2. Droit de l’informatique
Droit commercial
Droit de la concurrence,
de la distribution et de la consommation
Transactions immobilières
2
3. 3
Droit de l’informatique
Rédaction et négociations de contrats informatiques
Contrat de vente de matériel informatique et maintenance
Contrat de licence et de développement de logiciel
Contrat d'assistance Technique, forfait, et contrat d'infogérance
Exploitation de solutions (Cloud Computing et services SaaS, licences, maintenance, etc.)
Intégration de système clé en main
Grands projets informatiques (intégration de systèmes de type ERP, CRM etc.)
Conditions générales de ventes, conditions générales d’achats, de vente en ligne (e-commerce)
Rédaction de chartes informatiques
Résolution des litiges liés aux systèmes d'information
Mode alternatif de règlement des litiges (négociation, médiation, expertise amiable ...)
Procédure d'expertise judiciaire et suivi des opérations d'expertise
4. Clément MICHEL
4
Security Consultant
French Startuper
CEO & Co-Founder @Synhack
CEO & Co-Founder @Synspark
President & Co-Founder @NetSecureDay
5. SYNHACK, consultants en sécurité
5
Cabinet de consultants indépendants en sécurité informatique
Notre mission : Protéger, Sensibiliser, Accompagner
Audits de sécurité, formation du personnel et
accompagnement sur vos projets numériques
Notre champs d’action : Votre entreprise
6. Synspark, plateforme de sécurité Next-Gen
6
Plateforme de sécurité « Full-Stack »
Donner du sens aux données de sécurité des entreprises
Solutions de protections en temps réel :
Tableaux de bords
Alertes en temps réel
Rapports de menaces
Protection contre les attaques
7. Sécurité informatique : Un enjeu de taille
Aspects techniques : CIAP
Confidentiality
Integrity
Availability
Proof
Aspects stratégiques :
Protéger vos actifs
Rester compétitif
Eviter les pertes financières
10%
90%
Aspects techniques Habitudes du personnel
7
8. Cas Pratiques – Jurisprudence
ORANGE
Cyber attaque en Avril 2014 - vol massif de données personnelles
Sanction de la CNIL : Avertissement public sur les manquements de l’opérateur à ses
obligations de sécurité et de confidentialité
SONY
Novembre 2014, filiale américaine de Sony est victime d’une attaque sur ses systèmes
d’informations (vol de fichiers de données à caractère personnel concernant 47.000
personnes, de 33.000 documents confidentiels mais également de cinq films)
BLUETOUFF
Bluetouff co-fondateur du site reflets.info et spécialiste de la sécurité informatique
A l’occasion d’une enquête sur le régime syrien, découverte des documents confidentiels
diffusés sur le réseau privé de l’agence nationale de la sécurité sanitaire (ANSES).
Sanction pénale
8
9. Sécurité informatique et cadre légal : Quelles
obligations ?
Principe : mise en œuvre de moyens suffisants pour respecter les engagements pris en matière
de sécurité des SI vis-à-vis des collaborateurs, clients, et partenaires.
Pas de cadre légal spécifique - Nécessité de se respecter les dispositions légales et
règlementaires existantes (code pénal, code civil etc…)
Exemple de cas particulier : Les activité de traitement de données nominatives - loi
Informatique et Liberté du 6 janvier 1978 article 34
Sanction : Article 226-17 du Code pénal - 5 ans d’emprisonnement et 300.000 € d’amende.
9
10. Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité civile
De son fait personnel
•Pour faute (1382 du code civil)
•Pour négligence ou imprudence (1383 du code civil)
Du fait de ses préposés/salariés (1384 alinéa 5 du code civil)
10
11. Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité pénale
Principe : « nul n’est pénalement responsable que de son propre fait » (121-1 code pénal)
En pratique : Pas de responsabilité pénale en dehors d’une faute détachable ou séparable de ses
fonctions.
Risque pour le chef d’entreprise : complicité pour aide et assistance au salarié
11
12. Les responsabilités des Salariés: Quels
Risques ?
Responsabilité civile
Responsabilité pénale
Le cas des délégations aux DSI, RSSI
12
13. La protection de son système d’information :
Quelles solutions ?
Les solutions techniques
Les solutions juridiques
13
15. Se protéger : Quelles solutions ?
15
Oui cette image est un magnifique cliché !
Pare-feu
Antivirus
Antimalwares
Certificats SSL
Clés GPG
Connexions VPN
Chiffrement des données
IDS / IPS
Passwords OTP
MDM
Kerberos
Double Auth
Tokens ID
Containers chiffrés
16. Mieux se connaître pour mieux se défendre
Définissons votre maturité SSI (Sécurité des Systèmes d’Informations)
Quelles sont les conséquences potentielles ?
Quelle est la sensibilité de votre patrimoine ?
Quel est votre degré d’exposition aux menaces ?
Quelle est l’importance des vulnérabilités ?
16
17. Maturité SSI (Phase de réflexion)
17
Niveau adéquat de maturité SSI
Niveau des conséquences
potentielles
Adhérence au SI
Niveau des impacts internes
Niveau des impacts externes
Sensibilité du patrimoine
informationnel
Besoins de disponibilité
Besoins d'intégrité
Besoins de confidentialité
Degré d'exposition aux menaces
Fréquence des incidents SSI
Degré de motivation des
attaquants
Moyens des attaquants
Importance des vulnérabilités
Hétérogénéité du SI
Ouverture du SI
Variabilité du SI
18. Maturité SSI (Phase de réflexion)
Niveau des impacts internes : Quelles sont les conséquences internes (perturbations du
fonctionnement, impacts financiers, impacts juridiques...) d'un sinistre touchant la sécurité de
votre système d’information (ex : déni de service, perte d’informations, attaque virale...) ?
Cette question permet d’évaluer la portée des impacts internes suite à un sinistre.
18
Réponses Valeur
Les conséquences internes d’un sinistre SSI ne peuvent qu'être négligeables 0
Les conséquences internes d’un sinistre SSI peuvent être significatives 1
Les conséquences internes d’un sinistre SSI peuvent être graves 2
Les conséquences internes d’un sinistre SSI peuvent être fatales 3
19. Maturité SSI (Phase de réflexion)
AdhérenceauSI
Niveaudesimpactsinternes
Niveaudesimpactsexternes
Besoinsdedisponibilité
Besoinsd’intégrité
Besoinsdeconfidentialité
FréquencedesincidentsSSI
Degrédemotivationdesattaquants
Moyensdesattaquants
HétérogénéitéduSI
OuvertureduSI
VariabilitéduSI
0 1 1 2 0 0 2 1 0 0 1 0
Niveau des
conséquences
potentielles
Sensibilité du
patrimoine
informationnel
Degré d’exposition aux
menaces
Importance des
vulnérabilités
2 2 3 1
Somme totale : 8
Niveau adéquat de maturité SSI : Niveau 3
19
Exemple :
20. Niveau de maturité SSI (Phase de réflexion)
Somme des quatre valeurs Niveau adéquat de maturité SSI
De 0 à 2 1 – Pratique informelle
De 3 à 5 2 – Pratique répétable et suivie
De 6 à 8 3 – Processus définis
De 9 à 10 4 – Processus contrôlés
De 11 à 12 5 – Processus continuellement optimisés
20
21. 21
Exigences d’atteinte du niveau de maturité SSI
DéfinirlastratégieSSI
GérerlesrisquesSSI
GérerlesrèglesSSI
SuperviserlaSSI
Concevoirlesmesures
SSI
RéaliserlesmesuresSSI
ExploiterlesmesuresSSI
Des actions sont réalisées en employant des pratiques de base X X X X X X X
Niveau 1 OK OK OK OK OK OK OK
Les actions sont planifiées X X X X
Les acteurs sont compétents en SSI X X X X X X
Certaines pratiques sont formalisées X X X X
Des mesures qualitatives sont réalisées X X X
Les autorités compétentes sont informées des mesures effectuées X X X X X
Niveau 2 OK OK OK
Le processus est défini, standardisé et formalisé X
Les acteurs ont des compétences appropriées au processus X
L’organisme soutien le processus X
Niveau 3
Le processus est coordonné dans tout le périmètre choisi
Des mesures quantitatives sont régulièrement effectuées
Les mesures effectuées sont analysées
Le processus est amélioré en fonction des mesures effectuées
Niveau 4
Le processus est adapté de façon dynamique à la situation
L'analyse des mesures est définie, standardisée et formalisée
L'amélioration du processus est définie, standardisée et formalisée
Les évolutions du processus sont journalisées
Niveau 5
Niveau effectif de maturité SSI des processus 1 1 2 2 1 2 1
Exemple :
22. Niveau de maturité SSI (Phase opérationnelle)
22
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Base de travail
Effectifs Ciblés
23. Niveau de maturité SSI (Phase opérationnelle)
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Phase 1
Effectifs Ciblés
23
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Phase 2
Effectifs Ciblés
24. Maturité SSI – Le Récap
1. Définir son niveau de maturité cible
2. Analyser son niveau de maturité effectif
3. Poser sa vision, définir sa stratégie
4. Piloter la gouvernance
N’oubliez pas que 90% des actions qui à effectuer seront liées à l’Humains alors que 10% seront
liées à des aspects techniques.
Humains : Formations, méthodologies, procédures…
24
31. Les solutions Juridiques
Les chartes et codes éthiques
•Principe : Liberté du chef d’entreprise dans la mise en œuvre des documents
•Attention au respect de principes (proportionnalité, justification, transparence et loyauté)
•Droit du travail et volet disciplinaire : Intégration au règlement intérieur
Dispositif d’alerte professionnelle
31
32. Sources
Guide des bonnes pratiques informatiques élaboré par l’ANSSI
http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf
Communiqué de presse 16.10.2015 : La France se dote d’une stratégie nationale pour la sécurité
du numérique
http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_dossierpress
e1.pdf
32
33. 33
72 rue de la République
Bâtiment Seine Innopolis
76140 Le Petit-Quevilly
Tel (33) 09 67 53 63 76
contact@synhack.fr
www.synhack.fr
2 bis rue Georges Charpak
76130 Mont Saint Aignan
Tel (33) 02 76 01 50 07
Fax (33) 02 35 59 96 27
contact@offroyfrances-avocats.fr
www.offroyfrances-avocats.fr