La 6G n’attend plus que sa feuille de route 2030

En fait. Le 20 juin, la Commission européenne et le Haut représentant de la diplomatie de l’UE ont présenté ensemble la « stratégie européenne de sécurité économique ». Parmi les technologies à promouvoir pour préserver la « souveraineté » européenne : la 6G, face à la Chine qui n’est pas mentionnée.

En clair. Ursula von der Leyen, présidente de la Commission européenne, et Josep Borrell, chef de la diplomatie de l’Union européenne (UE) ont présenté le 20 juin un document commun intitulé « Stratégie européenne de sécurité économique » afin de « minimiser les risques (…) dans le contexte de tensions géopolitiques accrues et de changements technologiques accélérés » et de « promouvoir son avantage technologique dans des secteurs critiques ». Parmi les technologies à promouvoir, le document de 17 pages (1) mentionne notamment la 6G aux côtés de l’informatique quantique (quantum), des semi-conducteurs (chips) et de l’intelligence artificielle (IA).
La Chine n’est pas citée dans ce document, mais le spectre de Pékin plane. En revanche, dans son discours le 20 juin portant sur cette « sécurité économique » de l’Europe, la vice-présidente Margrethe Vestager a explicitement visé la Chine et ses deux équipementiers télécoms mondiaux, Huawei et ZTE (2). Et ce, en rappelant que la Commission européenne a, le 15 juin, fortement incité les Etats membres qui ne l’ont pas déjà fait – comme l’Allemagne voire la France – de ne plus recourir aux technologies 5G de Huawei et ZTE, les deux chinois étant cités nommément par le commissaire européen au Marché intérieur, Thierry Breton (3). Il va sans dire que la 6G est concernée par ce bannissement initié par les Etats-Unis, lesquels font pression sur les pays de l’UE et de l’OTAN pour faire de même. Pour se défendre de tomber dans le protectionnisme, la stratégie européenne de sécurité économique veut aller de pair avec « la garantie que l’Union européenne continue de bénéficier d’une économie ouverte ». La Finlande, elle, a signé le 2 juin avec les Etats-Unis une déclaration commune de « coopération dans recherche et développement de la 6G », sans que l’équipementier finlandais Nokia ne soit mentionné dans le joint statement (4). Nokia comme le suédois Ericsson profiteront de l’éviction politique de leur deux plus grands rivaux chinois.
Reste à savoir si la 6G aura des fréquences harmonisées dans l’ensemble des Vingt-sept. Lors de la 18e conférence européenne sur le spectre, qui s’est tenue les 6 et 7 juin derniers à Bruxelles et à laquelle participait l’Agence nationale de fréquences (ANFR) pour la France, un consensus s’est dégagé sur « la nécessité d’une feuille de route claire sur le spectre pour la 6G à l’horizon 2030 » (5). A suivre. @

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

Œil pour œil, dent pour dent : Apple pourrait être la première victime collatérale du « Huawei bashing »

La marque à la pomme risque d’être la première grande firme américaine – un des GAFA qui plus est – à payer très cher l’ostracisme que les Etats-Unis font subir au géant chinois Huawei. Si la loi du talion est gravée dans la Bible, elle semble aussi être une règle non-écrite de la Constitution chinoise. Représailles en vue.

« Tu donneras vie pour vie, œil pour œil, dent pour dent, main pour main, pied pour pied, brûlure pour brûlure, meurtrissure pour meurtrissure, plaie pour plaie », dit la Bible (1), qui n’est finalement pas si pacifique qu’on le dit. La Chine va faire sienne cette loi du talion en prenant des mesures de rétorsion à l’encontre d’entreprises américaines, au premier rang desquelles Apple.
D’après le Global Times, quotidien proche du Parti communiste chinois au pouvoir, Pékin est prêt à prendre « des contre-mesures » ciblant des entreprises américaines. Dans un article publié le 15 mai dernier, complété par deux autres, Apple est cité en premier, suivi de Qualcomm, Cisco et Boeing (2). « La Chine prendra des contremesures, comme inclure certaines entreprises américaines dans sa liste d’‘’entités non fiables’’, imposer des restrictions aux entreprises américaines comme Qualcomm, Cisco et Apple, ou mener des enquêtes à leur sujet, et suspendre les achats d’avions de Boeing ». Le ministère chinois du Commerce – le Mofcom (3) – a confirmé en mai la préparation de cette liste noire où Apple figurera en bonne place. L’Empire du Milieu est donc prêt à rendre coup sur coup, alors que son fleuron technologique Huawei – numéro deux mondial des smartphones en 2019 devant… Apple (4) – fait l’objet depuis près de dix ans maintenant d’une discrimination de la part de l’administration Trump, allant jusqu’à son bannissement des infrastructures 5G aux Etats-Unis il y a un an.

L’Executive Order « anti-Huawei » prolongé d’un an
Fondée en 1987 par Ren Zhengfei, suspect aux yeux des Etats-Unis pour avoir été un technicien de l’Armée chinoise de 1974 à 1982, la firme de Shenzhen est plus que jamais dans le collimateur de Washington. Xi Jinping (photo), président de la République populaire de Chine, semble donc déterminé à rétorquer à Donald Trump, président des Etats-Unis d’Amérique (lequel a prêté serment sur la Bible) dans la bataille économique qui les oppose. Leurs Big Tech respectives sont les premières à être prises en otage, sur fond de guerre commerciale et de protectionnisme économique. Hasard du calendrier, le 15 mai correspondait aussi aux un an du décret – un Executive Order (5) – pris par Donald Trump.

Des années d’accusations sans preuve
Ce fameux décret « 13873 » (6) interdit aux entreprises américaines de se fournir en équipements high-tech et télécoms auprès de fabricants soupçonnés de vouloir porter atteinte à la « sécurité nationale » et à la cyber sécurité des Etats-Unis – avec Huawei et son compatriote ZTE en ligne de mire, mais sans les nommer. Pour monter d’un cran les hostilités, le locataire de la Maison-Blanche a fait savoir le 13 mai qu’il prolongeait ce décret d’une année supplémentaire. « L’acquisition ou l’utilisation sans restriction aux Etats-Unis de technologies de l’information et des communications ou de services conçus, développés, fabriqués ou fournis par des entreprises détenues par, contrôlées par, ou soumises à des juridictions ou directions des adversaires étrangers, donne la capacité à ces derniers de créer et d’exploiter des vulnérabilités dans les services ou technologies de l’information et des communications, avec des effets potentiellement catastrophiques. Cela représente une menace inhabituelle et extraordinaire pour la sécurité nationale, la politique étrangère et l’économie des Etats-Unis », justifie Donald Trump (7) pour « prolonger d’un an l’urgence nationale » décrétée par l’Executive Order du 15 mai 2019 – à savoir jusqu’au 15 mai 2021. Plus que jamais, Huawei est montré du doigt et présenté comme une soi-disant cyber menace que la firme de Shenzhen a toujours réfutée. Depuis la première enquête engagée en septembre 2011 par la commission du Renseignement de la Chambre des représentants des Etats-Unis, il y a donc près de dix ans, aucune preuve des allégations américaines de cyber espionnage ou de cyberattaques de la part de Huawei ou de ZTE n’a été apportée. Au pays de l’Oncle Sam, le fantasme technologique se le dispute à la théorie du complot ! Jusqu’à preuve du contraire. A l’autre bout de la planète, on fulmine : « La Chine doit être préparée au pire scénario de découplage complet avec les Etats-Unis dans le secteur de la haute technologie. Bien que la menace de découplage de l’administration Trump avec la Chine fasse partie de sa stratégie électorale [la prochaine élection présidentielle américaine aura lieu le 3 novembre 2020, ndlr], l’approche radicale de suppression de la Chine est devenue une tendance irréversible aux Etats-Unis », déclare le Global Times dans un édito du 15 mai (8). Apple devrait être la première victime collatérale de ce conflit sino-américain, lorsque Pékin mettra ses menaces à exécution en réponse à Washington. La goutte qui a fait déborder le vase chinois, c’est la décision annoncée le 15 mai par l’administration Trump – via son département américain au Commerce (DoC) – de « répond [re] aux efforts de Huawei pour saper la “Entity List” [la liste noire des entreprises bannies des Etats-Unis, ndlr] en restreignant sa possibilité d’utiliser des produits conçus et fabriqués avec des technologies américaines pour concevoir et fabriquer ses semi-conducteurs ». Hisilicon, la filiale de la firme de Shenzhen, fabrique des puces pour smartphones et stations de base 5G. Mais elle se fournit massivement auprès du taïwanais TSMC (9) pour la production. Or ce dernier – numéro un mondial des fabricants de semi-conducteurs (10) – produit aussi ses technologies de microprocesseurs sur le sol américain, et compte Huawei comme gros client à hauteur d’environ 10 % de son chiffre d’affaires. TSMC, qui selon le quotidien économique japonais Nikkei ne prend plus de commandes de Huawei, s’est soumis aux dictats étatsuniens au moment où il a annoncé la construction d’une nouvelle usine dans l’Arizona (11). Le taïwanais fournit aussi les américains Qualcomm et Nvidia. Huawei a dénoncé le 18 mai la décision « arbitraire et pernicieuse » du DoC. Depuis avril, cette fois, ce sont les opérateurs télécoms China Telecom et China Mobile et leurs filiales américaines respectives qui sont dans le collimateur de la justice américaine (DoJ) et le régulateur fédéral des communications (FCC) : leurs licences américaines pourraient être révoquées. Décidément, dans sa croisade « anti-Huawei », tous les coups sont permis de la part de l’administration Trump. Avant même que Pékin ne fasse jouer la loi du talion, Apple – sur le point d’être à son tour sur liste noire – voit déjà le fabricant chinois de ses iPhone – le taïwanais Foxconn, filiale du groupe Hon Hai – confronté à la crise économique déclenchée par la pandémie du covid-19. Hon Hai prévoit une chute de ses revenus d’au moins 15 % par rapport à l’année précédente.

La Chine, près de 15 % des revenus d’Apple
Apple – icône des GAFA – a tout à perdre de ce bras de fer entre Washington et Pékin, d’autant que la marque à la pomme a pris ses quartiers sur le vaste marché chinois : au premier trimestre 2020, la Chine représentait 14,8 % du chiffre d’affaires total d’Apple. Depuis le 11 mai, l’action de la firme de Cupertino au Nasdaq commence à montrer des signes de faiblesse : – 2,3 % (au 18-05-20). Les quatre iPhones compatibles 5G sortiront à l’automne prochain, mais avec plusieurs semaines de retard. Fin avril, lors des résultats de son second trimestre de l’année fiscale décalée, Apple n’a fourni aucune prévision. Et ce, pour la première fois en plus d’une décennie. @

Charles de Laubier

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

L’Icann : 15 ans de règne américain sur l’Internet

En fait. Le 18 novembre, l’Icann (Internet Corporation for Assigned Names and Numbers), l’organisme américain qui coordonne la gestion des adresses IP et des noms de domaine sur Internet, a annoncé la constitution d’un groupe de réflexion sur l’avenir de la gouvernance du réseau des réseaux.

En clair. Une nouvelle gouvernance d’Internet, plus internationale et moins américaine, pourrait voir prochainement le jour. Mais l’Icann, organisation de droit californien sans but lucratif née en septembre 1998, tente de garder la main sur la régulation du Net face aux critiques qui lui sont de plus en plus adressées. C’est l’Icann qui autorise par exemple VeriSign ou l’Afnic à vendre respectivement les noms de domaines « .com» et « .fr ». Basé à Playa Vista en Californie, l’Icann a décidé de créer « un groupe de réflexion
de haut niveau » (1) avec plusieurs parties prenantes (pouvoirs publics, société civile, secteur privé, communauté technologique et organismes internationaux) pour préparer
« l’avenir de la coopération internationale pour Internet ».
La première réunion du groupe, présidé par le président estonien Toomas Ilves et vice-présidé par Vinton Cerf, cofondateur d’Internet (avec le Français Louis Pouzin) et vice-président de Google, se tiendra les 12 et 13 décembre prochains à Londres, pour
ensuite rendre un rapport début 2014. Il s’agit pour l’Icann de donner des gages sur
des « principes d’une coopération mondiale pour Internet ».

Il y a urgence, car l’Icann voit son autorité de plus en plus contestée à travers la planète quant à son rôle très américain de régulateur mondial d’Internet.
Le rapport du groupe de travail devra tenter de désarmer les critique à son égard, avant que la gouvernance de l’Internet soit débattu dans deux haut lieux internationaux : le Forum économique mondial à Davos du 22 au 25 janvier prochain et – à l’appel de la présidente brésilienne Dilma Rousseff – le sommet international sur la gouvernance mondiale d’Internet prévu par le Brésil en avril 2014. C’est que la déclaration de Montevideo « sur l’avenir de la coopération pour Internet », daté du 7 octobre dernier, marque un tournant. En Uruguay, les dix dirigeants des organisations responsables
de la coordination technique d’Internet au niveau mondial (2), ont en effet « appelé à l’accélération de la mondialisation des fonctions de l’IANA (3) et de l’Icann vers un environnement dans lequel toutes les parties prenantes, y compris tous les gouvernements, participent sur un pied d’égalité ». Mais ils ont aussi mis en garde
contre une fragmentation du Net au niveau national. Une vraie gouvernance internationale de l’Internet reste à inventer. @