SlideShare ist ein Scribd-Unternehmen logo

Les 5 clés de la responsabilité juridique du RSSI

Thiebaut Devergranne
Thiebaut Devergranne
Business
1 von 38
LES 5 CLÉS DE LA RESPONSABILITÉ JURIDIQUE DU RSSI Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 20 novembre 2012
Introduction 2 Présentation  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Formation d’avocat (CAPA)  Docteur en droit privé sciences criminelles  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr © T. Devergranne – td@hstd.net
Introduction 3 Objectifs de la présentation :  Analyse transverse des risques juridiques majeurs en droit de la SSI  5 clés qui sont aussi 5 challenges  Comment protéger sa responsabilité personnelle, celle de son organisation ?  Que faut-il faire pour manager ses risques juridiques de manière opérationnelle (quand on n’est pas juriste) ? 5 clés de la responsabilité juridique des RSSI… © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 4 CHALLENGE 1 : ACQUERIR UNE CONNAISSANCE OPERATIONNELLE DU DROIT
Les 5 clés de la responsabilité juridique du RSSI 5 La « triade » © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 6  Des zones à risques à connaître impérativement, comme la protection de la correspondance privée (un des risques opérationnels majeurs) Art. 432-9 c. pen. : « Le fait, par une personne dépositaire de Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende » est puni de trois ans d'emprisonnement et de 45000 euros d'amende »  Attention, beaucoup d’évolutions sur ce questions ! © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 7 Quizz ! © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 8 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 9 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination “D :/données personnelles” du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant “privés” selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur » Cass. Soc., 4 juillet 2012 © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 10 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 11 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? « Le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions », Cass. Soc. 26 juin 2012 © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 12 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 13 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? « Ce réseau peut constituer soit un espace privé, soit un espace public, en fonction des paramétrages effectués par son utilisateur (…) ; [en l’espèce] aucun élément ne permet de dire que le compte Facebook [ait été paramétré de manière publique de sorte] à faire perdre aux échanges litigieux leur caractère de correspondance privée », CA, Soc. 15 novembre 2011 © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 14  Information juridique : comment résoudre le challenge ?  Formations, sensibilisations  Veille régulière !  Attention, le rythme des évolutions législatives et jurisprudentielles est élevé ; en 2012…  La loi Godfrain a été changée !  On digère le nouveau règlement européen qui va changer toute la loi informatique et libertés (et qui prévoit des sanctions > 1 milliard d’euros pour les grands groupes).  De nombreuses décisions sur la cybersurveillance ! © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 15 CHALLENGE 2 : ADOPTER UNE PERCEPTION ADEQUATE DU RISQUE JURIDIQUE
Les 5 clés de la responsabilité juridique du RSSI 16 La sécurité des données personnelles… © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 17 Attention à la perte de vigilance ! © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 18 Le vrai risque informatique et libertés – Ex. : cas de fraude informatique Art. 323-1 c. pen. (al. 1) :: « Le fait d'accéder ou de se Art. 323-1 c. pen. (al. 1) « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30.000 euros d'amende »  d'emprisonnement et de 30.000 euros d'amende »  Art. 226-17 c. pen. :: « Le fait de procéder ou de faire Art. 226-17 c. pen. « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300.000 Euros d'amende »   d'emprisonnement et de 300.000 Euros d'amende »   Art. 34 :: «  Le responsable du traitement est tenu de prendre Art. 34 «  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y déformées, endommagées, ou que des tiers non autorisés y aient accès. » aient accès. » © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 19 CHALLENGE 3 : VEILLER A PROSCRIRE UN SENTIMENT D’IMPUNITE
Les 5 clés de la responsabilité juridique du RSSI 20  L’affaire EDF c/ GreenPeace en deux mots (10 novembre 2011) :  1.5 € million d’amende pour EDF en tant que personne morale pour ne pas avoir cadré ses contrats d’IE  Un an de prison ferme pour le responsable sécurité  700.000 euros d’amende et dommages et intérêts pour les protagonistes  Les nouveautés  Mise en cause de la personnalité morale d’EDF  Condamnation d’EDF pour recel (possession de biens issus d’un accès frauduleux)  Montant considérable des sanctions © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 21 La décision  Les responsables sécurité « ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de M. X et de Greenpeace. En répression elle sera condamnée à une peine de 1.500.000 € d’amende »  Pas de cadrage des contrats d’IE  Absence de contrôle effectif interne de l’usage réel des ressources © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 22 De toute façon tout le monde le fait Le risque principal c’est de se faire prendre C’est un mal nécessaire Nos concurrents font pire Il n’y a pas de sanctions réelles ! Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 23 Notes d’information et de jurisprudence, prises de position officielles Audits externes Formations & sensibilisations Sanctions Recadrages Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 24 CHALLENGE 4 : BRISER L’ISOLEMENT
Les 5 clés de la responsabilité juridique du RSSI 25 1) Comprendre les incertitudes juridiques  Niveau de détail beaucoup plus précis des problématiques  Difficile / impossible de les aborder sans un soutien juridique  Questions d’algorithmique juridique « Le fait d’accéder ou de se maintenir, frauduleusement, dans toute ou partie d’un STAD est puni… » A || B + C + D = Infraction If ( (A || B) && B && C && D) { Infraction(); } © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 26  Exemple : discussions en cours en matière de protection des données personnelles  L’application de l’article 34 bis aux non OCE ?  L’adresse IP est-elle une donnée personnelle ?  Hadopi : non  CNIL : Si  Lors d’un contrôle, la CNIL est-elle tenue d’informer de la possibilité de s’opposer à sa visite ?  CNIL : non  Conseil d’Etat : Si, si…  IPS, IDS, DLP : autorisation de la CNIL ? © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 27  a) L’adresse IP est-elle une donnée personnelle ? CA Paris 27 avril 2007 et 15 mai 2007 NON : « l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé l’ordinateur » CNIL, août 2007 OUI : l’adresse IP est bien une donnée à caractère personnelle CJCE 29 janvier 2008, affaire Promusicæ OUI : l’adresse IP est une donnée personnelle (demande d’obtention des adresses IP d’utilisateurs de réseaux P2P) CA Rennes, 22 mai 2008 et du 23 juin 2008 OUI : « L'adresse IP de l'internaute constitue une donnée indirectement nominative » Cass. crim. 13 janvier 2009 NON récupérer une adresse IP manuellement ne constitue pas un TDP Hadopi, février 2011 NON, l’adresse IP n’est pas une DCP © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 28  b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure technique juridique)… Objectif d’un IDS: assurer la traçabilité (et si possible bloquer) les tentatives d’accès frauduleux et les atteintes aux SI et permettre un dépôt de plainte On procède donc à un traitement de données à Pour ce faire: l’IDS trace le détail précis de l’infraction caractère personnel relatives à des infractions commise à l’encontre du SI (ex : « BACKDOOR (éléments constitutifs) ATTEMPT » = tentative d’accès frauduleux) © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 29  Or la loi est très restrictive quant à la possibilité de traiter ces données : Article 9 « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par : 1° Les juridictions (…) 2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ; 3° [Dispositions censurées par le Conseil Constitutionnel] 4° [Certaines société d’ayants droits] Dispositions censurées : « les personnes morales victimes d’infractions (…) pour les stricts besoins de la prévention et de la lutte contre la fraude, ainsi que la réparation du préjudice subi ». Solution : Art. 25 - Sont mis en œuvre après autorisation de la CNIL (…) : 3. Les traitements, automatisés ou non, portant sur des données relatives aux infractions © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 30  La CNIL a déjà mis en place des autorisations uniques pour le suivi des infractions constatées par les commerçants sur les lieux de vente © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 31  Et les sanctions sont suffisamment importantes pour inviter à se protéger légalement contre le problème… Article 226-19 al. 2 c. pen. : «Est puni de [5 ans d’emprisonnement et 300.000€ d’amende] le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.  Il faudra attendre la jurisprudence judiciaire pour savoir si les données des IDS sont des données « relatives à des infractions »  La CNIL pourrait simplifier les choses et faire une autorisation unique  La loi annoncée pour 2013 serait un parfait véhicule législatif pour régler le problème ! © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 32 Itinéraire d’un point de doctrine… CNN Articles juridiques ARCEP Conséquences Thèses de doctorat HADOPI Non Revirements ? mentaires Trav aux parle CNIL Solution Oui Prises de position Prises de position Détection Jurisprudence doctrinales officielles © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 33 2) Rationnaliser ces incertitudes juridiques  Suivre l’actualité juridique  Veille !  Déterminer l’impact sur votre activité  Ne peut être fait qu’en collaboration avec des professionnels du droit  Attention à l’apparente simplicité du droit  Exemple d’un client dont la charte a entièrement été rédigée par le service informatique ; tout était à refaire ; délicat à expliquer, pas très motivant à entendre… © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 34 CHALLENGE 5 : CRÉER DE LA VALEUR AJOUTÉE POUR LES ORGANISATIONS
Les 5 clés de la responsabilité juridique du RSSI 35 Créez des process (ex. : obligations de sécurité dans la loi de 1978)… Disponible gratuitement : http://www.donneespersonnelles.fr/infographie-loi-informatique-et-libertes © T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI 36 CONCLUSION
Les solutions opérationnelles 37 Formations régulières Risque juridique Services de Q/R Audits
Les solutions opérationnelles 38 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr

Empfohlen

Hacker Halted 2016 - How to get into ICS security
Hacker Halted 2016 - How to get into ICS securityHacker Halted 2016 - How to get into ICS security
Hacker Halted 2016 - How to get into ICS securityChris Sistrunk
 
Présentation10
Présentation10Présentation10
Présentation10hossam-10
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy FrameworksAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cybersecurity isaca
Cybersecurity isacaCybersecurity isaca
Cybersecurity isacaAntoine Vigneron
 
Advanced Aruba ClearPass Workshop
Advanced Aruba ClearPass WorkshopAdvanced Aruba ClearPass Workshop
Advanced Aruba ClearPass WorkshopAruba, a Hewlett Packard Enterprise company
 
SD WAN Overview | What is SD WAN | Benefits of SD WAN
SD WAN Overview | What is SD WAN | Benefits of SD WAN SD WAN Overview | What is SD WAN | Benefits of SD WAN
SD WAN Overview | What is SD WAN | Benefits of SD WAN Ashutosh Kaushik
 
DLP
DLPDLP
DLPsaurabh.sood
 

Empfohlen

Hacker Halted 2016 - How to get into ICS security
Hacker Halted 2016 - How to get into ICS securityHacker Halted 2016 - How to get into ICS security
Hacker Halted 2016 - How to get into ICS securityChris Sistrunk
 
Présentation10
Présentation10Présentation10
Présentation10hossam-10
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy FrameworksAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cybersecurity isaca
Cybersecurity isacaCybersecurity isaca
Cybersecurity isacaAntoine Vigneron
 
Advanced Aruba ClearPass Workshop
Advanced Aruba ClearPass WorkshopAdvanced Aruba ClearPass Workshop
Advanced Aruba ClearPass WorkshopAruba, a Hewlett Packard Enterprise company
 
SD WAN Overview | What is SD WAN | Benefits of SD WAN
SD WAN Overview | What is SD WAN | Benefits of SD WAN SD WAN Overview | What is SD WAN | Benefits of SD WAN
SD WAN Overview | What is SD WAN | Benefits of SD WAN Ashutosh Kaushik
 
DLP
DLPDLP
DLPsaurabh.sood
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architectureDenise Bailey
 
Secure your network - Segmentation and segregation
Secure your network - Segmentation and segregationSecure your network - Segmentation and segregation
Secure your network - Segmentation and segregationMagnus Jansson
 
Global Cyber Threat Intelligence
Global Cyber Threat IntelligenceGlobal Cyber Threat Intelligence
Global Cyber Threat IntelligenceNTT Innovation Institute Inc.
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
PKI
PKIPKI
PKIhossam-10
 
S7 1500 opcua-pv
S7 1500 opcua-pvS7 1500 opcua-pv
S7 1500 opcua-pvCornelia Nassieu-Maupas
 
Data Center Security
Data Center SecurityData Center Security
Data Center Securitydevalnaik
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Information Rights Management (IRM)
Information Rights Management (IRM)Information Rights Management (IRM)
Information Rights Management (IRM)Network Intelligence India
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Murat KARA
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss Preventiondj1arry
 
What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?QOS Networks
 
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdfFor Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdfJustinBrown267905
 
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CKATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CKMITRE ATT&CK
 
Chapter 10 Mobile and Embedded Device Security
Chapter 10 Mobile and Embedded Device Security Chapter 10 Mobile and Embedded Device Security
Chapter 10 Mobile and Embedded Device Security Dr. Ahmed Al Zaidy
 
Enterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
Enterprise WAN Transformation: SD-WAN, SASE, and the PandemicEnterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
Enterprise WAN Transformation: SD-WAN, SASE, and the PandemicEnterprise Management Associates
 
Aruba Networks - Overview ClearPass
Aruba Networks - Overview ClearPassAruba Networks - Overview ClearPass
Aruba Networks - Overview ClearPassPaulo Eduardo Sibalde
 
le RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFEle RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFEProf. Jacques Folon (Ph.D)
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Thiebaut Devergranne
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architectureDenise Bailey
 
Secure your network - Segmentation and segregation
Secure your network - Segmentation and segregationSecure your network - Segmentation and segregation
Secure your network - Segmentation and segregationMagnus Jansson
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Data Center Security
Data Center SecurityData Center Security
Data Center Securitydevalnaik
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Murat KARA
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss Preventiondj1arry
 
What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?QOS Networks
 
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdfFor Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdfJustinBrown267905
 
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CKATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CKMITRE ATT&CK
 
Chapter 10 Mobile and Embedded Device Security
Chapter 10 Mobile and Embedded Device Security Chapter 10 Mobile and Embedded Device Security
Chapter 10 Mobile and Embedded Device Security Dr. Ahmed Al Zaidy
 
Enterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
Enterprise WAN Transformation: SD-WAN, SASE, and the PandemicEnterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
Enterprise WAN Transformation: SD-WAN, SASE, and the PandemicEnterprise Management Associates
 

Was ist angesagt? (20)

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture
 
Secure your network - Segmentation and segregation
Secure your network - Segmentation and segregationSecure your network - Segmentation and segregation
Secure your network - Segmentation and segregation
 
Global Cyber Threat Intelligence
Global Cyber Threat IntelligenceGlobal Cyber Threat Intelligence
Global Cyber Threat Intelligence
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
PKI
PKIPKI
PKI
 
S7 1500 opcua-pv
S7 1500 opcua-pvS7 1500 opcua-pv
S7 1500 opcua-pv
 
Data Center Security
Data Center SecurityData Center Security
Data Center Security
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Information Rights Management (IRM)
Information Rights Management (IRM)Information Rights Management (IRM)
Information Rights Management (IRM)
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss Prevention
 
What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?
 
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdfFor Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
For Public_ Cybersecurity_ Frameworks, Fundamentals, and Foundations 2023.pdf
 
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CKATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
ATT&CK Metaverse - Exploring the Limitations of Applying ATT&CK
 
Chapter 10 Mobile and Embedded Device Security
Chapter 10 Mobile and Embedded Device Security Chapter 10 Mobile and Embedded Device Security
Chapter 10 Mobile and Embedded Device Security
 
Enterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
Enterprise WAN Transformation: SD-WAN, SASE, and the PandemicEnterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
Enterprise WAN Transformation: SD-WAN, SASE, and the Pandemic
 
Aruba Networks - Overview ClearPass
Aruba Networks - Overview ClearPassAruba Networks - Overview ClearPass
Aruba Networks - Overview ClearPass
 

Andere mochten auch

le RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFEle RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFEProf. Jacques Folon (Ph.D)
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Thiebaut Devergranne
 
Management du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsysManagement du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsysazraf
 
2011 06 10 tableau comparatif aide juridique en europe
2011 06 10 tableau comparatif aide juridique en europe 2011 06 10 tableau comparatif aide juridique en europe
2011 06 10 tableau comparatif aide juridique en europe JLMB
 
Casablanca place de_droit_30oct2014
Casablanca place de_droit_30oct2014Casablanca place de_droit_30oct2014
Casablanca place de_droit_30oct2014LexisNexisFormations
 
Formation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisationFormation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisationCalimaq S.I.Lex
 
Le fonds de commerce enf
Le fonds de commerce enfLe fonds de commerce enf
Le fonds de commerce enfimen baccouche
 
Formation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERERFormation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERERandryhr
 
Introduction a la jurisprudence islamique fiqh 1
Introduction a la jurisprudence islamique fiqh 1Introduction a la jurisprudence islamique fiqh 1
Introduction a la jurisprudence islamique fiqh 1zarabes
 
Introduction a la jurisprudence islamique fiqh 3
Introduction a la jurisprudence islamique fiqh 3Introduction a la jurisprudence islamique fiqh 3
Introduction a la jurisprudence islamique fiqh 3zarabes
 
Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !Antonella VILAND
 
Le télétravail face au droit et la jurisprudence
Le télétravail face au droit et la jurisprudenceLe télétravail face au droit et la jurisprudence
Le télétravail face au droit et la jurisprudenceNicole Turbé-Suetens
 
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...Aliantis
 
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...BALLATORE ET CHABERT
 
Comment faire une etude de marche soi meme ?
Comment faire une etude de marche soi meme ?Comment faire une etude de marche soi meme ?
Comment faire une etude de marche soi meme ?AXIZ eBusiness
 

Andere mochten auch (20)

le RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFEle RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFE
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
 
Management du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsysManagement du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsys
 
Cnil déclaration simplifiée
Cnil déclaration simplifiéeCnil déclaration simplifiée
Cnil déclaration simplifiée
 
Le Cadre Juridique Lomme 22
Le Cadre Juridique Lomme 22Le Cadre Juridique Lomme 22
Le Cadre Juridique Lomme 22
 
2011 06 10 tableau comparatif aide juridique en europe
2011 06 10 tableau comparatif aide juridique en europe 2011 06 10 tableau comparatif aide juridique en europe
2011 06 10 tableau comparatif aide juridique en europe
 
Blogspoc Veille Juridique
Blogspoc Veille JuridiqueBlogspoc Veille Juridique
Blogspoc Veille Juridique
 
Casablanca place de_droit_30oct2014
Casablanca place de_droit_30oct2014Casablanca place de_droit_30oct2014
Casablanca place de_droit_30oct2014
 
Formation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisationFormation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisation
 
Le fonds de commerce enf
Le fonds de commerce enfLe fonds de commerce enf
Le fonds de commerce enf
 
Formation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERERFormation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERER
 
Introduction a la jurisprudence islamique fiqh 1
Introduction a la jurisprudence islamique fiqh 1Introduction a la jurisprudence islamique fiqh 1
Introduction a la jurisprudence islamique fiqh 1
 
Introduction a la jurisprudence islamique fiqh 3
Introduction a la jurisprudence islamique fiqh 3Introduction a la jurisprudence islamique fiqh 3
Introduction a la jurisprudence islamique fiqh 3
 
Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !
 
Le télétravail face au droit et la jurisprudence
Le télétravail face au droit et la jurisprudenceLe télétravail face au droit et la jurisprudence
Le télétravail face au droit et la jurisprudence
 
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
 
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
 
Fonds de commerce
Fonds de commerce Fonds de commerce
Fonds de commerce
 
Comment faire une etude de marche soi meme ?
Comment faire une etude de marche soi meme ?Comment faire une etude de marche soi meme ?
Comment faire une etude de marche soi meme ?
 
Blogger
BloggerBlogger
Blogger
 

Ähnlich wie Les 5 clés de la responsabilité juridique du RSSI

Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésContrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésAgence Tesla
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Comment rater son projet rgpd en 13 leçons
Comment rater son projet rgpd en 13 leçonsComment rater son projet rgpd en 13 leçons
Comment rater son projet rgpd en 13 leçonsphrose
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesBenjamin Benifei
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
Veille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseauVeille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseauadifopi
 
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...eguilhaudis
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Sensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxSensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxfilipetti-avocat
 
Juriste face à l'innovation stéphane larrière-2017
Juriste face à l'innovation stéphane larrière-2017Juriste face à l'innovation stéphane larrière-2017
Juriste face à l'innovation stéphane larrière-2017Stephane LARRIERE
 

Ähnlich wie Les 5 clés de la responsabilité juridique du RSSI (20)

Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésContrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Comment rater son projet rgpd en 13 leçons
Comment rater son projet rgpd en 13 leçonsComment rater son projet rgpd en 13 leçons
Comment rater son projet rgpd en 13 leçons
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de données
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
Veille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseauVeille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseau
 
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Sensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxSensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociaux
 
Juriste face à l'innovation stéphane larrière-2017
Juriste face à l'innovation stéphane larrière-2017Juriste face à l'innovation stéphane larrière-2017
Juriste face à l'innovation stéphane larrière-2017
 

Les 5 clés de la responsabilité juridique du RSSI

  • 1. LES 5 CLÉS DE LA RESPONSABILITÉ JURIDIQUE DU RSSI Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 20 novembre 2012
  • 2. Introduction 2 Présentation  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Formation d’avocat (CAPA)  Docteur en droit privé sciences criminelles  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr © T. Devergranne – td@hstd.net
  • 3. Introduction 3 Objectifs de la présentation :  Analyse transverse des risques juridiques majeurs en droit de la SSI  5 clés qui sont aussi 5 challenges  Comment protéger sa responsabilité personnelle, celle de son organisation ?  Que faut-il faire pour manager ses risques juridiques de manière opérationnelle (quand on n’est pas juriste) ? 5 clés de la responsabilité juridique des RSSI… © T. Devergranne – td@hstd.net
  • 4. Les 5 clés de la responsabilité juridique du RSSI 4 CHALLENGE 1 : ACQUERIR UNE CONNAISSANCE OPERATIONNELLE DU DROIT
  • 5. Les 5 clés de la responsabilité juridique du RSSI 5 La « triade » © T. Devergranne – td@hstd.net
  • 6. Les 5 clés de la responsabilité juridique du RSSI 6  Des zones à risques à connaître impérativement, comme la protection de la correspondance privée (un des risques opérationnels majeurs) Art. 432-9 c. pen. : « Le fait, par une personne dépositaire de Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende » est puni de trois ans d'emprisonnement et de 45000 euros d'amende »  Attention, beaucoup d’évolutions sur ce questions ! © T. Devergranne – td@hstd.net
  • 7. Les 5 clés de la responsabilité juridique du RSSI 7 Quizz ! © T. Devergranne – td@hstd.net
  • 8. Les 5 clés de la responsabilité juridique du RSSI 8 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? © T. Devergranne – td@hstd.net
  • 9. Les 5 clés de la responsabilité juridique du RSSI 9 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination “D :/données personnelles” du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant “privés” selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur » Cass. Soc., 4 juillet 2012 © T. Devergranne – td@hstd.net
  • 10. Les 5 clés de la responsabilité juridique du RSSI 10 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? © T. Devergranne – td@hstd.net
  • 11. Les 5 clés de la responsabilité juridique du RSSI 11 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? « Le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions », Cass. Soc. 26 juin 2012 © T. Devergranne – td@hstd.net
  • 12. Les 5 clés de la responsabilité juridique du RSSI 12 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? © T. Devergranne – td@hstd.net
  • 13. Les 5 clés de la responsabilité juridique du RSSI 13 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? « Ce réseau peut constituer soit un espace privé, soit un espace public, en fonction des paramétrages effectués par son utilisateur (…) ; [en l’espèce] aucun élément ne permet de dire que le compte Facebook [ait été paramétré de manière publique de sorte] à faire perdre aux échanges litigieux leur caractère de correspondance privée », CA, Soc. 15 novembre 2011 © T. Devergranne – td@hstd.net
  • 14. Les 5 clés de la responsabilité juridique du RSSI 14  Information juridique : comment résoudre le challenge ?  Formations, sensibilisations  Veille régulière !  Attention, le rythme des évolutions législatives et jurisprudentielles est élevé ; en 2012…  La loi Godfrain a été changée !  On digère le nouveau règlement européen qui va changer toute la loi informatique et libertés (et qui prévoit des sanctions > 1 milliard d’euros pour les grands groupes).  De nombreuses décisions sur la cybersurveillance ! © T. Devergranne – td@hstd.net
  • 15. Les 5 clés de la responsabilité juridique du RSSI 15 CHALLENGE 2 : ADOPTER UNE PERCEPTION ADEQUATE DU RISQUE JURIDIQUE
  • 16. Les 5 clés de la responsabilité juridique du RSSI 16 La sécurité des données personnelles… © T. Devergranne – td@hstd.net
  • 17. Les 5 clés de la responsabilité juridique du RSSI 17 Attention à la perte de vigilance ! © T. Devergranne – td@hstd.net
  • 18. Les 5 clés de la responsabilité juridique du RSSI 18 Le vrai risque informatique et libertés – Ex. : cas de fraude informatique Art. 323-1 c. pen. (al. 1) :: « Le fait d'accéder ou de se Art. 323-1 c. pen. (al. 1) « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30.000 euros d'amende »  d'emprisonnement et de 30.000 euros d'amende »  Art. 226-17 c. pen. :: « Le fait de procéder ou de faire Art. 226-17 c. pen. « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300.000 Euros d'amende »   d'emprisonnement et de 300.000 Euros d'amende »   Art. 34 :: «  Le responsable du traitement est tenu de prendre Art. 34 «  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y déformées, endommagées, ou que des tiers non autorisés y aient accès. » aient accès. » © T. Devergranne – td@hstd.net
  • 19. Les 5 clés de la responsabilité juridique du RSSI 19 CHALLENGE 3 : VEILLER A PROSCRIRE UN SENTIMENT D’IMPUNITE
  • 20. Les 5 clés de la responsabilité juridique du RSSI 20  L’affaire EDF c/ GreenPeace en deux mots (10 novembre 2011) :  1.5 € million d’amende pour EDF en tant que personne morale pour ne pas avoir cadré ses contrats d’IE  Un an de prison ferme pour le responsable sécurité  700.000 euros d’amende et dommages et intérêts pour les protagonistes  Les nouveautés  Mise en cause de la personnalité morale d’EDF  Condamnation d’EDF pour recel (possession de biens issus d’un accès frauduleux)  Montant considérable des sanctions © T. Devergranne – td@hstd.net
  • 21. Les 5 clés de la responsabilité juridique du RSSI 21 La décision  Les responsables sécurité « ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de M. X et de Greenpeace. En répression elle sera condamnée à une peine de 1.500.000 € d’amende »  Pas de cadrage des contrats d’IE  Absence de contrôle effectif interne de l’usage réel des ressources © T. Devergranne – td@hstd.net
  • 22. Les 5 clés de la responsabilité juridique du RSSI 22 De toute façon tout le monde le fait Le risque principal c’est de se faire prendre C’est un mal nécessaire Nos concurrents font pire Il n’y a pas de sanctions réelles ! Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction © T. Devergranne – td@hstd.net
  • 23. Les 5 clés de la responsabilité juridique du RSSI 23 Notes d’information et de jurisprudence, prises de position officielles Audits externes Formations & sensibilisations Sanctions Recadrages Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction © T. Devergranne – td@hstd.net
  • 24. Les 5 clés de la responsabilité juridique du RSSI 24 CHALLENGE 4 : BRISER L’ISOLEMENT
  • 25. Les 5 clés de la responsabilité juridique du RSSI 25 1) Comprendre les incertitudes juridiques  Niveau de détail beaucoup plus précis des problématiques  Difficile / impossible de les aborder sans un soutien juridique  Questions d’algorithmique juridique « Le fait d’accéder ou de se maintenir, frauduleusement, dans toute ou partie d’un STAD est puni… » A || B + C + D = Infraction If ( (A || B) && B && C && D) { Infraction(); } © T. Devergranne – td@hstd.net
  • 26. Les 5 clés de la responsabilité juridique du RSSI 26  Exemple : discussions en cours en matière de protection des données personnelles  L’application de l’article 34 bis aux non OCE ?  L’adresse IP est-elle une donnée personnelle ?  Hadopi : non  CNIL : Si  Lors d’un contrôle, la CNIL est-elle tenue d’informer de la possibilité de s’opposer à sa visite ?  CNIL : non  Conseil d’Etat : Si, si…  IPS, IDS, DLP : autorisation de la CNIL ? © T. Devergranne – td@hstd.net
  • 27. Les 5 clés de la responsabilité juridique du RSSI 27  a) L’adresse IP est-elle une donnée personnelle ? CA Paris 27 avril 2007 et 15 mai 2007 NON : « l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé l’ordinateur » CNIL, août 2007 OUI : l’adresse IP est bien une donnée à caractère personnelle CJCE 29 janvier 2008, affaire Promusicæ OUI : l’adresse IP est une donnée personnelle (demande d’obtention des adresses IP d’utilisateurs de réseaux P2P) CA Rennes, 22 mai 2008 et du 23 juin 2008 OUI : « L'adresse IP de l'internaute constitue une donnée indirectement nominative » Cass. crim. 13 janvier 2009 NON récupérer une adresse IP manuellement ne constitue pas un TDP Hadopi, février 2011 NON, l’adresse IP n’est pas une DCP © T. Devergranne – td@hstd.net
  • 28. Les 5 clés de la responsabilité juridique du RSSI 28  b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure technique juridique)… Objectif d’un IDS: assurer la traçabilité (et si possible bloquer) les tentatives d’accès frauduleux et les atteintes aux SI et permettre un dépôt de plainte On procède donc à un traitement de données à Pour ce faire: l’IDS trace le détail précis de l’infraction caractère personnel relatives à des infractions commise à l’encontre du SI (ex : « BACKDOOR (éléments constitutifs) ATTEMPT » = tentative d’accès frauduleux) © T. Devergranne – td@hstd.net
  • 29. Les 5 clés de la responsabilité juridique du RSSI 29  Or la loi est très restrictive quant à la possibilité de traiter ces données : Article 9 « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par : 1° Les juridictions (…) 2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ; 3° [Dispositions censurées par le Conseil Constitutionnel] 4° [Certaines société d’ayants droits] Dispositions censurées : « les personnes morales victimes d’infractions (…) pour les stricts besoins de la prévention et de la lutte contre la fraude, ainsi que la réparation du préjudice subi ». Solution : Art. 25 - Sont mis en œuvre après autorisation de la CNIL (…) : 3. Les traitements, automatisés ou non, portant sur des données relatives aux infractions © T. Devergranne – td@hstd.net
  • 30. Les 5 clés de la responsabilité juridique du RSSI 30  La CNIL a déjà mis en place des autorisations uniques pour le suivi des infractions constatées par les commerçants sur les lieux de vente © T. Devergranne – td@hstd.net
  • 31. Les 5 clés de la responsabilité juridique du RSSI 31  Et les sanctions sont suffisamment importantes pour inviter à se protéger légalement contre le problème… Article 226-19 al. 2 c. pen. : «Est puni de [5 ans d’emprisonnement et 300.000€ d’amende] le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.  Il faudra attendre la jurisprudence judiciaire pour savoir si les données des IDS sont des données « relatives à des infractions »  La CNIL pourrait simplifier les choses et faire une autorisation unique  La loi annoncée pour 2013 serait un parfait véhicule législatif pour régler le problème ! © T. Devergranne – td@hstd.net
  • 32. Les 5 clés de la responsabilité juridique du RSSI 32 Itinéraire d’un point de doctrine… CNN Articles juridiques ARCEP Conséquences Thèses de doctorat HADOPI Non Revirements ? mentaires Trav aux parle CNIL Solution Oui Prises de position Prises de position Détection Jurisprudence doctrinales officielles © T. Devergranne – td@hstd.net
  • 33. Les 5 clés de la responsabilité juridique du RSSI 33 2) Rationnaliser ces incertitudes juridiques  Suivre l’actualité juridique  Veille !  Déterminer l’impact sur votre activité  Ne peut être fait qu’en collaboration avec des professionnels du droit  Attention à l’apparente simplicité du droit  Exemple d’un client dont la charte a entièrement été rédigée par le service informatique ; tout était à refaire ; délicat à expliquer, pas très motivant à entendre… © T. Devergranne – td@hstd.net
  • 34. Les 5 clés de la responsabilité juridique du RSSI 34 CHALLENGE 5 : CRÉER DE LA VALEUR AJOUTÉE POUR LES ORGANISATIONS
  • 35. Les 5 clés de la responsabilité juridique du RSSI 35 Créez des process (ex. : obligations de sécurité dans la loi de 1978)… Disponible gratuitement : http://www.donneespersonnelles.fr/infographie-loi-informatique-et-libertes © T. Devergranne – td@hstd.net
  • 36. Les 5 clés de la responsabilité juridique du RSSI 36 CONCLUSION
  • 37. Les solutions opérationnelles 37 Formations régulières Risque juridique Services de Q/R Audits
  • 38. Les solutions opérationnelles 38 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr

Hinweis der Redaktion

  1. Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique
  2. Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique