{"id":255,"date":"2014-12-14T15:08:20","date_gmt":"2014-12-14T14:08:20","guid":{"rendered":"https:\/\/www.iteanu.law\/?p=255"},"modified":"2016-09-27T14:23:33","modified_gmt":"2016-09-27T12:23:33","slug":"cybersecurite-une-obligation-de-resultat","status":"publish","type":"post","link":"https:\/\/www.iteanu.law\/en\/cybersecurite-une-obligation-de-resultat\/","title":{"rendered":"Cybers\u00e9curit\u00e9, une obligation de r\u00e9sultat ?"},"content":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>

<\/p>\n

\n

Chacun conviendra qu\u2019il est absurde de consid\u00e9rer que la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral et plus particuli\u00e8rement celle attach\u00e9e aux syst\u00e8mes d\u2019information, soit soumise \u00e0 une obligation de r\u00e9sultat.<\/p>\n

Aucune technologie, aucun syst\u00e8me de d\u00e9fense, n\u2019est capable de garantir une fiabilit\u00e9 \u00e0 100% contre toute attaque. L\u2019\u00e9diteur d\u2019une solution ou le prestataire qui pr\u00e9tendrait le contraire doit susciter la plus grande m\u00e9fiance sur son honn\u00e8tet\u00e9.<\/p>\n

L\u2019esprit humain est ainsi fait, et c\u2019est tant mieux, qu\u2019un jour ou l\u2019autre, l\u2019attaquant, venu de l\u2019ext\u00e9rieur ou plus encore, de l\u2019interne, trouve le moyen de contourner les meilleurs protections techniques et organisationnelles mises en place.<\/p>\n<\/div>\n

\n

Le pendant de l\u2019obligation de r\u00e9sultat ou son contraire, est l\u2019obligation de moyens.<\/p>\n

Dans le cas de l\u2019obligation de moyens, si l\u2019attaque a caus\u00e9 des dommages \u00e0 des tiers, ceux-ci ne peuvent se retourner contre le ma\u00eetre du syst\u00e8me attaqu\u00e9 pour obtenir r\u00e9paration, que si une n\u00e9gligence ou une faute prouv\u00e9es, peut \u00eatre retenue contre lui.<\/p>\n

Dans le cas de l\u2019obligation de r\u00e9sultat, le tiers n\u2019aura qu\u2019\u00e0 d\u00e9montrer l\u2019existence de l\u2019attaque et son dommage, pour engager la responsabilit\u00e9 du ma\u00eetre du syst\u00e8me, sans m\u00eame avoir \u00e0 d\u00e9montrer que ce dernier a commis une faute.<\/p>\n

Evidemment, on comprend ici que les cons\u00e9quences de l\u2019un ou de l\u2019autre r\u00e9gime juridique, sont radicalement diff\u00e9rentes.<\/p>\n

On est en droit de se demander si le syst\u00e8me plein de bon sens de l\u2019obligation de moyens en mati\u00e8re de cybers\u00e9curit\u00e9, n\u2019est pas remis en cause par une d\u00e9cision r\u00e9cente<\/a> de la Commission Nationale de l\u2019Informatique et des Libert\u00e9s du 7 Ao\u00fbt 2014, qui a sanctionn\u00e9 Orange pour manquement \u00e0 l\u2019obligation de s\u00e9curit\u00e9 pr\u00e9vue \u00e0 la Loi informatique et libert\u00e9s.<\/p>\n

Pour m\u00e9moire, la Loi du 6 Janvier 1978 en son article 34 pr\u00e9voit que \u00ab\u00a0Le responsable du traitement est tenu de prendre toutes pr\u00e9cautions utiles<\/ins> (\u2026) pour pr\u00e9server la s\u00e9curit\u00e9 des donn\u00e9es et, notamment, emp\u00eacher qu\u2019elles soient d\u00e9form\u00e9es, endommag\u00e9es, ou que des tiers non autoris\u00e9s y aient acc\u00e8s. \u00bb<\/em><\/p>\n

Le d\u00e9faut de prendre \u00ab\u00a0toutes pr\u00e9cautions utiles \u00bb<\/em> est sanctionn\u00e9 des peines maximales de 5 ans de prison et de 300.000 \u20ac d\u2019amende par l\u2019article 226-17 du Code p\u00e9nal.<\/p>\n

Et comme la mati\u00e8re informatique et libert\u00e9s, pr\u00e9voit une double peine aux contrevenants \u00e0 la Loi, la Cnil peut \u00e9galement prendre une sanction dite administrative \u00e0 l\u2019encontre du responsable du traitement d\u00e9faillant.<\/p>\n

Les sanctions de la Cnil peuvent \u00eatre p\u00e9cuniaires, jusqu\u2019\u00e0 300.000 \u20ac en cas de r\u00e9cidive et portent surtout atteinte \u00e0 l\u2019image du condamn\u00e9, car ces sanctions sont publiques, donnent lieu \u00e0 publication, et sont r\u00e9guli\u00e8rement reprises par la presse et les m\u00e9dias.<\/p>\n

Dans l\u2019affaire jug\u00e9e, Orange \u00e9tait alert\u00e9e en Mars 2014 par un client et d\u00e9couvrait que le serveur d\u2019un prestataire de l\u2019op\u00e9rateur \u00ab\u00a0charg\u00e9 de r\u00e9aliser certaines campagnes de marketing direct\u00a0\u00bb par courriel avait \u00e9t\u00e9 pirat\u00e9.<\/p>\n

Plus de 1,3 millions de clients et prospects d\u2019Orange \u00e9taient impact\u00e9s<\/strong> par cette attaque.<\/p>\n

L\u2019enqu\u00eate r\u00e9v\u00e9lait qu\u2019Orange avait confi\u00e9 \u00e0 un premier prestataire la mission de r\u00e9aliser des campagnes de emailing aupr\u00e8s de ces clients. Ce prestataire avait lui-m\u00eame sous-trait\u00e9 la prestation \u00e0 un prestataire secondaire. C\u2019est ce dernier qui \u00e9tait pirat\u00e9.<\/p>\n

Le lien de d\u00e9sinscription qui se trouvait au bas du courriel de prospection, menait permettait par une modification de l\u2019Url, d\u2019acc\u00e9der aux 700 fichiers de prospects et de clients d\u2019Orange, permettant \u00e0 l\u2019ind\u00e9licat de les aspirer.<\/p>\n

Le 25 Avril 2014, Orange notifiait la faille de s\u00e9curit\u00e9 \u00e0 la Cnil comme elle y est contrainte depuis le Paquet T\u00e9l\u00e9com d\u2019ao\u00fbt 2011 et un R\u00e8glement 611\/2013 de la Commission europ\u00e9enne du 24 Juin 2013.<\/p>\n

Le 5 Mai 2014, la presse s\u2019emparait de l\u2019affaire. Une semaine plus tard, la Cnil diligentait sur deux jours, un contr\u00f4le dans les locaux d\u2019Orange qui r\u00e9v\u00e9lait les circonstances dans lesquelles les 700 fichiers de clients et prospects avaient \u00e9t\u00e9 aspir\u00e9s.<\/p>\n

Orange d\u00e9posait une plainte p\u00e9nale.<\/p>\n

Mais Orange \u00e9tait \u00e9galement convoqu\u00e9e devant la formation contentieuse dite restreinte de la Cnil qui lui infligeait un avertissement public le 9 Ao\u00fbt 2014 pour manquement \u00e0 l\u2019obligation de s\u00e9curit\u00e9.<\/p>\n

Orange se trouvait donc \u00e0 la fois victime et responsable.<\/p>\n

Ce qui nous interpelle dans cette d\u00e9cision, sont les motifs retenus par la Cnil pour sanctionner Orange.<\/p>\n

Le premier grief est que selon l\u2019autorit\u00e9 fran\u00e7aise, Orange n\u2019a pas fait r\u00e9aliser d\u2019audit de s\u00e9curit\u00e9 sur la version de l\u2019application technique sp\u00e9cifiquement d\u00e9velopp\u00e9e par son prestataire secondaire<\/em>.<\/p>\n

Face \u00e0 la g\u00e9n\u00e9ralit\u00e9 de l\u2019obligation impos\u00e9e par la Cnil, on cherche d\u00e9sesp\u00e9r\u00e9ment la base l\u00e9gale \u00e0 ce grief. Mais \u00e0 supposer celui-ci fond\u00e9, on peut penser que le prestataire secondaire a, quant \u00e0 lui et en sa qualit\u00e9 de professionnel, proc\u00e9d\u00e9 \u00e0 cet audit. Tenir Orange, le client dans cette relation, responsable au motif qu\u2019elle n\u2019a pas proc\u00e9d\u00e9 \u00e0 cet audit, devrait glacer le sang de tous les clients utilisateurs.<\/p>\n

Le second motif nous para\u00eet quant \u00e0 lui lunaire. La Cnil reproche \u00e0 Orange d\u2019avoir \u00ab\u00a0communiqu\u00e9 de mani\u00e8re non s\u00e9curis\u00e9 les mises \u00e0 jour de ses clients \u00bb<\/em> \u00e0 ses prestataires. L\u2019enqu\u00eate avait certes r\u00e9v\u00e9l\u00e9, qu\u2019Orange avait transmis les 700 fichiers de ses clients et prospects par simple courriel, mais la m\u00eame enqu\u00eate a \u00e9tabli que ce n\u2019est pas durant cette communication que les fichiers ont \u00e9t\u00e9 capt\u00e9s. Cette communication ne serait donc pas en cause.<\/p>\n

Enfin, la Cnil reproche \u00e0 Orange \u00ab\u00a0qu\u2019aucune clause de s\u00e9curit\u00e9 et de confidentialit\u00e9 des donn\u00e9es n\u2019\u00e9tait impos\u00e9e \u00e0 son prestataire secondaire \u00bb<\/em>\u00b8c\u2019est-\u00e0-dire au sous-traitant du sous-traitant d\u2019Orange, c\u2019est-\u00e0-dire la Soci\u00e9t\u00e9 avec laquelle elle n\u2019a pas de contrat \u2026<\/p>\n

C\u2019est compte tenu de ces \u00ab\u00a0d\u00e9faillances \u00bb<\/em> que la Cnil entre en voie de condamnation \u00e0 l\u2019encontre d\u2019Orange.<\/p>\n

Cette d\u00e9cision nous am\u00e8ne \u00e0 deux commentaires.<\/p>\n

D\u2019une part, il y a un auteur \u00e0 cette infraction, \u00ab\u00a0quelque part dans le monde\u00a0\u00bb qui a acc\u00e9d\u00e9 illicitement aux serveurs et a proc\u00e9d\u00e9 \u00e0 l\u2019aspiration des fichiers. Les adresses IP relev\u00e9es par les serveurs du prestataire attaqu\u00e9 ont d\u00e9sign\u00e9 des pays lointains. Dans ce genre d\u2019affaires, l\u2019enqu\u00eate judiciaire est souvent en panne. L\u2019enqu\u00eate bute en effet sur des difficult\u00e9s de coop\u00e9rations polici\u00e8res et judiciaires en termes de d\u00e9lais, de paperasserie et de co\u00fbts quasi insurmontables, sans compter que certains pays ne coop\u00e8rent tout simplement pas. Dans ce contexte, le seul condamn\u00e9 de l\u2019histoire a toutes les chances d\u2019\u00eatre la victime, Orange. Il y a tout de m\u00eame ici quelque chose de choquant sur le fond. En outre, c\u2019est Orange qui a notifi\u00e9 elle-m\u00eame la faille \u00e0 la Cnil par application de la Loi certes. Si chaque notification donne lieu \u00e0 condamnation de son auteur, ceux-ci risquent d\u00e9sormais de r\u00e9fl\u00e9chir \u00e0 deux fois avant de se lancer dans ce qui appara\u00eet comme \u00ab\u00a0la gueule du loup \u00bb.<\/p>\n

D\u2019autre part, les griefs retenus \u00e0 l\u2019encontre d\u2019Orange nous paraissent d\u2019une interpr\u00e9tation des plus s\u00e9v\u00e8res des pr\u00e9cautions utiles de l\u2019article 34 de la Loi de 1978 et surtout tr\u00e8s g\u00e9n\u00e9raux, laissant dans le d\u00e9sarroi et l\u2019ins\u00e9curit\u00e9 juridique tous utilisateurs des syst\u00e8mes d\u2019information et de leurs services. Enfin, faire tenir Orange responsable des agissements du sous-traitant de son sous-traitant para\u00eet d\u00e9raisonnable.<\/p>\n

En conclusion<\/strong>, on a le sentiment ici que le cri des victimes et des m\u00e9dias a couvert tout raisonnement juridique. Il fallait un responsable. L\u2019auteur de l\u2019infraction introuvable, c\u2019est sur la victime qu\u2019on se rabat.<\/p>\n

C\u2019est un mode de fonctionnement qui ne devrait pas se g\u00e9n\u00e9raliser.<\/p>\n

A d\u00e9faut, oui, la cybers\u00e9curit\u00e9 deviendrait alors synonyme d\u2019obligation de r\u00e9sultat.<\/p>\n<\/div>\n

<\/p>","protected":false},"excerpt":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>\n

Chacun conviendra qu\u2019il est absurde de consid\u00e9rer que la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral et plus particuli\u00e8rement celle attach\u00e9e aux syst\u00e8mes d\u2019information, soit soumise \u00e0 une obligation de r\u00e9sultat.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-255","post","type-post","status-publish","format-standard","hentry","category-news"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/comments?post=255"}],"version-history":[{"count":2,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/255\/revisions"}],"predecessor-version":[{"id":469,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/255\/revisions\/469"}],"wp:attachment":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media?parent=255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/categories?post=255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/tags?post=255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}