Droit de la cybersécurité

Alice Mornet

Moodle : https://e-uapv2024.univ-avignon.fr/course/view.php?id=2282

Introduction au droit de la cybersécurité

Arnaud Latil (auteur de "Le droit du numérique : une approche par les risques"): le droit de la cybersec est un droit des risques cyber

"ses sources et ses acteurs principaux"

janvier 2009 ("c'est un peu vieux"), sondage OpinionWay : 95% des entreprises interrogées constataient avoir été victimes d'au moins 1 attaque de cybersec au cours de l'année écoulée
rapport d'activité 2023 de l'ANSSI : 1112 "incidents"[1] dans l'année
attaques nombreuses et variées

Thales et Verint, 2019 : annuaire mondial des cybercriminels les plus dangereux
liste une 60aine d'organisations classées en 4 catégories, en fonction de leur motivation :

  • 49% des organisations sont en réalité parrainées par des États : vol d'informations, paralysie des services essentiels
  • 26% d’activités dont l'intérêt est idéologique
  • 20% de cybercriminels aux intérêts purement pécuniaires (attaques lucratives ; la plus courante est le rançonnement)
  • 5% sont des groupes terroristes ("je reconnais que la distinction est floue")

Pasted image 20250104154117.png

pendant la crise sanitaire, la présidente de la Commission européenne a accusé la Chine de cyberattaques ciblant les hôpitaux, et d'avoir mené en France une campagne de désinformation
la guerre en Ukraine donne aussi lieu à de nombreuses cyberattaques : campagnes de renseignement stratégie
dernier rapport d'activités de l'ANSSI, "il est vraiment pas mal, je vous le mettrai sur le Moodle" : la Russie multiplie les cyberattaques contre la France
juillet 2002 : l'Albanie est la cible de cyberattaques visant à déstabiliser l'État, entraînant l'indisponibilité temporaire de plusieurs services numériques

"des entreprises ou particuliers, on est tous concernés"

Définition de la cybersécurité

l'ANSSI a proposé une définition technique : "l'état recherché pour un système d'information qui lui permet de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises, et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles"
l'ANSSI ajoute "la cybersécurité fait appel à des techniques de sécurité des SI et s'appuie sur la lutte contre la cybercriminalité et la mise en place d'une cyberdéfense"

autre définition, "plus simple et plus stratégique", proposée dans le règlement (Cybersecurity Act) relatif à l'agence européenne pour la cybersécurité (ENISA) : "les actions nécessaires pour protéger les réseaux et les SI, pour protéger également les utilisateurs de ce système et les autres personnes exposées aux cybermenaces"

"pour simplifier, on pourrait définir la cybersec à partir de 2 critères" :

  • critère matériel : la cybersec protège le numérique (données, réseaux, SI et utilisateurs)
  • critère finaliste : l'intention de protéger contre les cybermenaces

Définitions connexes

"est-ce qu'il existe une définition juridique des données ?"
art. 2 §1 du Data Act : toute représentation numérique d'acte, de fait ou d'information, ou toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels

"moi j'allais vous donner la définition de la convention de Budapest, du Conseil de l'Europe, relative à la cybersécurité" : toute représentation de faits, d'informations ou de concepts, sous une forme qui se prête à un traitement informatique, y compris un programme de nature à faire en sorte qu'un SI exécute une fonction

parmi ces données, "vous le savez", certaines sont à caractère personnel : elles font l'objet d'une protection plus importante et l'application d'un régime particulier

"comment vous définiriez les réseaux ?"
tout dispositif ou tout ensemble de dispositifs interconnectés ou apparenté dont un ou plusieurs éléments assurent en exécution d'un programme un traitement automatisé de données numériques

système d'information : directive du 12 août 2013 relative aux attaques contre les SI
dispositif isolé ou un ensemble de dispositifs interconnectés ou apparenté qui assure en exécution d'un programme un traitement automatisé de données, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou cet ensemble de dispositifs en vue du fonctionnement de l'utilisation de la protection et de la maintenance de celui-ci

cyberespace (défini par l'ANSSI) : espace de communication constitué par l'interconnexion mondiale d'équipements de traitement automatisé de données numériques
les 3 couches du cyberespace : matérielle (infrastructures), logique (logiciels), cognitive ou informationnelle (contenu, données)

actions d'ingénierie sociale (ANSSI) : manipulations consistant à acquérir un bien ou une information en exploitant la confiance, l'ignorance, ou la crédulité de tierces personnes

"on les appelle phishing, spoofing, etc. mais en droit pénal, tout ça c'est de l'escroquerie"

virus (ANSSI) : programme malveillant dont le but est de survivre sur un SI et bien souvent d'en atteindre ou d'en parasiter les ressources
cheval de Troie (ANSSI) : programme ayant une fonction malveillante, caché dans un programme à la réputation sûre

Sources de la cybersécurité

Textes internationaux

convention de Budapest du conseil de l'Europe relative à la cybercriminalité, adoptée le 23 novembre 2001
47 États parties du conseil, mais aussi des États tiers comme les États-Unis ou la Turquie

cette convention :

  • liste des infractions de cybercriminalité que les États doivent intégrer dans leurs droits pénaux, pour éviter les paradis pénaux
  • facilite l'entraide pénale entre les signataires
  • comporte 2 protocoles additionnels :
    • le 1er adopté le 28 janvier 2003, porte sur l'incrimination d'actes de nature raciste et xénophobe commis par le biais des systèmes informatiques
    • le 2nd (12 mai 2022) vise à faciliter l'entraide judiciaire entre les États parties s'agissant de la captation et de la circulation des preuves numériques
      "c'est un peu le nerf de la guerre, ça permettrait à Orange de conserver les données et de les transférer aux autorités espagnoles par exemple"
      "le protocole a été ratifié par tous les États sauf l'Irlande et la Suède, et Facebook a ses data centers là-bas, ce n'est pas une coïncidence"

Textes de l'UE

1. Textes relatifs à la lutte contre la cybercriminalité

décision-cadre de 2005 relative aux attaques ciblant les SI
"c'est un peu la même idée que la convention de Budapest" : harmoniser les législations nationales s'agissant des infractions qui portent atteinte aux SI
remplacée par une directive de 2013 qui va un peu plus loin dans l'harmonisation des droits pénaux nationaux

"il faut également noter" le règlement e-Evidence du 27 juin 2023 relatif aux preuves électroniques

2. Textes relatifs à la sécurité des SI

directive NIS 1 : mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des SI dans l'UE
elle a principalement 4 objectifs :

  • renforcer les capacités nationales de cybersec => obliger les États à se doter d'autorités nationales en matière de cybersec (l'ANSSI en France) et d'autorités nationales en matière de cyberdéfense, et élaborer une stratégie nationale de cybersécurité
  • établir une coopération entre États membres en matière de cybersec
  • protéger particulièrement les opérateurs de services essentiels
  • instaurer des règles communes en matière de cybersec

directive remplacée par une directive du 14 décembre 2022 NIS 2, devait être transposée au 18 octobre 2024 au plus tard

  • ajoute à NIS 1 le réseau Cyclone (réseau des autorités nationales de cybersécurité)
  • le périmètre est considérablement élargi : "on le verra mais" quasiment toutes les entreprises et administrations sont désormais concernées
  • enfin, un régime de sanctions qui ressemblera fortement à celui existant pour le RGPD

Cybersecurity Act, règlement de 2019 relatif à l'agence européenne pour la cybersécurité (ENISA)
donne à ENISA des pouvoirs et pose un cadre unique pour les méthodes de certification dans le domaine de la cybersécurité

directive de 2022 sur la résilience des entités critiques
règlement DORA du 14 décembre 2022 sur la résilience opérationnelle du numérique, qui concerne essentiellement le secteur de la finance

"on a quand même beaucoup de textes dans l'UE, c'est un domaine très harmonisé car transnational par nature"

Textes sectoriels

"ici ça va aller très vite, c'est des textes que vous connaissez"

directive police-justice, "je fais ma thèse là-dessus"

textes nationaux : "vous pouvez laisser un trou dans votre cours et juste copier-coller ce que vous avez déjà noté ailleurs" :

  • loi Informatique et libertés
  • loi de 1988 qui crée les infractions portant atteinte aux STAD (arts. 323-1 et suiv.)
    "en 1988 on cherchait plutôt à punir, aujourd'hui on est davantage dans une approche de prévention"
  • loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 (cryptographie)
  • lois de programmation militaire : 18 décembre 2013, celle de 2018 et celle de 2024 qui s'intéresse aux infrastructures critiques et protégées ou OIV (organismes d'importance vitale), "on les étudiera"

Code de la cybersécurité, "c'est un code éditeur, mais il est vachement bien"

Acteurs de la cybersécurité

Acteurs nationaux

ANSSI

crée en 2009 pour remplacer la Direction centrale de la sécurité des SI
rattachée au secrétaire général de la défense et de la sécurité nationale qui est chargé d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale

missions

  • sensibilisation, conseil, accompagnement des acteurs de la cybersec
  • contrôle et inspection des SI des services de l'État ou d'opérateurs, publics ou privés ; délivre des agréments
  • "on l'a déjà dit", accompagnement notamment dans le cadre du Centre opérationnel de la sécurité des SI (COSSI)
    • évaluer l'état de la cybermenace afin d'anticiper, détecter et répondre à une cyberattaque
    • au sein du COSSI se trouve le Centre de cyberdéfense, chargé de veiller 24h/24 et d'alerter les autorités gouvernementales en cas de menace potentielle, et de piloter la cyberdéfense
GIP ACYMA

gère la plateforme cybermalveillance.gouv.fr

prévenir et assister les victimes d'actes de cybermalveillance, qu'ils s'agisse de particuliers ou de collectivités territoriales
publie des rapports annuels
en 2023, 3,7 millions de visiteurs sur la plateforme et 280 000 demandes d'assistance, "ça commence à être connu"
pour la majorité des personnes physiques, les demandes portaient sur le phishing ; pour les entreprises, sur le ransomware

Opérateur des systèmes d'informations interministériels classifiés (OSIIC)

créé en 2020 par décret
chargé d'assurer les communications des plus hautes autorités de l'État

VIGINUM

détecter et analyser les dynamiques de propagation de contenus hostiles à la France sur les plateformes numériques orchestrés par les acteurs étrangers, étatiques ou non-étatiques

Acteurs européens

ENISA

a surtout vu ses compétences s'élargir en 2019 avec le Cybersecurity Act
plusieurs missions "que j'ai la flemme de détailler, mais vous les aurez dans le plan sur le Moodle"

Groupe européen de certification de cybersécurité

groupe composé des ANSSI européennes, va se focaliser sur les schémas de certification

Groupe de coopération

représentants de chaque autorité national de cybersec + 1 représentant de la commission européenne et 1 de l'agence ENISA
renforcer la coopération, développer la confiance mutuelle, "toujours la même chose quoi"

Europol

a mis en place dès 1996 un comité d'experts sur la cybersec
centre européen de lutte contre la cybercriminalité :

  • soutient les enquêtes nationales
  • analyse toutes les données fournies par les états sur les menaces, pour élaborer une véritable stratégie européenne de lutte contre la cybercriminalité
    "sur ce point, c'est plutôt une belle réussite" : 8 novembre 2021, arrestation de 2 hackers du groupe REVIL qui agissait principalement aux USA (plus de 5000 infections de SI, 200 millions d'€ de rançon, chacun avait empoché plus d'1,5 M€)

sur le site d'Europol se trouve l'espace No More Ransom : a permis "parfois" à des victimes de rançongiciel de récupérer leurs données sans verser de rançon
plus récemment, en association avec le FBI, Europol a pu arrêter les activités de TypeMixer (blanchiment de cryptomonnaies)

Les obligations de la cybersécurité

"on ne protège pas que les données, on protège aussi les réseaux et les SI (directives NIS)"
on distingue en réalité plusieurs catégories d'opérateurs selon leur niveau d'importance :

  • OIV = opérateurs d'importance vitale
  • OSE ("pour l'instant, on est encore dans la NIS 1") = opérateurs de services essentiels
  • FSN = fournisseurs de services numériques

"vous le savez, sur NIS 2 on prend un retard de fou, on va l'aborder mais pour l'instant c'est du prospectif"

Les opérateurs d'importance vitale (OIV)

sont apparus en droit avec un décret du 23 février 2006, adopté en application de la loi du 12 décembre 2005 relative à la défense
loi du 18 décembre 2013 relative à la programmation militaire : pose la trame normative de la sécurité des SI des OIV
2 décrets de 2015 :

  • sécurité des SI des OIV
  • qualification de produits de sécurité et prestataires des services de confiance pour les besoins de la sécurité nationale

A) Présentation des OIV

La cybersec des OIV s'intègre dans une dispositif global de sécurité d'importance vitale inscrit dans le Code de la défense

  • satisfaction des besoins essentiels pour la vie de la population, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense de la France, à la sécurité de la nation
    secteurs fixés par un arrêté du 2 juin 2006, légèrement modifié en 2018
    "on a identifié 12 secteurs d'activité : l'espace, la santé...", "si leur fonctionnement venait à être interrompu, cela aurait de graves conséquences sur le fonctionnement de l'État"
  • une fois ces secteurs identifiés, le ministre va identifier les organismes qui méritent cette appellation
    "on a quand même une définition en L.1332-1 Code de la défense"
    opérateurs publics ou privés qui exploitent des établissement ou utilisent des installations et ouvrages dont l'indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique la sécurité ou la capacité de survie de la nation"
  • il y aurait aujourd'hui 300 OIV, "évidemment la liste est tenue secrète, mais on peut deviner"

B) SI d'importance vitale (SIIV)

les OIV sont tenus de renforcer la sécurité des SI qu'ils exploitent
ces règles sont énoncées dans les arts. L1332-6-1 à L1332-6-6 du Code de la défense
définition : système pour lequel l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer de façon importante le potentiel de guerre ou économique la sécurité ou la capacité de survie de la nation ou pourrai présenter un danger grave pour la population, "on retrouve toujours la même formule"

1ère obligation : c'est aux OIV d'identifier les SSIV
l'ANSSI va prendre l'avis des ministres concernés et faire des observations à l'opérateur sur la liste qu'on lui a communiqué, et demander d'y ajouter ou de retirer d'autres SI=> l'opérateur sera tenu de suivre ces recommandations dans un délai de 2 mois
à l'inverse, si l'OIV décide d'ajouter ou supprimer un SI de la liste, il doit en informer l'ANSSI et préciser les raisons
dans tous les cas, l'OIV est tenu de renvoyer une liste tous les ans à l'ANSSI

2e obligation : les OIV vont devoir nommer un délégué pour la défense et la sécurité
son identité sera communiquée à l'ANSSI et au ministre compétent
ce délégué sera chargé de représenter l'OIV au sein de l'ANSSI, il sera habilité confidentiel-défense

3e catégorie d'obligation :
L1336-1 Code de la défense : charge le Premier ministre de fixer les règles de sécurité nécessaires à la sécurité des SIIV
charge les OIV de mettre en place à leur frais des systèmes de détection, en s'adressant à des prestataires ayant obtenu une qualification spécifique (Prestataire de détection d'incidents de sécurité), "en France on en a deux : Thales et Hub One"
"va analyser en temps réel de gros volumes de données afin de détecter les menaces potentielles et alerter au plus tôt les équipes chargées de protéger les SI"

le PM élabore les règles de cybersécurité en partenariat avec l'ANSSI, "elle intervient énormément pour élaborer ces règles de cybersécurité"
les règles de protection sont fixées par arrêté, ces derniers ne sont pas publiés

4e obligation : informer sans délai le ministre compétent des incidents qui affectent la sécurité des SI d'importance vitale
dans ce cadre, les OIV doivent mettre en place un SI spécifique pour stocker les données relatives aux analyses des incidents, ce système doit être cloisonné par rapport au SI concerné par l'incident
l'OIV doit aussi informer l'ANSSI (de manière confidentielle) qui l'aidera à faire face à cet incident

dernière catégorie d'obligation : les OIV vont faire l'objet de contrôles de conformité à la demande du PM
la charge de ces contrôles est supportée par l'opérateur lui-même
les sanctions sont prévues par l'art. L1332-7 Code de la défense : "pour les personnes morales, les amendes c'est ×5"

Les opérateurs de services essentiels (OSE)

le régime de la directive NIS de 2016 vise à renforcer la cybersécurité des opérateurs de services considérés comme essentiels au fonctionnement de l'économie et de la société
ce régime se superpose à celui des OIV : une même entité peut être à la fois soumise aux réglementations relatives aux OIV et à celle relative aux OSE
"quand on est OIV on est forcément OSE"

loi de transposition du 26 février 2018
décret du 23 mai 2018 relatif à la sécurité des réseaux et des SI des OSE

A) La présentation des OSE

Selon la directive NIS et sa loi de transposition, les OSE sont les opérateurs publics ou privés :

  • qui offrent des services essentiels au fonctionnement de la société ou de l'économie
  • dont les services sont tributaires des réseaux et des SI, "aujourd'hui on pourrait dire que c'est le cas pour tout le monde"
  • dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et les SI nécessaires à la fourniture de ces services
    effet disruptif important = pour l'apprécier, la directive NIS recommande aux États de prendre en compte certains facteurs :
    • nombre d'utilisateurs du service
    • portée géographique de l'incident
    • conséquences sur les fonctions économiques, sociales ou sur la sûreté publique
    • dépendance des autres secteurs à l'égard de ce service
    • part de marché
      mais c'était aux États membres seuls de déterminer qui sont les OSE sur son sol : en France, c'est le PM qui le désigne (sur recommandation des ministères concernés et de l'ANSSI)
      le PM envoie une lettre d'intention à l'opérateur pressenti, lequel doit y répondre en exposant ses réserves éventuelles ("ça représente un coût pour l’entité désignée, c'est rare qu'elle s'en réjouisse")

aujourd'hui, il y a 300 OSE, "là encore la liste est tenue secrète"

B) les SI des OSE

régime contraignant dont le but est d'assurer une protection adéquate des SI sur lesquels repose la fourniture de ces services

1ère obligation : désigner un représentant auprès de l'ANSSI

comme pour les OIV :

  • l'ANSSI va pouvoir faire des observations sur les listes des SI des OSE
  • les OSE seront tenus de suivre les recommandations de l'ANSSI
  • ils doivent communiquer la liste chaque année et en cas de modification

comme pour les OIV, elles doivent mettre en œuvre les règles de sécurité recommandées par le PM à leurs frais
4 catégories définies par la directive NIS :

  • assurer la gouvernance des réseaux et des SI : on fait des analyses de risque, on met en place une politique de cybersécurité
  • sécuriser et cloisonner le SI : "on met des pare-feux" ; sécuriser l'administration du SI : "ce sont les accès", "on va mettre en place des alertes", et "tout ce qui relève de la sécurité physique et environnementale, contrôler l'accès aux locaux, le risque sismique, etc."
  • gestion des crises proprement dites
  • veiller à la résilience des activités, "ce qui est un peu redondant avec la catégorie précédente" : règles portant sur la gestion des crises en cas d’incidents de sécurité qui ont un impact majeur

4e obligation : déclarer les incidents de sécurité, s'ils sont susceptibles d'avoir une incidence significative sur la continuité du service essentiel qu'ils fournissent

5e obligation : l'OSE doit se soumettre au contrôle, dont l'initiative relève du PM
si le PM veut organiser un contrôle, il va informer l'OSE au préalable en lui précisant les objectifs et le périmètre, et en fixant un délai de mise en conformité
un même réseau ou SI ne peut faire l'objet que d'un contrôle par an, "donc c'est plutôt cool", sauf dans 2 cas : présence d'un incident ou si le contrôle précédent a mis en lumière des manquements
sanctions : 100 000€ max si l'opérateur ne se conforme pas aux règles de sécurité, 75 000€ s'il ne déclare pas les incidents, 125 000€ s'il fait obstacle au contrôle

Fournisseurs de services numériques (FSN)

là encore, découle de la directive NIS 1

A) Définition

tous les FSN ne sont pas des FSN soumis à la directive NIS 1
en réalité, seuls 3 types de FSN sont concernés :

  • moteurs de recherche
  • services d'informatique en nuage
  • places de marché
    "la doctrine a regretté l'absence des réseaux sociaux"
    en outre, même pour les acteurs qui devraient relever des 3 catégories, ils sont exclus de l'application du régime dans le cas où ils emploient moins de 50 salariés ou dont le CA n'excède pas 10 millions d'€

B) Obligations

"on va retrouver les mêmes obligations, on va aller assez vite"

  • les FSN doivent établir et mettre à jour la liste des réseaux et SI concernés, en faisant des analyses d'impact ; ils doivent communiquer cette liste à l'ANSSI, etc. "c'est toujours pareil"
  • ils doivent identifier les risques et prendre des mesures de cybersec : NIS 1 n'imposait pas de mesure de sécurité particulière, et laissait libre chaque entité
  • déclarer les incidents de sécurité, là encore si l'incident est jugé significatif l'ANSSI doit être informé
    en France, on a ajouté une obligation : si l'ANSSI l'estime nécessaire, elle peut informer le public de l'incident, ou imposer au fournisseur de le faire
  • les FSN doivent se conformer aux contrôles : "c'est comme les OSE, c'est le PM qui décide des contrôles"
    les sanctions sont moins lourdes : 75 000€ lorsque les FSN ne se conforment pas aux mesures de sécurité, 50 000€ s'ils ne se conforment pas aux obligations de déclaration d'incident ou d'information du public, 100 000€ s'ils font obstacle au contrôle

Directive NIS 2

A) Nouvelles définitions

adoptée en même temps que 2 autres textes :

  • règlement DORA sur la résilience opérationnelle numérique dans le secteur financier, "on n'étudiera pas ça ensemble, c'est trop pointu"
  • directive du 14 décembre 2022 sur la résilience critique

cette directive devait être transposée en octobre 2024 : la date est depuis repoussée, "ils le mettent sur le dos de l'instabilité de notre gouvernement actuel"
un projet de loi a été déposé le 15 octobre 2024, "vous pouvez aller le consulter"

but de la directive : augmenter le niveau de cybersec au sein des États membres de l'UE

  • "NIS 1 c'est pas si vieux", mais les cyberattaques se sont perfectionnées, "et surtout il y a eu les confinements"
  • grandes disparités entre les États membres, notamment au niveau des sanctions : "sans certains, les manquements aux obligations de cybersec sont passibles d'une amende de 10 000€, dans d'autres c'est 19 millions"

avec la nouvelle directive NIS, on a 2 nouvelles catégories d'entités qui vont remplacer les OSE et les FSN : les entités essentielles et les entités importantes
pour que l'harmonisation soit effective, NIS 2 supprime le mécanisme de désignation des États : ils n'auront pas le choix de reconnaître certaines entités comme essentielles ou importantes
pour les entités importantes, 2 critères :

  • la criticité du secteur d'activité (annexes 1 et 2)
  • la taille de l'entité : nombre d'employés supérieur à 30 ou chiffre d'affaires/bilan annuel supérieur ou égal à 10 millions d'euros
    pour les entités essentielles :
  • secteur d'activité "hautement critique" (annexe 1)
  • taille "intermédiaire grande", c'est à dire au moins 250 employés, ou au moins 50 millions d'€ de CA, ou au moins 43M€ de bilan annuel
    quel que soit la taille de l'entreprise, les registres de nom de domaine et les FSN + les FAI et les services qui constituent les entreprises de taille moyenne constituent des entités essentielles, "j'essaierai de vous faire un schéma la semaine prochaine"
    toutes les entités reconnues par les États membres comme des OSE en vertu de la NIS1 + les "prestataires de services de confiance qualifié", ou les registres de noms de domaine quel que soit leur taille, deviennent des entités essentielles
    tout le reste devient des entités importantes

certaines entités échappent aux obligations de NIS 2 : les "micro ou petites entités"
définies par la directive = moins de 50 employés, ou moins de 10M€ de CA, ou bilan annuel inférieur à 5 M€
"vous comprenez que la NIS2 va concerner un très grand nombre d'entités" : en France, on estime passer de 500 (NIS1) à 15 000 entités (NIS2), et de 6 à 18 secteurs régulés
"c'est pour ça que la transposition soulève de gros enjeux"

échappent à NIS les domaines régaliens (défense, fiscal), qui dépendent de la souveraineté de l'État : ils restent sous le régime des OIV

B) Nouvelles obligations

on retrouve une logique de compliance ou d'approche par les risques : les entreprises sont invitées à adopter des mesures de gestion des incidents, etc.
NIS2 vient aussi préciser les modalités de communication et de déclaration d'incidents de cybersécurité : il faut obligatoirement déclarer les incidents importants

  • incident important = qui a causé ou est susceptible de causer une perturbation opérationnelle grave des services de l'entité concernée, ou qui a causé des pertes financières importantes
    ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales, en causant des dommages matériels, corporels ou moraux considérables
  • il faut respecter des délais (NIS1 n'en imposait aucun) et des procédures spécifiques

les procédures de contrôle sont "considérablement renforcées"
2 types de contrôle pour les entités essentielles

  • contrôles ex ante effectués à la discrétion de l'ANSSI, "ce sont des contrôles surprise, jusqu'à présent il n'y en avait pas"
  • contrôles ex post qui font suite
    - soit à l'existence de preuves qu'une entité ne satisfait pas aux exigences de cybersec
    - soit des notifications d'incidents par cette même entité
    pour les entités importantes, contrôles ex post uniquement

C) Les sanctions

harmonisées au niveau européen :

  • pour les entités essentielles : jusqu'à 2% du CA mondial ou 10 M€
  • et 1,4% pour les entités importantes
    "en France ça pouvait être très bas, là on change de logique, on est plus proche du RGPD"

Certification et chiffrement

ces garanties de la cybersec peuvent être définies comme les moyens juridiques mis en œuvre afin de s'assurer qu'un SI soit conforme aux obligations pesant sur les opérateurs
en réalité il en existe 2 : la certification et le chiffrement

1) La certification

A) Définition

attestation de la conformité et de la robustesse d'un produit
délivrée par un organisme tiers sous la surveillance d'une autorité publique

selon l'ANSSI, la certification repose sur une analyse de conformité ainsi que sur des tests de pénétration effectués selon un schéma et un référentiel adaptés au besoin de sécurité des utilisateurs en tenant compte des évolutions technologiques

B) Mise en œuvre dans le droit français

1. Certifications de droit commun

2 niveaux qui vont s'adapter selon les besoins de l'opérateur :

a. certification de critères communs (ou "tierce partie")

la plus exigeante
garantit qu'un logiciel ou un SI respecte des normes internationalement reconnues qui attestent de leur robustesse et de leur sécurité
"en France, il en existe plusieurs qui rentrent dans cette catégorie", qui vont s'adapter aux souhaits et besoins de l'opérateur (exigences de sécurité différentes, mécanismes de protection adaptés)

certificats reconnus en dehors de la France, en vertu d'accords internationaux signés par l'ANSSI, "ils sont donc très importants pour les opérateurs", "ça va représenter une plus-value économique et ça renforce la confiance des utilisateurs"

ce n'est pas l'ANSSI elle-même qui procède aux contrôles, mais un ou plusieurs organismes certificateurs agréés et indépendants ; l'ANSSI veille à la bonne exécution de l'évaluation, elle peut à tout moment demander à y assister ou à obtenir des informations sur leur déroulement
une fois l'évaluation terminée, l'ANSSI élabore un rapport de certification dans un délai d'1 mois ; ce rapport va conclure soit la délivrance du certificat, soit au refus de la certification

b. certification de sécurité de premier niveau

mis en place par l'ANSSI en 2008
permet d'obtenir un "premier niveau" de confiance -> alternative à la certification classique
plus courte et au coût moins élevé pour les organismes, "pour les opérateurs qui n'ont pas beaucoup de ressources, ça peut être intéressant"
tests "moins élevés et moins longs", "si ça vous intéresse y'a tout le processus publié sur le site de l'ANSSI" :

  • moins longue = ne dure que 2 mois en moyenne, alors que la certification critères communs dure en 6 et 18 mois
  • depuis mars 2022, les schémas de certification 1er niveau sont reconnus en Allemagne

"clairement moi, je ne vais pas plus loin, ça va rentrer dans les normes ISO, c'est hors de mes compétences"

cyberscore (loi de 2022) : "si vous faites le parallèle avec le nutriscore, vous pensez que ça va avoir une réelle incidence ?"
censé indiquer aux internautes le niveau de sécurité du site qu'ils fréquentent
cette obligation ne concernera que les "grandes plateformes numériques", messageries instantanées et sites de visioconférence "les plus utilisés"

le dispositif aurait du entrer en vigueur le 1er octobre 2023, "je ne suis même pas sûr qu'il entrera en vigueur un jour"

C) Mise en œuvre dans le droit européen

l'UE a estimé qu'il était nécessaire d'avoir une approche commune et d'établir un cadre européen de certification de cybersécurité
ce cadre doit permettre la reconnaissance et l'utilisation dans tous les États membres de certificats de cybersécurité européens et de déclaration de conformité de l'UE pour les produits TIC, les services TIC ou les processus TIC

1. objectifs de la certification en droit européen

règlement sur la cybersécurité adopté en 2019
selon ce règlement, le cadre européen de certification poursuit un double objectif :

  • harmoniser les schémas de certification nationaux
  • renforcer la confiance des utilisateurs
2. acteurs de la certification en droit européen

ce cadre européen de certification implique 5 acteurs dont le rôle est précisé dans le règlement de 2019 :

  • autorités nationales de certification de cybersec ("donc en France, l'ANSSI")
  • Groupe européen de certification de cybersec = représentants des autorités nationales, chargé d'aider à la préparation des schémas européens de certifications
  • organismes d'évaluation de la conformité = organismes nationaux d'évaluation que les États doivent avoir désignés conformément au règlement cybersécurité
  • organismes nationaux d'accréditation, qui ont la charge d'accréditer les organismes nationaux d'évaluation
  • l'ENISA (Agence européenne pour la cybersec) instituée avec le règlement de 2019 = c'est elle qui est responsable de la certification européenne et des schémas européens de certification
3. Adoption des schémas de certification

le règlement détaille 5 étapes :

  • programme glissant de travail : la Commission va consulter les États membres et les différentes parties prenantes
  • requête : une fois le programme défini, la Commission confie à l'ENISA la rédaction d'un schéma de certification sur la base des consignes définies à partir du programme glissant
  • rédaction : l'ENISA va préparer le schéma
  • revue technique : la proposition de schéma de l'ENISA est transmise aux groupe des autorités nationales afin de délivrer un avis technique
  • validation : la Commission va recevoir le schéma de certification et pourra l'adopter sous la forme d'un acte d'exécution

une fois le schéma adopté, les organismes pourront tenter d'obtenir la certification

4. Les différents niveaux d'assurance des schémas de certification

le règlement de 2019 définit 3 niveaux d'assurance :

a. niveau élémentaire

doit fournir l'assurance que les produits, processus et services TIC pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondant à un niveau qui vise à minimiser les risques élémentaires connus d'incidents et de cyberattaques
c'est le schéma le moins exigeant, "bien qu'il le soit quand même" : selon l'ANSSI, concerne les produits les moins critiques, destinés au grand public

b. niveau substantiel

offre un niveau qui vise à minimiser les risques liés à la cybersécurité connus, ainsi que les risques d'incidents et cyberattaques qui émanent d'acteurs aux aptitudes et ressources limitées
pour ce niveau, l'évaluation sera "un peu plus poussée" : selon l'ANSSI, concerne les opérateurs présentant un risque médian ("elle donne l'exemple des assureurs")

c. niveau élevé

minimiser le risque que des cyberattaques de pointe soient menées par des acteurs aux aptitudes solides et aux ressources importantes => concerne les produits critiques (véhicules connectés, dispositifs médicaux connectés)

le 31 janvier 2024, la Commission a adopté le 1er schéma de certification de cybersécurité, "vous pouvez allez voir le règlement d'exécution" qui prévoit que les certifications pourront commencer à partir du 27 février 2025

2) La cryptologie et le chiffrement

"sur ce point normalement, vous êtes meilleurs que moi"

cryptologie = science du secret
elle remonte à la Grèce antique (la scytale)

le chiffrement permet de garantir 3 choses :

  • authenticité : assurée par la signature électronique pour vérifier que le message a bien été envoyé par le détenteur d'une clé publique
  • intégrité : détecter si le message a été volontaire ou involontairement modifié
    hachage : assigne à un fichier une empreinte unique, calculable et vérifiable, souvent matérialisée par une longue suite de chiffres et de lettres précédée du nombre de l'algorithme utilité
  • confidentialité : seuls l'émetteur et le destinataire en connaissent le contenu, une fois chiffré le message est inaccessible et illisible par les humains comme les machines, sauf à disposer de la clé spécifique pour la lire

on distingue classiquement le chiffrement symétrique du chiffrement asymétrique :

  • symétrique = chiffrer et déchiffrer avec une seule clé secrète
  • asymétrique = la clé publique du destinataire doit être en possession de l'émetteur, qui s'en sert pour chiffrer ses messages

"le risque avec le chiffrement, c'est qu'il peut aider à la commission d'infractions pénales"

1. Définition juridique du chiffrement

LCEN du 21 juin 2004, "ne la notez pas, vous la retrouverez dans le plan"
technique qui consiste :

  • soit à transformer des données à l'aide de conventions secrètes (= à chiffrer)
  • soit à déchiffrer des données, avec ou sans convention secrète
    la définition reprend aussi un des objectifs de la cryptologie : garantir la sécurité du stockage ou du (...) des données en garantissant leur confidentialité, leur identification ou leur intégrité

2. Régime juridique du chiffrement

art. 30 LCEN : "l'utilisation des moyens de cryptologie est libre"
le législateur indique que la fourniture, le transfert, l'importation et l'exportation des moyens de cryptologie qui assurent exclusivement des fonctions d'authentification ou de contrôle d'authenticité sont libres

"en principe, tout le monde peut avoir recours à la cryptologie, ou vivre de la cryptologie"
"cependant, on note aujourd'hui une pénalisation croissante du recours au chiffrement" :

  • le recours au chiffrement peut constituer une aggravation
  • la non-divulgation d'une clé de chiffrement peut constituer une infraction autonome
a. Aggravation des peines encourues en cas d'utilisation d'un moyen de cryptologie

circonstance aggravante ajoutée par la LCEN
cette circonstance est générale (= peut s'appliquer à toutes les infractions)
les peines encourues vont être relevées : "par exemple, si la peine est de 30 ans, l'individu encourt la perpétuité"

b. Pénalisation de la non-révélation d'une clé de chiffrement

"cette idée remonte aux attentats du 11 septembre 2001"

pour les professionnels :

  • arts. 230-1 à 230-5 du Code de procédure pénale : procédure de mise au clair des données chiffrées nécessaires à la manifestation de la vérité
    lorsqu'il apparaît au cours d'une procédure pénale que les données saisies ont fait l'objet d'une procédure de chiffrement qui empêche de les comprendre, les autorités policières ou judiciaire vont pouvoir saisir l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication, qui va ensuite transmettre la demande de déchiffrement à un centre technique d'assistance placé sous l'autorité du ministre de l'intérieur
    "même si on est dans une procédure pénale", il peut être recouru aux moyens de l'État soumis au secret de la défense nationale
  • art. L.871-1 Code de la sécurité intérieure : les fournisseurs des prestations de cryptologie doivent remettre leurs conventions de chiffrement aux autorités, dans un délai de 72h
    le fait de ne pas déférer à cette demande est puni de 2 ans d'emprisonnement et 250 000€ d'amende, "c'est notamment ça qu'on reproche à Telegram"

pour les particuliers, "vous le savez très bien, c'est les téléphones portables"
art. 434-15-2 Code pénal : est puni le fait pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre

"ce délit n'a pas du tout été envisagé pour les téléphones portables, mais il a été très rapidement contesté"

  • QPC (droit à la vie privée, à ne pas s'auto-incriminer, procès équitable)
    Conseil constit, 30 mars 2018 : cette incrimination poursuit un objectif de valeur constitutionnelle (prévention des infractions et recherche des auteurs d'infraction) ; l'objectif n'est pas de soutirer des aveux, n'emporte ni reconnaissance ni présomption de culpabilité en permettant seulement le déchiffrement des données chiffrées

  • recours en conventionnalité (droit de se taire, de ne pas s'auto-incriminer)
    Cass. crim. 10 décembre 2019 : le droit de ne pas d'incriminer soi-même ne s'étend pas aux données que l'on peut obtenir de la personne concernée, en recourant à des pouvoirs coercitifs, mais qui existent indépendamment de la volonté de l'intéressé
    "la phrase est de la CEDH, mais pas à propos de refuser une clé de chiffrement, mais une autre technique d'enquête : le refus de se soumettre à un prélèvement d'ADN"
    CEDH 19 mars 2015, Corbet : le droit de ne pas s'auto-incriminer implique que dans une affaire pénale, l'accusation cherche à fonder son argumentation sans recourir à des éléments de preuve obtenus par la contrainte ou la pression
    le fait de s'incriminer constitue une contrainte, "donc on ne sait pas aujourd'hui si la CEDH serait OK avec la France sur ça"

  • le code pour déverrouiller un téléphone est-il une convention secrète de chiffrement ?

  • est-ce que le téléphone est un moyen de cryptologie ?

Cass. (assemblée plénière) 7 novembre 2022 : adopte une approche "assez technique"
si ledit code a pour fonction de chiffrer/déchiffrer les données ("mettre au clair"), alors il est assimilable à une convention secrète -> il faut que l'utilisateur ait activé le moyen de cryptologie
"est-ce que vous pensez que c'est facile à appliquer pour les magistrats ? non, c'est trop technique, du coup les juges ne l'appliquent plus beaucoup"
dans tous les cas, la Cour rappelle que pour retenir le délit, il faut que le téléphone (et donc le moyen de cryptologie) ait été utilisé pour préparer, faciliter, ou commettre l'infraction
"donc si vous êtes en garde à vue pour meurtre, normalement vous n'avez pas utilisé le téléphone pour commettre l'infraction"

CEDH 13 février 2024 Podchasov c/ Russie : l'État reproche à Telegram de chiffrer les communications de bout en bout, et surtout de ne pas coopérer avec les forces de l'ordre pour les déchiffrer (en installant une porte dérobée) -> recours sur le fondement du droit au respect de la vie privée
CEDH : une possibilité de déchiffrement massif par l'installation d'une porte dérobée n'est pas prohibée, mais doit rester proportionnée (= prévue par une loi claire et prévisible prévoyant des garanties pour les utilisateurs, parmi lesquelles une autorisation du juge avant tout déchiffrement)

Lutte contre la cybercriminalité

définition du Sénat = toutes les infractions sur ou à l'encontre d'un système informatique
infractions dont l'objet est/qui ont été commises avec un système informatique : "ça recouvre des infractions très très diverses" :

  • transnationales par natures
  • "souvent très opaques"

Infractions

A) Infractions dont l'objet est les STAD

infractions qui portent atteinte aux STAD : arts. 323-1 et suiv. CP
crées en 1988 mais le législateur en a rajouté régulièrement

"avant d'étudier ces infractions, il faut savoir si on a bien affaire à un STAD" : le Code pénal ne le définit pas
proposition de définition dans la loi de 1988, "ne la notez pas elle est dans le plan"

  • accès ou maintien frauduleux dans un STAD (tout ou partie)
  • introduire, extraire, modifier, etc. des données
  • entraver ou fausser le fonctionnement : DDoS, phishing, mail bombing
  • importer, donner, etc. ("il faut toujours un élément moral") un équipement conçu pour causer une des infractions précédentes : on cherche à punir la complicité
    "c'est un délit de prévention", "on le fait aussi beaucoup en matière de terrorisme"
  • participation à un groupe formé ou à une entente établie en vue de commettre = association de malfaiteurs cybercriminels ("ça, ça s'appelle un délit obstacle", "c'est de la prévention mais on va beaucoup plus en amont, on punit presque la simple pensée")
    "on a un délit d'associations de malfaiteurs qui existe déjà, mais le législateur a voulu en créer un autre, c'est débile"
  • "celle-là pour le coup elle n'est pas claire" : les plateformes (au sens de la LCEN) qui restreignent leur accès aux personnes utilisant des techniques d'anonymisation des connexions ("c'est le darknet") ou qui ne respectent pas l'art. 6 de la LCEN ("pour vendre des produits illicites")
    "là aussi c'est pas clair" : QPC, principe de légalité
    CConstit 19 janvier 2023 : "il nous dit que tout va bien"
    Telegram est actuellement poursuivi sur ce délit : en l'espèce, 2 administrateurs de groupes qui trafiquaient des images à caractère pédopornographique

B) Infractions commises au moyen des STAD

soit on mobilise les infractions qui existent déjà pour les appliquer à la sphère numérique soit on va aggraver la peine encourue en raison de l'utilisation du numérique

1. Mobilisation d’incrimination existante

cyberharcèlement, "on n'a pas le temps de le voir"

(cyber)escroqueries : 313-1 CP
"le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds (...)"
5 ans de prison et 375 000 € d'amende

  • phishing
  • escroquerie au président : inciter les sociétés ou les personnes à transmettre des fonds au bénéfice d'usurpateurs qui se font passer pour un tiers de confiance (commande massive de masques et de gels hydroalcooliques auprès d'une société fantôme)
  • fausses cagnottes
  • etc.
2. Aggravante

apologie du terrorisme, harcèlement (photos volées)
par l'usage du numérique, le trouble à l'ordre public est amplifié

Poursuites

dû au caractère transnational de ces infractions, il faut que les États coopèrent, notamment en se mettant d'accord sur les incriminations

  • convention de Budapest du Conseil de l'Europe du 23 novembre 2001
  • règlement européen e-Evidence : communication des preuves électroniques

Procédure pénale française : pour s'adapter à l'opacité, la France a développé des techniques d'enquête numérique

  • enquête sous pseudonyme : au début, seulement pour les infractions sexuelles commises sur internet et celles relatives à la traite des êtres humain
    depuis la loi du 23 mars 2019 : étendu à l’ensemble des infractions punies d’une peine d’emprisonnement commises par un moyen de communication électronique
    en outre, depuis une loi du 24 janvier 2023, les OPJ peuvent pratiquer la technique du coup d'achat = mettre à disposition des personnes susceptibles d'être auteurs d'infraction des moyens juridiques ou financiers pour commettre cette infraction, ainsi que des moyens de transports, hébergements, communications
  • réquisitions : demander aux plateformes, hébergeurs, FAI... de transmettre les données de connexion (= métadonnées) dont elles disposent, "on ne s'intéresse pas au contenu, ça c'est les interceptions"
    CJUE 2 mars 2021, confirmé le 5 avril 2022 : le parquet n'est pas compétent pour autoriser l'accès aux données de connexion
    CConstit 3 décembre 2021 : les articles 77-1-1 et 77-1-2 du CPP ne donnent pas assez de garanties (notamment de gravité) pour assurer une proportionnalité suffisante entre respect de la vie privée et objectif constit de recherche des auteurs d'infraction – mais l'autorisation du procureur de la République constitue une garantie, elle n'est donc pas remise en cause
    Cass. Crim., 12 juillet 2022 (4 arrêts) : se range à la position de la CJUE
    le législateur est donc intervenu en fixant des conditions de gravité (l'infraction doit être punie d'emprisonnement, etc.) sans remettre en cause l'autorisation du procureur (sauf dans 1 cas = données de connexion émises par un avocat)
    "en pratique, c’est le statu quo"
  • IMSI Catcher : ne concerne que la lutte contre la criminalité organisée
  • perquisitions : "ils peuvent le faire soit chez vous, soit à distance"
  • captation en temps réel de données informatiques : sans le consentement des personnes concernées, "en tout lieu"

"seule une lutte internationalisée ou du moins européanisée pourra permettre de combattre activement la cybercriminalité"

  1. "événements de sécurité pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d'information de la victime↩︎

Interactive Graph
Table Of Contents
Droit de la cybersécurité
Introduction au droit de la cybersécurité
Définition de la cybersécurité
Définitions connexes
Sources de la cybersécurité
Textes internationaux
Textes de l'UE
1. Textes relatifs à la lutte contre la cybercriminalité
2. Textes relatifs à la sécurité des SI
Textes sectoriels
Acteurs de la cybersécurité
Acteurs nationaux
ANSSI
GIP ACYMA
Opérateur des systèmes d'informations interministériels classifiés (OSIIC)
VIGINUM
Acteurs européens
ENISA
Groupe européen de certification de cybersécurité
Groupe de coopération
Europol
Les obligations de la cybersécurité
Les opérateurs d'importance vitale (OIV)
A) Présentation des OIV
B) SI d'importance vitale (SIIV)
Les opérateurs de services essentiels (OSE)
A) La présentation des OSE
B) les SI des OSE
Fournisseurs de services numériques (FSN)
A) Définition
B) Obligations
Directive NIS 2
A) Nouvelles définitions
B) Nouvelles obligations
C) Les sanctions
Certification et chiffrement
1. La certification
A) Définition
B) Mise en œuvre dans le droit français
1. Certifications de droit commun
a. certification de critères communs (ou "tierce partie")
b. certification de sécurité de premier niveau
C) Mise en œuvre dans le droit européen
1. objectifs de la certification en droit européen
2. acteurs de la certification en droit européen
3. Adoption des schémas de certification
4. Les différents niveaux d'assurance des schémas de certification
a. niveau élémentaire
b. niveau substantiel
c. niveau élevé
2. La cryptologie et le chiffrement
1. Définition juridique du chiffrement
2. Régime juridique du chiffrement
a. Aggravation des peines encourues en cas d'utilisation d'un moyen de cryptologie
b. Pénalisation de la non-révélation d'une clé de chiffrement
Lutte contre la cybercriminalité
Infractions
A) Infractions dont l'objet est les STAD
B) Infractions commises au moyen des STAD
1. Mobilisation d’incrimination existante
2. Aggravante
Poursuites