Vous êtes sur la page 1sur 43

Le guide pratique du chef d’entreprise

face au risque numérique


Version du 24 mars 2009
Préface
de Michèle ALLIOT-MARIE
Ministre de l’Intérieur,
de l’Outre-Mer
et des Collectivités Territoriales

A l’heure de la mondialisation, Acteur essentiel de la politique d’intelligence


les nouvelles technologies de l’information et économique, l’Etat ne peut cependant agir
de la communication sont pour les acteurs seul. Notre politique d’intelligence
économiques une source d’échanges et de économique doit reposer sur la vigilance
développement de l’activité. Utilisées à des de chacun.
fins d’ingérence et d’espionnage industriels,
elles deviennent une arme contre nos Les entreprises sont au cœur de la lutte
entreprises et l’emploi. contre l’insécurité numérique. Elles doivent
en devenir un acteur à part entière.
La sécurité numérique est ainsi désormais
un enjeu de la sécurité nationale, La sensibilisation et la formation des cadres,
l’intelligence économique une nécessité des managers, des chefs d’entreprise aux
pour notre avenir. risques numériques sont une urgente
exigence. En informant les acteurs
Dans chaque région, les préfets ont reçu économiques de la réalité du risque et
instruction d’élaborer un plan triennal des réponses apportées par les pouvoirs
d’intelligence économique. En renforçant la publics, ce guide illustre concrètement la
cohérence de l’action menée pour protéger coopération entre l’Etat et les entreprises.
les entreprises, les structures de recherche
et les pôles de compétitivité, ces plans L’insécurité numérique n’est pas une fatalité.
marquent l’engagement de l’Etat. Ensemble, nous combattrons cette
criminalité d’un genre nouveau, au profit des
entreprises, de l’emploi, de l’investissement
et de l’innovation.

Michèle ALLIOT-MARIE
Ministre de l’Intérieur,
de l’Outre-Mer
et des Collectivités Territoriales
Avant-Propos

Pourquoi
un guide
de bonnes Dans un contexte de mondia-
lisation et de développement
Il s’agira ainsi tout particulièrement de :

• Permettre une lutte efficace contre la


pratiques des technologies numériques, la
dépendance des sociétés à l’égard
criminalité liée aux technologies numéri-
ques (pédophilie, terrorisme, blanchiment
des technologies de l’information d’argent, contrefaçon...) en utilisant la

à destination et de la communication (TIC) pré-


sente des risques potentiels que
détection, l’investigation et la poursuite,
tant au niveau national qu’international, et
en prévoyant des dispositions matérielles

des savent exploiter des délinquants et


des criminels avertis et de plus en
plus souvent organisés.
en vue d’une coopération internationale
rapide et fiable.

PMI-PME?
• Intensifier la coopération entre les Etats
liés à la Convention du Conseil de l’Eu-
Le 22 mars 2007, le Forum International rope d’avril 2001, les pays membres de
sur la Cybercriminalité a permis de mesurer l’UE et les candidats à l’accession.
l’intérêt de près de 600 participants pour les
technologies numériques qui transforment • Structurer un partenariat sur une base
notre vie quotidienne en offrant un espace transnationale, avec les entreprises et plus
de liberté et d’échanges sans précédent. Le généralement avec les acteurs socio-éco-
20 mars 2008, la deuxième édition du FIC a nomiques impliqués au quotidien dans
accueilli plus de 800 participants. le développement de l’économie de la
connaissance et les acteurs concrets de la
Résolument inscrite dans une démarche mutation de l’économie européenne.
d’intelligence économique, la troisième
édition mettra l’accent sur les axes de travail La remise d’un guide pratique à destination
qu’il appartient aux autorités de suivre pour des chefs de PMI-PME issu d’une coopéra-
mener au mieux la protection des personnes tion publique-privée fructueuse, trouve-t-elle
et des biens dans le cyberespace et permet- ainsi toute sa pertinence et sa place dans le
tre ainsi tant le développement de l’écono- cadre de ce troisième FIC.
mie numérique, le secteur le plus dynamique
de l’économie mondiale, que le développe- Régis Fohrer
ment et la protection des PME-PMI. Commissaire général
Forum International sur la Cybercriminalité

4 5
Remerciements Liste des participants
au comité scientifique
aux participants
des comités • Institutions • Universitaires
et profession du droit
• Forces de sécurité
françaises et étrangères
scientifiques M. Alain JUILLET,
Haut responsable chargé de l’intelligence économique,
M. Eric CAPRIOLI, M. Luc BEIRENS,
et de rédaction. SGDN Avocat à la cour de Paris,
Associé du Cabinet Caprioli & Associés, Docteur en droit
Commissaire divisionnaire, Chef de la Federal Computer
Criminal Unit (FCCU), Belgique

Au nom du Forum International M. Cyril BOUYEURE,


sur la Cybercriminalité, j’adresse Coordonnateur ministériel à l’Intelligence Economique, MEIE M. Jean Jacques LAVENUE, M. David CASSEL,
mes meilleurs remerciements Laboratoire IREENAT, Université de Lille 2 Enquêteur en technologie numérique,
à l’ensemble des membres M. Philippe CLERC, chef de la cellule d’investigations criminelles d’Arras

et partenaires pour la qualité Directeur de l’Intelligence Economique M. Jean-Paul PINTE,


des réflexions qui ont permis et des TIC, assemblée des chambres françaises Docteur en information scientifique et technique, maître Colonel Joël FERRY,
de donner toute la pertinence de commerce et d’industrie de conférences, expert en veille et intelligence compé- Commandant de la Section de Recherche de Versailles
à ce guide, ainsi qu’au titive au sein du laboratoire d’ingénierie pédagogique,
comité de rédaction et de M. Gwendal LE GRAND, Université Catholique de Lille
M. Eric LESTRINGUEZ,
relecture pour l’important travail Chef du service de l’expertise Lieutenant-colonel de réserve, Gendarmerie Nationale
de synthèse et d’écriture fourni. à la direction des Affaires juridiques, internationales Mme Blandine POIDEVIN,
et de l’expertise, CNIL Avocate, Barreau de Lille et de Paris
M. Alain PERMINGEAT,
Nous remercions tout particuliè-
Chef de la division lutte contre la cybercriminalité au Ser-
rement la CNIL pour le soutien M. Pascal LOINTIER, Mme Myriam QUéMéNER, vice Technique de Recherche Judiciaire et de Documen-
apporté dans la mise en place Président Magistrat, Parquet général de la Cour d’appel de Ver- tation de la Gendarmerie Nationale
des réunions de notre comité du Club de la Sécurité de l’Information Français, CLUSIF, sailles, auteur de « Cybermenaces, entreprises, internau-
d’experts. conseiller sécurité de l’information, AIG Europe tes » et co-auteur de « Cybercriminalité, défi mondial » • Entreprises
Régis Fohrer
Commissaire général
Forum International sur la Cybercriminalité M. Gérard PARDINI, M. Christophe ROQUILLY, M. Patrick DESCHAMPS,
Chef du département Sécurité économique et gestion GEN’ETIQ
Professeur de droit, directeur du centre de recherche
de crise, Institut National des Hautes Etudes de Sécurité.
LegalEdhec - performance juridique, EDHEC Business
School
M. Daniel GUINIER,
M. Jean-Philippe VACHERON, Osia
Ingénieur d’études, CRCI-ARIST Nord-Pas de Calais,
animateur de l’action «sécurité des systèmes d’information»
M. Olivier VARLET,
Directeur de Pôle maud
M. Philippe VANDENBERGHE,
Chargé de mission défense et protection civile,
Direction Générale des Services de la Ville de LILLE

6 7
Remerciements aux rédacteurs Cet ouvrage
Lieutenant-colonel Régis FOHRER,
• Groupe Etat des lieux « Le chef d’entrepri-
se face au risque numérique » - recomman-
a pu être réalisé
Forum International sur la Cybercriminalité
dations « approche institutionnelle » grâce à la collaboration
M. Pascal LOINTIER, Rédigé par M. Jean-Paul Pinte,
Docteur en information scientifique et technique, maître
active et engagée de
Président du Club de la Sécurité de l’Information Fran-
de conférences, expert en veille et intelligence compé-
çais, CLUSIF, conseiller sécurité de l’information, titive au sein du laboratoire d’ingénierie pédagogique,
AIG Europe Université Catholique de Lille
avec la participation de
• Les enseignants chercheurs :
• Groupe « Le chef d’entreprises face au
risque numérique - Risques identifiés et solu- - Mme Nathalie FAVIER
tions proposées en 10 études de cas » SGDN / DCSS I / CERTA
I R E E N AT
Rédigé par M. Eric LESTRINGUEZ, - MM. Gabriel GOLDSTEIN et Pierre CROS,
Lieutenant-colonel de réserve, Gendarmerie Nationale
Service de coordination à l’Intelligence économique,
avec la participation de Bureau Dépendances Stratégiques, Ministère de l’Eco-
nomie, de l’Industrie et de l’Emploi, Ministère du Budget,
• Les acteurs de la sécurité :
- M. Eric CAPRIOLI, des Comptes Publics et de la Fonction Publique.
Avocat à la cour de Paris,
Associé du Cabinet Caprioli & Associés, Docteur en droit
- M. Gwendal LE GRAND, Ministere de l’interieur,
de l’outre-mer

Chef du service de l’expertise à la direction des Affaires et des collectivités


territoriales

juridiques, internationales et de l’expertise, CNIL


- M. David CASSEL,
Enquêteur en technologie numérique, chef de la cellule - M. Gérard PARDINI, • Les institutions :
d’investigations criminelles d’Arras Chef du département Sécurité économique et gestion
de crise, Institut National des Hautes Etudes de Sécurité.

- M. Daniel GUINIER,
Osia
Les « avis d’expert » ont été rédigés par
SPIE Communications et notamment :
- Mme Noëlle JEAN-PIERRE,
Cabinet CAPRIOLI & Associés, Juriste TIC M. Arnaud FEIST
Consultant Direction Régionale Nord Est

- Mme Blandine POIDEVIN,


M. Yohan CAPLIER
Avocate, Barreau de Lille et de Paris • Les acteurs juridiques :
Consultant Direction Régionale Nord Est

- M. Christophe ROQUILLY,
M. David DELANNOY
Professeur de droit, directeur du centre de recherche
Consultant Direction Régionale Nord Est
LegalEdhec - performance juridique, EDHEC Business
• Partenaires privés :
School
PANTONE 1795 C C0 R 209
M 94 V 36
J 100 B 33

M. Christian MEGARD
N0

Marketing, Offre IRM (Informatique / Réseaux / Mobilité )


- M. Dominique Dague PANTONE 281 C
C 100
M 72
J0
N 38
R0
V 28
B 77

Illustrations humoristiques M. Julien HOPPENOT


Marketing, responsable offre sécurité
OSIA

8 9
Définition de la
SOMMAIRE Ce terme englobe trois catégories d’activités
criminelles.
PREFACE Chapitre 2
de Mme Michèle Alliot-Marie, Ministre de l’intérieur, Etat des lieux
Cybercriminalité
de l’Outre-mer et des Collectivités territoriales P3
• La première concerne les formes
« Le chef d’entreprise traditionnelles de criminalité, comme les
AVANT-PROPOS
Introduction du Lieutenant-colonel Régis Fohrer, P4
face au risque numérique » fraudes ou les falsifications;
FIC/IFC project manager Recommandations
Définition du Lieutenant-colonel • La seconde concerne les infractions liées
des institutions P 38 Régis FOHRER
Remerciements participants aux comités scientifiques P 6 aux contenus illicites par voie électroni-
La criminalité du XXIème siècle. que (violence sexuelle contre les enfants,
Présentation des partenaires P9
incitation à la haine raciale...);
Définitions de la cybercriminalité en entreprise P 11 Les entreprises
et introduction
et la cybercriminalité P 39
Faute d’une définition communément • La dernière connait des infractions
admise, la définition pertinente du terme propres aux réseaux électroniques
- Un enjeu de coopération internationale P 40 « cybercriminalité » donnée par la communi- (attaques visant les systèmes
Chapitre 1 - Analyse de la menace – Bilan P 40 cation n° 267 du 22 mai 2007 de la Com- d’information, déni de service, piratage...).
Le chef d’entreprises face mission européenne « Vers une politique
La loi protège votre entreprise P 43
au risque numérique générale en matière de lutte contre
la cybercriminalité » a été retenue pour
Ainsi la cybercriminalité constitue dans un
- Première réponse de l’Etat aux incidences monde globalisé l’une des nouvelles formes
Risques identifiés et solutions préparer les éditions successives du FIC.
concrètes sur la vie quotidienne : la loi P 43 de criminalité et de délinquance transnatio-
proposées en 10 études de cas P 13 - Réponses françaises à la cybercriminalité P 44 Aux fins de ce texte, « cybercriminalité » nales dont les conséquences peuvent être
s’entend des « infractions pénales commi- particulièrement graves pour les citoyens,
• Le comportement à risques du salarié P 14
Des services spécialisés ses à l’aide des réseaux de communication les personnes vulnérables et le secteur
pour aider les entreprises P 45 électroniques et de systèmes d’information de l’économie de toutes les nations de la
• La fraude financière ou contre ces réseaux et systèmes ».
- La création de services spécialisés planète.
via la comptabilité P 16
au sein de l’Etat P 45
• La divulgation de savoir-faire P 18
- De nombreuses actions de prévention Quatre grands types de menaces concer-
• Les téléchargements illicites et de sensibilisation des acteurs économiques P 48 nent particulièrement les entreprises :
et intrusion via le réseau sans fil P 20
• La défaillance de sauvegarde Perspectives pour l’entreprise P 54 • Les vols de supports et de données;
des données P 22 - Les Assises du numérique P 54
- Le DLM (Digital Legal Management) • Les intrusions dans les réseaux;
• Le vol d’ordinateur portable
ou de PDA ou gestion du droit d’usage de l’information :
P 24
Une application pratique originale P 54 • Les interceptions de communications
• Le sabotage interne d’une base - Annexes P 57 ou de flux de données;
de données P 26
• Le dysfonctionnement ou l’altération • La manipulation des employés et des
par programmes malveillants P 28 Postface P 62 partenaires, cette dernière menace étant
• La diffamation plus connue sous le terme de « social
Webographie P 64
par courrier électronique P 30 engineering ».
• La défiguration de site web P 32 Les soutiens de nos partenaires P 67

Glossaire :
MAC: media access control WEP: wired equivalent privacy
NAC: network access control WI-FI: wireless fidelity
PDA: personnel digital WLAN: wireless local area
assistant network
SSID: service set identifier WMAN: wireless metropolitan
RFID: radio frequency identifi- network
cation WPA: wifi protected access
SSL: secure sockets layer WPAN: wireless personal area
USB: universal serial bus network

10 11
Introduction
accidentels et les actes de malveillance.
Les accidents peuvent être divisés en deux

Le chef
origines, naturelles ou humaines (sans digres-
sion philosophique…) où dans le premier cas on
par Pascal Lointier, considère des événements tels que les incendies,
Président du Club de la Sécurité dégâts des eaux, perturbations électroma-
de l’Information Français, CLUSIF gnétiques du fait de la nature ou d’une activité
conseiller sécurité de l’information, industrielle. Et dans le second cas, les erreurs de
programmation, les erreurs de manipulation ou

d’entreprise face
AIG Europe
d’exploitation informatique.

Les malveillances où on pourrait distinguer le fait


Début des années 80, un grand constructeur
de programmes automatiques, virus, botnets,
américain lance un nouveau modèle d’ordinateur :
etc. où l’entreprise devient victime sans pour
le PC, pour Personal Computer. Ordinateur
autant avoir été spécifiquement ciblée ; et la
individuel… ce qui signifiait qu’on envisageait peu
malveillance par l’agissement direct d’un individu.

au risque
un emploi professionnel dans une PME ! Mani-
Pour cette dernière, et même si on médiatise
festement les choses ont évolué autrement et
beaucoup (trop) l’Internet et les hackers, les
aujourd’hui non seulement la micro-informatique
auteurs ou leurs actions les plus dommagea-
est complètement intégrée dans les systèmes
bles restent des employés de l’entreprise car
d’information des entreprises de toutes tailles
leurs motivations sont les plus fortes et leur
mais encore, l’individu est devenu à la fois un
connaissance des faiblesses de sécurité souvent
internaute et un citoyen muni d’une informatique
meilleure.

numérique :
embarquée : cartes de crédit, téléphones GSM
avec fonctions d’assistant (PDA), navigateurs
On pourrait encore élargir avec d’autres ex-
GPS…
positions telles que le non respect de textes
réglementaires qui peuvent perturber l’activité
Cette dépendance est une bonne chose car
de l’entreprise du fait de condamnations ou de
d’une part, elle accroît la productivité, fluidifie les
l’atteinte à l’image et la notoriété.
échanges et d’autre part, facilite la sécurité des
données au format électronique en terme de dis-
Cette variété des origines d’un arrêt du système
ponibilité et d’intégrité dans le temps. En effet, le

risques identifiés
et l’évolution des architectures informatiques,
rapport « France numérique 2012 », présenté par
opportunités de nouvelles expositions aux mal-
le gouvernement en octobre 2008 détaille nom-
veillances, notamment, ne doivent certainement
bre des avantages pour une entreprise quant à
pas être interprétées comme un frein à l’emploi
l’utilisation des technologies de l’information et de
des TIC. Il faut garder à l’esprit que toute techno-
la communication (TIC) : « l’économie numérique

et solutions proposées
logie (et pas seulement informatique) comporte
est le principal facteur de gain de compétitivité
intrinsèquement un risque et un emploi malveillant
des économies développées ».
spécifiques. L’automobile « coûte » cher en
terme de dommages corporels et matériels et la
Côté sécurité, les outils de sauvegarde, la
bande à Bonnot a pour la première fois utilisé le
délocalisation du lieu de conservation des dites

en 10 études de cas.
véhicule lors d’attaques de banques…
sauvegardes permettent aujourd’hui, à moindre
coût, d’organiser la disponibilité des données,
Il faut donc accueillir les nouvelles technologies
c’est-à-dire, la pérennité de leur accès et de leur
mais toujours dans une posture de vigilance :
usage quelle que soit, ou presque…, la nature du
savoir comment accroitre son activité tout en
dommage informatique.
limitant les nouveaux risques par des moyens
raisonnables
Le bon fonctionnement au quotidien du système
informatique et le gain de productivité généré
C’est bien souvent l’insouciance et/ou la mécon-
par un traitement numérique ne doivent pas faire
naissance du risque qui permettent ou aggra-
oublier que la menace est « polymorphe » : les
vent les conséquences d’un accident ou d’une
causes d’un arrêt ou d’une dégradation du fonc-
malveillance informatique.
tionnement du système sont potentiellement très
variées. Classiquement, on peut classer les cau-
ses en deux grandes catégories : les événements

12 13
> Fiche 1 Comportements à risque

Le comportement à risques du salarié


• Une entreprise met en place Impacts judiciaires Impacts managériaux et humains Préconisations
un dispositif technique
de gestion des accès basé L’identifiant et le mot de passe servent Ambiance délétère au sein de l’entreprise. Mettre en place et faire appliquer une
à créer une présomption sur l’usager Saisine des prud’hommes pour faute du politique efficiente d’authentification et de
sur un identifiant/mot des outils. Ainsi, si le salarié ne respecte pas salarié négligeant peu envisageable gestion des accès, avec la participation des
de passe sans avoir la procédure mise en place dans l’entreprise dans ces circonstances. instances représentatives du personnel.
sensibilisé les salariés ou s’il ne peut apporter la preuve que ce ne Le salarié victime des agissements ainsi Ces dispositions feront partie de la charte
aux règles de bon usage. peut matériellement être lui, sa responsabi- que son employeur sont amenés à porter d’utilisation des moyens informatiques,
lité pourra être retenue. plainte contre X. et en tout cas devront être adossées au
Gestion des accès et responsabilité de règlement intérieur de l’entreprise.
• Un salarié laisse un post-it l’employeur - L’employeur sera tenu pour Impacts financiers Tous les employés devront être sensibilisés
sur son écran d’ordinateur responsable des actes illicites commis sur à cette nécessité et avertis des sanctions
avec ses identifiant le fondement de la responsabilité des com- Frais de procédure et condamnation encourus.
et mot de passe. mettants du fait de leurs préposés vis à vis possible de l’entreprise au civil
des tiers (art. 1384 du Code civil). en cas de dommage causé à un tiers. LES POINTS CLES A RETENIR
Usurpation d’identité
• Un autre salarié utilise En matière pénale : L’usurpation d’iden- Impacts sur l’image L’authentification est une fonctionnalité
l’identifiant et le mot tité n’est pas un délit pénal en soi, mais de sécurité essentielle au contrôle d’accès.
de passe pour accéder à seulement au sens de l’art. 434-23 du Code Répercussion possible sur l’image Les accès autorisés à l’information et aux
pénal. Une proposition de loi envisage tou- de l’entreprise en cas de contenu illicite ressources sont fonction du ou des rôles
l’ordinateur et en profite pour ou diffamant. de chacun. Il est également nécessaire
tefois d’ajouter un art. 323-8 au Code pénal
commettre des actes illicites : concernant l’usurpation d’identité numéri- d’alerter les salariés sur les conséquences
envoi de messages diffama- que avec une peine d’un an d’emprisonne- créées par la présomption d’identité et de
toires ou racistes, ment et de 15 000 € d’amende. les informer sur la procédure qu’ils doivent
téléchargement de fichiers En matière civile : La responsabilité civile mettre en place en cas de perte de leur
édictée par l’art. 1382 du Code civil, est ap- mot de passe ou identifiant.
protégés par le droit d’auteur, plicable dès qu’il y a une faute, un préjudice
etc... subi par la victime et un lien de causalité
Avis d’expert :
entre cette faute et ce préjudice.
• La personne physique ou Les entreprises prennent généralement introduction de virus via l’utilsation de
morale subissant un préju- toutes les protections nécessaires à la ressources externes à l’entreprise (clé USB,
Définition : sécurisation des accès extérieurs mais connexion privée, disque dur externe…)
dice dépose plainte contre L’usurpation d’identité correspond oublient bien souvent la menace interne. Toutes ces menaces nécessitent une po-
l’entreprise et/ou contre à l’emprunt temporaire ou définitif de En effet, la confiance faite à l’employé litique de sécurité interne qui passe par la
l’expéditeur du message. l’identité d’une personne existante, représente une faille de sécurité considéra- sensibilisation (charte…) et l’accompagne-
par appropriation des identifiants de cette ble : transmission volontaire ou non de mot ment des utilisateurs ainsi qu’un contrôle
dernière, pouvant constituer un délit. de passe, non verrouillage d’une session, performant des accès et des activités.

14 15
> Fiche 2 Comportements à risque

La fraude financière via la comptabilité


• Le chef-comptable, en poste Impacts judiciaires Impacts managériaux et humains Préconisations
depuis de nombreuses années,
vient d’être mis en arrêt longue Le licenciement du salarié ne peut se faire Détection délicate a priori car tout le monde Mettre en place des contrôles informatiques
durée suite à un accident tant que son contrat se trouve suspendu se connaissait dans l’entreprise et la suspi- et des procédures : double ordonnancement,
automobile. sauf faute grave ou lourde qui ne pourra être cion d’une malversation semblait inimagina- séparation des circuits paiements
démontrée que par une expertise comptable ble. Dès la présomption fondée, le chef et achats, limitation de seuils,
ou une enquête pénale. d’entreprise doit agir rapidement et audit et inventaires apériodiques.
• Un intérimaire est embauché discrètement en supposant l’existence
Elles devront déterminer s’il a bénéficié
d’autant plus rapidement de complicité. de collusions internes.
que le bilan doit être clôturé Une procédure d’expertise devra être lancée
prochainement. afin de déterminer le préjudice exact subi Impacts financiers LES POINTS CLES A RETENIR
par l’entreprise. Des conséquences fiscales
• A l’occasion de rapprochements sont également envisageables du fait de Effets multiples : perte des actifs Les mécanismes de détournements sont le
bancaires et stocks, l’absence de fiabilité des documents détournés et difficultés à venir pour plus souvent très simples à comprendre et
ce remplaçant détecte comptables. récupérer les fonds détournés d’autant plus parfois stupides de la part du commettant
que la PME ne s’était pas assurée contre car la détection n’est qu’une affaire
une différence entre les factures
les fraudes financières. de temps (cf fraude dite « en cavalerie*»).
payées à un fournisseur et les Etudier des scénarios techniquement pos-
livraisons effectives de matériaux. Impacts sur l’image sibles (c’est à dire sans présumer
de la bonne foi des salariés) et mettre en
• En collusion avec un employé Impact sur le sérieux de l’entreprise place des indicateurs qui permettront la
du fournisseur, le chef-comptable (rigueur dans les contrôles) et crainte détection des situations atypiques.
a détourné plusieurs centaines de difficultés financières futures qui pourraient (*) : La fraude financière dite «en cavalerie» peut
de milliers d’euros en moins remettre en cause des contrats clients, prendre diverses formes. L’une consiste à créditer
voire d’autres fournisseurs... artificiellement un compte par des chèques croisés de
de deux ans. Il apparaissait montants croissants pour maintenir la confiance, ce
comme consciencieux, qui nécessite des complicités successives, sinon de
complaisances.
extrêmement zélé et d’ailleurs, ne
prenait quasiment pas de congés.
Définition : Avis d’expert :
• Une procédure judiciaire a été La fraude financière est un acte illicite déli-
lancée mais la récupération des béré, réalisé par des moyens plus ou moins La traçabilité des activités et des interven- niveau financier que pour son image. Pour
actifs détournés s’avère délicate. subtils, avec la volonté de tromper dans le tions du personnel joue un rôle primordial se prémunir d’éventuelles tentatives de dé-
Ces derniers ayant été consom- but de s’approprier un avantage. Elle peut pour la prévention des fraudes. En effet, tournement de fonds au travers de manipu-
més ou investis dans des biens prendre diverses formes qui nécessitent ou les fraudes d’ordre comptable par exem- lations comptables, un traitement électro-
non des complicités, et conduit à un préju- ple peuvent entraîner des conséquences nique de l’ensemble des transactions ainsi
immobiliers dont la liquidation
dice pour la victime. désastreuses pour une entreprise tant au que leur archivage est indispensable.
va prendre des mois.

16 17
> Fiche 3 Comportements à risque

La divulgation de savoir-faire
• Un stagiaire, s’appuyant Impacts judiciaires Impacts managériaux et humains Règles de classification, de marquage
sur une technique des données sensibles et contrôle des
« d’ingénierie sociale », En matière pénale : Les faits peuvent être Remise en cause de l’organisation accès physiques et logiques (« besoin
qualifiés d’abus de confiance au sens de tardive en regard des conséquences. d’en connaître »). Procédure d’authentifi-
l’appel à la compassion, l’art. 314-1 du Code pénal. Cette incrimi- Dévalorisation, voire licenciement, cation forte pour les informations sensibles
a récupéré les droits d’accès nation peut s’appliquer au collaborateur qui du tuteur de stage. (contrôle biométrique ou par carte à puce
de son tuteur de stage pour utilise frauduleusement les outils ou informa- Perte de chiffres d’affaires ou mot de passe dynamique).
« faciliter son travail dans tions mis à sa disposition pour et de contrats à venir. Récupération et analyse rapides
extraire des informations confidentielles, des traces d’accès horodatées,
l’entreprise ». Impacts sur l’image comme moyen de preuve.
mais aussi d’atteinte au système de traite-
ment automatisé de données (STAD) (Art.
• Ces droits lui permettent de 323-1). Si ces informations présentent un Influence sur l’image de la société LES POINTS CLES A RETENIR
détourner des informations caractère de secret de la défense nationale, causée par la fuite d’information.
confidentielles d’un autre le cas est traité à l’art. 413-9 du Code pé- La sensibilisation des personnels est
nal, tandis que leur livraison à une puissance Préconisations primordiale : préserver les informations
service de l’entreprise, étrangère est du ressort de l’art. 411-6. sensibles pour l’entreprise, réagir à tout
à savoir du laboratoire de En matière civile : La responsabilité civile de Vérifier le contenu de la convention phénomène atypique.
recherche qui était sur le celui qui commet un tel acte se réfère à l’art. de stage et la rendre tripartite (étudiant, L’ingénierie sociale est difficile à prévenir et
point de déposer un brevet. 1382 du Code civil en cas de violation de la école, entreprise). Vérifier dans l’entreprise à détecter car elle s’appuie sur des compor-
convention de stage. Enfin, au cas où des l’existence de charte éthique tements humains normaux et quotidiens :
éléments relatifs à la vie privée interviennent, et en expliquer le contenu à chacun. solliciter une aide, faire état de la gêne
• Une fois le stage terminé, l’art. 9 du Code civil, dispose que chacun a Informer les salariés des risques occasionnée en l’absence de collaboration,
il va même obtenir un prix droit au respect de sa vie privée. On relèvera consécutifs à la diffusion non contrôlée nécessité de réagir dans l’urgence sans
d’une prestigieuse école peut-être par ailleurs des atteintes au droit de droits d’accès. avoir le temps d’appliquer les procédures
européenne. de la propriété intellectuelle ou à la politique standards, etc...
de confidentialité de l’entreprise.

• Il sera engagé par une


société concurrente
étrangère qui développera Avis d’expert :
le produit et déposera Définition :
L’ingénierie sociale (en anglais «social La protection des données sensibles et données qui permettra d’installer les outils
plusieurs brevets voisins. engineering»), est une méthode d’exploitation leur non divulgation nécessitent la mise en nécessaires pour que l’information reste
de la crédulité humaine, par pression place d’une politique de sécurité globale dans l’entreprise, ainsi qu’une solution de
psychologique ou faisant appel à la dans laquelle devront apparaître 3 types de gestion de logs pour tracer les contreve-
compassion, pour disposer d’un bien mesures. L’authentification forte ou la bio- nants et établir les preuves en cas de fuites.
ou d’informations. métrie, une stratégie globale de contrôle de

18 19
> Fiche 4 Comportements à risque

Les téléchargements illicites et intrusion via le réseau sans fil


• L’entreprise Z s’est toujours Impacts judiciaires Impacts managériaux et humains Préconisations
positionnée originalement :
historiquement installée dans La protection du droit d’auteur et des droits Il règne dans l’entreprise un climat de suspi- Masquer le nom du réseau (SSID : service set
voisins dans la société de l’information cion et chaque collaborateur se sent atteint identifier). Mettre en place un chiffrement de type
ses vieux mais prestigieux
relève de la loi n°2006-961 du 1er août 2006 personnellement après avoir été auditionné WEP ou mieux WPA avec une authentification
locaux parisiens conservés par les enquêteurs. complémentaire par la carte réseau Wi-Fi (adresse
(DADVSI). Il y a obligation pour l’entreprise
comme à l’origine, elle est de veiller à ce que son système d’information physique MAC).
toujours à la pointe de ne soit pas utilisé à des fins illicites Impacts financiers Mettre en place une charte informatique, effectuer
la technologie. (Arts. L226-17 du Code pénal, et 1384 al 5 des contrôles concernant l’intégrité du réseau,
du Code civil), voire à des fins de recel Les enquêteurs conduisent les constatations vérifier les déclarations CNIL.
(Art. 321-1 du Code pénal). de manière à ne pas engendrer un ralentisse- Dans un autre ordre d’idée, l’usage d’une
• Ainsi, pour ne pas dénaturer
L’entreprise est responsable du comporte- ment dans le fonctionnement de l’entreprise. connexion Wi-Fi libre d’accès dans un hôtel ou sur
ses bureaux et s’économiser Pour ce faire, il leur arrive de cloner le(s) un lieu public peut présenter un risque d’intercep-
ment de ses salariés. Elle a l’obligation lors
le coût du câblage, elle a doté de la mise en place de ces outils d’infor- disque(s) dur(s) susceptible(s) de détenir la tion de vos données (messagerie, fichiers téléchar-
ses commerciaux d’ordinateurs mer ses salariés des limites d’utilisation et preuve numérique. Ils travaillent alors sur le(s) gés) si la communication n’est pas sécurisée. Il
portables avec une connexion des contrôles possibles (rôle des chartes clone(s) et remettent le(s) disque(s) réel(s) au faut que les échanges entre votre ordinateur et
Wi-Fi, les membres de l’équipe informatiques ou annexes au règlement chef d’entreprise. C’est pourquoi l’entreprise l’entreprise soient effectués en mode chiffré (WEP
intérieur). peut être paralysée pendant plusieurs jours, puis SSL pour la partie Internet par exemple).
de direction ne peuvent plus
voire plus.
travailler sans leur nouveau LES POINTS CLES A RETENIR
PDA avec une connexion Impacts sur l’image
BlueTooth. Un réseau sans fil doit être encore plus sur-
Un des majors de l’industrie du film et de la veillé que les autres modes de connexion
• La plupart des accès au systè- musique porte le dossier en justice et l’affaire filaires au SI car le point d’entrée est difficile
se trouve relayée par la presse spécialisée. à identifier : la propagation des ondes hert-
me d’information local se font
ziennes est très difficilement contrôlable.
via des technologies sans fil.

• Un beau matin, le PDG reçoit


la visite de représentants Avis d’expert :
de la force publique lui Définition :
Pour sécuriser un réseau Wi-Fi, il existe assurer la confidentialité des informations
demandant de s’expliquer sur Les technologies sans fil correspondent aux
différents mécanismes. WPA2, le méca- transmises.
réseaux sans fil de type :
le téléchargement dans son nisme correspondant à la norme 802.11i, Des solutions permettent de déployer
- personnels (WPAN), tels : Bluetooth, RFID, etc.,
entreprise de plusieurs giga est à ce jour le plus abouti de ces mécanis- et d’exploiter très rapidement un réseau
- locaux (WLAN) : Wi-Fi,
mes, il est basé sur l’authentification 802.1x Wi-Fi en conformité avec les impératifs de
octets de films et de musique - métropolitains (WMAN),
(authentification forte par carte à puce, sécurité de l’entreprise, tout en garantissant
piratés. en fonction de la portée.
certificat, …) et le chiffrement AES pour le confort des utilisateurs.

20 21
> Fiche 5 Altération / Destruction de données

La défaillance de la sauvegarde des données


• Le responsable informatique de la Impacts judiciaires Impacts managériaux et humains Préconisations
société X a élaboré une procédure
de sauvegarde incrémentielle Outre les aspects contractuels et la respon- Le service commercial, le service client ainsi Développer un plan de sauvegarde avec, par
de ses données : sauvegarde totale sabilité civile en cas de préjudice pour les que la comptabilité sont paralysés. exemple, un cycle de sauvegarde quotidienne
le dimanche et enregistrement clients, la loi sur la sécurité financière (LSF) Il est nécessaire d’avoir recours à des me- sur un mois, une sauvegarde mensuelle avec
tous les soirs des modifications n° 2003-706 du 1er août 2003 oblige à sures palliatives et de ressaisir les écritures. une rotation annuelle. Externaliser le support
faites dans la journée. disposer des données qui découlent d’un de fin de semaine ainsi que la sauvegarde
contrôle interne de qualité, à ceci s’ajoute Impacts financiers mensuelle.
• La secrétaire est chargée de changer notamment le respect du livre des procédu-
les supports magnétiques res fiscales au vu des arts. L169, L176 et La ressaisie entraîne un trouble de LES POINTS CLES A RETENIR
et une semaine sur 2 L102 B. trésorerie et de production,
un jeu différent est utilisé. Il faudra veiller aux clauses de responsa- et des frais supplémentaires. La sauvegarde des données est fondamen-
bilités contenues dans les contrats clients. Certains clients décident de changer tale. Elle ne concerne pas seulement les
• Le 25 novembre, une panne survient, Etait-il imposé aux clients de sauvegarder de fournisseur et refusent de payer leurs données de gestion/comptabilité mais aussi
endommageant le serveur sur lequel eux-mêmes leurs données ? Une clause factures en cours. la configuration du système téléphonique et
sont centralisées toutes les données limitative de responsabilité existe-t-elle ? les données pilotant l’informatique industrielle
sensibles et notamment comptables. L’entreprise est-elle assurée ? Impacts sur l’image (les machines-outils, la régulation et la
logistique, etc).
• Lors de l’opération de restauration Mauvaise image vis-à-vis des clients en Une fois la politique de sauvegarde élaborée,
desdites données, le support attente de leur commande, qui sera il est tout aussi fondamental de tester l’ef-
de mercredi de la première semaine retardée ou n’arrivera jamais. Impact sur ficacité des enregistrements, c’est-à-dire,
ainsi que celle du jeudi du second la gestion de trésorerie avec des pénalités vérifier qu’on peut effectivement réinstaller
jeu s’avèrent illisibles. de retard, des intérêts non perçus et une les ressources et les données à partir des
communication de crise à financer. supports conservés hors site.
• La restauration est impossible. L’assurance est un bon moyen d’être rem-
Il faut repartir d’une ancienne boursé des coûts de remise en état et des
Définition :
sauvegarde totale, vérifier l’intégrité préjudices économiques subits.
On peut distinguer la sauvegarde de
des données enregistrées
configuration qui concerne les programmes
(conformité à la réalité) et rejouer
et leur paramétrage et la sauvegarde
toutes les opérations de mise à jour. Avis d’expert :
des données proprement dites. En fonction
L’activité économique est fortement
des emplois, on peut aussi distinguer une
dégradée et certains clients n’hésitent Le Plan de Reprise d’Activité, PRA Au sein de l’entreprise, c’est ce plan qui
sauvegarde de production qui sera conservée
pas à porter l’affaire en justice. (ou encore appelé Plan de Continuité va permettre d’assurer le maintien des
sur site pour un accès et une remise en état
d’Activité ou des Services), constitue activités critiques. La sauvegarde - et ses
plus rapide et la sauvegarde de recours,
l’ensemble des procédures et moyens processus ad-hoc - en est une compo-
conservée hors site, pour gérer des événe-
techniques et humains à mettre en œuvre sante obligatoire et essentielle.
ments majeurs (incendie, dégâts des eaux,
pour faire face à une situation de crise.
etc...)

22 23
> Fiche 6 Altération / Destruction de données

Le vol d’ordinateur porta ble ou de PDA


• Le directeur commercial Impacts judiciaires Impacts financiers Penser à faire une sauvegarde des données
de la société Y se rend traitées pendant le déplacement. Le sup-
en TGV à Francfort pour L’employeur licencie son salarié pour faute Le marché qui aurait dû être signé port (CD, clef USB) sera également chiffré.
lourde, à laquelle sera plus probablement est perdu. Déposer dans la mesure du possible
négocier un important contrat retenue la négligence. Le salarié peut saisir Un fabricant étranger sort peu après immédiatement les éléments volés si des
portant sur 500 pièces de sa les instances prudhommales et obtenir un produit de caractéristiques voisines titres de propriété intellectuelle peuvent être
dernière innovation. la requalification de son licenciement. mais à prix cassé. obtenus afin de préserver l’antériorité de
L’entreprise ne pourra pas réclamer réparation l’entreprise et vérifier que l’entreprise a bien
Impacts sur l’image fait signer des clauses de non-débauchage
• Il emporte dans ses de son préjudice à son salarié. L’assurance ne
à ses co-contractants pour éviter que les
prendra en compte que le prix du matériel volé.
bagages son PC portable La société allemande a des doutes sur la informations récupérées par un tiers soient
dans lequel il a pris soin Impacts managériaux et humains capacité de la PME française à protéger utilisées pour concurrencer sans peine
de stocker le contrat qu’il doit efficacement les informations confidentielles. l’entreprise.
signer, le tableau des marges La société et son directeur commercial sont
décrédibilisés auprès du client allemand. Préconisations LES POINTS CLES A RETENIR
et le dernier tarif à donner L’entreprise supporte la responsabilité
aux commerciaux locaux, encourue. Mettre en place une protection par mot Pour certains pays (Chine, Etats-Unis,
le fichier client et le dernier de passe ou biométrique pour l’accès Israël…), se renseigner avant déplacement
projet innovant de l’entreprise physique à l’équipement portable. sur les réglementations en vigueur (nature
Chiffrer les données. Il existe maintenant des moyens de chiffrement autorisés,
qui doit sortir l’année des solutions simples et suffisamment autorisation légale d’accès pour des
prochaine. robustes à la crypto-analyse, s’appuyant contrôles de sécurité intérieur, etc.).
é
pirat
sur une offre commerciale ou Pour les téléphones-PDA, penser
• En montant dans le taxi, sin « open source » (emploi libre). à conserver par ailleurs, l’IMEI, le numéro
il se rend compte que Des de téléphone, le numéro de carte SIM.
son ordinateur a disparu.

Avis d’expert :

En cas de vol, l’identification néces- De ce fait il est essentiel de crypter


Définition : saire pour ouvrir une session sur le les données sensibles sur l’ordina-
Le vol matériel est la soustraction de portable sert uniquement à empêcher teur portable mais également sur
la chose d’autrui, ici matérialisé par un l’accès au PC. Cependant il n’est pas les périphériques de stockage (CD,
matériel ou des supports de données, par compliqué de récupérer le disque dur, clés USB, disque dur externe, carte
opposition au vol immatériel de données. et les données qui y sont stockées, en mémoire, …).
le connectant sur un autre ordinateur.

24 25
> Fiche 7 Altération / Destruction de données

Le sabotage interne d’une base de données


• L’administration organise Impacts judiciaires Impacts managériaux et humains Préconisations
annuellement sur le territoire
national un concours. Ces faits sont clairement constitutifs des Des données personnelles circulent Nécessité de conserver l’ensemble
Celui-ci se déroule en deux infractions visées aux arts. 323-1 et 323-3 du sur l’Internet. des données de connexion au serveur et
phases : une première pour Code Pénal, du fait d’accéder et de se main- de les remettre aux autorités compétentes.
tenir frauduleusement dans tout ou Impacts financiers Eviter toute remise en service ou réinstalla-
l’admissibilité, une seconde pour
partie d’un système de traitement tion qui serait susceptible de supprimer ces
les oraux, en vue de l’admission. Coût de réorganisation de l’épreuve traces. Prévoir lors de l’inscription que ce
automatisé de données (STAD), et de modifier
les données qu’il contient. De plus, si des dans sa totalité. type d’évènements peut amener l’organisa-
• L’ensemble des résultats données personnelles circulent sur Internet, Possibilité de paiement de dommages teur à annuler l’épreuve.
concernant l’admissibilité est le non-respect de l’obligation de sécurité et et intérêts aux candidats.
communiqué à partir du site la divulgation des données personnelles par Frais d’expertise et de procédures. LES POINTS CLES A RETENIR
Internet de l’administration. négligence constituent des infractions au vu Frais de gestion des poursuites légales.
des art. 226-17 226-22 du Code pénal. Le préjudice en termes d’image
• Les candidats admissibles Impacts sur l’image peut être considérable.
Le contrôle d’intégrité et l’authentification
reçoivent alors chez eux
Le discrédit est jeté sur l’organisme victime relèvent de la prévention, et la sauvegarde
une convocation de cette manipulation. des données de la protection.
à des examens oraux. Le dispositif et la procédure d’alerte
et la conservation des traces sont
• Or, suite à un appel téléphonique essentiels pour la suite.
d’un candidat qui n’avait pas
reçu cette convocation,
il est apparu que différentes
informations du site Internet
avaient été falsifiées par leur Avis d’expert :
webmaster en cours L’utilisateur reste le risque majeur pour la - de reconstituer sans dégradation ces
de licenciement. perte des informations. A fortiori lorsque données.
celui-ci décide de venger un manquement
• En effet, une page mentionnant à son égard (licenciement, refus d’une aug- Les solutions adéquates consistent en
les résultats d’un étudiant non mentation de salaire) par la destruction de l’authentification forte, la corrélation de logs
Définition :
admissible a été modifiée, la base de données de l’entreprise. Dans et bien sûr les systèmes de sauvegarde de
L’intrusion se fonde sur le caractère fraudu-
de telle sorte que ledit candidat ce cadre, l’entreprise doit être en mesure : données ainsi qu’une gestion des identités
leux de l’introduction et du maintien en vue
apparaissait comme admissible. - d’assurer la protection de ces données, efficace.
d’une récupération ou d’une modification,
- de tracer les actions de l’inconvenant
sinon d’une altération ou d’une destruction.
pour preuve,

26 27
> Fiche 8 Altération / Destruction de données

Le dysfonctionnement ou l’altérati on par programmes malveillants


• Les virus font désormais Impacts judiciaires Impacts managériaux et humains Préconisations
partie de l’environnement
informatique. Plusieurs dizaines L’introduction d’un code malveillant Le système d’information est totalement Un dispositif pare-feu et anti-virus de qua-
de malwares (malevolent software, constitue un délit. inutilisable : il faut arrêter le réseau pour lité doit être installé et maintenu constam-
programme malveillant) sont En matière pénale : éviter la propagation virale et nettoyer ment à jour, il doit être vérifié dans son bon
créés chaque jour. une atteinte au système de traitement chacun des équipements. En premières fonctionnement et dans l’étendue du parc
automatisé de données (STAD) (Art. 323-1, conséquences, c’est une semaine d’équipements protégés, une fois les outils
323-2, 323-3-1 du Code pénal), résultant d’inactivité avec chômage partiel de sécurité et les procédures mis en place.
• L’entreprise pensait être en d’une modification, voire d’une atteinte au de certains personnels, mais aussi l’usage Les journaux d’événements seront
sécurité, mais sa protection fonctionnement même du système à l’aide de palliatifs pour les activités essentielles. régulièrement examinés et conservés,
antivirale était inadaptée, d’un programme. et les alertes prises en compte.
certains postes n’étant pas En matière civile : celui qui cause à autrui un Impacts financiers
protégés, d’autres n’avaient dommage, oblige celui par la faute duquel LES POINTS CLES A RETENIR
pas la mise-à-jour automatique il est arrivé, à le réparer, aux termes de Perte de chiffre d’affaires
activée. l’Art.1382 du Code civil, s’il existe des et d’opportunités commerciales. Aucun dispositif technique n’est en mesure
dommages liés à la contamination étendue Coûts de décontamination, de réinstallation de bloquer les codes malveillants à 100 %.
à des systèmes appartenant à des tiers, de l’ensemble des systèmes. L’accès à Internet est concerné, en même
• Lors de la consultation par un
à partir de ceux de l’entreprise. Dommages et intérêts et frais de procédure temps que les serveurs, les postes de
salarié d’un site d’e-commerce éventuels, en cas de contamination travail, mais aussi les différents supports :
accidentellement contaminé, d’installations tierces. disques externes, clés USB,
le réseau de l’entreprise est cartes mémoire, CD-ROM, DVD, PDA
alors très rapidement infecté, Impacts sur l’image en synchronisation etc...
notamment le serveur
de messagerie, celui des fichiers Trouble chez les fournisseurs, les clients,
et les postes utilisateurs et la banque, avec une nécessité de réduire
ayant été connectés Glossaire : l’incident.
NAC : network access control
aux deux serveurs...

Avis d’expert :
Définition :
Les codes malveillants (en anglais Les programmes malveillants peuvent sécuriser au maximum tout accès vers et
«malware») : virus, vers, chevaux de Troie, causer d’importants dégâts au sein d’une depuis l’Internet. Outre la mise en place de
bombe logique, espiogiciels etc., sont ca- société. Ces programmes peuvent être Firewall et d’antivirus, il existe également
ractérisés par la présence de mécanismes introduits de différentes manières au sein des solutions permettant de centraliser les
de propagation, de déclenchement, d’un système d’information : consultation accès Internet des utilisateurs et d’effec-
et d’action, en général développés de sites Internet, messagerie, utilisation de tuer un contrôle d’accès au réseau (NAC)
dans l’intention de nuire. données personnelles, …. qui vérifie l’état d’un ordinateur avant de le
Pour faire face à ces programmes il faut connecter au système d’information.

28 29
> Fiche 9 Destabilisation

La diffamation par courrier électronique


• Un cadre d’entreprise a reçu Impacts judiciaires Impacts managériaux et humains Préconisations
un courrier électronique à son
adresse professionnelle Le contenu du message peut constituer La tension est montée entre Vérifier si des contrôles peuvent être menés
présentant l’identité d’un une diffamation au sens de la loi du 29 juillet les deux hommes avec un impact sur les messageries de l’entreprise.
de ses collègues, qui n’est 1881 (art. 29), sinon une injure. Il y a aussi dans leur travail quotidien. Sur démarche de la victime et par injonc-
dans ce cas usurpation d’identité, du fait de tion judiciaire à l’hébergeur de la boîte
pourtant pas à l’origine de cet envoi.
l’usage de l’identité d’un tiers étranger Impacts financiers aux lettres de l’expéditeur, l’identité de la
à l’envoi du message. L’usurpation d’identité personne mise en cause sera établie et
• L’adresse de courrier devrait prochainement être qualifiée de délit Perte de productivité la pluralité des destinataires pourra être
électronique de ce collègue pénal. et d’opportunité difficiles à chiffrer. démontrée.
a été créée par un service En matière pénale : la diffamation qualifiée Il appartiendra à l’auteur apparent
de messagerie gratuite envers un particulier est punie, selon le Impacts sur l’image d’apporter la preuve de sa bonne foi,
contenu, jusqu’à un an d’emprisonnement et à l’employeur de réagir dans le respect
• Ce courrier a été adressé et d’une amende de 12000 € à 45000 € Répercussion possible sur l’image des règles puisque certains faits se
à d’autres personnes sans que (art.32). de l’entreprise en cas de contenu déroulent sur le poste de travail de salariés.
En matière civile : une action en responsabi- à caractère raciste ou sectaire. Si le nom de l’entreprise a été utilisé,
chacun des destinataires n’ait
lité civile pourrait être intentée sur les dispo- cette dernière sera aussi compétente
connaissance des autres envois pour agir en justice.
sitions des arts. 1382 et 1383 du Code civil,
en cas de préjudice subi.
• Le contenu du message porte En préalable, l’employeur alerté devra vérifier LES POINTS CLES A RETENIR
atteinte à l’honneur s’il dispose des moyens de contrôler les
et à la considération boîtes aux lettres internes sur ce motif selon L’action en diffamation se prescrit après 3
d’un autre collègue sa charte informatique et le rôle dévolu à mois, à compter de la première émission de
de l’entreprise l’administrateur réseau. l’écrit qualifié de diffamatoire ou publication.

Avis d’expert :
Définition : Outil de communication, commun et être tracés afin de fournir la preuve de la
La diffamation est l’allégation ou répandu, la messagerie électronique peut diffamation et identifier l’émetteur. Il s’agit
l’imputation de mauvaise foi d’un fait être utilisée comme tous les médias de donc de placer sur les réseaux internes
déterminé qui porte atteinte à l’honneur ou communication pour transmettre des in- des sondes de tracking et être capable de
à la considération de la personne physique formations erronées et agresser autrui. Ces stocker sur les serveurs de messagerie les
ou morale à laquelle ce fait est imputé. messages diffamatoires doivent pouvoir messages diffamatoires reçus et émis.

30 31
> Fiche 10 Destabilisation

La défiguration de site web


• L’entreprise X est bien connue Impacts judiciaires Impacts financiers Préconisations
pour son catalogue en ligne
d’articles de décoration. Ces faits peuvent être qualifiés d’atteinte au Le site n’a plus été en ligne durant 11 jours S’assurer auprès du responsable
système de traitement automatisé de ce qui a entrainé une perte sèche ou du prestataire, de la mise à jour
• Son site Internet est le moteur données (STAD) (arts. 323-1 et 323-2 du d’exploitation immédiate, différé la livraison des correctifs du serveur Web.
Code pénal), résultant d’une altération des des commandes en cours et généré un Mettre en place un contrôle régulier
de son activité commerciale
données contenues par suppression important SAV pour certains clients qui de l’intégrité des pages et des bases
et la société X ne se prive pas avaient payé mais n’ont pas reçu leur colis. de données associées.
ou modification, voire d’une atteinte
d’en vanter l’ergonomie et le au fonctionnement même du système, Les événements ayant eu lieu en pleine Mettre en place et suivre l’efficience
nombre croissant de visiteurs. suite à l’accès et au maintien frauduleux, période de fêtes, l’entreprise a vu son plus des dispositifs visant à prévenir
à l’aide d’un programme (art. 46 de la gros mois d’activité amputé de 50 %. la modification d’intégrité.
• Le vendredi 13 décembre, LCEN, art. 323-3-1 du Code Pénal). Conserver toutes les adresses IP et logs
la société X est obligée Impacts sur l’image de connexion d’une façon fiable et avant
de mettre hors ligne son site. Impacts managériaux et humains dépôt de plainte pour la restauration.
Sa page d’accueil a été modifiée, L’image de marque de l’entreprise est
Une partie du personnel administratif, mise à mal par la revendication LES POINTS CLES A RETENIR
indiquant que la société a été
de la préparation de commande et de la et la médiatisation.
rachetée par un groupe Les clients expriment leur mécontentement Les entreprises sont de plus en plus
logistique, est mise au chômage technique
concurrent, et les liens menant pendant 11 jours. sur un blog connu. victimes de ce type d’attaque initialement
aux sites de ce dernier. Le chiffre d’affaires de l’entreprise a baissé tournée vers les sites institutionnels.
Les bases de données clients et n’a pas encore repris le même essor L’entreprise doit supprimer les failles
et les commandes sont altérées. qu’auparavant. présentes sur le dispositif web et son sys-
L’attaque est menée par un Les internautes qui se connectaient tème d’exploitation par une mise à jour au
groupe de jeunes hackers qui sur ce site pour la première fois fur et à mesure via les correctifs appropriés.
souhaitaient faire un coup. n’y retourneront plus.

Glossaire :
IP : internet protocole
Avis d’expert :

Définition : Outil de communication et de marketing personnes mal intentionnées. Ainsi l’accès et


La défiguration (de l’Anglais «defacement») incontournable, le site web est devenu une l’intégrité du site web doivent être surveillés et
est une action délibérée dirigée contre cible de choix des hackers, des mécontents, sécurisés, soit un mettant en place une infras-
un site Web pour sa dégradation, d’une concurrence malhonnête. De par son tructure dédiée à cette sécurisation, soit en
sa modification ou sa destruction de pages utilisation, il doit être accessible depuis tout vérifiant les conditions effectives de sécurité
web, le plus souvent la page d’accueil. utilisateur d’Internet, donc potentiellement de lors d’un hébergement chez un prestataire.

32 33
Mais encore …
Pour ce qui est infogérance, hébergement, • La non-conformité réglementaire
Il y aurait également … accès Internet, application service provi- Enfin, l’impact et/ou le traitement judiciaire
der… il est fondamental que non seulement des actes malveillants présentés ne doit
• Le cybersquatting les informaticiens et les juristes valident le pas faire oublier une autre forme de risque
C’est le parasitisme des noms de domaines contrat de prestation mais aussi les répon- pour l’entreprise : l’engagement de respon-
Les 10 scénarios de malveillance
qui consiste à déposer un nom de domaine ses des « métiers et services » pour vérifier sabilité pour non-conformité réglementaire.
que vous venez peut-être que les dispositions de reprises (délais) et
en usurpant le nom de l’entreprise ou celui Que ce soit pour un défaut de déclaration,
de découvrir sont des cas très de ses marques. Une variante est le typo- compensations sont cohérentes avec les une conservation inadaptée, une divulga-
fréquemment rencontrés dans squatting qui repose sur une orthographe exigences de l’activité. tion accidentelle ou malveillante…
l’environnement PME-PMI. incorrecte en espérant que l’internaute
saisisse le nom en commettant la faute • Les erreurs et les omissions
Comme vous pouvez le constater, les ris- d’écriture ou en se trompant de nom de Le comportement humain est très riche
ques sont variés de par leur nature et quant domaine (ex : nasa.com qui était un site en matière de comportement à risques.
à leur impact. Une démarche de sécurité pornographique, le site officiel étant Ainsi les erreurs de saisie, les mauvaises
est donc une action dynamique, cyclique, en .org…). configurations des équipements, les cahiers
qui doit mettre en œuvre une mise-à-jour des charges inadaptés, les conduites de
périodique des moyens et procédures • Le déni de service projets non formalisées… sont autant de
en place. Pour cela, une évaluation des Il s’agit d’une indisponibilité de la ressource possibilités d’atteinte au bon fonctionne-
risques et des enjeux par un consultant ciblée sans, toutefois, altérer ou détruire ment du système d’information. L’omission
en sécurité des systèmes d’information les données sur le site. On distingue ainsi et la négligence peuvent aussi générer des
permettra une meilleure harmonisation des le déni de service distribué qui s’appuie situations à risques !
plans de sécurité (sauvegarde, secours sur un réseau de zombies (botnets) pour
informatique, gestion des droits, antivirus et viser par exemple le site web. Mais il peut • Les risques environnementaux
correctifs de sécurité, etc.) tout en ordon- également s’agir de bombing par saturation De plus, même des données et des ressour-
nant la mise en place de nouvelles solutions d’une ressource telle que la messagerie ces dites immatérielles peuvent subir une
de sécurité. électronique (envoi de milliers de messages destruction ou une altération consécutive
avec pièce jointe) ou encore du standard à un dommage physique. Comme indiqué
téléphonique maintenant de plus en plus en dans l’introduction, l’incendie, les dégâts
VOIP (voix sur IP). des eaux, qu’ils soient d’origine naturelle ou
industrielle, peuvent provoquer l’indisponibilité
• La carence de fournisseur d’une ressource. Un risque d’environnement
Le fait initial peut-être identique à un des de type pollution ou un conflit syndical peu-
scénarios présentés : sabotage de don- vent empêcher l’accès physique à la salle in-
nées, infection virale, etc. Mais comme formatique et rendre impossible l’exploitation
il se produit chez un prestataire, l’entre- des ressources informatiques. C’est pour-
prise à moins de facilités pour gérer la quoi, en complément du plan de sauvegarde
crise. D’autant plus qu’elle pensait être en des données, il est fondamental de mettre en
confiance considérant la bonne renommée place non seulement un « plan de secours
du prestataire ou qu’elle s’imaginait que informatique » pour assurer la redondance
les dispositions contractuelles (pénalités de des serveurs mais encore un « plan de conti-
retard et niveau de service qualité) ou un re- nuité d’activité » qui permettra aux utilisateurs
cours en responsabilité civile lui permettrait d’accéder aux serveurs relocalisés pendant la
d’absorber le préjudice économique subi. durée de gestion de crise.

34 35
Impact et occurrence des risques en entreprise

Il vous est proposé une grille pour mesurer l’évaluation de la probabilité et l’impact
des menaces évoquées dans les fiches. L’évaluation dépend toutefois de la situa-
tion de chaque entreprise, mais aussi de la sensibilisation et de la connaissance de
celui qui l’exprime, en fonction de deux facteurs indépendants qui sont la possibilité
d’occurrence et l’impact.

Niveaux d’exposition

Pour faciliter l’estimation, il est également proposé les échelles suivantes :

Impact du risque : 1 léger, 2 moyen, 3 sérieux, 4 catastrophique,


Occurrence du risque : 1 légère, 2 modérée, 3 forte, 4 très forte,
et trois couleurs pour qualifier arbitrairement le niveau d’exposition au risque de
faible, moyen et fort.

Risques étudiés Niveau d’exposition


au risque de faible à fort
• Le comportement à risques du salarié 01

• La fraude financière via la comptabilité 02

• La divulgation de savoir-faire 03

• Les téléchargements illicites et intrusion via le réseau sans fil 04

• La défaillance de la sauvegarde des données. 05

• Le vol d’ordinateur portable ou de PDA 06

• Le sabotage interne d’une base de données 07

• Le dysfonctionnement ou l’altération par programmes malveillants 08

• La diffamation par courrier électronique 09

• La défiguration de site web 10

36 37
Etat des lieux Les
entreprises
“ le chef et la cybercriminalité
d’entreprise
Bien que la sécurité informatique soit de première fois en 2000, prévoyait de complé-
plus en plus une réalité, un élément incon- ter l’arsenal juridique des Etats en matière
tournable et une condition à la survie des procédurale, afin d’améliorer la capacité des
entreprises, il apparait que le cheminement services de police à mener en temps réel
vers une prise de conscience du risque leurs investigations et à collecter des preu-
numérique ne soit pas encore totalement ves sur le territoire national avant qu’elles ne

face au risque
parcouru aujourd’hui. disparaissent. Cependant, elle n’a pas fourni
de définition claire de cette nouvelle forme
En effet, la cybercriminalité gagne du terrain de criminalité : le terme englobait tout un
dans une économie mondialisée. L’enjeu de ensemble de nouveaux problèmes auxquels
souveraineté nationale pour l’Etat est de ga- se trouvaient confrontées la police et les
rantir la sécurité de ses propres infrastructu- agences de renseignement, et découlant

numérique “
res, essentielles pour le développement des des performances toujours meilleures des
activités socioéconomiques de la nation et la ordinateurs, de la baisse du coût des com-
protection des entreprises et des citoyens. munications, et du phénomène Internet.
Par ailleurs les entreprises doivent prendre
des dispositions pour se préserver de la La majeure partie a traité du droit et des
concurrence et de la malveillance. conventions internationales : il s’agissait de
définir les outils (coopérations internationales
Le terme de cybercriminalité a été inventé renforcées, nouveaux modes de preuve,…)

Recommandations
à la fin des années quatre-vingt-dix, alors susceptibles de fonder des poursuites effica-
qu’Internet se répandait en Amérique du ces à l’encontre des cybercriminels. C’est ainsi
Nord. Lors du Sommet de Lyon (27-29 que l’on envisagea pour la première fois la
juin 1996), les pays du G8 ont constitué un mise en place de procédures de contrôles sur
groupe de travail chargé d’étudier les nou- le réseau des réseaux : injonctions de conser-

des institutions. veaux types de criminalité encouragés par,


ou migrant vers Internet.

Dans un même temps, et à l’initiative des


vation rapide de données stockées, mandats
électroniques, recueil de données en temps
réel, archivage des données relatives au trafic.

membres du groupe de Lyon, le Conseil Un peu plus tard, le 25 février 2005, un rap-
de l’Europe a rédigé un projet de « Conven- port présenté par Thierry Breton, Ministre de
tion sur la Cybercriminalité » (1). Il s’agissait l’Economie, des Finances et de l’Industrie au
d’harmoniser les législations des Parties Ministre de l’Intérieur, de la Sécurité Intérieure
contractantes en la matière. A cet effet, et des Libertés Locales évoque un chantier de
cette convention, rendue publique pour la lutte contre la cybercriminalité (2).
1/ Cf : http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=FRE
38 2/ www.telecom.gouv.fr/fonds_documentaire/rapports/cybercriminalite.pdf 39
Le rapport définit la cybercriminalité comme le doublement du nombre des enquê- continuellement de nombreux outils ou fiquement conçus à cet effet est en très
un nouveau domaine pour le droit pénal et la teurs spécialisés, la mise en place de techniques d’attaque afin de déborder les forte augmentation. La France n’a pas
procédure pénale tout en mesurant l’émer- référents ; outils de sécurité mis en place et la vigilance été épargnée. Le modus operandi de ces
gence d’un corpus législatif et réglementaire des utilisateurs. attaques consiste en l’envoi d’un message
et en intégrant sa dimension au niveau - le développement d’actions de électronique visant des autorités et semblant
international. formation communes ; L’année 2007 notamment a été marquée par provenir d’un interlocuteur habituel ;
une augmentation particulièrement significa- ce message est accompagné d’une pièce
Il est aussi question d’une prise en compte - un renforcement des capacités tive du nombre d’attaques traitées, augmen- jointe infectée qui installe un code mal-
de la cybercriminalité par la police et la juridiques d’investigation ; tation qui peut être imputée d’une part aux veillant ayant pour but de récupérer des
gendarmerie comme un champ d’action échanges internationaux plus riches, et donc informations sensibles lorsque le destinataire
renouvelé et ouvert. - un renforcement de la veille technolo- des renseignements sur les attaques ou tente de l’ouvrir. Du fait de la difficulté à les
gique et de la recherche et développe- tentatives plus fournis, mais aussi à l’aug- détecter et du ciblage préférentiel des auto-
Ce même rapport a permis de mettre en ment (R&D) ; mentation des attaques informatiques dans rités, ces attaques ciblées constituent une
avant un certain nombre de mesures à le monde. menace particulièrement insidieuse.
savoir : - un meilleur contrôle des contenus
illicites véhiculés par Internet ; Les codes malveillants, méthode Les attaques informatiques dites
- une meilleure connaissance statistique d’attaque visant la récupération politiques, utilisées comme moyen
de la cybercriminalité ; - une meilleure protection des mineurs ; de données sensibles de protestation
- un doublement des capacités d’investi- - une politique de prévention ; L’utilisation de codes malveillants, de type Ce nouveau phénomène s’est particulière-
gation spécialisées des services de po- Chevaux de Troie, destinés à réaliser des ment illustré lors des émeutes des banlieues
lice et des unités de gendarmerie avec - la définition d’un certificat «citoyen» des attaques dans le but de dérober des infor- en 2006 avec l’attaque du site internet de
le renforcement de l’OCLCTIC, fournisseurs de services de l’Internet. mations sensibles ne se limite pas au champ la Mairie de Clichy-sous-Bois. Il en a été de
des activités secrètes ou sensibles des même avec la publication des caricatures du
Etats. Elles touchent l’ensemble des prophète Mahomet, élément déclencheur en
activités dans lesquelles la concurrence France de défigurations de sites français.
Un enjeu ministres de la Justice des Etats membres.
Les informations recueillies par chacune des existe. Les entreprises sont ainsi une cible
de choix pour les attaquants. Les vulnérabilités qui favorisent
de coopération plates-formes nationales seront dorénavant
transmises à la plate-forme d’alertes euro- les attaques
Le glissement observé d’attaques massives,
internationale péennes. «Ce regroupement des signale-
ments permettra de déterminer le pays le au moyen de virus informatiques médiatisés, Il s’avère que ces différentes menaces
plus à même d’effectuer des poursuites », vers des attaques ciblées et discrètes est s’expliquent par des vulnérabilités diverses
a précisé, à cette époque, le résultat de la criminalisation massive des dont les plus importantes sont exposées
La recommandation 1507 de 2001 (3) du la ministre Mme Michèle Alliot-Marie. pirates informatiques, désormais plus mo- ci-dessous :
Parlement européen souligne la nécessité tivés par le gain que par la reconnaissance
pour les Etats de convenir de règles et de de leurs capacités techniques. Lorsqu’ils Les premières sont les vulnérabilités liées
sanctions légales communes, et d’entamer n’agissent pas directement, ils mettent à aux applications, à savoir une qualité lais-
une coopération en matière de partage des
informations et d’autres formes d’entraide,
Analyse disposition leurs moyens techniques ou leur sant à désirer d’un logiciel qui permet alors
savoir-faire, moyennant rétribution, au plus d’exploiter des failles pour conduire des
dans le respect des droits individuels, en
particulier de celui de la vie privée.
de la menace. grand nombre : particuliers, officines, entre- attaques. Il s’agit d’erreurs de conception ou
prises, services spéciaux… d’implémentation. La réponse apportée par
L’impératif de lutte contre la cybercriminalité
Bilan l’Etat pour les organismes gouvernementaux
La multiplication des attaques vient du CERTA sur la base de ses publica-
s’est, en outre, manifesté au niveau euro- ciblées au plan mondial tions. On ne rappellera jamais assez que la
péen par la création, le 27 octobre 2008, Ces deux dernières années (2006 et 2007) mise à jour des applications et de leurs cor-
d’une plate-forme européenne de lutte ont été particulièrement riches en évène- Depuis 2005, le nombre d’attaques ayant rectifs constitue la première ligne de défense
contre la cybercriminalité. Celle-ci résulte ments et ont notamment permis d’identifier délibérément ciblé des systèmes sensibles des systèmes d’information.
d’une décision du Conseil regroupant spé- de nouveaux risques majeurs, mais aussi de et utilisant des codes malveillants spéci-
cialement les ministres de l’Intérieur et les constater que les attaquants développaient
3/ Cf : http://assembly.coe.int/default.asp
40 41
La loi protège
Les autres vulnérabilités mises en cause demeure pas moins qu’il a suffit à paralyser
concernent les conditions d’emploi. Il peut l’internet d’un pays entier ; enfin, les codes
s’agir de l’environnement du travail et du malveillants employés lors de ces attaques
paramétrage d’installation. On constate que se sont avérés plutôt classiques et relati-

votre entreprise
ces incidents sont souvent liés à une mau- vement peu sophistiqués. La coopération
vaise mise en œuvre de la PSSI. Les exem- internationale a permis d’identifier environ
ples sont diversifiés et nombreux et vont une centaine de machines situées en France
de l’hébergement mutualisé de sites sur un ayant participé à ces attaques.
serveur propice à la propagation des codes
malveillants, à la suppression de la protec- Il n’existe pas de solution simple car
tion apportée par les pare-feux, en passant aujourd’hui, les logiciels malveillants peuvent
par des erreurs de configuration des droits s’attaquer à tous les utilisateurs d’Internet, Première réponse caractère général, l’autre relative à la pro-
tection de ces données dans les réseaux.
ou à la fuite d’informations circulant par des des entreprises aux particuliers, en passant
technologies rayonnantes, de type Wi-Fi ou par les gouvernements. La sécurité est de l’Etat La commission européenne a contribué au
principe de protection de la vie privée et des
Bluetooth. donc bien l’affaire de tous, qu’il s’agisse
des Etats, des entreprises ou des parti- aux incidences libertés individuelles au travers des deux
textes suivants :
Enfin, un élément qu’on ne peut ignorer culiers. Neuf grands principes permettent
puisqu’il participe à sa façon au système de structurer une démarche globale : concrètes sur la vie - directive européenne 95/46/CE
d’information, les vulnérabilités introduites sensibilisation, responsabilité, réaction, éthi-
par les utilisateurs. Elles résultent d’une que, protection des libertés, évaluation des quotidienne : la loi du 24 octobre 1995, relative à la
protection des personnes physiques
mauvaise manipulation par les utilisateurs risques, conception et mise en œuvre de la à l’égard du traitement des données à
finaux du système d’information, et s’ex- sécurité, gestion de la sécurité, réévaluation. caractère personnel et à la libre circulation
pliquent par la faible qualité des mots de La prise en compte de cette chaine permet Dans la mesure où la protection des de ces données ;
passe, l’ingénierie sociale, le phénomène de s’engager dans une démarche cohérente citoyens et des entreprises dans le cyberes-
de filoutage… face à un problème universel. La réponse à pace entre dans le champ des compétences - directive européenne 2002/58/CE
ce défi passe également par l’approfondis- régaliennes de l’Etat, il apparaît clairement du 12 juillet 2002 concernant le traitement
Au printemps 2007, des émeutes ont lieu à sement des connaissances par les différents que ce dernier a pu identifier des risques et des données à caractère personnel et la
Tallin (Estonie). Elles font suite au déboulon- groupes (gouvernements, entreprises, des menaces. La première réponse, assez protection de la vie privée dans le secteur
nement par les autorités estoniennes d’une utilisateurs ou acteurs techniques). Coopé- précoce finalement, de l’Etat français a donc des communications électroniques.
statue de bronze érigée à la gloire des sol- ration et partage doivent également fédérer été de légiférer en la matière. Les domaines
dats de l’Union Soviétique à la fin de la Se- ces acteurs. Toute solution appliquée par un concernés sont parfois abordés par les mê- Cybercriminalité
conde guerre mondiale. De façon fulgurante, sans être partagée par les autres sera ineffi- mes textes de loi, ce qui explique les redites
des attaques informatiques sont organisées, cace. L’encouragement de bonnes pratiques ci-après. Nouveau domaine pour le droit pénal, la
visant des sites Internet gouvernementaux et doit associer dans une démarche conver-
cybercriminalité recouvre deux grandes
privés estoniens (médias, banques, assuran- gente approche réglementaire, répression, Informatique et libertés catégories d’infractions :
ces, bourse, …). solutions techniques, actions d’éducation
Ces attaques ont duré plusieurs semaines et de sensibilisation et enfin coopération Le premier principe a consisté à dire que - les infractions directement liées aux
et ont pris plusieurs formes : défacements, internationale. « l’informatique doit être au service de technologies de l’information et de la
déni de service … chaque citoyen (…) Elle ne doit porter communication, à savoir les atteintes aux
Ce phénomène a fait l’objet d’une analyse atteinte ni à l’identité humaine, ni aux droits systèmes de traitement automatisés de
par la DCSSI et par ses homologues étran- de l’homme, ni à la vie privée, ni aux libertés données, la diffusion de programmes mal-
gers, analyse permettant d’affirmer que les individuelles ou publiques ». Ce principe veillants, les infractions à la loi Informati-
attaques ont été réalisées par des réseaux correspond en fait au tout premier article que et Libertés sanctionnées au pénal, les
de machines compromises réparties sur de la loi Informatique et Libertés, infractions aux moyens de paiement et les
l’ensemble de la planète, sans qu’on puisse du 6 janvier 1978, modifiée par la loi infractions à la législation sur la cryptologie ;
identifier qui contrôlait ce réseau de machi- du 6 août 2004 relative à la protection des
nes zombies ; si le nombre de machines personnes physiques à l’égard des traite- - les infractions dont la commission a été
compromises est très nettement inférieur ments de données personnelles, l’une à facilitée ou liée à l’utilisation de ces tech-
au million annoncé par la presse, il n’en

42 43
nologies, à savoir la diffusion de contenus Au niveau européen, il convient de signaler : La prise en compte croissante • Mise en place d’une plate-forme de signa-
illicites (pédopornographie, racisme, …), de la menace représentée par lement automatique de toutes les formes
les escroqueries par faux moyens de - la décision cadre 2005/222/JAI du la cybercriminalité s’est traduite de malversation, escroquerie, incitation
paiement pour une transaction en ligne, 24 février 2005 relative aux attaques à la haine raciale ou pédopornographie
par la mise en place d’un dispositif
et certaines autres formes d’escroqueries, visant les systèmes d’information ; constatées sur Internet (4) ;
mais aussi les contrefaçons de logiciels et
dédié au sein du ministère
autres atteintes à la propriété intellectuelle. - la directive 2006/24/CE du 15 mars 2006 de l’Intérieur. • Doublement du nombre d’enquêteurs
sur la conservation de données dans le spécialisés en criminalité informatique, au
Pour couvrir l’ensemble de ces domaines, cadre de la fourniture de services de com- Ainsi, le plan d’action du ministère de l’Inté- sein de la direction centrale de la police
les principales lois qui ont été adoptées sont : munications électroniques. rieur, présenté le 14 février 2008, définit qua- judiciaire, et d’enquêteurs en technologie
tre cibles principales : l’usurpation d’identité, numérique de la gendarmerie ;
- la loi du 5 janvier 1988, dite loi Godfrain Par définition, le cyberespace ne connaît pas l’escroquerie en ligne, les contenus pédo-
(accès frauduleux aux systèmes d’infor- de frontières physiques. Il a donc fallu prendre pornographiques, racistes ou antisémites, • Création de cursus à vocation techno-
mation) ; en compte des dimensions internationales les incitations aux terrorismes. logiques au sein de la police nationale,
au-delà de l’Union Européenne : cela a été fait comme il en existe dans la gendarmerie.
- la loi sur la sécurité quotidienne du 15 no- au travers du traité de Budapest (Convention Pour accomplir ces nouvelles missions, de
vembre 2001 (conservation des données du Conseil de l’Europe) sur la cybercriminalité nouveaux moyens sont consacrés à la lutte
de connexion par les opérateurs, cryptolo- en date du 23 novembre 2001 et de son pro- contre la cybercriminalité :
gie, cartes de paiement) ; tocole additionnel du 7 novembre 2002. Des

Des services
travaux dans le domaine de la cybercriminalité
- la loi pour la sécurité intérieure du sont également conduits par le G8.
18 mars 2003 (perquisition dans un sys-
tème d’information, préservation

spécialisés pour aider


des données par les opérateurs) ;
Réponses françaises
- la loi pour la confiance dans l’économie
numérique du 21 juin 2004 (conserva- à la cybercriminalité
tion des données par les hébergeurs de
contenus, saisie des données informa-
tiques, renforcement de la loi Godfrain,
cryptologie) ;
La France a ratifié la Convention
du Conseil de l’Europe.
les entreprises
- la loi relative au droit d’auteur et aux droits La loi n° 2005-493 du 19 mai 2005 a approu-
voisins dans la société de l’information, du Disposer d’outils, aussi performants soient- L’Office Central de Lutte contre la Criminalité
vé la Convention du Conseil de l’Europe sur ils, ne suffit pas pour autant, encore faut-il liée aux Technologies de l’Information et de
1er août 2006. la cybercriminalité et le protocole additionnel à pouvoir les mettre en œuvre. Pour cela, la la Communication (OCLCTIC) a été créé en
cette Convention relatif à l’incrimination d’ac- France s’est dotée de services spécifiques. 2000 (la première entité constituée remonte
D’autres textes sont venus compléter tes de nature raciste et xénophobe commis
cet arsenal : La réponse, sur le plan pénal et judiciaire, toutefois à 1996). Il est intégré au sein de
par le biais de systèmes informatiques s’est concrétisée par la création de services la Direction Centrale de la Police Judiciaire
(J.O., n° 116, 20 mai 2005, p. 8729). Les dé- spécialisés au sein de l’Etat. (Ministère de l’Intérieur) et a pour voca-
- l’article 163-4 du Code Monétaire et crets permettant la publication de la Conven-
Financier (CMF) sanctionne la fabrication, tion de lutter contre la cybercriminalité sur
tion et du protocole ont été adoptés le 23 mai l’ensemble du territoire national. Il compte
la détention, et la cession de moyens
informatiques permettant d’attaquer les
2006. Il s’agit du décret n° 2006-580, J.O.,
n° 120, 24 mai 2006, p. 7568 et du décret
La création dans ses rangs à la fois des gendarmes et
des policiers qui mettent en commun leurs
cartes bancaires ; n° 2006-597, J.O., n° 122, 27 mai 2006, p.
7937.
de services compétences. Il est épaulé pour ce faire par
la Brigade d’Enquêtes sur les Fraudes aux
- l’article 39 de la loi 2001-1062 modifiant le
CMF crée un Observatoire de la sécurité spécialisés Technologies de l’Information (BEFTI) consti-
tuée en septembre 1994, placée quant à elle
des cartes de paiement.
au sein de l’Etat sous la direction de la Préfecture de Police

4/ www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
44 45
de Paris. Cette brigade, composée de La formation des enquêteurs constitue une - développer l’expertise scientifique et tech- au même mouvement et sans la coopéra-
policiers uniquement, a les mêmes compé- priorité du ministère de l’Intérieur qui abrite nique dans le domaine de la SSI tion desquels cette mission pourrait être
tences techniques, mais est limitée de plein désormais les deux grandes directions que au bénéfice de l’administration menée à bien ;
droit quant à sa compétence territoriale sont la DGPN et la DGGN. Les enquêteurs et des services publics ;
à Paris et sa petite couronne. spécialisés en criminalité informatique (ESCI - de piloter la résolution d’un incident (si
pour la police, NTECH pour la gendarme- - former et sensibiliser à la SSI, au travers besoin avec l’appui du réseau mondial
La Direction Centrale du Renseignement Intérieur rie) sont aujourd’hui disséminés au sein de de son centre de formation à la sécurité des CERTs) ;
(issue de la fusion entre la DST et la DCRG) bon nombre de services sur l’ensemble du des systèmes d’information (CFSSI).
dispose elle aussi d’enquêteurs spécialisés en territoire national alors que pendant très - d’assurer le pilotage des réponses tech-
criminalité informatique, dont le domaine de longtemps les personnels des services pa- En 2003, la DCSSI a étoffé son dispositif niques pour le volet SSI du plan Vigipirate
compétence concerne les services gouverne- risiens ont été privilégiés pour bénéficier de de prévention et de réaction aux attaques et en cas de déclenchement du plan
mentaux, les établissements à régime restrictif telles formations. en créant le Centre Opérationnel de la SSI gouvernemental d’intervention face à une
ou encore tout ce qui concerne les données (COSSI). Ce centre a été créé dans le cadre agression « cyberterroriste ».
classifiées de défense, et plus généralement le Pour autant, l’Etat a compris également de l’élaboration des plans de vigilance
domaine de la sécurité intérieure. que de disposer de services chargés de (VIGIPIRATE) et d’intervention SSI Le COSSI comporte également une compo-
la répression ne suffisait pas à assurer sa (PIRANET). Le COSSI est globalement char- sante exercice qui a donné lieu depuis 2003
La gendarmerie pour sa part a créé dès sécurité. Il s’est donc doté de services gé d’assurer la coordination interministérielle à la réalisation d’une vingtaine d’exercices
1998, au sein du service technique de préventifs. des actions de prévention et de protection dont deux exercices majeurs.
recherches judiciaires et de documentation face aux attaques sur les systèmes d’infor-
(STRJD), une division de lutte contre la La Direction Centrale de la Sécurité des Systè- mation de l’Etat ou dont l’importance pour Outre la DCSSI, en France, d’autres orga-
cybercriminalité. Ses enquêteurs recher- mes d’Information (DCSSI), héritière du service le fonctionnement du pays ou pour la vie de nismes officiels sont chargés d’assurer des
chent les infractions sur Internet (pédopor- central de sécurité des systèmes d’information la population le justifie. En cas de crise, la services de prévention des risques et d’as-
nographie, vente de contrefaçons, recettes lui-même créé en 1986, placée sous l’autorité cellule de crise interministérielle s’appuie sur sistance aux traitements d’incidents :
d’explosifs, haine raciale, etc.). Cette division du Secrétaire général de la Défense Nationale le COSSI pour la conduite technique opéra- il convient de citer le CERT IST dédié au
conseille et aide aussi les unités territoriales a été instituée par décret le 31 juillet 2001. tionnelle de la crise. secteur de l’Industrie, des Services et du
confrontées à des affaires en relation avec Elle a pour missions de : Tertiaire, créé fin 1998, mais aussi le CERT
Internet. Le COSSI est ainsi composé d’une cellule RENATER, en activité depuis 1995, dédié à
- contribuer à la définition interministérielle de veille active 24 h / 24, 7 jours/7, chargée la communauté des membres du GIP RE-
Il est utile de préciser que nombre d’autres et à l’expression de la politique gouver- d’identifier les évènements et informations NATER (Réseau National de télécommuni-
services peuvent être amenés à participer nementale en matière de sécurité des relatives aux vulnérabilités ou attaques cations pour la Technologie, l’Enseignement
à la lutte contre la cybercriminalité sans systèmes d’information ; susceptibles de toucher l’Etat ou les infras- et la Recherche). Il existe encore deux autres
toutefois que ce soit leur objectif principal. tructures vitales. Il englobe également le CERTs français, privés.
Leur liste est trop importante pour être citée, - assurer la fonction d’autorité nationale CERTA (Centre d’Expertise gouvernemental
et pourrait consister en l’annuaire complet de régulation pour la SSI en délivrant les de Réponse et de Traitement des Attaques Enfin, le Livre blanc sur la défense et la
des services de police et de gendarmerie, agréments, cautions ou certificats pour informatiques), créé en 1999 et chargé sécurité nationale, publié le 17 juin 2008,
répartis sur le territoire national. les systèmes d’information de l’Etat, les d’assister les organismes de l’administration place en deuxième position la menace
procédés et les produits cryptologiques dans la mise en place des moyens de pro- informatique, après le terrorisme. Afin de se
Il convient également de citer l’Institut de employés par l’administration et les ser- tection, notamment par la détection précoce donner les moyens d’agir en la matière, il
Recherches Criminelles de la Gendarmerie vices publics, et en contrôlant les centres des vulnérabilités, et dans la résolution des organise une réforme de la DCSSI, créant
Nationale (IRCGN), reconnu pour son ex- d’évaluation de la sécurité des technolo- incidents ou des agressions informatiques une nouvelle agence pour la sécurité des
pertise grâce aux capacités mises en œuvre gies de l’information ; dont ils sont victimes. systèmes d’information, qui relèvera du Pre-
dans sa division « Ingénierie et numérique » Pour ce faire, il est tenu : mier ministre et du secrétariat général de la
ainsi que la Direction de la Police Techni- - évaluer les menaces pesant sur les défense et de la sécurité nationale (SGDSN).
que et Scientifique de la police judiciaire, systèmes d’information, donner l’alerte, - d’assurer une veille technologique ; Elle disposera de moyens renforcés par
qui interviennent régulièrement en support développer les capacités à les contrer rapport à la direction actuelle. Elle conser-
technique de l’ensemble des autres services et à les prévenir ; - d’organiser la mise en place d’un ré- vera les missions de la DCSSI auxquelles
et dont les travaux permettent souvent de seau de confiance, notamment dans ses s’ajouteront :
comprendre des technologies et techniques - assister les services publics en matière de contacts avec les HFDS, FSSI et RSSI
émergentes. SSI ; des différents ministères qui participent - la mise en œuvre d’un centre de détec-

46 47
tion chargé de la surveillance permanente des régions : créer une société de l’information agence de recherche dédiée à la cyberdéfense de la nature des informations recherchées
des réseaux sensibles et de la recherche plus sûre en renforçant la sécurité des infras- « Cyber Defence Management Authority ». et de l’organisme visé. ». Soulignant que
de mécanismes de défense adaptés. tructures de l’information et en luttant contre Basée à Bruxelles, la CDMA est chargée de la sécurité des systèmes d’information est
Ce centre fonctionnera en coordination la cybercriminalité (5). Le texte encourage les coordonner les moyens de défense dans et un véritable défi, à la fois technologique et
avec ceux des partenaires internationaux, entreprises à mener directement des actions entre les différents pays membres, qui veulent économique, il formule 6 recommandations
notamment européens ; contre la criminalité informatique. se protéger des attaques cybernétiques. détaillées dans l’annexe n°2.
En mars 2004, un programme pluriannuel
- le soutien et le conseil aux administrations Safer Internet Plus (2005-2008), succédant Une préoccupation Une préoccupation relayée par
et au secteur privé, en particulier aux au plan d’action Safer Internet (1999-2004),
intégrée par les les associations professionnelles
opérateurs d’importance vitale. L’agence est doté d’un budget de 45 millions d’euros
constituera un réservoir de compétences afin de lutter contre les contenus internet
pouvoirs publics
Les associations professionnelles se sont,
afin de répondre aux besoins les plus illicites et préjudiciables et de promouvoir
La prise en compte par les pouvoirs publics dans le même temps, fortement impliquées
essentiels. une utilisation plus sûre d’internet et des
de la nécessité de mettre en œuvre une dans la sensibilisation des entreprises à la
nouvelles technologies en ligne, particulière-
politique de sensibilisation des entreprises prévention de la cybercriminalité. Ainsi, le
Au niveau territorial, l’agence s’appuiera ment pour les enfants. Les activités menées
contre la cybercriminalité apparaît avec Club de la Sécurité de l’Information Français,
sur un réseau d’experts des observatoires au titre du programme sont réparties selon
l’analyse des bouleversements introduits par le CLUSIF, qui a pour mission d’agir pour la
de la sécurité des systèmes d’information, plusieurs lignes d’action : lutte contre les
Internet dans le monde de l’entreprise. sécurité de l’information en direction des en-
qui seront mis en place dans les zones de contenus illicites, traitement des contenus
treprises et des collectivités publiques, pu-
défense et de sécurité sous l’autorité des non désirés et préjudiciables, promotion
Ainsi, en 2002, le rapport Yolin inclut dans blie chaque année, d’une part, un « Panora-
préfets de zone. d’un environnement plus sûr, sensibilisa-
les adaptations juridiques nécessaires à ma sur la Cybercriminalité »(8) recensant les
tion des consommateurs, protection des
l’usage d’Internet comme facteur de compé- grandes tendances de ce phénomène ainsi
données et sécurité des informations et des
titivité des petites et moyennes entreprises la que ses nouvelles formes, et, d’autre part,
De nombreuses réseaux (virus, spams, etc.).
mise en place de moyens juridiques aptes à
lutter contre la cybercriminalité (6).
un rapport sur « les menaces informatiques
et les pratiques de sécurité en France »(9),
actions L’Agence Européenne pour la Sécurité des
Réseaux (ENISA), créée le 10 mars 2004 par
Le rapport du député Lasbordes (7), en
qui analyse les nouveaux risques informati-
ques, leur sinistralité, ainsi que les mesures
de prévention un règlement du Parlement européen et du
Conseil, est chargée de renforcer la capacité
date du 26 novembre 2005, et intitulé « La
sécurité des systèmes d’information - Un
permettant de les circonscrire. Toutefois et
au-delà d’un simple constat, le Club met à
et de sensibilisation d’anticipation, d’examen et de résolution
des problèmes rencontrés par les Etats-
enjeu majeur pour la France » traite des
vulnérabilités qui affectent la sécurité de
la disposition des entreprises différents outils
pour améliorer la sécurité de leur système
des acteurs membres, les institutions communautaires
et les entreprises en matière de sécurité des
systèmes d’information des entreprises et
des administrations, du fait de la malveillan-
d’informations :

économiques réseaux et des informations.


ce d’acteurs économiques indélicats mais
également celle induite par les NTIC.
• des fiches pratiques pour les TPE-PME ;
Lors de la réunion ministérielle de l’OCDE
• des recommandations abordant des
sur le futur de l’économie d’Internet, en juillet
La politique de répression contre la cyber- Ce constat le conduit à écrire : « L’environ- questions aussi diverses que le retour sur
2008, l’Organisation a affirmé sa volonté
criminalité s’accompagne également de la nement lié aux technologies de l’information investissement en matière de sécurité de
de travailler avec les pays développés et en
mise en place d’un volet préventif, destiné à et de la communication est la cible de nom- l’information ou la sécurisation d’un Intranet ;
développement ainsi que les organisations
sensibiliser les acteurs économiques à cette breuses menaces. L’ouverture des réseaux
internationales pour améliorer les politiques à
menace. et leur complexité croissante associant des • des méthodes d’analyses de risque mise
l’égard de l’économie Internet et accroître la
acteurs aux multiples profils, ont renforcé à jour annuellement, comme MEHARI.
coopération internationale sur des questions
Une préoccupation affichée des ins- la vulnérabilité des systèmes d’information.
comme la cybercriminalité et la sécurité. Cette
tances européennes et atlantiques Détruire, altérer, accéder à des données Le Club Informatique des Grandes Entrepri-
volonté se traduit, en particulier, par la rédac-
sensibles dans le but de les modifier ou de ses Françaises, le CIGREF, accorde, de son
tion de rapports, comme celui sur la menace
Cette nécessité a été soulignée par la Com- nuire au bon fonctionnement des réseaux, coté, une place importante à la sensibilisa-
des logiciels malveillants publié en juin 2008.
mission européenne dans une Communica- les motivations sont diverses et fonction tion des entreprises dans la lutte contre la
tion au Conseil, au Parlement européen, au L’Organisation du Traité de l’Atlantique Nord 6/ Rapport Yolin 2002 p : 256 Lien Internet : http://www.ensmp.net/pdf/2001/&1028mirage2001.pdf
Comité économique et social et au Comité (OTAN) s’est dotée, en avril 2008, d’une 7/ Cf. lien : http://www.lasbordes.fr/IMG/pdf/26_novembre_doc_definitif.pdf
8/ Cf. le site Internet du CLUSIF : http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=CYBER-CRIMINALITE
5/ Cf.: COM(2000) 890 final - Non publié au Journal officiel 9/ Cf. le site Internet du CLUSIF : http://www.clusif.asso.fr/fr/production/sinistralite/index.asp
48 49
cybercriminalité : en 2008, ce Club a publié des normes de télécommunications. Basé à Quelques exemples - Action 103 : Créer un référentiel des
un rapport sur « Protection de l’information : Sophia-Antipolis, cet institut est l’organisme d’actions prévues métiers du numérique
Enjeux, gouvernance et bonnes pratiques ». de normalisation européen du domaine des par le plan numérique 2012
Il propose une définition élargie de la protec- télécommunications qui travaille actuelle- - Action 114 : Développer le télétravail
tion de l’information comme « une démarche ment sur la sécurité des réseaux, en coopé- - Action 44 : Améliorer la confiance dans dans le secteur public
consciente visant à protéger, au sein de ration avec le Comité européen de norma- les services de communication et de par-
l’entreprise étendue, ce qui vaut la peine lisation (CEN) et le Comité Européen de la tage en ligne en luttant contre les usages - Action 124 : Prévoir et assurer l’archivage
d’être protégé, tant au niveau des données Normalisation Electrotechnique (CENELEC). délictueux ou abusifs de ces services. électronique des données et documents
que des supports d’information », numériques.
impliquant « un système de gestion, une Cette volonté a été relayée par la prise en - Action 45 : Missionner la CNIL pour
identification des informations sensibles, une compte de la prévention de la cybercrimi- qu’elle émette une recommandation au - Action 125 : Faciliter l’accès aux services
analyse de risques, des acteurs, avec des nalité dans la normalisation de l’AFNOR. sujet de la protection des données liées de l’usager
rôles et responsabilités et un programme de Le Référentiel des bonnes pratiques de aux plateformes, ainsi qu’à la suppression
réduction des risques » (10). l’AFNOR, d’août 2002, aborde la probléma- de vidéos atteignant à l’intégrité de la - Action 126 : Assurer l’interopérabilité
Dans ce document, les objectifs assignés à tique de la sécurité des informations straté- personne ou à caractère diffamatoire. entre administrations
une politique de protection de l’information giques – qualité de la confiance. Il propose
en entreprises sont les suivants : 12 principes (11) destinés à préserver la - Action 76 : Déployer à partir de 2009, - Action 127 : Assurer l’accessibilité des
confidentialité des informations, abordant la la carte nationale d’identité électronique, sites de l’administration
• Protéger les actifs immatériels de l’entreprise ; nécessité de délimiter un périmètre d’infor- sur la base d’un standard de signature
mations stratégiques à protéger, d’exploiter électronique fortement sécurisé, pour - Action 133 : Développer les services de
• Définir les orientations générales et les l’information librement disponible sur les atteindre, à terme, un objectif de 100 % télésanté et de bien-être
priorités ; marchés et la concurrence, de s’assurer de citoyens titulaires d’une carte nationale
un réseau de fournisseurs de confiance, de d’identité électronique. - Action 154 : Fédérer nos partenaires
• Développer, mettre en œuvre et maintenir mettre en place des dispositifs de protection européens autour d’une structure de ges-
un référentiel de protection de l’informa- efficace reposant sur un personnel qualifié et - Action 78 : Développer l’usage de tion européenne de l’Internet des Objets
tion (politiques, rôles et responsabilités, sensibilisé, et d’analyser et d’exploiter tout l’authentification pour le grand public. (ou “racine ONS”) et mettre en commun
processus, normes) ; incident éventuel (Cf. annexe n°1). les programmes de R&D nécessaires à la
- Action 82 : Promouvoir la protection des création d’une architecture distribuée pour
• Sensibiliser et éduquer le management/ Le Plan Numérique 2012 vient asseoir données personnelles au plan international. l’Internet des Objets en Europe.
les employés à tous les niveaux ; le développement de l’économie
numérique.
• Identifier et traiter les faiblesses prioritaires ;
Ce plan, porté par le Secrétariat d’Etat
• Assurer la conformité et contrôler. chargé de la prospective, de l’évaluation Les travaux de l’OCDE sur la sécu- Ce document de 115 pages vise principale-
des politiques publiques et du développe- rité de l’information et la vie privée ment « l’ économie du maliciel » et recomman-
Une préoccupation prise en compte ment de l’économie numérique a été adopté de la mise en place d’une stratégie globale
par les instances de normalisation en octobre 2008 (12). Un rapport a été rédigé au cours de l’année pour lutter contre les programmes informati-
2007 par le Groupe de travail sur la sécu- ques malveillants («malware» en anglais), en
Au niveau européen, la Commission 154 actions regroupées dans quatre chapitres rité de l’information et la vie privée (WPISP, passe de devenir une «menace sérieuse pour
européenne a présenté, le 6 juin 2001, une et une annexe s’intéressent aux fléaux numé- Working Party on Information Security and l’économie de l’internet». L’activité malveillante
communication proposant, notamment, un riques, aux architectures et technologies de Privacy) de l’OCDE en partenariat avec le affecte selon le rapport tous les utilisateurs
soutien des projets de normalisation et de sécurité (pourriel (spam), phishing, archivage, Groupe de pilotage sécurité et prospérité d’Internet, des entreprises au gouvernement
certification orientés vers les besoins du carte nationale d’identité, authentification forte (SPSG, Security and Prosperity Steering ne passant par les simples internautes mais fait
marché. et signature électronique (Transparence et Group) du Groupe de travail des télécom- encore l’objet d’une «réponse locale fragmen-
La mise en œuvre de cette politique s’est confidentialité, droits d’auteur, pertinence, munications et de l’information tée», estime l’Organisation de coopération et de
notamment traduite par la création de l’Eu- etc...)). Ce document se veut être une démar- (GTTEL) de la Coopération économique développement économique (OCDE). Elle est
ropean Telecommunications Standards Insti- che créatrice de confiance. Asie-Pacifique (CEAP). aussi devenue « une industrie criminelle mondiale
tute (ETSI), c’est-à-dire de l’Institut européen multi-millionnaire agissant dans l’ombre » souli-
10/ Cf. site du CIGREF : http://cigref.typepad.fr/cigref_publications/2008/10/2008---protecti.html
gne encore le rapport.
11/ Ces principes figurent en annexe de ce chapitre.
12/ http://www.francenumerique2012.fr
50 51
Selon l’OCDE, la «coopération internationale» de Russie ou de Chine. Le grand public et les La Commission Nationale Informati- Les entreprises et les administrations
est par conséquent «essentielle» pour lutter entreprises sont aussi visés par ces menaces ques et Libertés (CNIL) joue un rôle recourent de façon croissante aux moyens
contre ce fléau, qui pourrait devenir «une me- en ligne, qui vont du simple blocage d’accès de conseil et de formation informatiques pour gérer leurs ressources
nace sérieuse pour l’économie de l’internet et à des ressources jusqu’au vol d’information et humaines. L’ensemble du secteur des RH
la sécurité nationale». Une large panoplie d’ac- d’identité en passant par l’espionnage, voire La Commission Nationale de l’Informatique est concerné : recrutement, gestion des car-
teurs a un rôle à jouer dans le combat» contre l’extorsion d’argent (rançons). et des Libertés (14), autorité administrative rières et des compétences, le suivi du temps
la cybercriminalité, assure l’organisation, et les (Cf. Fig.1 ci-dessous). L’OCDE propose indépendante est chargée d’assurer le de travail, etc.…
rôles et responsabilités de chacun doivent être également plusieurs pistes d’action, parmi respect des dispositions de la loi du 6 janvier
mieux définis. lesquelles une meilleure sensibilisation des 1978 modifiée par la loi du 6 août 2004. Simultanément, les dispositifs de contrôle des
«Alors que les gouvernements se reposent internautes, l’attribution de ressources plus salariés liés aux nouvelles technologies se mul-
toujours plus sur internet pour fournir des importantes pour poursuivre les cybercrimi- Cette loi impose un certain nombre d’obli- tiplient : vidéosurveillance, cybersurveillance,
services aux citoyens, ils sont confrontés à des nels ou encore l’établissement d’un code de gations aux responsables de fichier, et applications biométriques, géolocalisation,
défis complexes» pour protéger leurs systè- bonnes pratiques. notamment aux chefs d’entreprises. etc.… Ces applications enregistrent de nom-
mes et réseaux informatiques d’une attaque breuses informations à caractère personnel sur
ou d’une intrusion. • Notifier la mise en œuvre du fichier et ses les salariés. La loi Informatique et Libertés fixe
Les Etats-Unis ainsi que plusieurs pays euro- Figure 1 : caractéristiques à la CNIL, sauf cas de un cadre à la collecte et au traitement de ces
péens ont ainsi signalé l’an dernier avoir été la Système de vol d’identité en ligne utilisant dispense prévus par la loi ou par la CNIL. données afin de les protéger, dans la mesure
cible d’attaques par internet, en provenance des logiciels malveillants (13) où leur divulgation ou leur mauvaise utilisation
• Mettre les personnes concernées en est susceptible de porter atteinte aux droits et
13/ Source OCDE
mesure d’exercer leurs droits en les en libertés des personnes, ou à leur vie privée. Le
informant. respect, par les entreprises et administrations
des règles de protection des données à carac-
• Assurer la sécurité et la confidentialité des tère personnel est un facteur de transparence
informations afin qu’elles ne soient pas et de confiance à l’égard des salariés. C’est
déformées ou communiquées à des tiers aussi un gage de sécurité juridique pour les
non autorisés. employeurs qui sont responsables de ces
traitements informatiques et de la sécurité des
• Se soumettre aux contrôles et vérifica- données personnelles qu’ils contiennent. Ils
tions sur place de la CNIL et répondre à peuvent ainsi voir leur responsabilité, notam-
toute demande de renseignements qu’elle ment pénale, engagée en cas de non-respect
formule dans le cadre de ses missions. des dispositions de la loi.

En outre, les traitements les plus « sensibles C’est pourquoi la CNIL est chargée de veiller
» sont soumis à une autorisation de cette au respect de ces principes et souhaite
commission. Le non-respect de ces formalités informer les salariés des droits dont ils
par les responsables de fichiers est passible disposent, ainsi que les employeurs, en
de sanctions administratives ou pénales. les conseillant sur les mesures à adopter
pour se conformer à la loi. Un guide (15) a
Outre sa mission de contrôle, la CNIL pour vocation de leur donner les clés pour
conseille et renseigne les personnes et les bien utiliser ces outils et les fichiers mis en
organismes qui envisagent de mettre en œuvre en matière de gestion des ressources
œuvre des fichiers informatiques, que ce humaines. C’est aussi le but du « correspon-
soit par téléphone, par courrier ou par ses dant informatique et libertés », interlocuteur
publications. Elle s’est dotée d’un service privilégié de la CNIL dont la désignation per-
d’orientation et de renseignement afin d’ap- met, au-delà de l’exonération de déclaration,
porter une réponse rapide aux requêtes des d’intégrer pleinement la problématique de la
particuliers comme des professionnels sur protection des données personnelles.
l’application de la loi.
14/ www.cnil.fr
15/ http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_GuideTravail.pdf
52 53
Le DLM repose ainsi financier peut la publier mais pas la modi-

Perspectives sur un triptyque :

• Une stratégie de protection de l’infor-


fier. Les échanges ont lieu sur la base d’un
consentement. Comme nous l’avons ex-
posé plus haut, le règlement intérieur d’une

pour l’entreprise
mation qui s’appuie sur la réputation des structure et les contrats de travail doivent
utilisateurs prévoir le dispositif. Lorsqu’un utilisateur
transgresse le droit d’usage consenti, la tra-
• Un code de confiance çabilité de la transaction permet de l’exclure
de l’espace de confiance dont il avait bien
• Un modèle qui augmente la fluidité de besoin pour travailler.
l’information et réduit le coût de sécurité
Le DLM ne se contente pas de
Les Assises Le DLM Le grand apport de ce concept est d’opérer
une distinction entre confiance et sécurité.
classifier les documents. Il anticipe
les raisons pour lesquelles :
du numérique (Digital Legal Management)
ou gestion du droit d’usage de l’information
La sécurité est un modèle économique
tandis que la confiance est une relation inter- - des utilisateurs ne prendront pas le risque

Avec les Assises du numérique, qui se sont


Une application personnelle primordiale et donc, préalable à
toute question pécuniaire.
de se faire exclure de l’organisation qui est
leur source d’activité,
déroulées en juin 2008 (16), la France s’est
dotée d’un cadre d’action de la politique pu-
pratique originale « Il ne peut pas y avoir de confiance - des utilisateurs pourraient renoncer à ap-
blique en matière de lutte contre la cybercri- entre deux individus sans qu’ils consen- partenir au groupe parce que leur bénéfice
minalité à l’horizon 2012. Son élaboration a tent au droit d’usage de l’information pourrait être supérieur dehors.
Partant du constat français que 24 % des
associé les pouvoirs publics, les entreprises qu’ils prévoient de partager ; et au-delà
sinistres informatiques sont dus à un acci-
et plus généralement les différents acteurs avec leurs relations respectives » Le DLM permet à l’organisation
dent, 14 % à des erreurs humaines et 62 %
du numérique, autorisant ainsi une approche à la malveillance et qu’Internet n’intègre de rationaliser ses budgets d’inves-
globale de la criminalité sur Internet. Le DLM est donc une stratégie basée sur le
que très faiblement encore une dimension tissements sécuritaires sur quatre
besoin d’appartenance à un groupe.
de responsabilisation de ses utilisateurs,
Théoriquement, aucun individu n’est dis-
axes de travail :
La lutte contre la cybercriminalité, avec neufs l’émergence de la nécessité de disposer
actions mêlant les approches répressive, posé à délivrer une information à un tiers au
d’une gestion du droit d’usage rétablissant - l’invisibilité de l’information,
pédagogique et de sensibilisation, est définie risque de perdre son emploi ou sa source de
les notions de responsabilités individuelles,
comme un domaine essentiel de l’action de revenus. La sociologie des groupes montre
entrepreunariales et institutionnelles s’est - la valeur marchande estimée de l’informa-
l’Etat dans le secteur du numérique que lorsque les individus sont responsabili-
fait jour. La classification documentaire par tion,
(Cf.Annexe n° 3). Les actions concernent sés pour leurs actes, ils agissent mieux, voir
usages individuels et par types de défiances
la lutte contre la contrefaçon et les escro- bien. La limite de ce mieux, c’est le risque
permet d’élaborer une stratégie sécuritaire - la période de criticité de l’information,
queries sur Internet, l’accroissement des qu’ils encourent à être exclus du (méta)
adaptée, rationnelle et optimisée.
moyens affectés à la lutte contre la crimi- groupe auquel ils appartiennent et, qui les
L’approche « sécurité économique » ap- - le périmètre des utilisateurs et son turno-
nalité informatique, l’adaptation du droit à nourrit !
porte dans ce cadre de nombreux atouts ver intra et hors organisation.
l’évolution de la fraude sur Internet, et des et comporte une dimension complémen-
actions de prévention à l’égard des Internau- La mise en œuvre du DLM permet de réa-
taire car elle a pour objectif de faire parta- Ce dernier point est particulièrement sensi-
tes ainsi qu’une coopération renforcée entre liser des échanges d’informations dont les
ger un état d’esprit et créer des espaces ble pour les données critiques archivées.
les différentes administrations au niveau limitations ont été préalablement consenties.
de confiance. La simplicité du DLM peut
national et entre les différents Etats mem- Ainsi sur un portail informatique collabora-
permettre d’adopter une nouvelle stratégie Sur le plan économique, le DLM accélère
bres de l’Union européenne. Les Assises tif chaque document disposera d’un droit
sécuritaire fondée sur la responsabilité indi- l’accès à l’information de qualité entre les
du numérique font de la lutte contre la d’usage (ne pas imprimer/transmettre/modi-
viduelle qui permettra de protéger les sys- acteurs de la valeur. Il réduit les contentieux
cybercriminalité une condition essen- fier, …) affecté à chaque d’utilisateur.
tèmes d’information des erreurs humaines et il rationalise, voire réduit les coûts de
tielle du succès de l’économie numéri- (inadvertance ou fraude) qui sont majoritaire- sécurité informatique. Sur le plan juridique, il
que française. Dans un tel schéma, la pièce comptable
ment à l’origine des pertes de valeurs. protège les collaborateurs et la hiérarchie.
peut être modifiée par le comptable, lequel
L’information est fluide entre les individus ;
16/ http://francenumerique2012.fr/ n’a pas le droit de la publier ; le responsable

54 55
le besoin d’en connaître est satisfait. Les
Annexe n°1 :
6) Mettre en place les moyens de protection
premiers tests ont montré que le DLM peut adéquats correspondant au niveau de
réduire les actions de malveillance d’un sensibilité des informations ainsi classifiées,
Les 12 clés de la sécurité
facteur par l’emploi de règles contextuelles, s’assurer qu’ils sont adaptés et, si besoin,
consenties et tracées entre les utilisateurs. selon l’AFNOR recourir à des compétences et expertises
extérieures ;
(D’après le Référentiel
Concrètement : de bonnes pratiques 7) Désigner et former des personnes res-
de l’AFNOR - Août 2002 ponsables de l’application des mesures
« L’information a besoin d’outils pour faire
Sécurité des Informations de sécurité ;
circuler l’information entre individus ». Une
Stratégiques – Qualité de la confiance.
application pratique de DLM, dotée de fonc-
Comment préserver la confidentialité 8) Impliquer le personnel et les partenaires
tionnalités de sécurité appropriées concerne
des informations) en les sensibilisant à la valeur des infor-
les machines multifonctions : photocopie +
imprimante + scanner + télécopie (MFP) qui mations, en leur apprenant à les protéger
sont, par excellence, des outils d’acquisi- et en leur inculquant un réflexe d’alerte en
1) Admettre que toute entreprise possède des cas d’incident ;
tion-restitution de l’information entre utilisa-
informations à protéger (plans de recher-
teurs. Ainsi, le DLM peut concourir au fait
che, prototypes, plans marketing, stratégie 9) Déployer un système d’enregistrement
que « la bonne personne ait le droit d’usage
commerciale, fichiers clients, contrats des dysfonctionnements (même mineurs),
du document à jour au moment où elle en a
d’assurance,…) ; et analyser tous les incidents ;
besoin pour créer de la valeur ».
2) Faire appel à l’ensemble des capacités 10) Ne pas hésiter à porter plainte en cas
de l’entreprise (chercheurs, logisticiens, d’agression ;
gestionnaires de personnel, informaticiens,
juristes, financiers,…) pour réaliser l’inven- 11) Imaginer le pire et élaborer des plans de
taire des informations sensibles, des points crise, des fiches « réflexe » afin d’avoir un
faibles, des risques encourus et de leurs début de réponse au cas où… ;
conséquences ;
12) Evaluer et gérer le dispositif, anticiper
3) Exploiter l’information ouverte sur l’environne- les évolutions (techniques, concurrentiel-
ment dans lequel évolue l’entreprise, observer les,…) et adapter la protection en consé-
le comportement des concurrents, partenai- quence en se conformant aux textes légis-
res, prestataires de service, fournisseurs, pour latifs et réglementaires en vigueur.
identifier les menaces potentielles ;

4) S’appuyer sur un réseau de fournisseurs


de confiance pour ceux d’entre eux qui
partagent ou accèdent à des informations
sensibles ;

5) Ne pas chercher à tout protéger : classifier


les informations et les locaux en fonction
des préjudices potentiels et des risques
acceptables ;

56 57
Annexe n°2 :
Axe 2 : Responsabiliser les acteurs Axe 4 : Rendre accessible la SSI • Conseiller en amont les maîtrises d’ouvra-
à toutes les entreprises ge de l’Etat pour des projets sensibles
• Etablir de manière obligatoire des chartes tels que par exemple la carte nationale
6 recommandations
à l’usage des utilisateurs, annexées au • Inciter les entreprises à assurer leur SSI d’identité ou le dossier médical ;
du Rapport Lasbordes contrat de travail – public et privé - ou aux par la mise en place d’aides publiques ;
règlements intérieurs des entreprises ; • Confier à une autorité centrale le rôle
Les six recommandations proposées corres- d’approuver formellement le lancement de
• Créer un centre d’aide et de conseil dans
pondent à une double ambition : renforcer la ces projets sensibles ;
• Labelliser les entreprises fournisseurs de une logique de guichet unique ;
posture stratégique de l’Etat en matière de
produits ou services de SSI qui respectent
TIC et de SSI et assurer la mise en œuvre • Faire contrôler par une autorité centrale
un cahier des charges à établir. • Diffuser aux PME sous une forme adaptée
opérationnelle des politiques et des décisions l’application de ces prescriptions par des
les informations de veille, d’alerte et de
de l’Etat en matière de SSI. Certaines d’entre inspections sur site et des tests d’intrusion
elles figuraient déjà dans le Plan de Renforce-
Axe 3 : Renforcer la politique de réponse disponibles au niveau des CERT
développement de technologies et nationaux ; sans préavis ;
ment de la Sécurité des Systèmes d’Informa-
tion de l’Etat élaboré en 2004. de produits de SSI et définir une po-
• Initier et animer des forums thématiques • Mettre en place et animer une filière SSI
litique d’achat public en cohérence transverse dans laquelle la mobilité sera
publics – privés favorisant la circulation
Axe 1 : Sensibiliser et former à la d’informations, les retours d’expériences, organisée, tant à l’intérieur de la fonction
sécurité des systèmes d’information • Identifier les maillons des systèmes
le partage des bonnes pratiques,… publique qu’au travers de passerelles avec
d’information qui exigent des produits
les entreprises et les centres de recherche ;
• Organiser une grande campagne de qualifiés ;
Axe 5 : Accroître la mobilisation
communication s’inscrivant dans la durée • Définir les profils de postes des respon-
à destination de tous ; • Etablir et tenir à jour un catalogue des des moyens judiciaires
sables SSI. Renforcer leur autorité et leur
produits de sécurité nationaux qualifiés
responsabilité ; ils devront être indé-
et des produits européens adaptés aux • Reconnaître la spécificité des contentieux
• Mettre en place un portail Internet pour pendants des directions des systèmes
différents niveaux de sécurité à assurer ; liés aux systèmes d’information ;
mettre à la disposition des utilisateurs – d’information ;
citoyens, administrations et entreprises
• Développer les financements publics de • Aggraver les peines prévues au Code
- des informations d’actualité, des guides • Pour les opérateurs d’infrastructures
R&D ; pénal en matière d’atteinte à la SSI ;
de bonnes pratiques, des contacts, des vitales : valider la politique de sécurité par
alertes sur les menaces,… ; l’autorité centrale et conduire des inspec-
• Favoriser le développement des PME • Introduire une exception au principe
tions et des tests d’intrusion ;
innovantes dans la SSI et renforcer les fonds d’interdiction de la rétro-conception dans
• Proposer au système éducatif - du
d’investissement en capital développement ; le Code de la Propriété intellectuelle pour
primaire à l’enseignement supérieur – et • Pour les entreprises sensibles, faire à la
des motifs de sécurité ;
au système de formation continue, des demande des audits et des tests d’intrusion.
canevas modulaires de formation en SSI ; • Développer la politique de certification
et de qualification par une augmentation • Assurer la sensibilisation des magistrats

Annexe n°3 :
des produits certifiés et qualifiés et une et des forces de sécurité par la formation
• Informer l’utilisateur : à l’instar du port de
réduction des délais et des coûts de initiale et continue ;
la ceinture pour l’utilisation d’un véhicule
automobile, imposer que la documen- certification ; Les Assises du numérique
• Constituer un pôle judiciaire spécialisé et
tation utilisateur qui accompagne les Lutter contre toutes les formes
• Accroître la présence et l’influence fran- centralisé de compétence nationale ;
produits personnels de communication de cybercriminalité
mentionne les risques principaux en- çaise dans les groupes de standardisation
et les comités de normalisation ; • Renforcer les coopérations internationales.
courus vis-à-vis de la protection des La France doit se donner les moyens de
informations, les points de vigilance pour lutter contre toutes les formes de cybercri-
l’utilisateur et les recommandations types • Définir et mettre en œuvre une politique Axe 6 : Assurer la sécurité de l’Etat
d’achat public, fondée sur le principe minalité, que ce soit celle de l’atteinte aux
à mettre en œuvre (exemple : activer un et des infrastructures vitales
d’autonomie compétitive. Inciter les gran- réseaux (piratage, intrusions sur les sites…)
pare-feu, protéger et changer régulière- ou celle de l’utilisation des réseaux (contre-
ment son mot de passe,…). des entreprises à travers le pacte PME à • Mettre à jour les politiques de SSI et les
faire confiance aux PME certifiées en SSI. façon, escroquerie, pédopornographie,
schémas directeurs de chaque ministère
incitation à la haine raciale, propagande
et les valider par une autorité centrale ;
terroriste…).

58 59
Des efforts de coordination et de mutualisa- des infractions relevant de la “cybercri- monisation progressive qui s’opère au niveau avec esprit critique, les outils multimédias
tion, tant au niveau national qu’international, minalité”. Enfin, parce que le volume des Européen, sur le plan législatif comme sur celui et Internet. Cette dynamique doit être
en matière de moyens mis à disposition et infractions constatées progresse d’année en de la formation des forces de police des pays consolidée par un effort de formation plus
d’investigations effectuées dans ces domaines année, il convient d’affecter plus d’effectifs à membres, en matière de lutte contre la cy- important à destination des plus jeunes, no-
par la police et la gendarmerie nationales, ainsi la lutte contre la cybercriminalité. bercriminalité. Dans le cadre de la Présidence tamment des enfants de moins de 12 ans.
que par les douanes ont déjà été initiés. Ces française de l’Union européenne, la France Il s’agit notamment d’améliorer la formation
moyens doivent être renforcés et adaptés. La Action n°86 : Doubler d’ici à 2012 le pourra proposer de mutualiser les efforts dans des jeunes à la citoyenneté sur Internet à
coordination internationale doit être accrue. nombre d’enquêteurs spécialisés la lutte contre la cybercriminalité. travers les modules du brevet informatique
en criminalité informatique dans la et Internet (B2I).
Ainsi, en termes d’organisation, les préroga- police nationale, la gendarmerie nationale Action n°89 : Créer d’ici à 2009,
tives de certains organismes pourront être et les services des douanes. Sur le plan une plate-forme européenne L’Internet doit demeurer libre pour continuer
revues et étendues pour prendre en compte juridique, la France doit également continuer d’échanges d’informations sur la de s’enrichir. Ceci implique aujourd’hui la
de nouvelles formes de cybercriminalité, à se doter d’outils adaptés, en matière de présence de nombreux contenus à carac-
cybercriminalité et les sites illici-
comme la multiplication des délits de contre- définition des délits et ou de sanctions. tère choquant pour les publics non avertis.
façon sur Internet. Par ailleurs, la France doit
tes dans le cadre d’Europol, à l’image de L’accès de tous à Internet porte la promesse
la plate-forme française d’harmonisation,
jouer un rôle moteur dans la coordination d’un accès inconditionnel à la connaissance
Action n°87 : Introduire à l’occasion de de recueil, d’orientation des signalements
internationale des moyens de lutte contre et à l’information. Il est donc nécessaire que
la loi d’orientation et de programmation (PHAROS), qui sera opérationnelle fin 2008.
la contrefaçon, en particulier sur Internet et les plus jeunes puissent consulter l’Internet
pour la performance de la sécurité intérieure L’action publique doit s’appliquer à rendre
prendre une initiative forte dans ce domaine en toute quiétude.
(LOPPSI) : les plus jeunes conscients des risques
à l’occasion de la présidence française de
associés aux outils de communication de
l’Union européenne. Les moyens de communication se dévelop-
• Un délit d’usurpation d’identité sur les ré- l’Internet. C’est l’objectif des campagnes
pent à une célérité qui met à mal l’efficacité
seaux de communications électroniques ; de sensibilisation et de pédagogie que le
Action n°83 : Accentuer la lutte contre du législateur. La concertation en amont
gouvernement a mis en œuvre, à l’instar de
la contrefaçon vendue sur Internet. entre les différents acteurs est indispensable
• Une disposition permettant, en accord l’initiative de la Délégation aux Usages de
Adopter dans le cadre de la présidence fran- à l’établissement d’une situation optimale et
avec les fournisseurs d’accès Internet, de l’Internet, qui a crée en 2003 un site Internet
çaise de l’Union européenne un plan intégré équilibrée. Pour poursuivre pleinement ses
bloquer sur signalement des sites pédo- destiné à prévenir les mineurs contres les
européen de lutte contre la contrefaçon, objectifs, l’État doit donc favoriser l’auto-
pornographiques ; risques de l’Internet. Ces campagnes de
comprenant la lutte contre la contrefaçon régulation des acteurs de l’Internet : par des
sensibilisation menées souvent par différents
vendue sur Internet, décliné au plan national chartes d’engagement, par une “softlaw”
• Des peines alternatives d’intérêt géné- ministères, bénéficieraient d’une meilleure
à compter du 1er janvier. plus souple et plus apte à s’adapter aux
ral pour les hackers condamnés sans coordination.
incessantes évolutions technologiques,
intention de malveillance. Ces moyens ju-
une ligne de conduite commune peut être
Action n°84 : Créer un groupe ridiques et policiers renforcés doivent par Action n°90 : Coordonner des cam- dessinée, au profit d’un Internet respectueux
spécialisé sur les escroqueries sur ailleurs s’accompagner d’une meilleure
pagnes de sensibilisation portées de tous les internautes.
Internet, assurant la centralisation opéra- information du cybernaute de la loi et
des risques encourus et aussi informer le
par les différents ministères en lien
tionnelle des enquêtes et moyens, au sein
public sur les moyens d’éviter tous ces avec la direction du développement Action n°91 : Améliorer la lutte
de l’Office central de lutte contre la crimi-
nalité liée aux technologies de l’information risques. des médias (DDM), le secrétariat contre contre les spams.
général de la Défense nationale Les opérateurs seront invités à travailler
(OCLCTIC). De même, les outils statisti-
Action n°88 : Créer d’ici à la fin de (SGDN) et la délégation aux usages avec les pouvoirs publics pour améliorer
ques de pilotage et de suivi, utilisés par la
de l’Internet (DUI). les conditions dans lesquelles ils pourraient
police et la gendarmerie nationale, doivent l’année, un site Internet de conseils
Au-delà des campagnes d’information, la s’engager à limiter l’accès aux numéros et
désormais prendre en compte les infractions pédagogiques dédié aux utilisateurs
protection la plus efficace consiste à former, SMS surtaxés correspondant à des services
constatées sur Internet. pour prévenir les infractions com-
très tôt, les plus jeunes aux nouvelles tech- frauduleux ainsi que la réception des messa-
mises sur Internet. ges ou appels provenant de ces numéros et
Action n°85 : Développer, dans le nologies, à les accompagner et à les aider à
Internet ne connaissant pas de frontières, la les reversements financiers associés.
cadre du projet Ardoise (Application de développer leur esprit critique dans l’utilisa-
coopération internationale, notamment avec
recueil de la documentation opérationnelle et tion du net. C’est d’ailleurs l’un des objectifs
les partenaires européens de la France, doit
d’informations statistiques sur les enquêtes), du brevet informatique et Internet (B2I), qui
être un pilier majeur de la lutte contre la cyber-
un outil de connaissance des statistiques atteste de la capacité de l’élève à utiliser,
criminalité. Elle est déjà une réalité par l’har-

60 61
sont insuffisamment appliquées par les PME, de capital garanti dans le cadre d’une assu-

POSTFACE
une politique de sauvegarde rance du système d’information. A ce titre, il
composées de cycle journaliers, est important de comprendre qu’une couver-
hebdomadaires et mensuels garantit ture d’assurance n’est pas une alternative à
une meilleure intégrité des données. une politique de sécurité ou à la mise en place
La conservation hors site des supports de moyens et procédures. Elle doit s’analyser
par Pascal Lointier, de sauvegarde, c’est-à-dire sur un autre site, comme un financement des frais de remise
Président du Club de la Sécurité de l’Information Français, CLUSIF garantit une meilleure disponibilité en état du système et un remboursement
conseiller sécurité de l’information, AIG Europe suite à un incendie ou un dégât des eaux. Le possible des préjudices économiques subits
consultant SSI peut, en quelques jours (pertes d’exploitations, frais supplémentaires,
et à la suite d’entretiens préparés avec etc.)...
Après lecture de ce guide sur le risque les différents acteurs de l’entreprise, réaliser
Faire un point de situation
numérique, vous n’êtes plus dans la mé- une telle analyse. On citera ainsi les actions Gérer le comportement humain et
sur le niveau de sécurité de sensibilisation organisées par les
connaissance des risques et des enjeux non le facteur humain
de continuité qu’ils constituent pour votre Chambres de Commerce et d’Industrie
La première étape consiste bien à faire
entreprise. Vous pouvez, toutefois, rester en collaboration avec des prestataires régio- On l’a vu, une bonne politique insiste sur des
un point de situation sur l’état opérationnel
insouciant face au danger : un raisonnement naux. A l’issue de ce point de situation, un procédures adaptées non seulement aux
des moyens déployés et l’application
probabiliste était d’usage avant 2001 ! plan d’action, on parle de schéma directeur exigences du métier (nature des
effective des procédures de sécurité et
Depuis, ces événements - New-York, de la SSI, peut alors identifier les priorités équipements, délai de disponibilité,
d’organisation. Quelle que soit la taille de
Toulouse, les accidents aériens en série d’action et la cohérence de déploiement des traçabilité réglementaire, etc...) mais aussi
l’entreprise et son allocation initiale de
- ont provoqué une modification des outils et surtout des procédures d’emploi. à l’environnement humain. Cyniquement,
ressources, une analyse de risques est pos-
comportements et la question posée est sible et doit être engagée. Pour cela, on pourrait mettre en avant la paresse
désormais la suivante : le scénario une PME peut se faire assister d’un Le tableau de bord d’impact, humaine, cette propension naturelle à ne pas
d’incident a-t-il un impact vital/critique pour consultant en sécurité des systèmes aide à l’évaluation des besoins systématiquement respecter des mesures
mon entreprise ? Si la réponse est positive, d’information (SSI). Il est important que cette perçues comme rébarbatives ou encore les
il faut alors identifier une solution pour en « photographie » du système soit réali- Une fois cette analyse des facteurs de risques erreurs ou omissions dans l’exécution des
réduire les conséquences : il s’agit bien sée par un professionnel ayant une vision ou des scénarios de dysfonctionnement, dites procédures. C’est pourquoi, la règle,
de la survie de votre activité. transversale des atteintes possibles et des l’étape suivante concerne l’appréciation des même formalisée, ne se suffit à elle-même. Il
scénarios d’incident. Un « intégrateur », enjeux ou des conséquences. Là encore, est très important de prendre en considéra-
Agir au plus tôt, ce qui ne signifie fournisseur historique, un revendeur de pro- l’étude CLUSIF fait état d’une situation qu’on tion les habitudes initiales de travail, la per-
pas dans l’urgence duit de sécurité peut être très bon dans son pourrait presque qualifier d’affligeante : 72 % ception des enjeux et les avantages à gagner
domaine (serveurs performants, antivirus, ne procèdent pas à l’évaluation de l’impact pour l’utilisateur quant il respectera ces nou-
L’incident, accident ou acte de malveillance, pare-feu, moyen de sauvegarde) mais la financier des incidents de sécurité et, corol- velles mesures. En clair, une note de service,
peut survenir à tout moment. Il n’y a donc sécurité du système d’information déborde laire, 75 % n’ont pas de tableau de bord de une charte de bonne conduite informatique
aucune justification à retarder une action de largement la seule installation de produits. sécurité informatique. On pourrait avancer des ne sauraient suffire : il faut motiver / intéresser
réflexion quant à sa politique de sécurité. Il faut d’une part, prendre en considération éléments d’explication (et non de justification…) : les utilisateurs (y compris les directeurs…) au
Insistons sur ce point car la dernière étude tous les facteurs de sécurité ou toutes les réaction psychologique et volonté d’amnésie respect des usages édictés. La psychosocio-
diligentée par le Clusif « Menaces Informati- déclinaisons de politiques de sécurité : suite à un événement déstabilisant, absence logie est là pour nous démontrer comment
ques et Politiques de Sécurité en France » sauvegarde, secours informatique, de savoir-faire quant aux poste de rembour- l’individu, et sa prise de décision, est suscep-
fait d’abord état d’un paradoxe : continuité des services, gestion des droits sement à mesurer. Pourtant, le tableau de tible d’interagir ou d’être orienté par des in-
73 % des PME interrogées estiment avoir en interne et en télé-accès, départ du bord, qu’il soit d’impact (suite à une crise) formations transmises par son environnement
une dépendance forte par rapport au personnel stratégique, etc. et d’autre part, ou de sécurité (dans l’exploitation courante) son groupe d’activité. On découvre alors que
système d’information… mais 39 % d’entre identifier les bonnes procédures de travail. présentera plusieurs avantages. D’une part, l’être individu n’est pas un être de raison, de
elles n’ont pas réalisé une analyse globale En effet, la sécurité n’est pas systématique- c’est un début d’appréciation du RoSI, rationalité et que des techniques permettent
des risques auxquelles on pourrait ajouter ment couteuse ou trop couteuse. le retour sur investissement de sécurité, pour l’orientation du comportement…
30 % ayant effectuées une étude partielle, Par une réorganisation du travail, analyser comment la sécurité a contribué au
donc potentiellement incorrecte ou on augmente considérablement son niveau maintien de la productivité de l’entreprise.
négligeant un facteur de risque critique ! de sécurité. Redisons-le car les mesures D’autre part, il permet d’identifier le montant

62 63
Mettre en place une dynamique
Webographie Documentation
http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=FRE
L’adaptation des moyens, la cohérence des www.telecom.gouv.fr/fonds_documentaire/rapports/cybercriminalite.pdf
pratiques et l’adhésion de l’usager aux bon-
nes pratiques ne peuvent malheureusement
E-Sources : http://assembly.coe.int/default.asp
www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
suffire… l’entreprise évolue et son système http://cigref.typepad.fr/cigref_publications/2008/10/2008---protecti.html
d’information aussi. Une dépendance ou Portail de la sécurité informatique : www.clusif.asso.fr/fr/production/sinistralite/index.asp
un impact plus fort suite à l’accroissement www.securite-informatique.gouv.fr www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=CYBER-CRIMINALITE
d’activité, une évolution des architectures www.nouvellesmenaces.eu www.clusif.fr/fr/production/ouvrages/pdf/PanoCrim2k8-fr.pdf
informatiques avec de nouvelles menaces à
prendre en compte et enfin, les rotations de Portail du CLUSIF : Rapport Yolin 2002 p 256 :
personnels font qu’une démarche cyclique www.clusif.fr http://www.ensmp.net/pdf/2001/&1028mirage2001.pdf
doit être mise en place. Nouvel audit pour
apprécier l’augmentation du niveau de Serveur thématique sur la sécurité Rapport Lasbordes - La sécurité des systèmes d’information
sécurité, reconfiguration des équipements et des systèmes d’information (DCSSI) : Un enjeu majeur pour la France - novembre 2005
installation de correctifs de sécurité et sensi- www.ssi.gouv.fr www.lasbordes.fr/article.php3?id_article=166
bilisation des nouveaux salariés… toutes ces www.lasbordes.fr/IMG/pdf/26_novembre_doc_definitif.pdf
actions sont nécessaires pour que « numé- CIGREF :
rique » soit associé à gain de production et www.cigref.fr Plan de développement de l’économie numérique
non à risques… www.francenumerique2012.fr
CNIL :
www.cnil.fr Guide pour les entreprises et les salariés - CNIL
www.cnil.fr/fileadmin/docume...blications/CNIL_GuideTravail.pdf
La mission du Haut Responsable
en charge de la Haute Intelligence
Economique : Autres sites pour en savoir plus :
www.intelligence-economique.gouv.fr
Guide de l’Intelligence économique en Suisse occidentale
INHES : http://campus.hesge.ch/areso/files/guide.pdf
www.inhes.fr,
www.cahiersdelasecurite.fr DCRG - Intelligence économique défensive :
Physionomie nationale du risque financier - novembre 2006
www.intelligence-economique.gouv.fr/IMG/pdf/Physionomie_nationale_du_risque_financier.pdf

Les normes de sécurités :


http://www.iso.org/iso/fr/home.htm
et notamment les normes suivantes :
ISO 13335 Gestion de la sécurité des TIC
ISO 15408 Evaluation de la sécurité des TIC
ISO 27001 Certification de la qualité des pratiques
ISO 27002 Code de bonne pratique pour la gestion de la sécurité de l’information, etc.

Blog de Jean-Paul Pinte


Jean-Paul Pinte vous invite à suivre l’actualité sur son blog :
http://cybercriminalite.wordpress.com/

64 65
Les soutiens
de nos
partenaires

66 67
Les services SR (Section de Recherche)
Spie Communications
Afin de répondre aux fortes contraintes juridiques
auxquelles sont soumis nos clients, SPIE Com-

de Gendarmerie Les sections de recherche (SR) apportent exper-


tises techniques et scientifiques (recherche de
Les entreprises munications a développé une spécialité dans
les domaines de la gestion de logs et du NAC
preuves) dans le cadre d’enquêtes. Depuis l’avè- et la cybercriminalité sur lesquelles nous avons effectué de très belles
nement d’Internet le nombre de leurs missions réalisations et investissons massivement. Notre
Plusieurs dispositifs cohabitent au sein s’est réellement accru et leurs expertises sont service de veille permet également d’anticiper
de la Gendarmerie pour la lutte contre demandées surtout en matière de criminalité Acteur majeur les changements technologiques et d’avoir une
la cybercriminalité : IRCGN, STRJD, SR, numérique (analyse de disques durs ...). en matière de approche pragmatique sur des sujets comme le
N-Tech. Bien qu’ils semblent nombreux, services DLP ou les problèmes de sécurité liés à la voix
ils ont chacun leur spécialité et travaillent N-Tech « informatique, sur IP.
en collaboration. réseaux &
Depuis 2001, des enquêteurs des sections et télécoms » en Présent sur les prin-
IRCGN (Institut de Recherches Crimi- brigades de recherche sont formés aux nou- France, SPIE cipaux évènements
nelles de la Gendarmerie Nationale) velles technologies au CNFPJ (Centre National Communica- autour de la sécurité,
de Formation de Police Judiciaire), à l’IRCGN tions se positionne au cœur de la convergence SPIE Communica-
Implanté à Rosny-Sous-Bois depuis 1987, l’IRC- et à l’université. Ils apprennent à décortiquer les voix-données et comme l’une des premières tions, au travers de sa
GN est un laboratoire de police scientifique. Ses disques durs, les données, la programmation, la Sociétés de Services en Informatique au travers direction régionale Nord
deux missions : l’expertise scientifique (toxicolo- cryptologie etc. Leur rôle est d’assurer l’expertise de son activité d’infogérance autour des Postes Est, a choisi le salon de
gie, incendie, biométrie...) et la mise à disposition et l’analyse de la criminalité numérique au niveau de travail et des Serveurs. Le chiffre d’affaires la Cybercriminalité pour
de spécialistes dans le cadre d’enquête; puis régional. Leurs missions se recentrent autour 2007 de SPIE Communications est de 285 M€. venir à la rencontre des
surtout l’anticipation des futures évolutions de la des affaires de pédopornographie à l’échelle ré- SPIE Communications focalise sa croissance sur utilisateurs et intervenir
criminalité et la façon de les contrecarrer. Depuis gionale (prérogatives initiales), comme à l’échelle le « service de proximité », en privilégiant, sur le sur différents sujets
1992, la structure accueille le département Infor- nationale, voire dans des affaires internationales. terrain, réactivité, fiabilité technique et satisfac- dont le nomadisme.
matique & électronique divisé en quatre unités : Leurs enquêtes proviennent souvent de com- tion maximale de l’utilisateur final. Aujourd’hui,
une de recherche et développement, et trois mission rogatoires, ou de demandes d’expertise. SPIE Communications compte 66 700 clients Sur le stand, des démonstrations interactives
unités d’expertises (traitement de l’information, Néanmoins, les N-Tech effectuent un travail de en France et emploie plus de 2000 personnes seront organisées autour de :
réseaux & télécommunications, et électronique). veille avec des logiciels spécialisés comme l’IR- réparties sur 6 directions régionales. • La gestion de logs,
CGN et le STRJD, ce qui leur permet parfois de • La sécurisation des réseaux Wi-Fi,
STRJD (Service Technique de Recher- lancer des enquêtes d’« initiative », après bien sûr SPIE Com- • La sécurisation du poste de travail,
ches Judiciaire et de Documentation) avoir retransmis l’information auprès des services munications a
de l’IRCGN, du STRJD et de l’OCLCTIC. Une développé une La direction régionale Nord Est a en effet décidé
Créée en 1976 et implanté à Rosny-Sous-Bois, des priorités de Mme la Ministre Michèle Alliot- réelle expertise de faire de la sécurité des systèmes d’infor-
le STRJD met en corrélation tout les évènements Marie, est le doublement des effectifs N-Tech dans le domaine mation un de ses axes majeurs de développe-
trouvés au cour de différentes enquêtes afin d’ici quelques années. de la sécu- ment en 2009 en créant un pôle sécurité et en
de les accélérer. Cinq divisions composent le rité et exerce consolidant son offre de conseil. Nous réalisons
STRJD, dont la DLCC (Division de Lutte Contre aujourd’hui ses notamment des prestations de prédiagnostic de
la Cybercriminalité) crée en 1994 qui regroupe compétences dans tous les domaines informati- sécurité, d’aide à l’élaboration de politique de
deux départements principaux : la DSI (Dépar- ques : contenu, communication, accès, sécurité sécurité, d’audits de vulnérabilité, mais égale-
tement de Surveillance de l’Internet) et le DRAMI des postes de travail, gestion des identités, ment de la conduite du changement, des études
(Département de répression des atteintes aux Network Access Center (NAC), … et propose d’opportunité, de faisabilité ou d’homogénéisa-
mineurs sur Internet) dont le CNAIP (Centre une offre de service étendue allant du conseil à tion du système d’information.
National d’Analyse des Images Pédopornogra- l’infogérance en passant par l’intégration, l’héber- PANTONE 1795 C C0 R 209

phiques) répertorie 24h/24 toutes les images


M 94 V 36

gement et les services managés J 100


N0
B 33

pédopornographiques. Les autres divisions tra-


vaillant en relation avec la criminalité numérique Cette expertise se traduit par un programme ri-
coopèrent donc toujours avec la DLCC. goureux de formation et plus de 50 certifications
Ministere de l’interieur,
de l’outre-mer réparties sur l’ensemble du territoire prévues en
et des collectivités
territoriales 2009.

68 C 100
M 72
J0
R0
V 28
69
PANTONE 281 C N 38 B 77
Thales En ouvrant leurs systèmes d’information au
grand public, fournisseurs et partenaires
approches méthodologiques (EBIOS, Cri-
tères communs, …) ainsi que des outils et
Le Groupe consolide une approche de bout
en bout de la sécurité qui couvre l’ensemble
dans un environnement de nomadisme et produits, mais aussi le renforcement mutuel d’une chaîne « Secured by Thales » :
Cybersécurité : Protection de mutualisation des données, les organi- des capacités d’analyse de flux.
des systèmes d’information sations ont franchi un point de rupture entre • analyse du contexte : identification des
leurs dispositifs traditionnels de protection et A la transversalité institutionnelle doit menaces, contraintes et règles applicables
et résilience des organisations les risques encourus. correspondre une transversalité dans les
organisations. La sécurité est aujourd’hui • analyse des risques : risques acceptables,
Il est urgent d’appliquer toutes les règles une contrainte dispersée dans de multiples niveau de sécurité à atteindre
déjà définies et de les appliquer sans faille. fonctions. Très rares sont les organigram-
L’écart entre les pratiques d’une part et les mes qui en individualisent la responsabilité • conception sécurité : design sécurité
L’exposition des applications standards et référentiels d’autre part consti- globale. Celle-ci devrait être assumée par et recommandations
tue à lui seul un gisement de sécurisation qui un directeur de la sécurité, rattaché à la di-
critiques aux cyberagressions est à la fois important et facile d’accès. rection générale comme toute fonction vitale • développement ou acquisition des
s’est accrue dans des Les actions d’audit, de sensibilisation et ou stratégique et interlocuteur des pouvoirs technologies de sécurité
de formation sont, dans ce contexte, de publics.
proportions exponentielles nature à faire baisser rapidement le niveau • tests et audits de sécurité interne :
de risque. Enfin, le moment est venu d’élargir le test d’intrusion, résistance aux attaques
avec l’ouverture des systèmes concept de résilience. Bien au-delà de la
Cependant il serait faux de penser que les seule capacité des systèmes à fonctionner • évaluation du niveau de sécurité,
d’information et le actions offensives sont toujours effectuées en cas de panne, il faut l’étendre à l’organi- en regards des normes du secteur :
par des individus à l’extérieur des organisa- sation elle-même pour la rendre capable de banque, défense...
développement des menaces tions. Bien au contraire, les études montrent « manager la surprise ». Il conviendra donc
polymorphes. que la majorité des dommages sont déclen- de rapprocher deux fonctions trop souvent • audit et certification : vérification
chés au sein même des entreprises ou des distantes, celle qui s’engage sur la continuité des modifications demandées.
Au-delà de l’indispensable administrations. d’activité et celle qui anticipe la gestion des
crises. Bien qu’il soit souhaitable d’envisager la sé-
rappel aux bonnes pratiques, Et tandis que s’accroît l’exposition des ré- curité de manière globale dès le lancement
seaux aux menaces d’intrusion, les risques Reste à positionner sur le marché de la d’un projet, la sécurisation peut être mise en
il nous faut imaginer encourus s’étendent à l’ensemble des sécurité des systèmes critiques, des presta- œuvre sur des projets déjà existants et sur
de nouveaux modèles fonctions qui, de plus en plus, s’y concen- taires capables de mobiliser en leur sein des des points précis de la chaîne Secured by
trent. Très économique, la téléphonie sur IP équipes pluridisciplinaires de consultants, Thales.
de systèmes d’information mutualise les réseaux entre l’informatique et d’architectes systèmes et d’ingénieurs pour
les télécommunications, exposant ces deux proposer une approche à la fois technique Gérard PESCH
intrinsèquement sécurisés fonctions vitales au déni simultané des servi- et organisationnelle et fédérer le meilleur des Directeur Security Consulting & Evaluation
THALES ISS
ces vocaux et des services de données. quatre mondes, civil et militaire, public et
et forger de nouveaux privé.
Les nouveaux concepts de sécurisation des
concepts d’organisations systèmes d’informations devront donc s’éla- Thales a pris l’initiative dans ce domaine
résilientes. borer à deux niveaux, celui de la réduction en créant ISS, Information System Security
des risques et celui de la résilience face aux qui réunit l’ensemble des compétences du
chocs extrêmes. Groupe en matière de sécurité.

Il est clair que les nouveaux défis de la sécu- Dans cette organisation, Thales concentre
rité sont des défis de créativité. Ici comme toute l’expertise sécurité, à la fois sur le conseil
ailleurs l’innovation viendra des rapproche- (Connaissance des normes et standards,
ments, entre le civil et le militaire d’une part, audits, test de pénétration, ….), les technolo-
entre le public et le privé d’autre part. On gies (cryptage, télécommunications sécurisées,
ne saurait trop encourager le partage des signature électronique, …) et les services.

70 71
Profil Technology
La perte de productivité liée à la consultation de sites

« Microsoft Sur nombre de ces sujets, nous sommes extra-professionnels (voyages, bourse, réseaux sociaux,
parmi ceux qui pensent qu’une régulation messageries instantanées, sites de recherche d’emploi,
“Le risque numérique vient aussi etc.) se voit peu en termes d’utilisation de la bande
a pris depuis est nécessaire. Mais parce que notre société
numérique évolue à très grande vitesse, il de l’intérieur “
passante, mais un grand nombre d’heures de travail
sont ainsi perdues chaque année. Ainsi, on estime que

longtemps est du devoir des acteurs économiques de


prendre leurs responsabilités.
Les entreprises sont généralement bien sensi-
chaque employé peut perdre jusqu’à une journée de
travail par semaine en activités extra-professionnelles
sur Internet !
des engagements Sur chacun de ces enjeux : protection de la bilisées aux risques venant de l’extérieur (virus,
malwares etc.) et sont équipées en conséquen- La détention ou la diffusion de contenus illégaux

forts » vie privée, sécurité des données, ouverture


et interopérabilité, protection de l’enfance ce. Trop peu intègrent par contre la dimension
interne du risque numérique et ses conséquen-
en passant par le réseau de l’entreprise peut également
poser un problème de responsabilité légale au chef
en ligne, Microsoft a pris depuis longtemps d’entreprise.
des engagements forts. Certains ont créé la ces en termes de productivité, d’investissements
superflus voire même légales. Afin d’établir un bon niveau de protection et améliorer
Notre monde numérique surprise par leur ampleur et nombre d’entre les ratios coûts/rentabilité des ressources informatiques
eux ont été salués par la presse.
avance à pas de géant : D’autres sont encore méconnus. En tout
Les risques pour les entreprises et les chefs d’entreprise mises à la disposition de ses employés, le chef d’entre-
prise peut limiter ces 4 risques en mettant en place des
sont pourtant nombreux et ont des conséquences
état de cause, nous ne les considérons pas financières directes ; solutions techniques adaptés.
interconnecté, foisonnant, mobile, coopé- Celles-ci doivent permettre de filtrer les sites Internet ac-
comme un aboutissement mais comme des qu’il s’agisse de perte de productivité, de surcharge de
ratif, à l’image d’un internet qui évolue sans bande passante, du stockage de contenus illégaux sur cédés par les employés selon leurs besoins profession-
étapes. nels, d’interdire l’envoi de certaines informations et do-
cesse. Chaque jour, les technologies ouvrent les ordinateurs de l’entreprise ou d’interventions illégales
sur des forums via le réseau de l’entreprise. Ces risques cuments par email par certains groupes ou personnes,
des horizons nouveaux et le champ des
Car dans cet univers en constante évolution, peuvent s’avérer très pénalisants et nécessitent une voire de limiter les contacts emails autorisés, d’interdire
possibles. Dans leur sillage, les interroga- certaines applications ou types (vidéos ou exécutables
tous les acteurs doivent, sans relâche et protection adaptée généralement pas ou peu gérée
tions sont nombreuses. Comment préser- par exemple), de disposer de rapports sur l’utilisation
sans faux semblants, assumer leurs devoirs. par les logiciels de sécurité classiques (anti-virus, anti-
ver la vie privée et garantir la sécurité des malware, etc.). faite des outils informatiques à disposition des employés
Pour notre part, nous nous y engageons jour (attention, la déclaration à la CNIL est obligatoire dans
données ? Comment s’assurer que des
après jour avec tous ceux qui sont concer- Quatre risques principaux peuvent être ainsi identifiés : le cas d’un stockage de données nominatives ou pour
technologies différentes dialoguent sim-
nés : citoyens, pouvoirs publics, partenaires, la diffusion d’informations confidentielles, la surcharge pouvoir être utilisé comme preuve juridique, l’employé
plement dans un univers technologique si doit également être prévenu de la mise en place d’un tel
associations professionnelles... de la bande passante, la perte de productivité et les
divers ? Comment faire d’internet un espace contenus ou interventions illégales. système) afin de pouvoir les consulter en cas d’activités
de confiance pour les enfants et les ado- illégales et de pouvoir adapter la solution aux utilisa-
lescents ? La diffusion d’informations confidentielles tions particulières au sein de chaque entreprise.
Pour plus d’informations, est souvent effectuée de bonne foi.
consultez nos sites : Elle peut notamment porter : Si des solutions existent, elles sont souvent mal adaptées
http://www.microsoft.com/France/apropos - sur l’envoi des coordonnées directes du dirigeant, aux problématiques des PME : produits souvent lourds à
provoquant ainsi de nombreux contacts téléphoniques administrer ou appliances nécessitant une installation. Une
et http://www.microsoft.com/france/securite
à but commercial ; solution logicielle au déploiement simplifié semble être la
- sur la diffusion par erreur de documents comptables mieux adaptée à ces problématiques, car elle a l’avantage
(factures, bilans, etc.) ou commerciaux non-définitifs de la souplesse pour sa mise en œuvre au cœur de ré-
(tarifs, fiches produits, etc.) et pouvant se retrouver entre seaux déjà existants, et permet une gestion directe depuis
les mains de partenaires ou concurrents ; le poste du chef d’entreprise par exemple, sans forcément
- sur l’achat avec la carte bancaire de l’entreprise sans devoir passer par un administrateur réseau.
intention de nuire mais sans validation préalable, un
problème devenu récurrent dans certaines entreprises ; Pour plus d’informations sur les solutions proposées
- etc. par Profil Technology à destination des entreprises,
connectez-vous sur :
La surcharge de la bande passante due à la www.ProfilTechnology.com
consultation de vidéos en ligne (DailyMotion, YouTube,
etc.), les téléchargements abusifs (P2P notamment), les
jeux en réseau… impactent directement les ressources
informatiques de l’entreprise et participent fortement à
l’inflation des besoins d’investissements matériels dans
ce domaine.

72 73
Clusif
En raison de la diversité de ses membres et de La CNIL, un régulateur
la variété des sujets traités en réunions ou en
conférences, le CLUSIF est sollicité pour répondre
CNIL de la surveillance des salariés
à des consultations gouvernementales. Il participe par les employeurs
Véritable observatoire des pratiques et des ainsi à des travaux à caractère national ou inter- La CNIL, un conseil
risques liés à la sécurité de l’information, national. L’association est également interviewée Les dispositifs de contrôle des salariés liés
en amont pour
le CLUSIF, Club de la sécurité de l’information par des médias de la presse écrite, de la radio ou aux nouvelles technologies se multiplient :
français, agit pour sensibiliser tous les acteurs de la télévision pour fournir un décryptage des les entreprises innovantes vidéosurveillance, cybersurveillance, appli-
économiques et dans l’intérêt général des utilisa- événements lorsque les journalistes veulent com- cations biométriques, géolocalisation. Ces
teurs des systèmes d’information. prendre ou remettre en perspective un incident Afin de comprendre et d’accompagner le applications enregistrent de nombreuses in-
Ce Club professionnel est un lieu d’échanges où informatique qui défraie la chronique. développement technologique et pour qu’il formations à caractère personnel sur les sa-
secteurs public et privé, monde de l’Education respecte au mieux les principes de pro-
(2ème et 3ème cycles universitaires, Grandes L’action d’intérêt général s’est aussi renforcée ces lariés. La loi Informatique et Libertés fixe un
tection des données, la CNIL entretient de cadre à la collecte et au traitement de ces
Ecoles) et des fédérations professionnelles se ren- dernières années par la mise en place de portails :
cybervictime, mastères SSI, CLUSIR et CLUSI nombreux contacts avec les entreprises du données afin de les protéger, dans la me-
contrent et mettent en commun leurs réflexions.
Le CLUSIF intervient pour l’intérêt de tous dans notamment. Le portail cybervictime, réalisé en secteur privé qui conçoivent des nouvelles sure où leur divulgation ou leur mauvaise uti-
des contextes très ouverts incluant la sécurité des collaboration officielle avec les services d’Etat met technologies et les conseille. De nom- lisation est susceptible de porter atteinte aux
réseaux, la lutte antivirus, les plans de conti- à disposition un point de contact avec les services breuses actions ont été menées en 2008 : droits et libertés des personnes, ou à leur
nuité d’activité, la sécurité physique des centres de Gendarmerie et de Police pour les Internautes auditions en séance plénière d’industriels vie privée. Le respect, par les entreprises et
informatiques, la malveillance téléphonique, le ou les entreprises victimes d’une malveillance comme Orange, Auchan, Carrefour, Leroy-
informatique. Le portail SSI, plus récent, a pour les administrations, des règles de protection
management des risques, le droit, la défense de Merlin, HP et Métrobus ; visites d’entre-
l’information, la cybercriminalité... objet d’orienter les étudiants vers des mastè- des données est un facteur de transparence
prises, de centres de recherche ou de « et de confiance à l’égard des salariés. C’est
Le mode de production repose d’une part sur l’or- res universitaires pour des études spécialisées
en sécurité des systèmes d’information. Il sera showrooms » comme au CEA-Minatec de aussi un gage de sécurité juridique pour les
ganisation de conférences thématiques ouvertes
au public et d’autre part, la constitution de Grou- prochainement complété par une rubrique d’offres Grenoble, aux laboratoires de recherche employeurs qui sont responsables de ces
pes de Travail dont l’objectif est la rédaction d’un et demandes de stages étudiants. Enfin, les d’HP à Bristol ou à l’Echangeur à Paris, traitements informatiques et de la sécurité
document ou d’une prise de position publique. portails CLUSIR (huit régions) et CLUSI (cinq pays) ont été organisées avec des membres de des données qu’ils contiennent. Ils peuvent
De nombreux travaux sont issus réalisés, tous informent d’activités en région ou à l’étranger par la Commission. Au quotidien, le lancement ainsi voir leur responsabilité, notamment
gratuits et disponibles en téléchargement des associations consœurs : prise de contact, de nouvelles offres est l’occasion pour
documentations produites et l’annonce pénale, engagée en cas de non-respect des
et certains traduits en anglais : panoramas de la des sociétés comme Microsoft, Google,
cybercriminalité, études sur les menaces infor- d’événements locaux. dispositions de la loi. C’est pourquoi la CNIL
Hitachi ou des compagnies d’assurance est chargée de veiller au respect de ces
matiques et les pratiques de sécurité en France,
www.clusif.asso.fr de venir présenter leurs produits à la CNIL. principes et souhaite informer les salariés
synthèses, ouvrages de référence.
Lors de ces réunions, la CNIL est amenée des droits dont ils disposent, ainsi que les
Le CLUSIF est aussi l’auteur de la méthode à recommander des mesures techniques employeurs, en les conseillant sur les me-
d’analyse de risques MEHARI™ qui permet de permettant une meilleure protection des sures à adopter pour se conformer à la loi.
concilier les objectifs stratégiques des directions données personnelles, dès la conception Un guide a pour vocation de leur donner les
générales et les nouveaux modes de fonction- du système. Ces échanges permettent ainsi clés pour bien utiliser ces outils et les fichiers
nement de l’entreprise avec un management à la CNIL d’anticiper au mieux l’avènement
des risques incluant l’analyse des vulnérabilités. mis en œuvre en matière de gestion des
des nouvelles technologies et de jouer un ressources humaines. C’est aussi le but du
C’est un excellent outil de contrôle et de gestion,
rôle essentiel en accompagnant ces entre- « correspondant informatique et libertés »,
à court, moyen ou long terme de la sécurité de
l’Information de toute structure. La flexibilité de prises afin que leurs innovations intègrent la interlocuteur privilégié de la CNIL dont la
MEHARI™ permet de qualifier le respect de protection des données. L’intérêt des entre- désignation permet, au-delà de l’exonéra-
normes telles que ISO 2700x, ou de lois, telle que prises est évident car elles gagnent ainsi la tion de déclaration, d’intégrer pleinement la
la Loi de Sécurité Financière. MEHARI™ constitue confiance de leurs utilisateurs. problématique de la protection des données
aussi un outil efficace pour traiter les risques
personnelles et de se prémunir contre de
opérationnels liés au traitement de l’information,
tels que ceux décrits par la réglementation Bâle nombreux risques vis-à-vis de l’application
II pour les professions bancaires. MEHARI™ est de la loi.
totalement gratuit, à télécharger sur le site web de
l’association.

74 75
L’Institut National des Hautes délinquance, enquêtes de victimation, lutte contre
la délinquance, aide à la décision des services de la LEGALEDHEC pliance réglementaire, et l’économie numé-
rique. Le choix de ces champs est certes lié
études de sécurité - INHES police et de la gendarmerie nationales, sécurité civile aux expertises des membres du Pôle mais,
et suivi des questions économiques. LegalEdhec est le Centre de Recherche de de manière plus objective, ils correspondent
l’EDHEC dédié à la performance juridique. également aux domaines de risque les plus
L’INHES est un établissement public sous tutelle Au sein de l’Institut, le Département Sécurité et
L’objectif principal de LegalEdhec est de fréquemment cités par les entreprises. Notre
du ministère de l’Intérieur. Il a pris en 2004 la suc- intelligence économiques et Gestion de crise assure
notamment une veille au profit des pouvoirs publics réfléchir sur les modes de recours au droit par ambition est de réussir à faire reconnaître
cession de l’IHESI, créé en 1989, en restant fidèle
dans le domaine de la Sécurité et de l’Intelligence l’entreprise en vue de soutenir ou de créer des le caractère stratégique du recours au droit
à sa vocation : faire se rencontrer tous ceux qui
oeuvrent pour la sécurité et, ensemble, développer économiques et participe activement à la stratégie avantages concurrentiels. En d’autres termes, dans l’entreprise, à élaborer des critères de
une culture commune pour mieux faire face aux nationale d’intelligence et de sécurité économique cela revient à déterminer la place que le droit mesure de la performance juridique, et, le cas
menaces et aux risques. Lieu de formation de haut pour la partie de cette politique publique mise en devrait occuper dans la stratégie d’entreprise. échéant, de proposer des évolutions législati-
niveau dans un cadre moderne et convivial, lieu œuvre par le ministère de l’Intérieur. C’est à ce L’une des idées-clef est que les entreprises ves ou réglementaires lorsqu’il apparaît que la
de libres débats, l’INHES organise la réflexion au titre que le département suit tout particulièrement doivent raisonner en terme de gestion juridique performance juridique passe actuellement par
service de l’action, avec la conviction que la sécurité les questions liées à la cybercriminalité. Il soutient
des risques, tout autant qu’en terme de ges- la transgression de la loi.
est la première des libertés.. également les actions interministérielles de sensibili-
sation et de formation, diffuse une lettre électronique tion des risques juridiques. A cet effet, divers Les travaux de LegalEdhec donnent lieu à
Au cœur de son activité se trouve la session natio-
mensuelle d’information, coordonne des activités de travaux sont menés par les membres de Lega- de nombreuses publications et participations
nale qui forme chaque année une centaine d’audi-
teurs de l’Institut, hauts responsables du secteur recherche à travers un groupe de travail spécialisé et lEdhec, certains en partenariat avec des insti- à des conférences, tant au niveau national
public comme du secteur privé. Ils rejoignent ensuite produit une expertise dans le domaine de la sécurité tutions extérieures. Ainsi, un ambitieux projet qu’international.
le réseau d’auditeurs qui assure une veille perma- économique. est actuellement développé avec l’Association
nente sur l’évolution des questions de sécurité. Française des Juristes d’Entreprise (AFJE), sur Pour plus d’informations :
L’INHES offre, par ses travaux et ses publications, www.inhes.interieur.gouv.fr le thème de la culture juridique d’entreprise. http://www.performancejuridique.com
une expertise aux pouvoirs publics et notamment LegalEdhec s’applique également à observer
au Ministère de l’Intérieur. Il a vocation à couvrir la performance juridique dans des domaines
tout le champ de la sécurité : statistiques de la
particuliers qui sont le droit de la concurrence,
le droit de la propriété intellectuelle, la com-

SGDN informatiques contenues sur des supports


informatiques endommagés ou des sensi- L’ I.R.E.E.N.A.T.
bilisations sur l’infogérance sauvage ou le
La sécurité de l’information est l’une des vol d’ordinateurs portables. C’est pourquoi,
composantes de la démarche d’intelligence le HRIE salue ce travail réalisé qui participe, (Institut de Recherche sur l’Evolution de notamment pour la protection de libertés et
économique avec la gestion de l’information certes à la sensibilisation des chefs d’entre- l’Environnement Normatif des Activités des données personnelles :
et des connaissances et l’influence et la prise, mais surtout à leur donner les outils et Transnationales), e.a. N° 3612 de l’Uni-
contre-influence. Pour une entreprise com- méthodologies pour réduire leur exposition versité de Lille 2, dirigé par le Professeur • Projet CanADA (Comportements
me une administration, cette approche est à ce risque. Jean-Jacques Lavenue, est spécialisé dans anormaux: Analyse, Détection, Alerte);
aujourd’hui essentielle car il faut relever le l’étude de la dimension publique de la mise
défi d’un nomadisme constant et d’une ges- www.intelligence-economique.gouv.fr en oeuvre de la réforme de l’Etat et des • Projet Scarface (Caractérisation Séman-
tion d’une multitude de supports informati- nouvelles technologies (e-administration, tique de Visages pour la Recherche dans
ques contenant des informations sensibles. sécurité juridique et sécurité informati- des Archives Video);
A cela, il convient d’ajouter les prédations que, protection libertés). Cette équipe de
et les risques encourus à tous les échelons recherche composée de juristes de droit • Projet Smartvision ( Système multi sen-
qu’ils soient techniques ou humains. public et de droit privé, d’informaticiens, et seur de détection d’objets cachés pour
Ainsi, le haut responsable chargé de l’in- de politologues travaille actuellement dans une meilleure gesstion du flux passager)
telligence économique (HRIE) a-t-il tou- le cadre de projets ANR à des recherches de controles par par systèmes muti-
jours porté une attention particulière pour relative à la prise en compte de la dimension senseurs (scanners corporels dans les
apporter des solutions au chef d’entreprise juridique de la mise en oeuvre des technolo- aeroports) et les problèmes de protection
face aux risques numériques. Plusieurs gies de surveillance complexe (video, audio, des libertés.
travaux ont été, par exemple, réalisés sur les interconnexion de fichiers),
outils de veille, la récupération de données
76 77
L’Arist
• Sécurité des systèmes d’information

Osia
CNRS de 1967 à 1990, et entre temps, professeur à (pré-diagnostic SSI),
la US Naval Postgraduate School, puis PDG de la so- • Protection du savoir-faire (pré-diagnostic pro-
ciété OSIA dès 1991. Il est régulièrement conférencier priété industrielle et accompagnement à la mise
en Europe et en Amérique du Nord, et enseigne en
en œuvre des outils de propriété industrielle),
La société OSIA est une société spécialisée en 3ème cycle aux universités de Compiègne (UTC-IMI)
sécurité des SI, depuis sa création en 1991 à
• Suivi des évolutions et sécurisation
et de Strasbourg (IECS/IAE), et au CESSSI (SCSSI/
Strasbourg. Elle intervient dans l’analyse et l’audit DCSSI) de 1992 à 1994. Enfin, il est l’auteur de plus des projets (prestations de veille)
de la sécurité, pour des expertises technologiques, de 200 publications et de deux livres : «Sécurité et • Prospective et développement de
et la conception de politiques de sécurité et de qualité des SI» (Masson, 1991), «Catastrophe et L’ARIST Nord Pas de Calais, service de la l’entreprise (méthode Casciopée)
plans de continuité de divers secteurs stratégiques : management» (Masson, 1995), «Le courrier électro- Chambre Régionale de Commerce et d’In- • Recherche de partenaires (dans le cadre du
télécommunications, finances, aéronautique, énergie, nique et l’archivage légal» (IBM). Il est aussi coauteur dustrie (CRCI), accompagne les entreprises Réseau Entreprise Europe notamment)
recherche, santé, etc., et enfin en matière d’intelli- de deux autres livres : «Les SI - Art et pratiques» - en matière d’intelligence économique, en
gence économique. Sécurité et cybercriminalité (Eyrolles, 2002) et «Les
tableaux de bord pour diriger en contexte incertain»
leur proposant différents modes d’interven- L’activité de l’ARIST s’inscrit dans le cadre du ré-
Elle est dirigée depuis 1991 par Daniel Guinier, Dr. ès - La sécurité des tableaux de bord (Eyrolles, 2004), et tion selon leur besoin : seau des Chambres de Commerce et d’Industrie,
Sciences, consultant principal, certifié CISSP, ISSMP, de «l’encyclopédie de l’informatique et des systèmes certaines actions étant menées avec le soutien de
ISSAP en sécurité des SI et MBCI en gestion de d’information» - La politique de sécurité (Vuibert, l’Etat, de la Région et de l’Europe.
continuité, membre senior IEEE et ACM, et du New 2006).
York Academy of Sciences. Il est expert OSEO/AN-
VAR depuis 1989, et expert judiciaire depuis 1991, Contact : aristnpdc@aristnpdc.org
Contact :
avec de nombreuses expertises traitant pour la lutte Mèl guinier@acm.org ;
Tel. 03 20 63 68 00
contre la cybercriminalité. Il est lieutenent-colonel de Tél. 03 88 76 12 81.
réserve citoyenne de la Gendarmerie Nationale.
Il a contribué à plusieurs normes internationales en
sécurité : IEEE, NIST, et de façon significative à la
protection du patrimoine informationnel, la biométrie,
la signature et l’identité électroniques, l’inforensique OSIA Le Service de coordination international et se protéger contre toute intrusion
extérieure non sollicitée. Une action est en cours sur
et l’archivage légal. Il a été ingénieur de recherche, au
à l’intelligence économique la sécurisation de leurs plateformes électroniques
d’échanges.

L’Université Catholique de Lille y sont menés autour de la place de l’individu dans la


Société de l’Information, de la cyber-citoyenneté, de
Le dispositif d’intelligence économique commun au
ministère de l’Economie, de l’Industrie et de l’Emploi
• Assurer la protection d’actifs stratégiques
pour l’économie nationale
l’Intelligence économique et des outils de veille com- et au ministère du Budget, des Comptes Publics et
pétitifs qu’il convient dés aujourd’hui d’intégrer dans de la Fonction Publique est placé sous l’autorité de
rassemble, dans une dimension de visibilité, de Au titre de la défense de ses intérêts économiques
nos enseignements pour former les futurs travailleurs Cyril Bouyeure, Coordonnateur ministériel à l’intelli-
mutualisation, de transversalité, d’interdisciplinarité et essentiels, l’Etat se doit d’assurer la protection et
du savoir. gence économique (CMIE). Rattaché au Secrétaire
de synergie, 6 Facultés, 20 Grandes Écoles, Écoles la défense du patrimoine technologique industriel
général des ministères, le CMIE anime l’action des national. Le réseau des CRIE participe aux actions de
et Instituts, 33 équipes de recherche, un groupe C’est à ce titre que ce laboratoire est aujourd’hui pré- différentes directions afin de mutualiser les compé- défense des entreprises sensibles dont les activités
hospitalier de 700 lits, un institut de rééducation sent sur le terrain par ses écrits, ses enseignements, tences en matière d’intelligence économique. sont considérées comme stratégiques.
psychothérapeutique. ses recherches et ses nombreuses conférences et Le CMIE dirige le Service de coordination à l’intelli-
Ces établissements partagent avec leurs 20.307 interventions en France et à l’étranger. gence économique (SCIE) qui comprend un échelon De manière générale, le SCIE a une expertise sur les
étudiants en 2008-2009 une même philosophie
central et un réseau de 23 Chargés de mission régio- risques de dépendance dans le domaine des tech-
éducative conjuguant excellence et humanisme, per- Le laboratoire assure également en tant que cellule naux à l’intelligence économique (CRIE). Les missions nologies de l’information et des nouveaux services
formance et solidarité. Ils inscrivent leurs actions au de veille l’animation de bulletins hebdomadaires du SCIE procèdent de 3 priorités : numériques.
service de l’homme, de la société et du monde pour d’informations sur ces problématiques à destination
contribuer aux évolutions économiques et sociales. de publics professionnels. Le blog  • Sensibiliser et former les chefs d’entrepri- • Constituer une capacité de veille stratégique
http://cybercriminalite.wordpress.com/ ses à la démarche d’intelligence économique
Dans cet ensemble universitaire se côtoient aussi
animé par Jean-Paul Pinte, Docteur en Information
des équipes de recherche autour d’un conseil de Le SCIE mène une veille stratégique destinée à
Scientifique et Technique, enseignant-chercheur au Les actions de sensibilisation (réalisations et
recherche couvrant aujourd’hui 8 thématiques de éclairer les menaces et opportunités, pour l’écono-
sein du laboratoire et expert en veille et intelligence diffusions de supports d’information, formations,
recherche : compétitive en est un exemple. mie française, résultant des évolutions prévisibles de
colloques...) couvrent les volets défensif (sécurité des l’environnement concurrentiel.
- la théologie, - l’éthique,
http://www.univ-catholille.fr/ systèmes d’information, protection de la propriété
- les lettres - le droit,
intellectuelle...) et offensif (démarches d’acquisition de Les domaines d’investigation sont
et sciences humaines, - l’économie,
l’information, utilisation d’outils numériques...). diversifiés :
- la médecine, - l’ingénierie
- les sciences, pédagogique. évolutions des politiques
Ces actions ciblent en priorité les PME, moins publiques et des stratégies
sensibilisées et disponibles à ces enjeux. Les des grands groupes
Le Laboratoire de recherche en Ingénierie Péda- pôles de compétitivité, sources de développement internationaux, fonctionnement de
gogique intègre aussi la dimension « Sciences de technologique, sont par ailleurs accompagnés pour certains marchés, veille technologi-
l’Information et de la Communication » et des travaux mieux connaître leur environnement concurrentiel que, suivi des pays émergents...
78
Caprioli & Associés
Le Cabinet intervient à titre principal dans des
Une synergie internationale,
domaines d’activités couverts par une équipe
d’avocats et de juristes hautement qualifiés, créatifs s@ntinel une ambition collective.
Fondé en 1995 par Eric A. Caprioli, avocat à la et spécialisés, soucieux de fournir des prestations
Cour de Paris, spécialiste en droit de la propriété de qualité, en consulting et accompagnement de NOS OBJECTIFS
intellectuelle et des TIC, Docteur en droit, le projets liés notamment à la dématérialisation des
Cabinet Caprioli & Associés dispose d’une ex- échanges et au développement des TIC, en conseil Dans un contexte de mondialisation et de
juridique (par exemple, contrats, politiques, chartes
ACTIONS
pertise juridique confirmée ainsi que de connaissan- développement d’Internet, la dépendance des
ces techniques poussées en matière de technolo- informatiques, …) et dans le domaine du conten- sociétés à l’égard des technologies de l’infor-
gies de l’information et de la communication (TIC). tieux et de l’arbitrage. - Développer votre image et votre notoriété en
mation et de la communication (TIC) présente vous associant à une action d’exception,
des risques potentiels que savent exploiter des - Partager votre expérience avec les acteurs
Basé à Paris et à Nice, le Cabinet Caprioli & Asso- Les membres du Cabinet ont également développé
délinquants et des criminels avertis et de plus des TIC européens,
ciés regroupe une équipe composée d’une dizaine une activité rédactionnelle florissante, auteurs ap-
préciés d’articles et d’ouvrages techniques publiés
en plus souvent organisés. - Valoriser vos savoir-faire et produits lors de
de personnes ayant une formation juridique intégrant le
droit des nouvelles technologies. En outre, qu’il s’agis- et de documents en ligne sur le site du cabinet rencontres thématiques, ateliers et visites
se des responsables du pôle Sécurité et dématériali- (www.caprioli-avocats.com). Afin d’honorer les Le 22 mars 2007, le Forum international sur la d’entreprises,
sation, du Pôle Vie privée et Données personnelles, du demandes des organismes publics et des entrepri- cybercriminalité a permis de me¬surer l’intérêt - Établir des contacts privilégiés avec les
Pôle Informatique et Propriété intellectuelle et du pôle ses, ils participent à des conférences nationales et de près de 600 participants pour les techno- dirigeants ou responsables informatiques
Droit public, chacun de ses membres enseigne depuis internationales, des colloques universitaires et orga- logies numériques qui transforment notre vie des entreprises,
plusieurs années, et ce, notamment sur les aspects nisent des sessions de formation juridique particuliè- quotidienne en of¬frant un espace de liberté - Offrir à vos cadres et à vos clients une for-
juridiques des TIC. Enfin, exerçant depuis sa création rement adaptées aux attentes des professionnels. et d’échanges sans précédent. Le 20 mars mation et une information régulières,
dans la sécurité de l’information et des questions 2008, la deuxième édition du FIC a accueilli - Promouvoir l’interopérabilité des équipe-
connexes, le Cabinet Caprioli & Associés jouit d’une plus de 800 participants. ments et des services sur le plan régional,
expérience reconnue dans ces domaines.
transfrontalier et européen,
Devant les attentes des chefs d’entreprises, il - Sensibiliser, former aux enjeux de la cyber-
a été décidé de poursuivre leur accompagne- criminalité,
ment par la création d’un pôle professionnel - Accompagner les dirigeants d’entreprises
Blandine POIDEVIN A ce titre, elle participe à des négociations,
notamment en matière de contrats informati- de lutte contre la cybercriminalité: S@NTINEL. dans les mutations de leurs systèmes
Avocat au Barreau de Lille ques, et à la mise en place d’un cadre juridique d’information,
3 rue Bayard 59000 LILLE
respectant les normes les plus pointues en - Un site web et un blog (en cours), - Promouvoir des solutions techniques et
10 rue Weber 75116 Paris
Tel : 00.333.20.21.97.18 matière de sécurité informatique. - Des visites d’entreprises, comportementales,
Fax : 00.333.20.63.22.25 - Des conférences et ateliers thématiques, - Promouvoir et renforcer la mise en réseau,
Mail : bpoidevin@jurisexpert.net Elle enseigne des matières telles que la - Un forum international sur la cybercriminalité... l’échange et la diffusion de bonnes prati-
Tiers-aviseur au CMAP négociation des contrats informatiques, ques présentant un intérêt commun,
(arbitrage des «.fr») le droit du commerce électronique, auprès LES PUBLICS CONCERNÉS - Encourager la recherche scientifique et
de l’Université de Droit de LILLE II, l’Ecole
Le Cabinet de Maître Blandine POIDEVIN technique,
des Mines de DOUAI, l’ESC LILLE et l’IAE. - Dirigeants d’entreprises,
est inscrit au Registre des Représentants - Favoriser un échange entre les mondes
d’Intérêts de la Commission Européenne. - Pôles de compétitivité, des entreprises, les organismes publics, les
Elle dirige chaque année les travaux univer-
Blandine Poidevin est partenaire du - Réseau consulaire, professions de justice, le milieu associatif, le
cabinet Arden du barreau de Californie, USA sitaires de plusieurs étudiants des masters
- Directeurs des systèmes d’information, milieu universitaire,
et du cabinet Langlais du barreau de Montréal. professionnels 2e année. Elle est fréquemment
- Responsables sécurité des systèmes d’in- - Faire évoluer les politiques nationales et
consultée lors de la rédaction de décrets ou de
projets de loi relatifs à son domaine d’activité. formation, européennes dans ce domaine
A l’issue d’une formation en droit des affaires, - Responsables de collectivité,
elle s’est orientée vers un diplôme de propriété Elle collabore régulièrement avec des organismes - Organisations professionnelles,
- Associations, Le cyberpôle professionnel d’excellence
industrielle et de nouvelles technologies dès de formation internationaux, tels que REED
1996. BUSINESS INFORMATION, ainsi qu’avec des - Université, instituts de formation, de lutte contre la criminalité numérique
revues scientifiques autorisées, telles que - Praticiens de la justice, 128 ter, Grand Rue
A ce jour, elle a développé un domaine de EXPERTISES DES SYSTEMES - Fonctionnaires des services compétents 59100 ROUBAIX
compétences particulier en matière de droit D’INFORMATION. pour lutter contre la criminalité numérique
des technologies. Elle accompagne des de la région Nord-Pas-de-Calais, des pays
entreprises innovantes et des collectivités, voisins intéressés.
au niveau Régional, National et International.
80 81
Edition :

Agence AB Com’ Création :


Aude MARTY Bruno LEPLAT
2 bis rue Jules Barni 4 rue Masclef
80000 Amiens 80 000 Amiens
03 22 72 08 80 06 61 33 55 20

82 83
PANTONE 1795 C C0 R 209
M 94 V 36
J 100 B 33
N0

C 100
M 72 R0
J0 V 28
PANTONE 281 C N 38 B 77

Retrouvez ce guide en version numérique


sur www.fic2009.fr