Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2018 - n°432 - 76
Doctrine
Cybersécurité
Le risque, le nouveau concept
clef du RGPD et de NIS
La notion de risque est citée à 78 reprises dans le RGPD
et à 39 reprises dans la directive NIS prenant ainsi
en compte le fait qu'il n'existe pas de risque zéro et
que la sécurité des systèmes d'information doit être
organisée. Les deux textes nous éclairent aussi sur les
méthodes susceptibles de limiter la survenance des
risques et de les minimiser.
L
es
cyberattaques
sont
aujourd'hui devenues monnaie
courante. Dès lors, nous
pouvons nous demander si
cela n'est pas la preuve éclatante
de ce que les sociétés considèrent
désormais qu'une bonne politique de
cybersécurité est celle qui accepte le
potentiel échec face à la cyberattaque.
du 6 juillet 2016), deux textes qui seront
applicables en mai 2018.
Cette directive NIS définit le risque
comme étant « toute circonstance
ou tout événement raisonnablement
identifiable ayant un impact négatif
potentiel sur la sécurité des réseaux et
des systèmes d'information ». Le risque,
une fois réalisé, devient un incident qui a
un impact négatif réel sur la sécurité des
réseaux et des systèmes d'information.
de remédiation à prendre pour éviter
ces risques : sécurisation du dispositif de
communication bluetooth, chiffrement
du canal de communication lors du
transfert des données, information
complète sur le traitement de données
(mise en demeure Cnil n° 2017-073 du
20 novembre 20172).
En droit civil, le risque désigne
généralement un « événement éventuel,
incertain, dont la réalisation ne dépend
pas exclusivement de la volonté des
parties et pouvant causer un dommage »1.
Toutefois, cette notion n'est pas un terme
intrinsèquement juridique, les enjeux
sont aussi économiques, techniques,
individuels et collectifs.
Aujourd'hui, le constat est double : (i) le
risque zéro n'existe pas et les entreprises
doivent apprendre à faire avec, (ii) assurer
la sécurité des systèmes d'information
consiste à optimiser leur capacité à
résister aux actions qui compromettent
la disponibilité, l'authenticité, l'intégrité
ou la confidentialité des données et des
services associés.
À l'ère du big data, de l'intelligence
artificielle et des objets connectés, les
données s'amassent et circulent, le risque
est bel et bien devenu omniprésent : fuite
de données, piratage, ransonware, faille
informatique, etc.
La
Cnil
(Commission
nationale
de l'informatique et des libertés) a
récemment mis en demeure une
société commercialisant deux jouets
connectés, car il a été constaté que
tout
dispositif
bluetooth
pouvait
détecter les jouets allumés, écouter à
distances les conversations captées
par le microphone des jouets, les
enregistrer, et communiquer avec les
enfants via les jouets, sans aucune
authentification. Cette absence de
sécurisation porte atteinte à la vie
privée des personnes, cela d'autant plus
qu'elle touche un public vulnérable. La
Cnil liste alors les différentes mesures
La lecture des deux règlementations
européennes précitées nous éclaire
sur les méthodes susceptibles de
limiter au maximum la survenance
des risques potentiels, et de minimiser
les conséquences dommageables des
incidents survenus.
Les risques sont multiples, évolutifs, et
les hackers ont bien souvent un temps
d'avance. C'est pourquoi, appréhender
les risques pour l'entreprise comme
pour les personnes physiques, nécessite
tout d'abord de les cartographier, selon
leur degré de probabilité et de gravité.
A l'ère d'internet et du big data,
le risque est omniprésent
On le trouve cité à 78 reprises dans le
Règlement général sur la protection
des données - RGPD (Règlement UE
n° 2016/679 du 27 avril 2016), et à 39
reprises dans la Directive concernant des
mesures destinées à assurer un niveau
élevé commun de sécurité des réseaux
et des systèmes d'information dans
l'Union - NIS (Directive UE n° 2016/1148
76
EXPERTISES FÉVRIER 2018
Accepter les risques,
les anticiper, les minimiser
et les gérer
Par exemple, cette évaluation peut
dépendre de la quantité de données
traitées, de leur provenance, du
nombre de personnes habilitées à
y accéder, du caractère particulier
/ sensible des données. En effet, le
traitement des données sensibles3 est
par principe interdit, sauf exceptions
limitatives, telles que le consentement
explicite ou la sauvegarde des intérêts
vitaux (article 9 du RGPD).
�
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2018 - n°432
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com