Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Diner du Cercle de la Sécurité : PRISM démontre la nécessité des Clouds Souverains et du chiffrement

juin 2013 par Marc Jacob

Les RSSI côtoient quotidiennement les législations telles que le Patriot Act, les procédures dites de « discovery », les contrats de cloud computing, l’outsourcing à l’étranger... Ces dispositifs juridiques impactent la sécurité et la confidentialité des données d’entreprise de toutes tailles. Le Cercle a, réuni à l’occasion de son nouveau débat, Maître Etienne Drouard, avocat à la Cour d’appel de Paris et associé du cabinet K&L Gates et un RSSI d’un grand compte autour de Nicolas Arpagian, rédacteur en chef de la revue « Prospective Stratégique ». Si tout le monde savait ou tout au moins supposaient que les « grandes oreilles » de tous pays nous écoutent depuis des années, l’affaire PRISM a permis d’affirmer publiquement cette réalité mais a aussi démontré tout l’intérêt des Clouds Souverains et du chiffrement.

L’affaire PRISM a permis que les écoutes concernent aussi le monde de l’entreprise. Ce RSSI issu du monde des médias n’a pas été étonne de l’annonce de PRISM. Il avait détecté depuis plusieurs années que ce gendre de pratique existaient du fait par exemple de temps de latences plus ou moins importants sur ces réseaux dont la seule explication était du à des écoutes...

Maître Etienne Drouard explique que PRIMS est un tableau de bord ce qui se passe sur les réseaux. Par contre, la nouveauté de cette affaire est que l’on a compris comment faire une requête à une entreprise privée pour obtenir les données de ses clients. On a aussi compris que les groupes de nationalité américaine étaient bien soumis à la Loi de leur pays quelque soit leur pays d’exercice de leurs activités. Les entreprises mentionnées dans cette affaire a fait la démonstration que d’autres sociétés pourraient être soumises à ce types de requête. A ce jour dans l’affaire PRISM 22847 seraient entreprises concernées. Toutefois, comme elles ont été soumises a des requêtes pour une durée de trois mois, sur une année, il faut diviser se nombre par quatre. Il faut noter que selon les textes, ce n’est pas l’administration américaine qui s’est servie dans les entreprises mais ce sont elles qui ont fourni les informations. Il a rappelé que ce même genre de réglementations existe en France dans la LOSPI 2.

Pour ce RSSI cette problématique l’a incité à renforcer la sécurité de son SI pour protéger les données sensibles. Maître Etienne Drouard rappelle que l’Etat demande toutes les données brutes et non filtrées pour deux raisons : un dédommagement devrait être prévu pour le travail de filtrage exécuté par l’entreprise et cela donnerait des informations à l’entreprise qui fourni les données filtrées sur la recherche.

Maître Etienne Drouard a expliqué qu’en droit européen, les citoyens n’ont pas être informés que l’administration demande des informations. C’est la même chose pour le droit américain mais l’entreprise concernée par des recherches n’a pas le droit de dire publiquement qu’elle est sous le coup d’une demande.

Selon Maître Etienne Drouard, on a le droit de se renseigner sur le fait qu’une entreprise est soumise à une loi étrangère. D’ailleurs, une simple requête sur le net sur Patriot Act ou FISA - Foreign Intelligence Surveillance Act - (date de 1978 est la conséquence du WaterGate) permet d’obtenir ce type d’information. Pour illustrer son propos, il fait un bref rappel historique sur l’évolution de la FISA et de la Discovery. En 2001, on a modifié la Loi FISA pour y inclure le terrorisme. Cette loi a perdu le critère de nationalité, c’est à dire que l’on peut faire des écoutes même des citoyens américains. Pour l’instant, l’Europe et les autres pays ne sont que des spectateurs dans ce débat purement américain.

La Discovery provient du fait qu’en droit des affaires ou de la famille les partie doivent présenter au juges toutes les preuves utiles à la résolution de leur problème. L’investigation est à la charge des deux parties. L’impact de cette procédure est important car elle est liée à la convention de l’Haye pour obtenir des preuves. Bien sur, il y a une obligation de confidentialité entre les parties,

Les Clouds souverains et le chiffrement dernier rempart contre les « grandes oreilles » étrangères ?

Viviane Reding s’est émue de PRISM d’autant qu’elle a origine du projet de Loi sur la protection des données privées. Par contre, on ne peut rien exiger d’un État qui surveille ses propres ressortissants. Ainsi, toute entreprises américaines est soumise à cette loi quelque soit le pays ou elle se trouve c’est à dire même à l’étranger. Pour ce RSSI, avoir un Cloud souverain est une alternative ou au mois une opportunité pour se prémunir de ces problèmes.

Nicolas Arpagian : En ce domaine que pensez-vous du chiffrement ?

Le RSSI : C’est en fait la seule solution pour protéger les données. Par contre, les filiales basées à l’étranger pourraient être une porte d’entrée pour permettre à un Etat étranger de rentrer dans les réseaux.

Nicolas Apargian : Dans votre entreprise est-ce que le choix se fait toujours sur le mieux disant ?

Le RSSI : Non pas du tout, mais nous travaillons de plus en plus en étroite collaboration avec nos services juridiques pour protéger les données sensibles. Il a conseillé de travailler avec de sociétés qui ont pignon sur rue en France pour éviter les problèmes.

Nicolas Apargian : Peut-on faire une clause de sortie en cas de changement de nationalité ?

Le RSSI : Effectivement on peut le faire mais avec des délais, toutefois il est parfois difficile de sortir des contrats dans les temps impartie. C’est pour cela que les contrats doivent être gérer a l’avance.

Nicolas Apargian : Quid de la place du RSSI dans cette nouvelle ?

Le RSSI : Effectivement, entre les effets crises, l’externalisation... On a besoin de réfléchir sur des redéfinitions de poste. On est passé en 20 ans « a mettre l’informatique dans l’entreprise, aujourd’hui on demande de l’entreprise dans l’informatique ! » Il est aujourd’hui compliquer d’intégrer des solutions de sécurité car certaines ne sont pas capables de fournir les données que la Loi nous oblige à présenter aux juges. Actuellement, on commence par aller voir les juristes avant toute signature d’un nouveau contrat d’achat d’une solution afin de vérifier que l’on est bien en conformité avec la législation locale.

Maître Etienne Drouard rebondit en expliquant que l’externalisation si elle semble moins chère doit intégrer les surcoûts du à la mise en conformité aux législations. En conclusion, il a milité pour qu’il y ait de la réciprocité en matière légale afin que tout Etat puisse protéger ses entreprises nationales de requêtes.


Voir les articles précédents

    

Voir les articles suivants