Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. Introduction
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

Introduction

Introduction

Sero in periculis est consilium quaerere (1).

La convergence du monde physique et du monde virtuel est devenue si étroite qu’il est désormais difficile de distinguer clairement les deux. La digitalisation massive de la société est indéniable. Toute activité humaine, de près ou de loin, dépend du numérique.

images/introDP01.png

Cet espace numérique global anciennement désigné « cyberespace » est constitué par des dispositifs électroniques interconnectés via des réseaux. À l’exception d’une couche physique, dont les composants sont territorialement situés (tels que les câbles sous-marins, les centres de données et les relais internet), le cyberespace ne connaît ainsi aucune frontière.

D’un point de vue juridique, il s’agit d’un milieu global d’intérêts en ce qu’il incorpore un environnement où se produisent des événements entraînant diverses conséquences juridiques.

Dans cet univers transfrontière, les notions de risques cyber, de cyberattaques, de cyberterrorisme et de cyberguerre sont en pleine croissance et constante évolution du fait d’un contexte géopolitique en plein bouleversement.

images/introDP02.png

Risques cyber : de quoi parle-t-on ?

L’explosion du nombre d’attaques informatiques et leurs conséquences multiples devraient inciter l’ensemble des acteurs concernés - qu’ils soient du secteur privé ou du secteur public - à anticiper sérieusement ce type de crise.

Le risque cyber désigne l’ensemble des risques liés à l’usage des technologies numériques. Il peut être défini comme un risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’information (2). Bien que la numérisation offre des opportunités, elle expose également ces entreprises à de nouveaux dangers tels que le vol de données, les attaques de sabotage, les demandes de rançon et les atteintes à l’image.

Les formes plus connues que peut revêtir le risque cyber pour les organisations sont :

  • des erreurs humaines non intentionnelles : par exemple, le téléchargement involontaire d’un logiciel malveillant ou plus banalement l’envoi par erreur d’un e-mail confidentiel à la mauvaise personne,

  • des actes de malveillance de plusieurs types, comme notamment :

images/introDP03.png

  • Malware (logiciel malveillant) : terme générique pour tous les types de logiciels informatiques conçus dans un but malveillant. Cela peut inclure des virus, des vers, des ransomwares (rançongiciels) qui bloquent les systèmes, des spywares (logiciels espions) qui collectent des informations à l’insu de l’utilisateur, et des chevaux de Troie qui sont des logiciels malveillants déguisés en autres logiciels.

  • Denial of Service (DoS) (déni de service) : il s’agit d’une attaque visant à rendre un service indisponible en submergeant un système ou un réseau avec un grand nombre de demandes, ce qui le rend ainsi inutilisable. Le DoS provient d’une source unique.

  • Distributed Denial of Service (DDoS) (attaque par déni de service distribué) : similaire au DoS, mais avec plusieurs sources réparties et synchronisées. Cela peut paralyser un site web ou un service en ligne.

  • Man in the Middle (homme du milieu) : se produit lorsqu’un agent intermédiaire intercepte, capture et/ou modifie les communications entre deux parties. L’utilisation de messages cryptés contribue à prévenir ce type d’attaque.

  • SQL injection (injection SQL) : une vulnérabilité dans laquelle un attaquant exploite les failles d’un site web afin d’injecter du code malveillant dans une base de données. Cela peut affecter tous les types de bases de données.

  • Prompt injection : les attaques sont similaires aux injections SQL, car les deux types envoient des commandes malveillantes (entrées) aux applications en les déguisant en entrées utilisateur. La principale différence réside dans le fait que les injections SQL ciblent les bases de données SQL, tandis que les injections de prompt ciblent les LLM (modèles de langage de grande taille), qui sont un type de programmes d’intelligence artificielle entraînés sur d’énormes ensembles de données. Un exemple est celui d’un attaquant qui fournit un prompt à un chatbot avec le message « oubliez toutes les instructions précédentes », puis lui donne de nouvelles instructions pour interroger des données privées et exploiter les vulnérabilités.

  • Cross-site scripting (XSS) (injection de script) : une attaque où un script malveillant est injecté dans un site web. Contrairement aux malwares, il n’y a pas d’installation de logiciel, et la victime fournit involontairement des informations.

  • Password attacks (attaques de mot de passe) : des attaques contre un site qui ne bloque pas le nombre de tentatives de connexion. Les attaquants utilisent des dictionnaires de mots de passe et des informations sur la personne pour deviner les mots de passe.

  • Social engineering (ingénierie sociale) : il s’agit d’une manipulation psychologique visant à tromper les utilisateurs et à les inciter à divulguer des informations confidentielles. Cette pratique englobe notamment la fraude au Président et le phishing (hameçonnage). Ce dernier représente des techniques utilisées par des fraudeurs pour obtenir des informations sensibles telles que des identifiants de connexion, des mots de passe ou des données bancaires. L’attaquant se fait passer pour une entité de confiance, souvent par le biais d’e-mails ou de sites web frauduleux.

  • Zero-day exploring (exploration de vulnérabilités jour zéro) : il s’agit de l’exploitation de failles de sécurité dans un logiciel avant même que le développeur ne soit informé de leur existence. Lorsqu’une vulnérabilité inconnue est découverte, l’attaquant dispose d’un temps très court (« zero day ») pour agir avant qu’une solution corrective ne soit mise en place.

Face à ces menaces, les victimes sont en effet trop souvent contraintes de s’en remettre à une approche purement réactive faute d’expérience, de procédures, de structure et de moyens adaptés. Ce défaut d’anticipation tend à aggraver fortement les difficultés rencontrées lors de la survenance d’une crise cyber. En clair : moins la crise cyber sera anticipée, plus la capacité de résilience de l’organisation s’en trouvera impactée et plus le préjudice en sera amplifié.

Et ce préjudice s’avère directement lié à un risque multiple : risque de perte d’exploitation, risque de déficit de confiance des salariés, des clients, des investisseurs ou encore des partenaires, risque de désorganisation interne, risque de perte de part de marché, risque de pertes financières dues à des condamnations pour défaut de sécurité, risque de déstabilisation du cours de bourse, risque technique…

Organiser la réponse à un incident supposera de prévoir une série d’actions concrètes impliquant de nombreux services. Ainsi en est-il par exemple de la sécurisation du système de sauvegardes, de l’élaboration du plan de reprise et de continuité d’activité, de l’organisation de cellules de crise, de la réalisation de notifications aux autorités de contrôle, ou encore de la gestion de l’information des personnes concernées et du personnel etc.

Mais toutes ces actions ne sauraient suffire à pallier l’impératif de sensibilisation et de formation aux enjeux du risque cyber. Il existe sur ce point un vieil adage intéressant à rappeler : « en matière de sécurité informatique, le problème se situe le plus souvent entre la chaise et le PC »…

La première des protections pour faire face aux cyberattaques est en effet la sensibilisation des personnes qui sont quotidiennement exposées aux risques d’attaque. De fait, un simple clic ou la réception d’un e-mail peuvent entraîner...

Pourquoi un pilotage juridique est-il nécessaire ?

Une première erreur consisterait à attendre d’être touché pour se saisir du sujet. La prévention des risques en matière de cyber sécurité est en effet un impératif. Contrôler sa police d’assurance, vérifier les systèmes de sauvegardes et leur garantie de résilience en cas d’attaque (ex. présence d’une sauvegarde à froid), formaliser une politique de gestion des incidents, sensibiliser régulièrement le personnel sont autant d’exemples de mesures préventives aujourd’hui indispensables.

Enfin une autre erreur consisterait à ne traiter la question de la cyber sécurité que sur un plan technique. En effet, prévenir une attaque cyber et réagir suppose non seulement un traitement technique (DSI et RSSI seront ici au cœur du dispositif) mais également un pilotage juridique. Cet aspect, trop souvent oublié s’avère pourtant indispensable. Mais de quoi parle-t-on exactement ?

Tout d’abord, la légitimité de l’intervention juridique dans le pilotage et la gestion du risque cyber tire sa source dans la lettre même de la règlementation. À titre d’exemple, rappelons que le RGPD prévoit un engagement général de sécurité et de confidentialité. Pour respecter cet engagement, le responsable de traitement doit ainsi être en capacité de justifier de la mise en œuvre de « mesures organisationnelles et techniques » (8). Or la formalisation de ces mesures organisationnelles qui couvrent à la fois le règlement intérieur (Charte Utilisateurs des SI), la politique d’habilitation, la politique de gestion des incidents ou encore les engagements de confidentialité des administrateurs des SI appelle l’intervention d’un professionnel du droit en étroite collaboration avec les autres directions concernées (RH pour la Charte Utilisateurs, DSI et RSSI pour les autres documents du référentiel sécurité).

Ensuite, la gestion d’une crise cyber suppose certes un traitement technique (récupération des sauvegardes, réinitialisation des systèmes, modification des mots de passe, etc.) mais également en parallèle un traitement juridique à l’occasion de cellules de crise où...

Références

(1) « Quand le danger est arrivé, il est trop tard pour se faire aider »

(2) Ministère de l’économie des finances et de la souveraineté industrielle et numérique. Disponible sur : https://www.economie.gouv.fr/risques-cyber-pistes-protection-entreprises#

(3) Une abstention peut s’assimiler à une faute de gestion susceptible d’engager la responsabilité des dirigeants. Sur ce sujet, Cf. P. COTELLE, P. WOLF, B. SUZAN, « La maîtrise du risque cyber sur l’ensemble de la chaîne de sa valeur et son transfert vers l’assurance », Rapport de recherche IRT, 2017, pp. 36-49, [en ligne]. V. également, S. BEN JABEUR, V. SERRET, « Principes et enjeux de la responsabilité des conseils d’administration face au risque cybernétique », Question(s) de management, 2019/4, n. 26, pp. 67-76

(4) UBCOM, « La Cybersécurité de 0 à 100 % ». Édition mars 2024

(5) BUNDE Tobias, EISENTRAUT Sophie, et SCHÜTTE Leonard, « Munich Security Report 2024 : Lose-Lose ? Munich Security Conference ». Février 2024, Disponible sur : https://doi.org/10.47342/BMQK9457

(6) ANSSI. Disponible sur : https://www.francenum.gouv.fr/magazine-du-numerique/les-tpe-et-pme-sont-les-cibles-privilegiees-des-pirates-informatiques-en-2022...