jeudi 16 avril 2015

Sécurité du numérique


Le numérique, encore le numérique et toujours le numérique ! Nos vies ultra-connectées façonne un nouveau mode de vie, certes plus ergonomique, plus rapide et plus international mais tellement plus fragile.

 source
Saluons à ce sujet, la publication, passée inaperçue de tous médias, d’un nouveau rapport parlementaire intitulé « Sécurité numérique et risques : enjeux et chances pour les entreprises » [1] . Ce rapport mérite toute notre attention car il se concentre exclusivement sur la composante sécurité du numérique et y est même développée en 369 pages !

Ce rapport met en exergue, à travers treize constats préliminaires, la multiplicité et l’omniprésence des risques du numérique. Ces risques sont d’autant plus dangereux que nous devenons tous dépendants de ces technologies du numérique. Le numérique est partout mais il est difficilement appréhendable. Et cela autant par les générations Y et Z,  qui sont pourtant nées dans le numérique, mais tout autant incapables que la génération X de maîtriser les outils numériques. L’exemple le plus flagrant est l’utilisation exclusive de seuls  quatre chiffres de mode de passe pour déverrouiller leur téléphone portable alors qu’en fouillant en peu les paramètres il est tout à fait possible d’augmenter la taille de son mot de passe et ainsi renforcer la sécurité d’accès de son mobile.

La méconnaissance des failles de sécurité et la négligence sont clairement les composantes de l’état d’esprit ambiant et l’actualité ne fait que renforcer ce constat [2].

Quelles solutions pouvons-nous proposer face à ces dangers de la sécurité du numérique ?
Le rapport  parlementaire propose quelques recommandations pour lutter contre les risques du numérique telles la résorption de l’illettrisme numérique par l’éducation et la sensibilisation pour créer une véritable culture du numérique ainsi que l’association des territoires et de l’individu à leur propre sécurité.

Mais il est également intéressant de développer les pistes de réflexion suivantes.
En premier lieu, le développement des méthodes d’intelligence économique (IE) appelle à être étudier car il s’agit d’une véritable démarche positive au service  à la fois de la compétitivité des entreprises et de la souveraineté du pays.

Selon Claude Revel [3], déléguée interministérielle à l’intelligence économique auprès du Premier ministre [4], l’intelligence économique se définit comme un mode de gouvernance qui allie l’action et la réflexion reposant sur quatre piliers :

  • la pédagogie afin de sensibiliser les acteurs concernés sur les objectifs et les méthodes de l’intelligence économique ;
  • la veille permettant l’anticipation et l’accompagnement des évolutions ainsi que la connaissance de l’environnement dans lequel l’entreprise agit ;
  • la sécurité économique, à travers la prévention de tous les risques y compris les risques immatériels (savoir-faire, réputation, etc.) ;
  • l’influence afin de peser sur l’environnement économique, notamment sur les décisions dans les instances européennes et internationales.

Il n’est pas question d’entrer dans une optique de guerre ou d’affrontement direct mais d’entrer en compétition voire même de coopération avec ses adversaires, sans naïveté bien sûr mais le tout bien renseigné.

Dans l’ère du numérique, l’enjeu principal est la sécurité de l’information, stratégique, qui doit faire l’objet d’une identification précise par son entité puis de sa protection quelle que son support. La protection de l’information doit se faire lors des conversations téléphoniques, lors des déplacements professionnels à l’étranger, lors des échanges des mails, lors de l’envoi des contrats par courrier, etc. Lorsque l’information est sous sa forme logique et non papier, la cybersécurité entre en scène avec ses mesures techniques, organisationnelles et humaines afin d'endosser sa responsabilité de protéger ses information.


Concernant la composante juridique de la sécurité du numérique, il s’agit avant tout de protéger les libertés individuelles et même collectives dans le monde numérique. Il est ici principalement question de la protection des données à caractère personnel, de la vie privée de l’individu et de l’innovation de l’entreprise. Pour renforcer cette protection, les textes législatifs français existant déjà depuis longtemps et faisant preuve d’une grande adaptabilité, l’enjeu national actuel reste leur application stricte et contraignante et l’enjeu au niveau européen est d’influencer les futures politiques européennes pour ne pas devenir une simple « colonie du monde numérique »[5] face aux Etats Unis.


En effet, la reconquête de notre souveraineté numérique doit devenir un pari politique majeur car notre liberté, de choix, numérique, en dépend. Il est important de ne plus subir les règles imposées par d’autres Etats notamment les Etats Unis pour la réglementation d’Internet. Pour Pierre Bellanger[6], notre souveraineté peut se reconquérir notamment grâce au code soit grâce au chiffrement des données et la mise en place d’un système d’exploitation souverain. Il est également important de développer une industrie française de confiance numérique dont les prémisses apparaissent avec les 34 plans de la nouvelle France industrielle[7].


En conclusion, il est clairement temps d’intégrer la sécurité du numérique au même titre que tous autres risques telles le risque incendie ou la sécurité routière. La sécurité ne doit plus être vécue comme une contrainte paralysante mais comme une garantie du succès de votre entreprise. La paralysie qui peut s’emparer des entités  face aux dépenses des mesures de sécurité doit être surmontée pour en faire une force et une composante à part entière de la réussite de tous projets d’innovation.



[1] Rapport de M. Bruno SIDO, sénateur et Mme Anne-Yvonne LE DAIN, député, fait au nom de l'Office parlementaire d'évaluation des choix scientifiques et technologiques n° 271 tome II (2014-2015) - 2 février 2015 

[2] http://si-vis.blogspot.fr/2015/04/cyberattaque-tv5-monde-premiers.html

[3] Invitée du Cybercercle du 1er avril consacré à l’intelligence économique et à la cybersécurité.
[4] Claude Revel est depuis le 30 mai 2013 à la tête de la Délégation Interministérielle à l’Intelligence Economique (D2IE) : http://www.intelligence-economique.gouv.fr/

[5] « L'Union européenne, colonie du monde numérique ? Rapport d'information de Mme Catherine MORIN-DESAILLY, fait au nom de la commission des affaires européennes n° 443 (2012-2013)  le 20 mars 2013 

[6] Fondateur et actuel PDG de la radio Skyrock lors de son intervention « Enjeux et moyens de notre souveraineté numérique » du 13 avril 2015 aux Lundis de l’IHEDN

Publié par à Aucun commentaire:
Libellés : , , , , , , ,

lundi 2 mars 2015

Réglementation des drones et droit des robots


Le survol des drones au dessus des centrales nucléaires [1] ainsi que d’autres sites sensibles et parisiens [2]  représente une menace face à laquelle les réponses, notamment réglementaires, semblent encore insuffisantes.
En effet, la détection par radar militaire mais également l’interception de ces engins volants se révèlent difficiles de par la furtivité des drones et l'incapacité actuelle des autorités à les tracer et à les écarter. 

source : http://live.orange.com/drones-parrot-amazon-zephyr/

Au niveau réglementaire, l’utilisation des drones ou plus exactement d’ « aéronefs qui circulent sans monde à bord » civils, à distinguer des drones militaires, est encadrée par deux arrêtés d’avril 2012 [3], un arrêté relatif aux conditions de navigabilité et de télépilotage et un autre relatif aux exigences liées à l’espace aérien.
Le principe est le suivant, sauf autorisation particulière, les drones doivent survoler un espace bien précis délimité en volume et en temps, en dehors de toute zone peuplée. De plus, en fonction de deux catégories de critères (finalité d’utilisation et poids du drone), des règles particulières s’appliquent. Ainsi, les drones civils professionnels utilisés par exemple par les agriculteurs ou les photographes doivent  notamment se faire connaître auprès des autorités.
Concernant l’utilisation de drone de loisirs qui est en vente libre, il faut également respecter des règles spécifiques qui sont rappelées dans une notice rédigée par la Direction Générale de l’Aviation Civile (DGAC) en décembre 2014 [4] et qui interdisent notamment le vol de nuit, le survol des sites sensibles ainsi que de l’espace public en agglomération.
Au final, la violation des conditions d’utilisation des drones est passible d’un an d’emprisonnement et de 75000 euros d’amende en vertu de l’article L.6232-4 du code des transports.

Autre point d’importance à souligner, même si la prise de vue aérienne est réglementée par l'article D. 133-10 du code de l'aviation civile, il n'en demeure pas moins que la captation et l'enregistrement d'images relatives aux personnes relèvent également de la loi « Informatique et Libertés »[5].
En effet, il est important de souligner également le risque de collecte de données à caractère personnel par les drones. Un facile parallèle peut être établi entre le survol des drones et le passage dans nos rues des « Google cars ».  La CNIL avait constaté lors de contrôles effectués fin 2009 et début 2010 que la société Google, via le déploiement de véhicules enregistrant des vues panoramiques des lieux parcourus, récoltait, en plus de photographies, des données transitant par les réseaux sans fil Wi-Fi de particuliers, et ce à l'insu des personnes concernées. Cette collecte déloyale de très nombreux points d'accès Wi-Fi  constitue un réel manquement à la loi « Informatique et Libertés ».
Concernant les drones, il faudra donc s’attacher à vérifier qu’ils ne récupèrent pas également des données à caractère personnelle de façon illégale. En effet, les drones sont des machines qui peuvent embarquer une quantité importante de capteurs divers et variés tels un appareil photo, une caméra ou un dispositif de géolocalisation permettant de collecter et diffuser des données à caractère personnel avec pour conséquence l’atteinte manifeste à la vie privée des individus.
Consciente de ces enjeux depuis 2012, la CNIL, en liaison avec le Groupe des 29 CNIL européennes (G29) réfléchit activement à l’amélioration de la réglementation à ce sujet.

Au final, la réglementation relative aux drones qui, d’une part, a le mérite d’exister et, d’autre part, est relativement souple et adaptable en prévoyant plusieurs scénarii spécifiques, apparaît même novatrice au niveau international. Les Etats Unis par l’intermédiaire de la Federal Aviation Association (FAA) n’ont dévoilé que le 15 février 2015 et pour la première fois des recommandations pour encadrer l’utilisation des drones civils commerciaux sur le sol américain [6].
Toutefois, la DGAC a prévu quand même de réviser prochainement la réglementation des drones afin de mieux prendre en compte la massification de l’utilisation de drones civils. Cette révision devra si possible prendre en compte une future réglementation européenne à ce sujet.

Plus largement, ce focus juridique sur les drones peut élargir son horizon en s’intéressant à la problématique du droit des robots qui, au regard de la vitesse de création des inventions technologiques, constitue indéniablement un des enjeux majeurs juridiques mais également éthiques des années à venir.
Certes pour les objets connectés, les enjeux juridiques ont déjà été identifiés mais il semble qu’il faille pousser le cadre juridique plus loin pour les futures générations de robot doté d’une certaine forme d’intelligence artificielle.
La vente du robot, comme tout bien, entraine pour le vendeur une obligation de garantie et engage sa responsabilité délictuelle du fait d’un défaut de sécurité de l’un de ses produits ou services entraînant un dommage à une personne. Cependant, il est probable que l’autonomie des robots grandissante, il faille réfléchir à la responsabilité propre du robot. De prime abord, la responsabilité juridique repose sur la notion de discernement, actuellement les machines restent sous la responsabilité de son gardien soit de l’usager ou encore de son fabricant par le biais de la responsabilité des produits défectueux.
Il est possible que, dans un futur plus ou moins proche, le législateur décide de mettre en place une personnalité juridique spécifique du robot. Cette dernière, se distinguant du régime juridique lié aux animaux et des biens, devra être encadrée afin de prévoir la sécurité des utilisateurs mais également la sécurité du robot lui-même. Pour commencer, il pourrait même s'agir de la reprise des trois règles de la robotique édictée par Isaac Asimov [7]!


[1] Dix-sept centrales nucléaires sur les dix-neuf que compte le parc français ont été survolées par des drones depuis début octobre. Six l’ont été simultanément dans la nuit du 31 octobre.
[3]Les arrêtés du 11 avril 2012 relatifs d’une part à l’utilisation de l’espace aérien par les aéronefs qui circulent sans personne à bord et d’autre part à la conception des aéronefs civils qui circulent sans aucune personne à bord, aux conditions de leur emploi et sur les capacités requises des personnes qui les utilisent constituent le socle réglementaire d’utilisation des drones civils.
[5] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.

[6] "Drones civils - les Etats-Unis avancent sur leur législation : les différences avec le modèle français " par Emmanuel de Maistre, président de Redbird : http://www.infodsi.com/articles/154099/drones-civils-etats-unis-avancent-legislation-differences-modele-francais-emmanuel-maistre-president-redbird.html?key=a0a42d0bc78aa63d

[7] http://nte.mines-albi.fr/SystemiqueSudoku/co/v_regle_vie_Azimov.html

Publié par à Aucun commentaire:
Libellés : , , , , , , ,

samedi 7 février 2015

Lutte juridique contre le terrorisme sur Internet





 Matt Murphy - EI cyberwar -http://www.leblogducommunicant2-0.com/2014/09/27/terrorisme-reseaux-sociaux-nabandonnons-pas-le-terrain-de-linfluence-aux-integristes/
Le web, nouvel outil d’embrigadement pour les terroristes

Les attentats terroristes subis à Paris en ce début d’année ont mis en exergue l’utilisation du web comme outil et vecteur de la radicalisation terroriste.

En effet, le web est la meilleure vitrine que les djihadistes puissent rêver afin de diffuser leur propagande dans le monde entier et dans toutes les langues ainsi que de recruter le plus facilement possible les candidats au Djihad.

De plus, le web permet aux terroristes de récupérer des informations stratégiques mal protégées et de s’organiser à distance pour la préparation de leurs attentats ainsi que d’agir directement par de simples défigurations de sites Internet ou des dénis de service.

Face à ce phénomène de violence amplifié par la Toile, quelles sont les réponses juridiques existantes en France ?

Un arsenal juridique resserré sur le terrorisme et avec des contrôleurs multiples

En matière de lutte du terrorisme sur Internet, la principale mesure est la chasse aux connexions des internautes sur des sites de propagande terroriste.

Depuis la loi LOPPSI de 2011[1], il possible pour la police dans le cadre d’une procédure judiciaire de récupérer des données informatiques. Cela est permis par les articles 706-102-1 à 706-102-9 du code de procédure pénal qui autorisent la mise en place d’un dispositif technique au domicile de l’internaute à son insu ou par l’installation à distance de ce dispositif.

Depuis la loi de programmation militaire (LPM) du 18 décembre 2013[2], les services de renseignement français, en dehors de toute procédure judiciaire, peuvent collecter auprès de tous les fournisseurs d’accès à Internet n’importe quelle donnée de connexion technique d’une personne désignée.

Enfin, avec la loi du 13 novembre 2014 [3], l’autorité administrative soit les officiers de police judiciaire, a le pouvoir de faire retirer, en demandant directement à l’éditeur ou à l’hébergeur du site, les contenus de sites Internet provoquant directement à des actes de terrorisme ou faisant publiquement l’apologie de ces actes, ou d’en faire bloquer l’accès, à l’instar de ce qui a été prévu par la LOPPSI concernant les contenus à caractère pédopornographiques. A défaut du retrait des contenus illicites dans le délai de vingt-quatre heures, l’autorité administrative peut notifier aux fournisseurs d’accès à Internet la liste des sites Internet concernés afin qu’ils en bloquent l’accès sans délai.

Par ces trois lois, il apparaît clairement que le contrôle judiciaire s’écarte de plus en plus de l’action des autorités administratives. Le débat provoqué par l’adoption de ces textes et qui fut le même lors de l’adoption de la loi HADOPI[4] se situe sur la disparition du contrôle préalable de l’autorité judiciaire qui est supprimé au profit de l’autorité administrative.

Une solution pourrait résider dans le blocage hybride à savoir effectué par la l’autorité judiciaire mais à l’initiative d’une autorité administrative. Ce système existe déjà pour les sites proposant des jeux d’argent ou de hasard où les tribunaux donnent droit ou non à une demande de l’ARJEL[5] concernant le blocage de sites litigieux.

Ces demandes au tribunal pourraient d’ailleurs être facilement alimentées par le dispositif instauré par la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004[6] qui oblige les hébergeurs de mettre en place un mécanisme facilement accessible et visible permettant à toute personne de porter à leur connaissance des données répréhensibles, à l’image de la devenue célèbre plateforme Pharos[7].

Toutefois, au final et concrètement, il appartient de s’interroger sur l’efficacité de cet arsenal juridique. Il est certain qu’il ne sert à rien de se précipiter dans la volonté d’une surveillance généralisée du web car d’une part les contenus de la toile restent avant tout une source de renseignements très précieuse pour les services de renseignements[8] et d’autre part, l’utilisation du chiffrement ou de plateformes d’échanges alternatifs tels RuTube permettra toujours de contourner les mesures de contrôle imposées par la loi française.

Par contre, il est indéniable qu’il faille augmenter les moyens humains et financiers, autant du ministère de l’intérieur que du ministère de la justice ainsi que renforcer la coopération européenne voire internationale en cybercriminalité afin de pouvoir sanctionner les sites terroristes même quand le site se situe à l'étranger.

Le temps législatif ne doit pas être guidé par l’émotion, les meilleures lois ne sont pas celles rédigées dans l’urgence. Avant de se précipiter dans l'écriture de nouvelles législations, il est important dans un premier de réaffirmer simplement les infractions existantes en matière de censure des contenus illicites sur Internet[9] et leurs punitions. Ces dernières doivent être appliquées avec discernement et sans zèle[10] par la justice, première garante, avant la police, du bon équilibre entre les libertés individuelles et la sécurité de la nation.



Sources : « Le terrorisme et les libertés sur l’internet » par Philippe Ségur pp.160-165 ; AJDA  n°3 du 2 février 2015.
 "Loi du 13 novembre 2014 sur la lutte contre le terrorisme : sur le blocage des sites internet, la liberté d'expression et le risque d'abus de la notion de terrorisme" par Antoine Cheron, Avocat

[1] Loi n°2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI)

[2] Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale

[3] Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme

[4] Loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet

[5] Autorité de régulation des jeux en ligne

[6] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

[7] Le portail officiel de signalement de contenus illicites de l’Internet (internet-signalement.gouv.fr) rattaché  à l’office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)


[9] Il existe notamment les articles 227-23 et 227-24 du code pénal qui visent à protéger les mineurs contre la pédopornographie et les articles R624-3 et R625-7 et suivants du code pénal qui sanctionnent des diffamations et injures non publiques présentant un caractère raciste ou discriminatoire et des provocations non publiques à la discrimination, à la haine ou à la violence

Publié par à Aucun commentaire:
Libellés : , , , , , , , , , ,
Inscription à : Articles (Atom)