14 mai 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#291 sécurité du réseau d’administration du système d’information

#291 sécurité du réseau d’administration du système d’information

#291 sécurité du réseau d'administration du système d'information

 En atterrissant sur cette page web, c’est que vous avez dû suivre le webinar organisé par Systancia le 14 mai 2020 sur…la sécurité du réseau d’administration du système d’information.

Si vous avez raté le live, cliquez sur ce lien pour visionner le replay !

Avec l’explosion du télétravail du fait de la crise sanitaire du Covid-19, les éditeurs de solutions de cyber-sécurité arrivent à faire entendre (enfin) à leurs client(e)s chéri(e)s qu’il existe des bases légales pour ces obligations de sécurité.
(je sais, le terme « cyber-sécurité » est racoleur. Les pro préfèrent « sécurité des systèmes d’information ». ça fait plus sérieux…).

Le plan de ces 40 mn d’exposé est dans la slide ci-dessous.

Chacune des trois parties de ce webinaire (en Molière dans le texte) disposera de son slider (de manière à ce que vous puissiez effectivement trouver l’information que vous recherchez).

la sécurité du réseau d'administration du système d'information

CYBER-SECURITE la sécurité du réseau d'administration du système d'information : l'introduction dans le slider ci-dessous

la sécurité du réseau d'administration du système d'information : POURQUOI des obligations juridiques ?

Si vous avez un profil « tech », vous connaissez la menace, vous savez pourquoi. Mais vous ignorez peut-être le « POURQUOI » juridique.
Si vous avez un profil plus « juridique », vous y apprendrez peut-être COMMENT le droit tente de rattraper le phénomène technique.
Ce phénomène, ce sont les cyber-attaques !
Je ne rentrerai pas dans les détails de ce que sont les cyber-attaques (cliquez ici pour une présentation récente sur le sujet).
En revanche, je vous propose ici un aperçu de la législation française (souvent d’origine européenne by the way) qui vous montrera que (i) c’est pas simple et (ii) que l’ensemble n’a pas été conçu de manière cohérente…
la sécurité du réseau d'administration du système d'information


Nous poursuivrons cet aperçu par l’évocation du véritable problème auquel nous, juristes, devons faire face : l’impossible attribution des cyber-attaques.
Nous terminerons ce POURQUOI avec un focus sur une notion qui fait trembler les gens du métier comme les juristes (surtout les juristes d’ailleurs) : les vulnérabilités.
Car qui dit « vulnérabilité » logicielle , dit « négligence ». Et la négligence en 2020 peut entrainer la mise en jeu de la responsabilité du « négligent »…

la sécurité du réseau d'administration du système d'information : le POURQUOI des obligations juridiques dans le slider ci-dessous

[super bonus] 5 ans de jurisprudence CNIL sur l'obligation de sécurité

Je vous l’ai promis en live, voici mes slides sur la jurisprudence « sécurité » de la CNIL depuis 2014.
Cette obligation de sécurité, c’est l’actuel article 32 du RGPD.
la sécurité du réseau d'administration du système d'information


Si vous êtes DSI / RSSI, vous devriez lire, il y a des termes métiers qui devraient vous « parler ».
Cette jurisprudence est reprise dans tous mes contrats sur les aspects « sécurité logiciel » (on premises ou en Service Cloud). A bon entendeur…

5 ans de jurisprudence CNIL sur l'obligation de sécurité : les slides bonus sont dans le slider ci-dessous.

la sécurité du réseau d'administration du système d'information : la responsabilité des DSI / RSSI / DAF ??? NON... mais si !

Abordons un sujet qui devrait intéresser les DSI / RSSI / DAF / chefs d’entreprise qui ont la charge légale de sécuriser le système d’information de leur entreprise.


Le principe est simple : la responsabilité civile de la faute par négligence sera supportée par l’entreprise, ça fait peu de doute.


Et logiquement, vous pourriez penser qu’il devrait en être de même pour ce qui est de la responsabilité pénale.


Et bien non.


Je vous rappellerai le principe de responsabilité pénale des personnes morales, l’exception de la responsabilité personnelle pour la faute « lourde ».
Surtout, nous regarderons l’autre exception, celle de la responsabilité pénale directe des « dirigeants ».

Qui sont les « dirigeants » au sens des lois imposant une obligation de sécurisation technique des systèmes d’information ?
Pour les juristes « pénalistes », pas de doute : il s’agira du « dirigeant de fait », celle ou celui qui a en pratique la responsabilité d’assurer la sécurité du SI.

la sécurité du réseau d'administration du système d'information : la responsabilité des DSI / RSSI / DAF expliquée dans le slider ci-dessous

la sécurité du réseau d'administration du système d'information : alors ? quelles obligations légales ? soyez bref...

Dans cette troisième et dernière partie, les pro de la sécurité des systèmes d’information trouverons le rappel des textes permettant d’assurer la sécurité d’un système d’information.


Que les juristes s’accrochent aux explications qui suivent, c’est assez technique…


Le document de référence ? Le guide PA 022 de l’ANSSI.

Nous survolerons donc certaines des « recommandations » de notre Autorité Nationale de la Sécurité des Systèmes d’information.

la sécurité du réseau d'administration du système d'information : les "recommandations" de l'ANSSI dans le slider ci-dessous

CYBER-SECURITE : merci aux éditions Delcourt / Soleil !!! (trop bien les BD !)

la sécurité du réseau d'administration du système d'information

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ