OEil pour oeil, dent pour dent : Apple pourrait être la première victime collatérale du « Huawei bashing »

La marque à la pomme risque d’être la première grande firme américaine – un des GAFA qui plus est – à payer très cher l’ostracisme que les Etats-Unis font subir au géant chinois Huawei. Si la loi du talion est gravée dans la Bible, elle semble aussi être une règle non-écrite de la Constitution chinoise. Représailles en vue.

« Tu donneras vie pour vie, oeil pour oeil, dent pour dent, main pour main, pied pour pied, brûlure pour brûlure, meurtrissure pour meurtrissure, plaie pour plaie », dit la Bible (1), qui n’est finalement pas si pacifique qu’on le dit. La Chine va faire sienne cette loi du talion en prenant des mesures de rétorsion à l’encontre d’entreprises américaines, au premier rang desquelles Apple. D’après le Global Times, quotidien proche du Parti communiste chinois au pouvoir, Pékin est prêt à prendre « des contre-mesures » ciblant des entreprises américaines. Dans un article publié le 15 mai dernier, complété par deux autres, Apple est cité en premier, suivi de Qualcomm, Cisco et Boeing. « La Chine prendra des contremesures, comme inclure certaines entreprises américaines dans sa liste d’‘’entités non fiables’’, imposer des restrictions aux entreprises américaines comme Qualcomm, Cisco et Apple, ou mener des enquêtes à leur sujet, et suspendre les achats d’avions de Boeing ».

L’Executive Order « anti-Huawei » prolongé d’un an
Le ministère chinois du Commerce – le Mofcom – a confirmé en mai la préparation de cette liste noire où Apple figurera en bonne place. L’Empire du Milieu est donc prêt à rendre coup sur coup, alors que son fleuron technologique Huawei – numéro deux mondial des smartphones en 2019 devant… Apple (4) – fait l’objet depuis près de dix ans maintenant d’une discrimination de la part de l’administration Trump, allant jusqu’à son bannissement des infrastructures 5G aux Etats-Unis il y a un an. Fondée en 1987 par Ren Zhengfei, suspect aux yeux des Etats-Unis pour avoir été un technicien de l’Armée chinoise de 1974 à 1982, la firme de Shenzhen est plus que jamais dans le collimateur de Washington. Xi Jinping (photo), président de la République populaire de Chine, semble donc déterminé à rétorquer à Donald Trump, président des Etats-Unis d’Amérique (lequel a prêté serment sur la Bible) dans la bataille économique qui les oppose. Leurs Big Tech respectives sont Continuer la lecture

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

L’Icann : 15 ans de règne américain sur l’Internet

En fait. Le 18 novembre, l’Icann (Internet Corporation for Assigned Names and Numbers), l’organisme américain qui coordonne la gestion des adresses IP et des noms de domaine sur Internet, a annoncé la constitution d’un groupe de réflexion sur l’avenir de la gouvernance du réseau des réseaux.

En clair. Une nouvelle gouvernance d’Internet, plus internationale et moins américaine, pourrait voir prochainement le jour. Mais l’Icann, organisation de droit californien sans but lucratif née en septembre 1998, tente de garder la main sur la régulation du Net face aux critiques qui lui sont de plus en plus adressées. C’est l’Icann qui autorise par exemple VeriSign ou l’Afnic à vendre respectivement les noms de domaines « .com» et « .fr ». Basé à Playa Vista en Californie, l’Icann a décidé de créer « un groupe de réflexion
de haut niveau » (1) avec plusieurs parties prenantes (pouvoirs publics, société civile, secteur privé, communauté technologique et organismes internationaux) pour préparer
« l’avenir de la coopération internationale pour Internet ».
La première réunion du groupe, présidé par le président estonien Toomas Ilves et vice-présidé par Vinton Cerf, cofondateur d’Internet (avec le Français Louis Pouzin) et vice-président de Google, se tiendra les 12 et 13 décembre prochains à Londres, pour
ensuite rendre un rapport début 2014. Il s’agit pour l’Icann de donner des gages sur
des « principes d’une coopération mondiale pour Internet ».

Il y a urgence, car l’Icann voit son autorité de plus en plus contestée à travers la planète quant à son rôle très américain de régulateur mondial d’Internet.
Le rapport du groupe de travail devra tenter de désarmer les critique à son égard, avant que la gouvernance de l’Internet soit débattu dans deux haut lieux internationaux : le Forum économique mondial à Davos du 22 au 25 janvier prochain et – à l’appel de la présidente brésilienne Dilma Rousseff – le sommet international sur la gouvernance mondiale d’Internet prévu par le Brésil en avril 2014. C’est que la déclaration de Montevideo « sur l’avenir de la coopération pour Internet », daté du 7 octobre dernier, marque un tournant. En Uruguay, les dix dirigeants des organisations responsables
de la coordination technique d’Internet au niveau mondial (2), ont en effet « appelé à l’accélération de la mondialisation des fonctions de l’IANA (3) et de l’Icann vers un environnement dans lequel toutes les parties prenantes, y compris tous les gouvernements, participent sur un pied d’égalité ». Mais ils ont aussi mis en garde
contre une fragmentation du Net au niveau national. Une vraie gouvernance internationale de l’Internet reste à inventer. @

Futur du Net : équilibre entre neutralité et sécurité

En fait. Le 21 janvier, les trois fondateurs de l’Internet – Vinton Cerf, Robert Kahn
et Louis Pouzin – ont évoqué le futur du « réseau des réseaux », à l’invitation de Forum Atena. Le Français était en visioconférence de Paris avec les deux Américains, l’un de Washington, l’autre de Californie. Historique.

En clair. Les trois pères fondateurs de l’Internet se posent de sérieuses questions à propos de l’avenir de leur « bébé », que cela soit sur sa capacité à supporter toutes
les connexions des terminaux – fixes ou de plus en plus mobiles – et des objets ou
à acheminer tous les contenus et services. « Avec 1,7 milliard d’internautes dans le monde et la montée en puissances des mobiles utilisés par 4 milliards d’humains, Internet est en plus de plus en plus sollicité. La radio, la télévision et autres médias
y convergent, avec les conséquences technologiques et économiques que cela engendre », a déclaré Vinton Cerf, qui a créé le protocole Internet TCP/IP après
s’être inspiré en mars 1973 des travaux du Français Louis Pouzin sur le datagramme (commutation de paquets) lors d’une visite rendue à Louveciennes. Recruté il y a cinq ans par Google, dont il est vice-président, l’Américain a fait part de ses trois préoccupations au regard du Net : la sécurité, la capacité et la neutralité du réseau.
Son compatriote Robert Kahn, président de la Corporation for National Research Initiatives, estime que la Net Neutrality doit aboutir à ce que les fournisseurs d’accès
à Internet « jouent la transparence » à l’égard des internautes, s’il doit y avoir différenciation de qualité de services. Pour l’architecte du réseau Arpanet dans les années 70, le problème est qu’« il faudrait harmoniser les réglementations nationales au regard d’Internet, devenu un système d’information global ». Quant à Louis Pouzin, pour qui « Internet présente beaucoup de défauts », il estime que le futur du Net s’affranchira des sept couches du modèle ISO, lesquelles séparent encore sur le réseau les communications physiques des applications situées dans les couches plus hautes. Cela passe par des “Sabots”, lesquels permettraient d’établir au-dessus de l’architecture réseau des liaisons de bout en bout avec identification et qualité de services intégrées entre deux communiquants. Comme l’Américain John Day (1),
qui parle lui de « DIF » (pour Distributed Inter-process communications Function),
le Français pense qu’Internet est à bout de souffle car « trop gros et trop ouvert » et dépassé par la mobilité. Les “Sabots” ou les “DIF”, sortes de réseaux privés virtuels sécurisés et maîtrisés, permettraient de lui apporter une meilleure sécurité, une meilleure gestion évolutive et une meilleure interface pour les services et les contenus qu’il propose. @