Académique Documents
Professionnel Documents
Culture Documents
F o n d a m e n t a u x , s e n s i b i l i s a t i o n , e n j e u x
2
WELCOME
HELLO,
LET ME INTRODUCE MYSELF…
ME
Linkedin
mдemerл€
4
O U R M O T TO F O R TO D AY
“Our time is limited, so don't waste it living someone else's life. Don't be trapped by dogma - which
is living with the results of other people's thinking. Don't let the noise of others' opinions drown out
your own inner voice. And most important, have the courage to follow your heart and intuition.”
Steve Jobs
« Vous connaîtrez la vérité, et la vérité vous rendra libres. »
Jesus (Bible)
« Impalpable et immatériel, l’expert ne laisse pas de trace ; mystérieux comme une divinité, il est
inaudible. C’est ainsi qu’il met l’ennemi à sa merci. »
Sun Tzu
5
• La transformation numérique
• Les sources du cyberespace
Pour • L’approche sécuritaire
commencer • D’ARPNET à INTERNET
• Un espace aux dimensions infinies
• Quelques chiffres, un marché énorme, infographies, aujourd’hui
• Le Cyberespace
• Le piratage de cryptoactifs
Introduction • La cybersécurité
SESSION
• Les bonnes habitudes
• Une opportunité
#1
• Définitions de base
Enjeux autour • Des enjeux stratégiques
• Des risques stratégiques: cygne noir, data centers, câbles sous-marins
de la sécurité • Enjeux - la sécurité SI, les impacts potentiels
C y b e r s é c u r i t é •
•
L’intérêt des attaquants, économie 2.0 virtuelle, un jackpot virtuel bien réel et en croissance
Les impacts sur les individus, les entreprises, les infrastructures
• Les besoins de sécurité, de preuve
• Critères DICP – synthèse
6
SESSION
#1a Examen
D e v o i r d e
g r o u p e
7
• L’Histoire
Attaques • De nos jours
informatiques • Choix stratégique de la France
• Notions de base : vulnérabilité, menace, attaque
SESSION
➢ Les modes opératoires, La menace d’initié
➢ Dégradations physique, dommages, vols et pertes
➢ Espionnage, vol d’identité, data breach, Attaques d’applications et sites Internet
➢ Les APT, La Cyber Kill Chain
#2
➢ CORONAVIRUS
8
SESSION
#2a Examen
D e v o i r
i n d i v i d u e l
9
Le Cybershow
• Quels rôle pour les acteurs ?
• Les cybercriminels, les utilisateurs, le pentesteur, le RSSI
• Quelle hiérarchie parmi les acteurs ?
M a n a g e y o u r •
•
Incidents de sécurité
Gestion des incidents de sécurité
Sensibilisation et formation
• Sensibiliser les gens aux risques
E x p e r t i s e • Retour dans le passé, la valeur de vos informations
p r a t i q u e • Vous êtes un ambassadeur de la cybersécurité
• Sensibiliser de façon classique, par le jeu, au futur
• Pour démarrer une première campagne
• Les 3D de l’information, comment protéger ?
10
SESSION • Retour sur les devoirs écrits individuels
#3a
• Présentations orales
11
La France face au cyberespace
• Les PME/PMI industrielles
• Bilan 2020 ANSSI
SESSION •
•
•
The Digital Electronic Warfare System
Electronic Warfare Battle Management
La cyberguerre devient réalité, une cyberguerre politique ?
#4 Perspectives
• Le réseau d’espionnage Echelon
Un cyberespace • Les opérations psychologiques
• La technologie transforme
multidimensionnel • La suprématie numérique
Conclusion
• La cyberguerre contre la pensée
• Discerner et s’orienter
12
SESSION • Retour sur les devoirs écrits de groupe
#4a
• Présentations orales
13
Pour commencer
La transformation numérique
15
La transformation numérique
Une métamorphose !
Les sources du cyberespace
Les
« visionnaires »
Les Les
« libertaires » « sécuritaires »
17
Les Les
« libertaires » « sécuritaires »
Sécurité et liberté
Quelles libertés sommes-nous prêts à sacrifier pour être mieux protégés ?
L’approche sécuritaire
19
D’ARPNET à INTERNET
20
Un espace aux dimensions infinies
Infiniment rapide
Infiniment grand
Infiniment petit
21
La dimension
numérique en
quelques
chiffres
- Des géants financiers
- Puissance du premier état
digital en 2019
Un marché
énorme pour les
géants de
l’Internet
et…aussi pour
les pirates
⚔
Infographie DOMO
Data every minute
P é r i o d e 2 0 1 0 - 2 0 11
Data Never Sleeps 1.0
Chaque minute de chaque jour, des charges de données
sont générées. Combien, demandez-vous ?
Beaucoup de choses se passent en une minute :
• Les utilisateurs de YouTube téléchargent 48 heures de nouvelles
vidéos
• Les utilisateurs d'Instagram partagent 3 600 nouvelles photos
• Les marques et organisations sur Facebook reçoivent 34 722 "likes"
• Plus de 100 000 tweets sont envoyés
24
Infographie DOMO
Data every minute
Année 2020
Data Never Sleeps 8.0
Dans un monde de plus en plus numérique, intensifié par l'épidémie de COVID-
19, 2020 a introduit une nouvelle ère où la technologie et les données ont pris
une place plus importante dans notre vie quotidienne. Alors que nous
apprenons à nous adapter à cette nouvelle ère, les données ne dorment
jamais.
Les données sont constamment générées par les clics publicitaires, les
réactions sur les médias sociaux, les partages, les manèges, les transactions,
les contenus en streaming, et bien d'autres choses encore. Lorsqu'on les
examine, ces données peuvent vous aider à mieux comprendre un monde qui
évolue à une vitesse croissante.
Et les risques augmentent… les pirates eux aussi ne dorment jamais !
26
Aujourd’hui
1 GAFAM 4 Urbanisation
Ils ont le quasi monopole de la donnée Avec le Smart City, les villes deviennent intelligentes. Caméras,
mobilier connecté (lampadaires, poubelles) sont pilotés par un
ordinateur central
2 Consommation 5 Transports
Les grands enseignes de la distribution connaissent nos Conduite autonome, géolocalisation des marchandises, suivi du
habitudes de consommation temps de conduite, assistance à la conduite
3 Santé 6 Surveillance
Nombre de pas, rythme cardiaque, tension, calories… e-santé. Grace aux méta données (informations qui disent tout d’une
Nos données intéressent les assureurs afin de nous proposer des communication; date, heure, durée, lieu… excepté le contenu),
tarifs optimisés les algorithmes décèlent le sens caché de nos comportements
(risque autour du profilage)
27
Bienvenue dans le Cyberespace
Cybersécurité : l’être humain reste le maillon faible
31
Le piratage de cryptoactifs
Nous sommes concernés :
• Interview CNBC du 24 aout 2021
• Découverte des cryptos il y a quelques années et ouverture d’un compte Coinbase (USA)
• Les américains doivent obligatoirement investir (marchés majoritairement) pour leur retraite
• Investissement familial de 45 k$, piraté a 168 k$ et il reste 587 $
• Le téléphone mobile personnel a été piraté, pas la plateforme et l’attaque est irréversible
• Support Coinbase uniquement par email, pas de hotline téléphonique, 1 mois sans accès
• Service support inadapté, pas de fonction ‘live chat’ et stratégie incohérente
• Coinbase se focus sur sa croissance : de 43+ à 68+ million d’utilisateurs (fin 2020 – juin 2021)
• Coinbase était centré sur ses résultats et son introduction en bourse (IPO) le 14/04/2021
• En octobre 2021, le problème continu : un autre couple s’est fait pirater 1 million de $
• Conclusion : communication et support désastreux, mais l’engouement du public pour les actifs
numériques est là… donc ca passe au second plan !
32
La cybersécurité
33
La cybersécurité
34
Les bonnes habitudes
• Qu’avons-nous au menu ?
35
Les bonnes habitudes
• Organisation
➢ Préserver son anonymat ne pas utiliser le même mot de passe partout
36
Une opportunité
37
Une opportunité
Pour résumer :
• Le métier ‘Pentester’
• Et ca paye bien…
38
L'Ecole de
Guerre
Economique
publie la
cartographie des
métiers de la
cybersécurité
2020
V Pour Vendetta - V
Enjeux autour de
la sécurité
Aux origines, le logos…
1834
Au niveau étymologique, la généalogie du terme « cybergéographie » remonte à la
publication en 1834 de l’Essai sur la philosophie des sciences d’André-Marie Ampère. Dans
cet ouvrage, il invente le terme « cybernétique », qu’il définit comme l’étude des moyens
de gouvernement. Le préfixe « cyber- » provient du grec κυβερναν (piloter ; naviguer) /
κυβερνητικη (art de piloter ; art de gouverner) / κυβερνητης (timonier).
1948
Le terme cybernétique a été réinventée par Norbert Wiener en 1948 dans son livre
‘Cybernetics’. Il fait une étude générale des formes de contrôle et de communication
dans les machines et les systèmes vivants.
1982
En 1982, William Gibson a utilisé pour la première fois le mot « cyberspace » dans ‘Burning chrome’,
une nouvelle publiée dans la revue de science fiction Omni. Mais c’est surtout son roman anti-
utopique ‘Neuromancer’ qui a rendu le terme populaire ; le cyberespace était alors représenté
comme un espace « virtuel », une zone numérique, globale, dont l’ontologie relevait de
« l’hallucination consensuelle ». Après la suite de Gibson, on en est venu à attribuer le préfixe cyber-
à tout ce qui se rattache à l’Internet et aux mondes virtuels.
42
Aux origines, le numérique…
• Cyber : ce préfixe est un mot base utilisé pour nommer tout ce qui touche directement à Internet
➢ Cybercafé, cyberconférence, cyberculture, cybermarché, cybersécurité
• Dans le domaine du droit sont venus s’ajouter de nouveaux termes dont plusieurs désignent des
actes criminels ou de simples délits commis à l’aide des réseaux informatiques
➢ Cyberattaque, cybercrime (sabotage, piratage, vol)
➢ Cybercriminel, cybercriminalité (ou sa variante, la criminalité informatique, numérique ou binaire)
➢ Cyberdélit (ou délit informatique)
➢ Cyberdélinquance (ou délinquance cybernétique, e-délinquance)
❑ « La cyberdélinquance englobe toute action illicite visant les systèmes informatiques soit comme formant l’objet du délit, soit comme constituant
le moyen de commettre l’infraction. Ainsi, le cyberdélinquant pourra utiliser l’ordinateur pour s’attaquer aux systèmes informatiques en utilisant
l’ordinateur comme relais ou comme cible par des actes portant atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données,
détruisant des données ou des sites, effectuant des intrusions, déposant des programmes pirates ou espions, envoyant des virus ou
usurpant des adresses ou des noms de domaine. Il pourra en outre utiliser l’ordinateur pour diffuser des contenus illicites, procéder à des
extorsions de fonds, commettre des actes de fraude commerciale, proférer des menaces ou se livrer à la cyberdélinquance financière par
des actes de blanchiment d’argent et de manipulation des cours de la bourse. »
➢ Cyberguerre, cyberjustice, cyberpédophilie, cyberpolice, cyberterrorisme
• Pour le Collège canadien de police, il existe deux catégories de cybercrimes : celle où l’ordinateur est
l’instrument de perpétration et celle où il est l’objet du crime
➢ « La cybercriminalité est la criminalité ayant l’ordinateur pour objet ou pour instrument de perpétration principale. »
43
Cyberespace On appelle cyberespace l’espace virtuel des ordinateurs reliés
entre eux par des réseaux télématiques. Le droit considère le
cyberespace comme un milieu global d’intérêt puisqu’il forme un
environnement dans lequel se produisent des événements qui
entraînent des conséquences juridiques diverses.
Les 5 couches du modèle de cyberespace
Elle permet d’interpréter et de comprendre les informations en fonction de leur environnement. Elle inclut
également la prise de conscience des émotions lors de l’interprétation des informations.
Couche cognitive
Par exemple : la confiance, l’acceptation, l’expérience constituent autant de facteurs d’interprétation de
l’information, liés au contexte et aux émotions.
Elle comprend tous les services publics et commerciaux consommés par les utilisateurs, accessibles
Couche services généralement à partir du réseau Internet.
Par exemple : les services opérationnels (banque), médias (YouTube) et services publics.
Elle est composé de l’ensemble des données circulant sur le réseau. Elle comprend l’information et les
banques de données, hébergées dans les terminaux informatiques, ainsi que les différentes fonctions
Couche sémantique
d’administration au niveau de l’utilisateur.
Elle constitue le cœur de l’ensemble du réseau.
Elle est formée de différents programmes de gestion et de contrôle des systèmes, ainsi que les fonctions
Couche logique qui facilitent l’interaction entre les appareils connectés au réseau.
Par exemple : protocoles réseau, correction d’erreurs etc…
45
Définitions de base
Définition Représentation schématique
46
La cybersécurité est transverse
Au sein des entreprises, des organisations et des
administrations, il existe des articulations entre
cybersécurité, sécurité économique et intelligence
Définition - Cybersécurité économique
48
Des risques stratégiques
Depuis le début du 21ème siècle, le développement du numérique s’est accru dans
l’ensemble du monde économique. En contigu de ce phénomène, les risques cyber ont
augmenté et cela pose un problème à toutes les organisations, et il est fort probable
qu’uniquement celles qui auront su prendre en compte ce changement subsisteront.
• En parallèle de cette accélération technologique, le phénomène numérique est passé au stade de révolution
planétaire. Le risque s’étend au-delà des limites des entreprises et devient systémique, il concerne même
les Etats, et les conséquences peuvent prendre l’apparence de « cygnes noirs »
➢ Baisse du PIB
En conclusion, il semble que seules les organisations qui s’adapteront et anticiperont ces
bouleversements globaux seront en mesure de subsister, et surtout pourront continuer à
se développer.
49
L e c y g n e n o i r – l i v r e d e N a s s i m N i c h o l a s Ta l e b
Incertitude et cygne noir, quand la prédiction ne fonctionne pas…
C’est acquis. Tous les témoignages concordent et rapportent que tous les cygnes que l’on observe ont des plumes blanches. Dés lors, tous les cygnes sont
blancs, et un Cygne noir est impossible - ou au moins inexistant. Jusqu’en 1697, année au cours de laquelle des explorateurs allemands deviennent les premiers
Européens à voir des cygnes noirs en Australie occidentale. "Le terme a ensuite évolué pour désigner l'idée qu'une impossibilité théorisée pouvait ensuite être
réfutée."
Interxion conçoit un data center géant à La Courneuve
Plus d'un milliard d'euros d'investissement, « le plus grand campus de France », selon la société Interxion, son
concepteur. Lové derrière un exo-squelette circulaire, le data center géant fera plus de vingt mètres de haut et offrira à
terme, 40 000 m2 de salles informatiques pour héberger les données numériques confidentielles de ses futurs clients,
le long de l'A 86, à La Courneuve. « Ça ressemblera à une grande soucoupe volante », résume Fabrice Coquio,
président d'Interxion France (groupe Digital Realty). – Le Parisien (le 19 juillet 2020)
51
Submarine Cable Map 2020
52
Monde câblé : 35 ans de câbles
sous-marins sur une carte
L’époque où les images chargeaient les pixels ligne par ligne est révolue depuis longtemps. Désormais, même les vidéos
de haute qualité sont instantanément accessibles de presque partout. Comment Internet est-il devenu si rapide ? Parce
qu’il se déplace à la vitesse de la lumière.
Amazon, Microsoft et Google détiennent près de 65 % du marché du stockage de données en cloud, il est donc compréhensible qu’ils
souhaitent également contrôler les moyens physiques de transport de ces données.
53
Monde câblé : 35 ans de câbles sous-marins sur une carte
54
Enjeux - la sécurité SI
55
Enjeux - les impacts potentiels
56
L’intérêt des attaquants
Quelles sont les motivations ?
• Période 1980 à 2000
➢ Epoque des premiers ordinateurs personnels : Atari, Commodore, Amstrad, W3.1, 95, etc
➢ Les pirates sont des bidouilleurs amateurs
• Période 2000 à 2010
➢ Les bidouilleurs se sont structurés en équipe, voir Etatisés
➢ Les actions sont étudiés et organisées et préparées
• Depuis l’an 2010
➢ La cupidité, le mercantilisme
➢ L’hacktivisme d’ONG, associations ou communautés
➢ Des finalités politiques, religieuses ou sexuelles
➢ Des objectifs étatiques, lobbying, concurrentiels
➢ Des pirates ‘achetés’ qui deviennent des mercenaires
• Quel est le but recherché par les pirates ?
➢ Gains financiers (revente d’informations)
➢ Chantage (DoS, suppression de données)
➢ Utilisation de ressources (machines zombies)
➢ Espionnage (secrets industriels)
57
Une économie 2.0 virtuelle
Quel intérêt pour la cybercriminalité ?
• La plupart des actes de délinquance commis dans le cyberespace sont le fait de groupes
criminels structurés, professionnels et associant plusieurs acteurs
des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques
2
informatiques
un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des hébergeurs malhonnêtes soit des hébergeurs
3
victimes eux-mêmes d’une attaque et dont les serveurs sont contrôlés par des pirates
4 des groupes en charge de la vente des données volées, et principalement des données de carte bancaire
5 des intermédiaires financiers pour collecter l’argent qui s’appuient généralement sur des réseaux de mules
Source : CyberEdu
58
Un jackpot virtuel bien réel
59
Un jackpot virtuel en croissance
• La révolution numérique a démultiplié des possibilités de
revenu pour les pirates
• Le mobile est devenu l’enjeu principal de la cybersécurité
60
Une
cybercriminalité
qui suit l’actualité
et s’adapte
Les impacts sur les individus
• Perte de données
➢ Cloud : suite au piratage d’un compte en ligne l’accès aux données est impossible ou celles-ci sont effacées
➢ Ordinateur local : infection par un rançongiciel et chiffrement des données
• Impact financier
➢ Utilisation frauduleuse d’identifiants de carte bancaire volée pour des achats (magasin, en ligne)
➢ Demande de rançon contre non divulgation d’informations ou d’images préjudiciables
• Usurpation d’identité
➢ Un cybercriminel vole des identifiants de connections et les
réutilise en se faisant passer pour la victime
• Atteinte à l’image
➢ Divulgation d’informations personnelles compromettantes
➢ Cyberharcèlement
62
Les impacts sur les entreprises
Pour les entreprises et administrations, les conséquences d’une potentielle attaque peuvent
être considérables, car elles peuvent affecter un grand nombre d’individus en même temps.
Il existe 4 cyber risques :
• Sabotage
➢ Perte ou altération de données internes ou clients
➢ Tout ou parti d’un SI peut être rendu inopérant, ce qui pourra entrainer un arrêt de la production (site de vente)
• Cybercriminalité
➢ Fraude au Président : attaque consistant à convaincre un collaborateur d’effectuer un virement bancaire au nom d’un des dirigeants de l’entreprise (cout
de plusieurs centaines de millions €/an en France)
➢ Demande de rançon contre non divulgation d’informations ou d’images préjudiciables
• Atteinte à l’image
➢ Campagne de déstabilisation lancée sur les réseaux sociaux
➢ Site Internet public indisponible suite a un piratage
➢ Pertes de part de marchés
➢ Baisse de cours sur les marchés financiers, hausse des primes d’assurances
➢ Baisse des bénéfices
• Espionnage
➢ Vol d’informations sur des brevets, programmes de R&D, prototypes…
➢ Vol d’informations financières sur des FUSAC ou M&A, des compétences des salariés experts…
63
Les attaques sur
les entreprises
Les impacts sur les infrastructures
Certaines infrastructures sont considérées comme critique pour le pays par
l’Etat français, et des mesures de sécurité renforcées spécifiques doivent êtres
implémentées.
66
Le besoin de
Preuve ou
d’auditabilité
Garantir la traçabilité suffisante pour tout
contrôle et administration de la preuve.
• La traçabilité des actions menées
• L’authentification des utilisateurs
• L’imputabilité du responsable de l’action
effectuée
67
Critères DICP - synthèse
D I C P D I C P D I C P
X X X X X X X X
68
Critères DICP - synthèse
D I C P D I C P D I C P
X X X X X X X X X X
69
Critères DICP - synthèse
D I C P D I C P
X X X X X X X X Source : CyberEdu
70
Aspects juridiques
et organisationnels
français
Stratégie Nationale
Le 16/10/2015 le premier ministre M. Valls a présenté la Stratégie
nationale pour la sécurité du numérique, destinée à accompagner
la transition numérique de la société française.
Une réponse face aux nouveaux enjeux numériques en 5 points :
1. Garantir la souveraineté nationale
➢ Intérêts fondamentaux, défense et sécurité des systèmes d’information de l’état et des
infrastructures critiques, crise informatique majeure
72
…
Quelques dates
Au fil des années, la cybersécurité s’est
transformée. Elle est devenue un véritable 2008
enjeu de sécurité nationale et européen. Rapport sur la sécurité des systèmes
De quoi DEMAIN sera-t-il fait ? d’information (SSI) et le Livre blanc sur
la défense et la sécurité nationale de 2008
(LBDSM 1).
2009
En juillet, création en juillet de l'Agence
nationale de la sécurité des systèmes
d'information - ANSSI.
2012
Rapport Bockel : la cyberdéfense doit
être une priorité nationale et industrielle.
Quelle place pour l’option « cyber » dans
notre sécurité nationale ?
73
…
2013
Promulguée le 19 décembre 2013, la loi
n°2013-1168 de programmation militaire –
LPM - suit les orientations fixées par le
Livre blanc sur la défense et la sécurité
nationale 2013 (LBDSM 2).
2015
La Stratégie nationale pour la sécurité
du numérique : une réponse aux
nouveaux enjeux des usages numériques.
2016
La directive Network and Information
Security (NIS) poursuit un objectif
principal : assurer un niveau de sécurité
élevé et commun pour les réseaux et les
systèmes d’information de l’UE.
…
74
…
2017
La première conférence « Construire la
paix et la sécurité internationales de la
société numérique », s’est tenue en avril à
l’UNESCO. But : envisager des pratiques
et des équilibres susceptibles de favoriser
2018 une utilisation pacifique et sûre de
Entrée en vigueur du règlement général l’espace numérique.
sur la protection des données - RGPD. Il
renforce et unifie la protection des
données pour les individus au sein de
l’UE. 2020
Rapport sur l’inventaire des menaces
dans l’UE : les cyberattaques deviennent
de plus en plus sophistiquées, ciblées et
massives.
75
Organisation Positionnement de l’ANSSI
de l’ANSSI
Sous-direction Administration (SDA)
Les rôles des sous-directions
4 Gestion des affaires générales de l’ANSSI (juridique,
finances, RH, logistique)
77
Domaines de compétences
Autorité de sécurité
Renseignements
(prévention)
Autorité de défense
Actions offensives
(réaction)
78
Le droit numérique
❑ Le droit numérique est un véritable ‘mille feuille’ composé de plusieurs dizaines de textes
de codes (civil, défense, pénal, travail, propriété intellectuelle, postes et communications
électroniques, consommation, commerce, etc) en vigueurs difficiles d’accès.
• Il ressemble à un droit non codifié, en évolution constante, caractérisé par une forte
construction jurisprudentielle et nécessitant un effort de veille juridique constant
• Quelques textes de lois importants
➢ 1978 - Loi relative à l’informatique, aux fichiers et aux libertés
➢ 1988 - Loi Godfrain relative aux actes de criminalité informatique et de piratage
➢ 2004 - Loi Perben 2 pour contrer la délinquance et la criminalité organisée
➢ 2004 - Loi pour la confiance dans l’identité numérique
➢ 2011 - Loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI), renforçant la
lutte contre la cybercriminalité, informatique et Internet
➢ 2015 (24/07) - Loi sur le renseignement incluant des mesures controversées atteignant à la vie privée
➢ 2015 (30/11) - Loi relative aux mesures de surveillance des communications électroniques internationales
➢ 2016 (03/06) - Loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement
79
Le droit numérique
➢ 2016 (07/10) - Loi pour une République numérique, dite loi « Lemaire ». Elle succède à la Loi, de 2004, pour la
confiance dans l’identité numérique
➢ 2018 (06/07) - Loi transposant la directive Network and Information System Security (NIS) qui a pour objectif
de renforcer les standards de sécurité informatique d’acteurs indispensables à la vie quotidienne de nos
concitoyens
➢ 2018 (20/06) - La loi relative à la protection des données personnelles est promulguée (RGPD). Elle adapte la
loi "Informatique et libertés" du 6 janvier 1978 au "paquet européen de protection des données"
➢ 2018 (13/07) - Loi de Programmation Militaire, LPM 2019-2025, qui développe les capacités françaises dans le
cyberespace et le spatial
➢ 2018 (22/12) - Loi contre la manipulation de l’information, dite loi « fake news »
➢ 2020 (24/06) - Loi relative à la lutte contre les contenus haineux sur Internet, dite loi « Avia »
➢ 2020 (22/10) - Loi sur la certification de cybersécurité des plateformes numériques destinée au grand public
80
1
Nouvelle
technologie
2
Nouvel
usage
3
Nouveau
mésusage
4
Nouvelle
Evolution du législation
5
droit numérique Nouvelle
La transformation numérique avance, le droit d’adapte face infraction
aux actions des pirates !
81
FOCUS
Règlement Général sur la Protection des Données (RGPD)
Les données personnelles sont au cœur du monde numérique et il est
nécessaire de les protéger
RGPD
Le 25 mai 2018, le RGPD (GDPR en anglais) est entré en vigueur
• Il a fallu plusieurs années de travail aux instances européennes pour finaliser cette réforme
importante pour la protection des données
• Jusque là, la directive de 1995 sur la protection des données (directive 95/46/CE) était en vigueur,
mais les évolutions technologiques des dernières décennies ont rendu nécessaire une révision et
une amélioration de la législation
• Effectivement, en 1995, Internet naissait. Aujourd’hui, la protection des données à l’échelle de l’UE
doit faire face au GAFAM, réseaux sociaux, Big Data, à l’industrie 4.0, à la robotique et à l’IA
• L’objectif du RGPD est d’harmoniser le traitement des données au niveau de l’UE. Le Royaume-
Uni va devenir un pays tiers à partir du 01/01/2021 suite au Brexit
83
D é f i n i t i o n : q u ’ e s t - c e q u ’ u n e d o n n é e à
c a r a c t è r e p e r s o n n e l ?
Une donnée à caractère personnel correspond à :
❑ toute information relative à une personne physique (la « Personne Concernée »)
• Ex : clients, prospects, collaborateurs, candidats, partenaires, fournisseurs…
❑ identifiée ou qui peut être identifiée,
➢ directement
• Nom, prénom, photographie, dossier médical, assurances, empreinte digitale, bulletin de salaire, achat en
ligne…
➢ ou indirectement
• Compteur communicant Linky/Gaspar, adresse IP, adresse email, données de consommation, localisation,
cookie, plaque immatriculation, NIR, n° de permis de conduire, n° de comptes bancaire, numéro
d’identification interne de client ou d’utilisateur (GUID), etc…
• Les DCP ne se restreignent pas aux données de la vie privée (ex : adresse email professionnelle ou téléphone professionnel = DCP)
• Les données personnelles conservent leur statut peu importe que ces informations soient confidentielles ou publiques
• Dans les entreprises B2B, les clients sont majoritairement des personnes morales (collectivités publiques, sociétés privées…), cependant ce
type d’entreprise est bien évidemment concernée par la problématique des données personnelles tant au titre d’employeur que de
fournisseur de service
84
C a t é g o r i e s p a r t i c u l i è r e s d e d o n n é e s :
p r i n c i p e d ’ i n t e r d i c t i o n
Certaines sont définies comme « sensibles » :
• Les origines raciales ou ethniques
• L’appartenance syndicale
86
D é f i n i t i o n : q u ’ e s t - c e q u ’ u n t r a i t e m e n t d e
d o n n é e à c a r a c t è r e p e r s o n n e l ?
Un traitement de donnée à caractère personnel correspond à :
❑ « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés
et appliquées à des données ou un ensemble de données à caractère personnel » telles que :
• Tant les traitements informatiques comme les traitements « papier » sont concernés
• Un traitement ne se manifeste pas uniquement au travers d’un fichier, d’une base de données ou d’un tableau Excel
➢ Exemples : fiches clients ou fournisseurs avec zones de commentaires libres, vidéosurveillance, systèmes de reconnaissance
biométrique, SharePoint, application RH, etc
87
Champ d’application matériel
Article 2 - la règlementation concerne tous les
organismes publics et privés, quels que soient leur Sont soumis aux dispositions de la règlementation :
taille ou leur secteur d’activité mettant en œuvre
• Tout traitement de données personnelles automatisé
des traitements de données personnelles. Sont en tout ou partie
notamment concernés :
• Tout traitement de données personnelles non
automatisé contenu ou appelé à figurer dans un
fichier (papier ou numérique)
• Les administrations et collectivités
locales
88
Traitement
Champ
Données à caractère personnel
d’application
matériel Fichier automatisé ou non
Non
❑ Un organisme dont l’activité cible des personnes qui se Applicable applicable
trouvent sur le territoire de l’UE (critère du ciblage).
Les organismes sont concernés lorsque le traitement
vise à offrir des biens ou services à de telles personnes
ou à suivre leur comportement au sein de l’Union
90
RGPD non applicable :
• Personne morale
Données personnelles concernant une personne physique NON • Données anonymes
OUI
OUI
OUI OUI
RGPD applicable
91
Les acteurs de la protection des données
1 2
◆
par un traitement de données à caractère personnel ◆ La personne physique ou morale, l'autorité publique, le
la concernant service ou tout autre organisme qui reçoit
◆ Ce sont toutes les personnes qui voient leurs données communication de données à caractère personnel,
personnelles traitées : clients, prospects, partenaires, qu'il s'agisse ou non d'un tiers
La Personne Le Destinataire des
collaborateurs, y compris les personnalités publiques ◆ Ex : la Sécurité Sociale, les Impôts, Mutuelles
(politiques, acteurs, chanteurs)… concernée (« PC ») données
personnelles
3 4
◆ La personne physique ou morale, l'autorité
service ou un autre organisme qui traite des données à
publique, le service ou un autre organisme qui, seul
caractère personnel pour le compte du responsable du
ou conjointement avec d'autres, détermine les
traitement
finalités et les moyens du traitement
◆ Attention, un ST peut être interne et externe à une
◆ Ex : Air France, Axa, Cap Gemini, Renault, ENEDIS,
Le Responsable de Le Sous-traitant entreprise !
Service interne (IT, Compta, BU)
Traitement (« RT ») (« ST ») ◆ Ex : SAP, Microsoft, paye externalisé, filiale IT…
92
Droits des personnes
R e n f o r c e m e n t e t n o u v e a u t é s
93
Synthèse pratique
❑ Les principes clés du RGPD
• DPO obligatoire dans
Selon l’infraction : certains cas
• De 10 millions d’€ ou 2% du • Champ d’application
CA mondial territorial élargi
• A 20 millions ou 4%
Renforcement
Fortes et
sanctions uniformisation
des règles
Privacy by
Renforcement
design,
des droits des
Privacy by
personnes
default
• Transparence
• Protection des données prise en
• Consentement renforcé
compte : dès la conception du projet,
et tout au long de son cycle de vie • Affirmation de nouveaux droits
(portabilité, limitation…)
• Limitation de la collecte au strict
nécessaire
94
Synthèse pratique
❑ Les règles d’or de la protection des données personnelles
Je collecte et traite les
DCP de manière loyale,
transparente et licite.
Je mets en place des mesures
organisationnelles et techniques
afin de protéger les données.
Respecter les
Pertinence des Je ne collecte que les données
droits des
données strictement nécessaires à la
personnes
collectées finalité que je poursuis.
concernées
96
Politique de protection des DCP
Dans une entreprise, la politique de protection des données personnelles est
structuré selon 3 piliers
Objectifs Principes Moyens
• Adapter la Politique à • Finalités explicites, légitimes, loyales et • Sensibilisation et formation
l'organisation interne de transparentes
l’entreprise
• Pertinence, proportionnalité et minimisation des • Contrôles et audits
• Assurer que l’entreprise respecte données collectées
la réglementation • Cartographie des traitements
• Conservation limitée des données
• Renforcer la confiance des
• Données sensibles, fichiers sensibles et • Traitement d’incidents
employés et des clients quant à
la protection de leurs données traitements à risques
• Accords écrits
personnelles • Obligations de sécurité et de confidentialité
• Transferts internationaux • SYSTÈME DE MANAGEMENT ET
D’ACCOUNTABILITY
• Transparence et respect des droits des personnes
• Obligation des Sous-Traitants
97
SEE YOU NEXT TIME !
ANY QUESTIONS ?