La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Partagez cette publication

Publications similaires

Le guide du partenariat technologique

de EUROPEAN-COMMISSION-DIRECTORATE-GENERAL-FOR-THE-INFORMATION-SOCIETY-AND-MEDIA-DI

Edition 2011

de udwi

CAHIER INDUSTRIES Les cahiers Industries sont disponibles en tÈlÈchargement sur internet : www.industrie.gouv.fr/accueil.htm
ENTREPRISES SECURISEZ VOS ECHANGES SUR INTERNET V irus, piratages, intrusions, dÈtournements, les attaques sur internet sont devenues le lot quotidien des entreprises. Avec des dÈg‚ts lourds de consÈquences. Comment assurer la confidentialitÈ des Èchanges sur le Net ? SÈcuriser ses moyens de paiement ? Authentifier les informations transmises ? LÕarsenal juridique franÁais contre la fraude informatique est impressionnant. Mais les entreprises ont tardÈ ‡ prendre conscience de l'importance dÕune vÈritable politique de sÈcuritÈ. Les outils existent : cryptologie, signature Èlectronique, pare-feuÉ Reste ‡ les utiliser efficacement. Tour dÕhorizon et conseils.
Dossier rÈalisÈ par Laurence Alary-Grall, Florence Pijaudier-Cabot et Janine Toffin-Payne.
¥ N∞79 ¥INDUSTRIES - JUILLET-AO€T 2002
PAGE11
Comment les entreprises peuvent-elles lutter contre les agressions informatiques dont elles sont victimes ? Divers moyens de sÈcurisation sont ‡ la disposition des utilisateurs : cryptologie, logiciels anti-virus...
ans la confiance, les promesses de lÕinter-net resteront lettre morteª. LÕavertissement parteSrre dÕexperts en sÈcuritÈ rÈunis en congrËs ‡ vient de Stratton Sclavos, le patron de la sociÈtÈ amÈricaine Verisign, devant un lÕoccasion du Salon RSA Security qui sÕest tenu du 19 au 26 fÈvrier dernier, ‡ San Jose, en Californie. En France comme ailleurs, voire plus quÕailleurs, lÕintÈrÍt des consommateurs pour le commerce Èlec-tronique se trouve en effet limitÈ par un certain nombre de craintes liÈes ‡ lÕutilisation frauduleuse du Web. Des craintes pas si irrationnelles que cela qui se cristallisent autour de la sÈcuritÈ des moyens de paiement (peut-on communiquer son numÈro de Carte bleue sans danger ?), de la confidentialitÈ des Èchanges (qui a accËs ‡ lÕinformation circulant sur internet ?) ou encore de lÕauthentification des infor-
PAGE12
Les risques liÈs aux moyens de paiement limitent les cybertransactions.
Utiliser inter
ses (comment sÕassurer de lÕidentitÈ Õun message ?). non-droit, ouvrerait-il la porte ‡ tous rÈpondent en chÏur les spÈcialistes tes en tÍte (lire p. 15). sence de rËgles spÈcifiques au rÈseau ut pas lÕapplication des dispositions ives, par exemple, aux contrats ou ‡ la vie privÈe. La vÈritable difficultÈ pter la lÈgislation aux nouvelles tech-formation et de la communication pter leWorld Wide Webau droit exis-he : virus, piratage, intrusion, dÈtour-rent le lot quotidien des entreprises tes ‡ avouer quÕelles ont subi une systËme informatique, et plus avant, s dÈg‚ts causÈs par la cybercriminalitÈ urds de consÈquences. Car, au-del‡ lÕentreprise, cÕest la crÈdibilitÈ de la ÕactivitÈ, qui peuvent Ítre mises en Èconomiques et juridiques sont dÕau-ts et complexes que les litiges nais-ransactions prÈsentent trËs souvent rnational.
venir et s’organiser ui ont longtemps tardÈ ‡ rÈagir, com-re conscience de lÕimportance de la  e vÈritables politiques de sÈcurisa-tion. Car les parades existent. Et les prestataires de ser-vices, sÕengouffrant dans la brËche ouverte par la rÈglementation rÈcente (libÈralisation quasi totale des techniques de cryptologie), dÈveloppent une offre de services fiable (lire p. 18). Mais les moyens enga-gÈs restent souvent trop faibles. Ils reprÈsentent en gÈnÈral 1 % du budget informatique de lÕentreprise. Or, pour Ítre vraiment efficace, il faudrait passer au moins ‡ 5 % estiment les experts. Il faut dire que la sÈcuritÈ informatique est souvent perÁue par les entre-prises comme un investissement lourd que ce soit en termes de co˚ts des matÈriels, de gestion de ces matÈ-riels ou de personnel (embauche dÕun monsieur SÈcu-ritÈ). Par ailleurs, elle est souvent abordÈe unique-
JUILLET-AO€T 2002 - INDUSTRIES¥ N∞79 ¥
CAHIER INDUSTRIES
net en toute sÈcuritÈ
ment dÕun point de vue technique. ´Or la sÈcuritÈ informatique est avant tout un problËme organisa-tionnel, prÈcise MarlËne Bassot de lÕEchangeur de Marseille, organisme dÕinformation et de conseil aux entreprises dans le domaine des TIC.Environ 80 % des dÈlits informatiques ont lieu ‡ lÕintÈrieur mÍme de lÕentreprise et sont le fait de salariÈs peu scrupuleux.ª Si les incidents, petits et grands, commencent ‡ por-ter leurs fruits, le travail ‡ accomplir pour restaurer la confiance, chËre ‡ Stratton Sclavos, reste immense. Les pouvoirs publics, qui ont fait de lÕessor de lÕe-France un cheval de bataille, ont ÈtÈ conduits ‡ Èlaborer un certain nombre de rËgles destinÈes ‡ mieux prendre en compte les enjeux et les exigences du cyberes-pace. ´DËs 1998, le dispositif pÈnal a ÈtÈ modifiÈ pour lutter contre toutes les formes dÕagressions informa-tiques telles que les virus, les bombes logiques ou les " chevaux de Troie ",ce sont des logiciels espionsA lÕimage ayant pour but de surveiller un site ou un systËmecambriole informatique, voire de le contrÙler ‡ distanceª,les sytËm explique Mireille Campana, en charge de la sÈcuritÈinformatiq des Èchanges ‡ la direction gÈnÈrale de lÕIndustrie, desdes entrep Technologies de lÕinformation et des Postes (Digitip)subissent du ministËre de lÕEconomie, des Finances et de lÕIn-frÈquemm dustrie. Plus globalement, les pouvoirs publics cher-intrusions chent ‡ Èlaborer un nouveau cadre juridique visant´ visites ª -frauduleus
¥ N∞79 ¥INDUSTRIES - JUILLET-AO€T 2002
La directive europÈenne sur le commerce Èlectronique Le Parlement et le Conseil europÈens ont adoptÈ, le 8 juin 2000, une directive europÈenne ´ relative ‡ certains aspects juridiques des services de la sociÈtÈ de lÕinformation, et notamment du commerce Èlectronique, dans le marchÈ intÈrieur ª qui doit faire lÕobjet dÕune transposition en droit franÁais. Cette directive prÈvoit que les services de la sociÈtÈ de lÕinformation bÈnÈficient des principes du marchÈ intÈrieur concernant la libre circulation des services et la libertÈ dÕÈtablissement et quÕils puissent Ítre fournis dans toute lÕUnion europÈenne sÕils respectent la lÈgislation de leur Etat membre dÕorigine. Elle nÕinstaure des rËgles harmonisÈes spÈcifiques que dans des domaines jugÈs absolument nÈcessaires, afin, en particulier, dÕassurer la protection des consommateurs : dÈfinition du lieu dÕÈtablissement des opÈrateurs, obligations de transparence pour les communications commerciales, conclusion et validitÈ des contrats Èlectroniques, responsabilitÈs des intermÈdiaires de lÕinternet, rËglement des diffÈrents en ligne et rÙle des administrations nationales. Dans tous les autres domaines, la directive se fonde sur les instruments existants dans lÕUE qui prÈvoient lÕharmonisation ou la reconnaissance mutuelle des lÈgislations nationales.
munications et ‡ renforcer les moyens dÕintervention gouvernementaux dans le cyberespace. ´Assurer la sÈcuritÈ et la confiance dans le cyberespace ne peut se rÈsumer ‡ lÕadoption de mesures rÈglementaires ou rÈpressives, affirme cependant Mireille Campana.Il sÕagit aussi de mettre en place une politique active de prÈvention reposant sur une sensibilisation des acteurs des TIC aux risques auxquels ils sÕexposent en utilisant ces technologies.ª Cette dÈmarche combine des actions de formation, mises en place dans les Ècoles pour sensibiliser, dËs leur plus jeune ‚ge, les utilisateurs des TIC au caractËre dÈlictueux des actes de piratage et dÕintrusion, des actions dÕinformation pratique, tech-nique et juridique sur la menace et les risques encou-rus, une offre de produits (matÈriels et logiciels) ou de services ÈvaluÈe par des laboratoires agrÈÈs, le dÈveloppement dÕÈchanges, enfin, entre les struc-tures publiques ou privÈes de veille, dÕalerte et dÕas-sistance sur l'internet (Certa). Se pose enfin la question de lÕefficacitÈ des juridictions face ‡ ce nouvel outil, plus rapide et plus performant que tout autre. Les infractions, les violations des lois sont multiples, instantanÈes et susceptibles de nÕÍtre jamais constatÈes. DËs lors ne faudrait-il pas se tour-ner vers une nouvelle forme de rÈpression, vers de vÈritables cyberjuridictions, plutÙt que dÕadapter les mÈthodes traditionnelles ? Laurence Alary-Grall
PAGE13
CAHIER INDUSTRIES
juridique
La protection des données
Etude sur la sinistralitÈ informatique en France
PAGE14
Les entreprises hÈes par moins 1. La tendance er leur impact. es et les pertes de t considÈrÈes ar 70 % des infection par un t fort que pour 8 % Õimpact fort le plus ans les attaques
able sur le site
-
i -
,
t -
-
JUILLET-AO€T 2002 - INDUSTRIES¥ N∞79 ¥
´
CAHIER INDUSTRIES
Internet est tout sauf un dÈsert juridique ª
MaÓtre Serge Tavitian, avocat au barreau de Marseille, fait le point sur la lÈgislation en matiËre de dÈlits informatiques.
Industries : Environ 80 % des dÈlits informa-tiques sont commis ‡ l'intÈrieur de l'entreprise. Quelles sont les principales parades ? Une charte dÈontologique ? Serge Tavitian :Tout que l'on entend par dÈlit Il y a effectivement les d pÈnal commis ‡ l'intÈri treprise. Dans ce cas bi une charte dÈontologiq ce contractuelle, nÕa si ce n'est de pouvoir g tir, le cas ÈchÈant, la n responsabilitÈ de l'e ployeur. Mais une chart dÈontologique, signÈe pa de plus en plus dÕen treprises, prÈsente lÕin-tÈrÍt de rÈglementer lÕutilisation dÕinternet au sein mÍme de l'en-treprise. En fixant le s e u i l d e c e q u i e s t acceptable dans le do-maine de la sÈcuritÈ, ell protËge le systËme infor matique d'attaques extÈ-rieures ou d'utilisations abusives par les salariÈs. La charte permet en outr renseigner le personnel la faÁon dont il peut observÈ. LÕutilisation d net laisse des traces. A lÕemployeur, dans la r tion de sa charte, doit i quer de faÁon loyale rËgles du jeu ‡ ses salari quelles sont les traces l sÈes par eux sur le Net dans quelles circonstanc ‡ quelles conditions traces peuvent Ítre utilis contre eux. Le coup dÕenvoi du dÈv loppement de ces charte a ÈtÈ donnÈ par la Co de cassation qui, dans s considÈrÈ que le courri par un salariÈ Ètait conf
¥ N∞79 ¥INDUSTRIES - JUILLET-AO€T 2002
ciles ‡ rÈdiger mais il est fortement dÈconseillÈ d'uti-liser des modËles trouvÈs sur internet.
Industries : Comment rÈagir lorsqu'un systËme informatique est victime d'une attaque ? AuprËs de qui porter plainte ? O˘ chercher les respon-ilitÈ ? En cas dÕattaque, se constituer preuve
L. GENEVOIS/DRIRE MARSEILLE
PAGEPAGE15