Académique Documents
Professionnel Documents
Culture Documents
La cybersécurité englobe tous les moyens qui permettent d’assurer la protection et l’intégrité des données
au sein d’une infrastructure numérique.
La cybersécurité permet la protection des systèmes d’information et des données qui circulent contre les
cybercriminels.
La cybersécurité porte à la fois sur la cyberattaque et sur la cyberdéfense, c’est-à-dire l’usage de moyens
informatiques pour mener ou riposter à une agression.
La cybersécurité permet la mise en place de processus auprès des collaborateurs pour l’instauration de
bonnes pratiques. La sensibilisation des équipes aux problématiques de phishing ou d’usurpation d’identité
est une composante importante d’une politique de sécurité informatique.
En outre, la loi exige la mise en place de tous les moyens techniques et organisationnels pour garantir la
cybersécurité relative aux données personnelles. Pour garantir la confidentialité et l’intégrité des données des
utilisateurs, leurs exploitations par les entreprises sont extrêmement contrôlées. Chaque processus de
collecte, d’archive, et d’utilisation doit être justifié et délibérément accepté par l’utilisateur. Assurer la
cybersécurité est essentiel pour protéger les informations collectées.
Risques Conséquences
Ralentissement de la production et l’indisponibilité du site Web de l’organisation.
] Le calcul économique du risque acceptable : la prise en compte des risques découle des résultats
d’une analyse méthodologique (Ex. : méthode EBIOS) (1) et d’un calcul de coûts.
Economiques
On mesure le risque acceptable en comparant le coût des solutions pour sécuriser le Système
d’Information (SI) et les coûts qu’une attaque pourrait entraîner. Le choix d’investissement pour les
solutions envisageables peut être le transfert d’une partie des risques vers un assureur spécialisé.
Les utilisateurs disposent de deux types de recours contre une organisation qui ne respectent pas
les obligations légales :
- Recours civil (pour obtenir des dommages et intérêts pour réparer le préjudice subi).
- Recours pénal (demande de sanctions en cas de vol de de données et défaut de respect des précautions
Juridiques utiles pour préserver la sécurité des données. Les partenaires peuvent se prévaloir de possibles manquements
aux obligations mises à la charge du responsable du traitement et du sous-traitant pour rechercher la
responsabilité contractuelle de l’entreprise).
Ex. : Le RGPD (Règlement Général sur la Protection des Données) demande aux entreprises la mise en place
de process de gestion des données personnelles précises et exigeantes. En cas d’acte malveillant à l’encontre
de son SI, elles doivent pouvoir apporter des preuves.
D’atteinte à Au travers de l’usurpation d’identité ou de la défiguration d’un site web, il y a une altération de
l’identité de l’image et de la crédibilité de l’entreprise. D’où des répercussions financières fortement
l’entreprise préjudiciables.
Des attaques sur des systèmes de contrôle des installations d’organisations produisant ou
Humains et
manipulant des produits dangereux peuvent constituer des risques pour l’intégrité physique des
écologiques
hommes ou pour l’environnement naturel.
(1) La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d’apprécier et de traiter les
risques relatifs à la sécurité des SI (Perte de gouvernance sur le traitement, faille dans la chaîne de sous-traitance, destruction
ineffective ou non sécurisée des données ou durée de conservation trop longue, problème de gestion des droits d’accès, non-
conformité règlementaire notamment sur les transferts internationaux…).
Les dirigeants sont responsables de l’intégrité et de la confidentialité des données qui circulent pour son
activité. L’employeur est tenu de protéger les salariés en ce qui concerne leurs informations personnelles.
L'obligation de notifier à la CNIL les violations de données à caractère personnel est prévue par l’article 33
du Règlement Général sur la Protection des Données (RGPD). Elle concerne tous les responsables de
traitement de Données à Caractère Personnel (DCP). Dans le cas où la violation de Données à Caractère
Personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique,
l’article 34 du RGPD impose de notifier ces dernières.
Les responsables de traitement doivent être en mesure de justifier leur politique en matière de sécurité qui
doit prévoir :
- L’organisation interne de l’entreprise.
- Les modalités de communication vis-à-vis des utilisateurs.
- Les relations contractuelles avec des acteurs extérieurs.
La preuve du respect des obligations liées à la sécurité des traitements implique la mise en place d’un
cahier des incidents (distinct du registre des traitements) qui doit contenir l’ensemble de la documentation
relative à ces incidents à savoir :
* La nature de la violation.
* Si possible, les catégories et le nombre approximatif de personnes concernées par la violation.
* Les catégories et le nombre approximatif d'enregistrements de Données à Caractère Personnel
concernés.
* Les conséquences probables de la violation de données.
* Les mesures prises ou envisagées pour éviter que cet incident se reproduise ou atténuer les
éventuelles conséquences négatives.
Si l’incident constitue un risque au regard de la vie privée des personnes concernées, il faut notifier
l’incident à la CNIL. En cas de risque élevé, il faut également notifier les personnes concernées.
Si la violation notifiée fait suite à une cyberattaque, il est conseillé de déposer plainte au commissariat de
police ou à la gendarmerie la plus proche et de tenir à disposition des enquêteurs tous les éléments de
preuves techniques.
La notification doit être transmise à la CNIL dans les 72 heures de la constatation de la violation
présentant un risque pour les droits et libertés des personnes.
Si le délai de 72 heures est dépassé, il faut expliquer, lors de la notification, les motifs du retard.
Enfin, une notification complémentaire est nécessaire dès lors que des informations complémentaires sont
disponibles.
V) COMMENT NOTIFIER ?
Un téléservice sur le site de la CNIL est dédié aux responsables de traitement (organismes privés ou publics)
souhaitant notifier à la Commission une violation ayant touché les données personnelles qu’ils traitent.
La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :
- La violation ne porte pas atteinte aux données personnelles ou ne présente pas de risque pour les droits et
libertés des personnes.
- Les personnes concernées ont été correctement informées.
- Des mesures techniques de protection appropriées ont été préalablement mises en place.
Remarque : la sanction pécuniaire peut être prononcée indépendamment d’une éventuelle condamnation
pénale pour des mêmes faits. Le juge peut retrancher le montant de la sanction pécuniaire décidée par la
CNIL de celle qu’il prononce.
La fraude informatique consiste à falsifier des données stockées, en traitement ou en transit, afin d’en retirer des
avantages personnels ou des gains financiers. La fraude informatique est un délit.
En 2001, le Conseil de l’Europe est à l’origine du premier traité de coopération internationale sur la
cybersécurité, connu sous le nom de « Convention sur la Cybercriminalité » ou « Convention de
Budapest ».
Il a 3 objectifs :
- L’harmonisation des législations des États signataires.
- La modernisation de ces législations, notamment en matière procédurale.
- L’amélioration de la coopération internationale contre la cybercriminalité.
L’Union Européenne (UE) a inauguré, en 2013, le Centre européen de lutte contre la cybercriminalité,
visant à faciliter la coopération entre États européens dans la lutte contre le cybercrime.
La Commission européenne a proposé, en septembre 2017, le « paquet Cybersécurité » qui comprend un
ensemble de mesures dont l’introduction d’une certification de cybersécurité à l’échelle de l’UE.
En matière de Protection des Données Personnelles, le RGPD créé un cadre unifié et protecteur pour les
Données Personnelles des Européens, applicable à l’ensemble des responsables de traitements(1) et de leurs
sous-traitants quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et des services à des
personnes résidant sur le territoire de l’Union européenne.
Infractions Définitions
L’usurpation d’identité est le fait pour un individu d’utiliser les éléments
d’identification d’un autre généralement dans le but de réaliser des actions
frauduleuses.
Elle peut se traduire par :
* La fraude au Président ou Escroquerie aux Faux Ordres de Virement
Usurpation d’identité (FOVI) qui consiste pour des escrocs à convaincre un collaborateur d’une
entreprise d’effectuer un virement important à un tiers pour obéir à un prétendu
ordre du dirigeant, sous prétexte d’une dette à régler…
* Le hameçonnage (ou phishing) qui est une technique de fraude visant à
obtenir des renseignements confidentiels (mot de passe, informations bancaires…)
afin d'usurper l'identité de la victime à partir de l’envoi de courriels.
Production de faux et usages Les outils informatiques permettent de produire de faux documents dans le but
de faux d'obtenir un droit ou de prouver certains faits ayant des conséquences juridiques.
Fraude spécifique à certains Il s’agit d’un détournement des avoirs, de clientèles ou de la création de fausses
métiers opérations (Ex. : dans le domaine de la finance ou de la comptabilité).
Accès ou maintien dans un L’utilisation d’un code malveillant permet de contourner la sécurité d’un système
Système de Traitement ou d’une application en vue de compromettre la confidentialité ou l’intégrité des
Automatisé des Données données.
Attaque par ransomware (ou Il s’agit de chiffrer le disque de la victime afin de bloquer l’accès et de demander
rançongiciel) une rançon en contrepartie du déchiffrement.
Elle s’effectue par le biais de courriels signalant un faux problème technique ou une
Arnaque aux faux supports
fausse opération de maintenance : une authentification est demandée à l’utilisateur
techniques
via une page frauduleuse, qui récupérera les informations saisies par ce dernier.
Il s’agit de l’altération par un pirate de l’apparence d’u site ce qui rend le site
inaccessible entraînant des pertes de revenus et de productivité. En étant visible, la
Défiguration d’un site Web
défiguration démontre que le pirate a pris le contrôle du serveur, ce qui nuit à
l’image et à la crédibilité de l’entreprise.
Organisations Rôles
Europol est une agence européenne de police criminelle qui facilite l'échange de
Europol renseignements entre polices nationales des Etats membres en matière de stupéfiants,
(European Police Office) de terrorisme, de criminalité internationale, de pédophilie et de cybercriminalité au
(1er juillet 1999) sein de l’Union Européenne.
Siège : La Haye (Pays-Bas).
Centre européen de lutte
contre la cybercriminalité EC3 est une structure mise en place par l’Union Européenne dans le but de lutter
(European Cybercrime Centre contre la cybercriminalité en Europe.
ou EC3) Il est situé dans les locaux d’Europol à La Haye (Pays-Bas).
(1er janvier 2013)
Eurojust Eurojust est l’agence européenne chargée de renforcer la coopération judiciaire
(Unité de coopération judiciaire entre les Etats membres, par l'adoption de mesures structurelles destinées à
de l'Union européenne) promouvoir une coordination optimale des actions d’enquête et de poursuites.
(28 février 2002) Siège : La Haye (Pays-Bas).
Organisations Rôles
Sous-Direction de Lutte contre la Cybercriminalité (SDLC) (est vouée à la lutte contre la
cybercriminalité en intégrant les missions de prévention et de répression. Elle définit les stratégies à
Police nationale
mettre en œuvre dans les domaines de l’opérationnel, de la formation et de la prévention du grand public
et du tissu économique).
Gendarmerie Centre de lutte Contre les Criminalités Numériques (C3N) (traite directement de la criminalité et
des analyses numériques. Le C3N assure l’animation et la coordination, au niveau national, de l’ensemble
nationale des enquêtes menées par le réseau des enquêteurs numériques de la gendarmerie).
La Brigade d’Enquête sur les Fraudes liées aux Technologies de l’Information (BEFTI) (est
Préfecture de un service de police judiciaire spécialisé dans la lutte contre les atteintes aux Systèmes de Traitement
police Automatisé de Données (STAD), qu’il s’agisse de réseaux informatiques ou télématiques ou des systèmes
de télécommunications (GSM, autocommutateurs d’entreprises…)).
Elle a été créée en en 2009 pour défendre et protéger les systèmes d’information et les usagers du
numérique contre les cyberattaques.
Son action auprès de différents publics comprend la veille et la réaction, le développement de produits pour
la société civile, l’information et le conseil, la formation ainsi que la labellisation de produits et de
prestataires de confiance
Organisations Rôles
J-Cat (Joint Cybercrime Est une structure de coordination spécialement dédiée à la lutte contre la
Action Taskforce) cybercriminalité dans d’Union Européenne et au-delà (créée par Europol).
Est une organisation intergouvernementale qui fournit une plateforme de collaboration
Interpol internationale afin de maintenir une architecture de sécurité mondiale.
(Soutien aux enquêtes dans la lutte contre la cybercriminalité, formation destinée aux forces de
police, cyberpartenariats…).
FBI (Federal Bureau of Est la principale agence fédérale chargée d’enquêter sur les cyberattaques aux Etats-
Investigation) Unis.