En préambule de cette nouvelle conférence du CLUSIF, Lazzaro Lazaro Pejsachowicz le Président du CLUSIF a expliqué le choix du thème de cette conférence. Pour lui, un RSSI doit non seulement connaître les lois actuelles mais aussi les tendances en cette matière afin d’avoir une vision dynamique des concepts juridiques. Lazaro Pejsachowicz considère que la Loi peut aussi être une attaque surtout lorsqu’on la met dans un contexte concurrentiel. Elle peut en effet, dynamiser les ventes, ou les ralentir... Puis il a cédé la parole à Olivier Joffray directeur technique AiBiZU DSX qui a donné des conseils sur la mise en conformité des entreprises à la prochaine règlementation européenne sur la protection des données à caractère personnel.

Les entreprises doivent se préparer au plus vite à la furtur règlementation sur la protection des données à caractère personnel

Olivier Joffray directeur technique AiBiZU DSX a expliqué comment les entreprises vont devoir agir pour se conformer à la future législation européenne sur la protection des données à caractères personnels. Il a rappelé que ce texte a pris une nouvelle dimension avec l’affaire des écoutes de la NSA. Au niveau des acteurs qui vont devoir mettre en œuvre cette règlementation, il s’est attaché a traité du délégué aux données personnelles et à l’autorité de contrôle. Le délégué a pour rôle d’établir un contact entre la Direction Générale et les services techniques. Il va devoir prévoir des règles internes pour être en conformité avec cette règlementation : transparence, rectification effacement des données.... Dans ce contexte, la preuve des prises en compte des modifications incombera aux RSSI, aux DSI en fait aux experts techniques mais aussi aux juristes des entreprises. Pour cela, il va falloir qualifier, tracer les traitements, codifier les règles... Olivier Joffray considère qu’il n’est obligatoire de sécuriser l’ensemble du SI, dans le cas où les données sont bien localisées. Il faudra faire entre autre de la « sécurité by design » afin de mieux sécuriser le SI. Pour contrôler la bonne sécurisation du SI, les entreprises vont devoir pratiquer des audits de sécurité par des cabinets indépendants.

En outre, dans le cadre de cette réglementation, le texte prévoit une chaîne de responsabilité en partant de la Direction Générale mais en incluant un traitement spécial pour les sous-traitants avec un contrôle poussé chez ces derniers. Le texte peut aller jusqu’à la présentation des formulaires à remplir. Aujourd’hui, la règlementation prévoit qu’une obligation de moyen sera exigée. Le texte inclut une progression des exigences qui peut aller crescendo en cas de problèmes. De plus, les entreprises devront apporter les preuves du bon traitement des informations à caractère personnel. Il va falloir en outre amener les preuves qu’il y a une bonne traçabilité. L’objectif de cette loi est d’apparaître au JO d’ici à 2015 et devrait donner deux ans entreprises pour qu’elles se mettent à niveau. Il va falloir que les entreprises se mettent au niveau au plus tôt. Il a conseillé de documenter les actions menées, mais aussi dès à présent les faire contrôler par des cabinets indépendants. Il v falloir aussi au plus tôt que les entreprises anticipent les changements organisationnels exiger par cette règlementation en particulier au niveau des délégués à la protection des données à caractère personnel.

La BCE plus permissive que PCI-DSS

Annabelle Travers-Viaud, Responsable Pôle conseil et Audit SSI de Bull, elle a comparé les recommandations de la BCE et PCI DSS. La recommandation BCE réunit tous les pays de la CE plus quelques autres pays et vise tout ce qui n’est pas du paiement par chèque et en espèce. Pour part, PCI DSS concerne le paiement par Carte Bancaire. Le but de ces deux recommandations est en premier la lutte contre la fraude et la prévention des fuites de données. Annabelle Travers-Viaud a rappelé qu’en 2011, le montant de la fraude aurait été de 665millions d€. Le 3Dsecur aurait permis une réduction de la fraude. Par contre la BCE permet la protection des clients, alors que PCI DSS our objectif de réduire la fuite de numéro de carte bancaire. Le document définitif de la BCE a été publié en janvier 2013 et sera obligatoire en 2015. Pour PCI DSS la version 3 est sortie en novembre 2013 avec une application généralisée en 2016. La BCE vise tous les établissements de paiement, de crédit, les banques centrales les autorités de régulation. La PCI DSS a une cible plus large. Mais les deux sont complémentaires. Le paiement par téléphone sera couvert prochainement. En revanche, en termes de gestion de la conformité les deux textes s’opposent. En effet, le texte de la BCE donnes conseils de bonnes pratiques. En revanche, le schéma PCI DSS est beaucoup plus contraignant. La gestion de l’applicabilité des réglementation est aussi différent car pour PCI DSS, on impose la façon de se mettre en conformité. Toutefois, il y a des exigences qui sont communes entre ces deux textes en particulier sur la sécurité. Cependant là encore des différences existent. En effet, PCI DSS demande un chiffrement des données alors que la BCE souhaite une protection sans exiger de système de protection. Concernant le paiement mobile une consultation a été lancée en novembre. 2013 par la BCE.

En conclusion de son intervention, Annabelle Travers-Viaud a rappelé que pour chacun des textes la BCE a intégré 4 grands principes :
–  Appréciation régulière des risques
–  Authentification forte des consommations
–  Processus efficaces de surveillance des transactions
–  Éducations et la sensibilisation des consommateurs.

Patriot Act et Loi de programmation militaire même combat

Garance Mathias, Avocat, Cabinet d’Avocats Mathias au début de son intervention a dressé un rapide historique de la naissance du Patriot Act. Aux Etats-Unis avant 2001, il n’y avait pas de texte de loi comme en France qui prévoit "l’état d’urgence". Suite aux événements du 11 septembre, le président Bush a fait voter une loi d’exception qui depuis cette date est reconduite sans de véritable modification. Cette année l’affaire Snowden a induit une prise de conscience des européens et a aussi donné lieu à un débat au Congrès Américain qui est encore en cours, mais d’ores et déjà certaines modifications sont en cours. Puis elle a commenté le texte du Patriot Act en montrant que certains articles sont liberticides sous couvert de lutter contre le terrorisme et l’espionnage international. Ainsi, la section 802 donne une vision extrêmement large du terrorisme permettant d’accéder à tous types de fichiers... sans de véritable contrôle d’un juge. La section 205 pour sa part est appelé la clause du bâillon car elle empêche la personne qui a eu l’ordre de communiquer des données d’en parler à quiconque.... Dans le Patriot Act, il n’y a pas de garantie concernant la protection des données à caractère personnel même si la tendance est de revenir sur certains points en particulier ceux concernant les libertés.
Pour elle la France, avec la nouvelle loi de programmation militaire met la Cybersecurité au centre de la Défense Nationale n’est pas reste. En effet, l’article 20 qui reste floue donne à des agents « habilités » la possibilité de demander aux opérateurs de communication électroniques et les hébergeurs au sens de la LCEN, d’obtenir toutes informations ou documents y compris les données techniques et toutes les autres données liées aux transactions électroniques en temps réel. Cette loi se trouve dans le droit commun, mais est renvoyée aux décrets, donc une absence de garantie sur la durée de conservation des données. Cette loi s’apparente donc pour garance Mathias au Patriot Act, car elle ne protège plus les libertés fondamentales des citoyens.

Cybercriminalité : de la nécessité d’une plus grande coordination entre les agences européennes

Enfin, Myriam Quemener, Magistrat, expert au Conseil de l’Europe, a présenté les aspects de la cybercriminalité et la Cybersecurité et les réponses européennes et internationales. La Cybercriminalité concerne infraction informatique : usurpation d’identité, fraude à la Carte Bancaire, escroquerie.... Cette délinquance se joue des frontières. Elle est en hausse et pour y remédier, il faut que liés pays collaborent.

Au niveau européen une stratégie s’est mise e place pour avancer ensemble. La directive de l’EU vise à harmoniser les législations avec par exemple l’obligation de notifier les failles de sécurité. Pourtant, elle note quelques problèmes comme par exemple dans certains cas l’obligation de faire une double notification à la CNIL et à l’ANSSI. Elle estime que l’Europe devrait réfléchir sur l’utilisation de généraliser des télé-procédures par exemple pour les dépôts de plainte comme l’a fait la CNIL car elle répond au besoin de rapidité des réponses. Elle a rappelé les principales organisations qui lutte contre la cybercriminalité en Europe comme l’ENISA, Interpol, Eurojust, l’EC3...en notant que ces agences manquent encore de coordination. Elle a mentionné qu’au niveau européen un projet de directive de protection des Affaires est en projet. Enfin, elle a rappelé que le Conseil de l’Europe est moteur sur la lutte contre la cybercriminalité depuis la convention de Budapest en 2001. En conclusion, elle a estimé qu’il fallait aller plus loin dans la coordination entre les pays. En particulier, elle a insisté sur la nécessité de mettre en place une véritable politique pénale européenne voir mondiale en matière de lutte contre la cybercriminalité.