merci de votre confiance !