DOSSIER : LA CYBERSÉCURITÉ (CEJMA)

PARTIE 1 : LES RISQUES DES CYBERATTAQUES POUR L’ORGANISATION

I) QU’EST-CE QUE LA CYBERSECURITE ?

https://www.vie-publique.fr/eclairage/18469-la-cybersecurite-quelles-reponses-aux-menaces-nouvelles

La cybersécurité englobe tous les moyens qui permettent d’assurer la protection et l’intégrité des données
au sein d’une infrastructure numérique.
La cybersécurité permet la protection des systèmes d’information et des données qui circulent contre les
cybercriminels.

La cybersécurité porte à la fois sur la cyberattaque et sur la cyberdéfense, c’est-à-dire l’usage de moyens
informatiques pour mener ou riposter à une agression.

On peut distinguer deux types d’attaques :

Types d’attaques Intérêts

L’infiltration de réseaux de communications à des fins
d’espionnage, d’altération de données ou de prise de
contrôle.
Les campagnes d’influence sur le Net visant à orienter
l’opinion publique.
Intérêts économiques.
Ex. : vol d’argent à un particulier ou à une entreprise,
campagne de dénigrement d’une entreprise visant à capter sa
clientèle, espionnage industriel…
Intérêts politiques.
Ex. : campagne d’influence visant à orienter le résultat d’un
vote, espionnage politique et militaire, prise de contrôle des
outils de communication à distance…

La cybersécurité permet la mise en place de processus auprès des collaborateurs pour l’instauration de
bonnes pratiques. La sensibilisation des équipes aux problématiques de phishing ou d’usurpation d’identité
est une composante importante d’une politique de sécurité informatique.

En outre, la loi exige la mise en place de tous les moyens techniques et organisationnels pour garantir la
cybersécurité relative aux données personnelles. Pour garantir la confidentialité et l’intégrité des données des
utilisateurs, leurs exploitations par les entreprises sont extrêmement contrôlées. Chaque processus de
collecte, d’archive, et d’utilisation doit être justifié et délibérément accepté par l’utilisateur. Assurer la
cybersécurité est essentiel pour protéger les informations collectées.

II) QUELS SONT LES ACTEURS DE LA CYBERSÉCURITÉ ?

https://www.vie-publique.fr/eclairage/18469-la-cybersecurite-quelles-reponses-aux-menaces-nouvelles

La cybersécurité implique des acteurs de statut et de taille très diverses.

Parmi eux, on trouve :

- les États et leurs forces armées.
- Les acteurs économiques (de la PME à la multinationale).
La particularité du cyberespace est de brouiller les critères traditionnels de la puissance. Ainsi, les géants du
numérique ont souvent des capacités d’action comparables à celles des États. De même, un individu isolé
peut à lui seul mettre en danger les systèmes informatiques d’une grande entreprise ou d’un État.

/conversion/tmp/activity_task_scratch/644287321.doc Page 1 sur 8

 III) QUELS SONT LES RISQUES DES CYBERATTAQUES ?
https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_1_notions_de_base_02_2017.pdf

Risques Conséquences
Ralentissement de la production et l’indisponibilité du site Web de l’organisation.
] Le calcul économique du risque acceptable : la prise en compte des risques découle des résultats
d’une analyse méthodologique (Ex. : méthode EBIOS) (1) et d’un calcul de coûts.
Economiques
On mesure le risque acceptable en comparant le coût des solutions pour sécuriser le Système
d’Information (SI) et les coûts qu’une attaque pourrait entraîner. Le choix d’investissement pour les
solutions envisageables peut être le transfert d’une partie des risques vers un assureur spécialisé.
Les utilisateurs disposent de deux types de recours contre une organisation qui ne respectent pas
les obligations légales :
- Recours civil (pour obtenir des dommages et intérêts pour réparer le préjudice subi).
- Recours pénal (demande de sanctions en cas de vol de de données et défaut de respect des précautions
Juridiques utiles pour préserver la sécurité des données. Les partenaires peuvent se prévaloir de possibles manquements
aux obligations mises à la charge du responsable du traitement et du sous-traitant pour rechercher la
responsabilité contractuelle de l’entreprise).
Ex. : Le RGPD (Règlement Général sur la Protection des Données) demande aux entreprises la mise en place
de process de gestion des données personnelles précises et exigeantes. En cas d’acte malveillant à l’encontre
de son SI, elles doivent pouvoir apporter des preuves.
D’atteinte à Au travers de l’usurpation d’identité ou de la défiguration d’un site web, il y a une altération de
l’identité de l’image et de la crédibilité de l’entreprise. D’où des répercussions financières fortement
l’entreprise préjudiciables.
Des attaques sur des systèmes de contrôle des installations d’organisations produisant ou
Humains et
manipulant des produits dangereux peuvent constituer des risques pour l’intégrité physique des
écologiques
hommes ou pour l’environnement naturel.

(1) La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d’apprécier et de traiter les
risques relatifs à la sécurité des SI (Perte de gouvernance sur le traitement, faille dans la chaîne de sous-traitance, destruction
ineffective ou non sécurisée des données ou durée de conservation trop longue, problème de gestion des droits d’accès, non-
conformité règlementaire notamment sur les transferts internationaux…).

IV) QUELS SONT LES MÉCANISMES DE CYBERSÉCURITÉ ?

https://www.vie-publique.fr/eclairage/18469-la-cybersecurite-quelles-reponses-aux-menaces-nouvelles

Divers mécanismes de cybersécurité existent, parmi lesquels :

- Les processus d’identification.
- Le chiffrement des données et des connexions.
- Les processus pour le contrôle et la mesure des mécanismes mis en place.
- La mise à jour constante des logiciels.
- La mise en place de dispositifs permettant la récupération rapide des données sensibles en cas de problèmes
techniques….

V) QUI EST RESPONSABLE DE LA CYBERSECURITE ?

https://www.vie-publique.fr/eclairage/18469-la-cybersecurite-quelles-reponses-aux-menaces-nouvelles

Les dirigeants sont responsables de l’intégrité et de la confidentialité des données qui circulent pour son
activité. L’employeur est tenu de protéger les salariés en ce qui concerne leurs informations personnelles.

Les entreprises peuvent :

- Internaliser les compétences de cybersécurité grâce à une DSI (Direction des Systèmes d’Information).
- Externaliser les compétences en faisant intervenir un expert extérieur (les audits IT permettent le contrôle
et l’analyse des process mis en place pour assurer une cybersécurité optimale).

/conversion/tmp/activity_task_scratch/644287321.doc Page 2 sur 8

 PARTIE 2 : LES OBLIGATIONS LÉGALES DE NOTIFICATION EN CAS DE FAILLE DE
SÉCURITÉ
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

I) QUEL EST LE CADRE LEGAL ?

L'obligation de notifier à la CNIL les violations de données à caractère personnel est prévue par l’article 33
du Règlement Général sur la Protection des Données (RGPD). Elle concerne tous les responsables de
traitement de Données à Caractère Personnel (DCP). Dans le cas où la violation de Données à Caractère
Personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique,
l’article 34 du RGPD impose de notifier ces dernières.

II) QU'EST-CE QU'UNE VIOLATION DE DONNÉES A CARACTÈRE PERSONNEL ?

Pour qu'il y ait violation, 2 conditions doivent être réunies :

- Un traitement de données personnelles doit avoir été mis en œuvre.
- Ces données ont fait l’objet d'une violation (perte de disponibilité, d’intégrité ou de confidentialité de
données personnelles, de manière accidentelle ou illicite).

III) QUE FAIRE EN CAS DE VIOLATION ?

] Comment prouver la mise en place d’une politique interne de sécurité ?

Les responsables de traitement doivent être en mesure de justifier leur politique en matière de sécurité qui
doit prévoir :
- L’organisation interne de l’entreprise.
- Les modalités de communication vis-à-vis des utilisateurs.
- Les relations contractuelles avec des acteurs extérieurs.

La preuve du respect des obligations liées à la sécurité des traitements implique la mise en place d’un
cahier des incidents (distinct du registre des traitements) qui doit contenir l’ensemble de la documentation
relative à ces incidents à savoir :
* La nature de la violation.
* Si possible, les catégories et le nombre approximatif de personnes concernées par la violation.
* Les catégories et le nombre approximatif d'enregistrements de Données à Caractère Personnel
concernés.
* Les conséquences probables de la violation de données.
* Les mesures prises ou envisagées pour éviter que cet incident se reproduise ou atténuer les
éventuelles conséquences négatives.

Si l’incident constitue un risque au regard de la vie privée des personnes concernées, il faut notifier
l’incident à la CNIL. En cas de risque élevé, il faut également notifier les personnes concernées.

Si la violation notifiée fait suite à une cyberattaque, il est conseillé de déposer plainte au commissariat de
police ou à la gendarmerie la plus proche et de tenir à disposition des enquêteurs tous les éléments de
preuves techniques.

/conversion/tmp/activity_task_scratch/644287321.doc Page 3 sur 8

 IV) DANS QUEL DELAI NOTIFIER ?

La notification doit être transmise à la CNIL dans les 72 heures de la constatation de la violation
présentant un risque pour les droits et libertés des personnes.
Si le délai de 72 heures est dépassé, il faut expliquer, lors de la notification, les motifs du retard.
Enfin, une notification complémentaire est nécessaire dès lors que des informations complémentaires sont
disponibles.

V) COMMENT NOTIFIER ?

Un téléservice sur le site de la CNIL est dédié aux responsables de traitement (organismes privés ou publics)
souhaitant notifier à la Commission une violation ayant touché les données personnelles qu’ils traitent.

VI) QUE VA FAIRE LA CNIL ?

Dès réception, la CNIL va instruire la notification.

La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :
- La violation ne porte pas atteinte aux données personnelles ou ne présente pas de risque pour les droits et
libertés des personnes.
- Les personnes concernées ont été correctement informées.
- Des mesures techniques de protection appropriées ont été préalablement mises en place.

La CNIL pourra imposer d'informer les personnes concernées si elle constate :

- Qu’elles n’ont pas été correctement informées.
- Les mesures techniques de protection mises en place préalablement à la violation ne sont pas appropriées.

VII) QUELLES SONT LES SANCTIONS ?

La CNIL a vu ses pouvoirs de sanction renforcés :

- Elle peut prononcer une mise en demeure, visant à inciter une entreprise à adopter les mesures correctives
nécessaires pour se mettre en conformité avec le RGPD.
- Elle peut prononcer une amende pécuniaire d’un montant dissuasif (de 10 à 20 millions d’euros ou de 2 à 4
% du chiffre d’affaires annuel mondial).

Remarque : la sanction pécuniaire peut être prononcée indépendamment d’une éventuelle condamnation
pénale pour des mêmes faits. Le juge peut retrancher le montant de la sanction pécuniaire décidée par la
CNIL de celle qu’il prononce.

/conversion/tmp/activity_task_scratch/644287321.doc Page 4 sur 8

 PARTIE 3 : LA RÈGLEMENTATION EN MATIÈRE DE LUTTE CONTRE LA FRAUDE
INFORMATIQUE

La fraude informatique consiste à falsifier des données stockées, en traitement ou en transit, afin d’en retirer des
avantages personnels ou des gains financiers. La fraude informatique est un délit.

I) QUELLE EST LA RÈGLEMENTATION INTERNATIONALE ?

En 2001, le Conseil de l’Europe est à l’origine du premier traité de coopération internationale sur la
cybersécurité, connu sous le nom de « Convention sur la Cybercriminalité » ou « Convention de
Budapest ».

Il a 3 objectifs :
- L’harmonisation des législations des États signataires.
- La modernisation de ces législations, notamment en matière procédurale.
- L’amélioration de la coopération internationale contre la cybercriminalité.

II) QUELLE EST LA RÈGLEMENTATION EUROPÉENNE ?

https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/185

L’Union Européenne (UE) a inauguré, en 2013, le Centre européen de lutte contre la cybercriminalité,
visant à faciliter la coopération entre États européens dans la lutte contre le cybercrime.
La Commission européenne a proposé, en septembre 2017, le « paquet Cybersécurité » qui comprend un
ensemble de mesures dont l’introduction d’une certification de cybersécurité à l’échelle de l’UE.

En matière de Protection des Données Personnelles, le RGPD créé un cadre unifié et protecteur pour les
Données Personnelles des Européens, applicable à l’ensemble des responsables de traitements(1) et de leurs
sous-traitants quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et des services à des
personnes résidant sur le territoire de l’Union européenne.

III) QUELLE EST LA RÈGLEMENTATION FRANÇAISE ?

Loi pour la Confiance dans

Elle encadre les aspects du commerce électronique et des activités Internet
l’Economie du Numérique
(Consommateur, cybervendeur, responsabilité hébergeur, publicité électronique,
(LCEN)
mentions légales sur le site Internet…).
(21 juin 2004)
Elle a crée le délit d'usurpation d'identité numérique.
(Art. 226-4-1 du Code Pénal)
La loi du 14 mars 2011 dite
Réprime l’usurpation d’identité sur un réseau de communication au public en ligne
LOPPSI 2
lorsque celle-ci « a pour but de troubler la tranquillité d’autrui ou de porter atteinte
à son honneur ou à sa considération ».
(Règlement N° 910/2014 du 23
Le Son but est d’accroitre la confiance dans les transactions électroniques au sein du
juillet 2014)
marché intérieur en clarifiant et en standardisant le cadre légal.
ou règlement eIDAS
Il établit un socle commun pour les interactions électroniques sécurisées entre les
(Electronic Identification And
citoyens, les entreprises et les autorités publiques.
Trust Services)
Elle adapte la loi « Informatique et Libertés » du 6 janvier 1978 au « paquet
Loi N° 2018-493 relative à la
européen de la protection des données » (RGPD et directive sur les fichiers en
protection des données
matière pénale, dite directive « police »).
personnelles
Elle renforce les droits des personnes sur leurs données et précise les pouvoirs de
(20 juin 2018)
contrôle de la CNIL (Commission Nationale de l’Informatique et des Libertés).

/conversion/tmp/activity_task_scratch/644287321.doc Page 5 sur 8

 IV) QUELLES SONT LES INFRACTIONS ?
https://www.village-justice.com/articles/les-reponses-judiciaires-face-cybercriminalite,28927.html

La cybercriminalité regroupe 3 types d’infractions :

- Les infractions spécifiques aux TIC : atteintes aux Systèmes de Traitement Automatisé de Données
(STAD), les traitements non autorisés de données personnelles, les infractions aux cartes bancaires…
- Les infractions liées aux TIC : pédopornographie, incitation au terrorisme, à la haine raciale…
- Les infractions facilitées par les TIC : escroqueries en ligne, violation de la propriété intellectuelle…

Infractions
Usurpation d’identité
Production de faux et usages
de faux
Fraude spécifique à certains
métiers
Accès ou maintien dans un
Système de Traitement
Automatisé des Données
Attaque par ransomware (ou
rançongiciel)
Arnaque aux faux supports
techniques
Défiguration d’un site Web
Définitions
L’usurpation d’identité est le fait pour un individu d’utiliser les éléments
d’identification d’un autre généralement dans le but de réaliser des actions
frauduleuses.
Elle peut se traduire par :
* La fraude au Président ou Escroquerie aux Faux Ordres de Virement
(FOVI) qui consiste pour des escrocs à convaincre un collaborateur d’une
entreprise d’effectuer un virement important à un tiers pour obéir à un prétendu
ordre du dirigeant, sous prétexte d’une dette à régler…
* Le hameçonnage (ou phishing) qui est une technique de fraude visant à
obtenir des renseignements confidentiels (mot de passe, informations bancaires…)
afin d'usurper l'identité de la victime à partir de l’envoi de courriels.
Les outils informatiques permettent de produire de faux documents dans le but
d'obtenir un droit ou de prouver certains faits ayant des conséquences juridiques.
Il s’agit d’un détournement des avoirs, de clientèles ou de la création de fausses
opérations (Ex. : dans le domaine de la finance ou de la comptabilité).
L’utilisation d’un code malveillant permet de contourner la sécurité d’un système
ou d’une application en vue de compromettre la confidentialité ou l’intégrité des
données.
Il s’agit de chiffrer le disque de la victime afin de bloquer l’accès et de demander
une rançon en contrepartie du déchiffrement.
Elle s’effectue par le biais de courriels signalant un faux problème technique ou une
fausse opération de maintenance : une authentification est demandée à l’utilisateur
via une page frauduleuse, qui récupérera les informations saisies par ce dernier.
Il s’agit de l’altération par un pirate de l’apparence d’u site ce qui rend le site
inaccessible entraînant des pertes de revenus et de productivité. En étant visible, la
défiguration démontre que le pirate a pris le contrôle du serveur, ce qui nuit à
l’image et à la crédibilité de l’entreprise.

V) QUELLES SONT LES SANCTIONS ?

https://www.village-justice.com/articles/les-reponses-judiciaires-face-cybercriminalite,28927.html

Code Pénal Infractions Sanctions

Procéder ou faire procéder à des traitements de
Articles 226-16 Données à Caractère Personnel correspondant à 3 ans d’emprisonnement et 300 000 €
à 226-22 un manquement aux dispositions prévues par la d’amende.
loi.
Un an d’emprisonnement et 75 000 €
Article 226-4-1 Usurpation d’identité.
d’amende.
Cinq ans d’emprisonnement et
Article 313.1 Escroquerie.
375 000 € d’amende.
Deux ans d’emprisonnement à
150 000 € d’amende.
Atteinte aux STAD (Systèmes de Traitement La tentative des délits prévus ci-
Articles 323.1 à 323.7 Automatisé de Données).
Ú Accès, maintien frauduleux dans un STAD.
dessus est punie des mêmes peines
afin de dissuader les fraudeurs dès le
stade de l’essai.

/conversion/tmp/activity_task_scratch/644287321.doc Page 6 sur 8

 PARTIE 4 : LES ORGANISATIONS DE LUTTE CONTRE LA CYBERCRIMINALITÉ

I) QUELLES SONT LES ORGANISATIONS EUROPÉENNES ?

https://www.europol.europa.eu/fr/about-europol
https://europa.eu/european-union/about-eu/agencies/enisa_fr

Organisations
Europol
(European Police Office)
(1er juillet 1999)
Centre européen de lutte
contre la cybercriminalité
(European Cybercrime Centre
ou EC3)
(1er janvier 2013)
Eurojust
(Unité de coopération judiciaire
de l'Union européenne)
(28 février 2002)
Rôles
Europol est une agence européenne de police criminelle qui facilite l'échange de
renseignements entre polices nationales des Etats membres en matière de stupéfiants,
de terrorisme, de criminalité internationale, de pédophilie et de cybercriminalité au
sein de l’Union Européenne.
Siège : La Haye (Pays-Bas).
EC3 est une structure mise en place par l’Union Européenne dans le but de lutter
contre la cybercriminalité en Europe.
Il est situé dans les locaux d’Europol à La Haye (Pays-Bas).
Eurojust est l’agence européenne chargée de renforcer la coopération judiciaire
entre les Etats membres, par l'adoption de mesures structurelles destinées à
promouvoir une coordination optimale des actions d’enquête et de poursuites.
Siège : La Haye (Pays-Bas).

II) QUELLES SONT LES ORGANISATIONS FRANÇAISES ?

https://www.gouvernement.fr/risques/cybercriminalite

Organisations Rôles
Sous-Direction de Lutte contre la Cybercriminalité (SDLC) (est vouée à la lutte contre la
cybercriminalité en intégrant les missions de prévention et de répression. Elle définit les stratégies à
Police nationale
mettre en œuvre dans les domaines de l’opérationnel, de la formation et de la prévention du grand public
et du tissu économique).
Gendarmerie Centre de lutte Contre les Criminalités Numériques (C3N) (traite directement de la criminalité et
des analyses numériques. Le C3N assure l’animation et la coordination, au niveau national, de l’ensemble
nationale des enquêtes menées par le réseau des enquêteurs numériques de la gendarmerie).
La Brigade d’Enquête sur les Fraudes liées aux Technologies de l’Information (BEFTI) (est
Préfecture de un service de police judiciaire spécialisé dans la lutte contre les atteintes aux Systèmes de Traitement
police Automatisé de Données (STAD), qu’il s’agisse de réseaux informatiques ou télématiques ou des systèmes
de télécommunications (GSM, autocommutateurs d’entreprises…)).

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : (http://www.sgdsn.gouv.fr)

Elle a été créée en en 2009 pour défendre et protéger les systèmes d’information et les usagers du
numérique contre les cyberattaques.
Son action auprès de différents publics comprend la veille et la réaction, le développement de produits pour
la société civile, l’information et le conseil, la formation ainsi que la labellisation de produits et de
prestataires de confiance

Ses missions sont les suivantes :

- Surveiller les réseaux afin de détecter les attaques et permettre de réagir au plus vite.
- Développer des produits et services de cybersécurité à destination des usagers.
- Apporter son expertise et son assistance aux administrations et aux entreprises.
- Sensibiliser le public sur les cybermenaces.

Le gouvernement a lancé en 2017 un dispositif national d’assistance aux victimes d’actes de

cybermalveillance. Incubé par l'ANSSI et copiloté avec le ministère de l'Intérieur, la plateforme
cybermalveillance.gouv.fr permet de mettre en relation des victimes de cyberattaques (particuliers,
entreprises ou collectivités territoriales) et des prestataires de services susceptibles de les aider dans leurs
démarches. 

/conversion/tmp/activity_task_scratch/644287321.doc Page 7 sur 8

 III) QUELLES SONT LES ORGANISATIONS INTERNATIONALES ?

Dans le reste du monde, d’autres organismes luttent contre la cybercriminalité.

Organisations Rôles
J-Cat (Joint Cybercrime Est une structure de coordination spécialement dédiée à la lutte contre la
Action Taskforce) cybercriminalité dans d’Union Européenne et au-delà (créée par Europol).
Est une organisation intergouvernementale qui fournit une plateforme de collaboration
Interpol internationale afin de maintenir une architecture de sécurité mondiale.
(Soutien aux enquêtes dans la lutte contre la cybercriminalité, formation destinée aux forces de
police, cyberpartenariats…).
FBI (Federal Bureau of Est la principale agence fédérale chargée d’enquêter sur les cyberattaques aux Etats-
Investigation) Unis.

/conversion/tmp/activity_task_scratch/644287321.doc Page 8 sur 8