{"id":282,"date":"2013-04-28T13:54:52","date_gmt":"2013-04-28T11:54:52","guid":{"rendered":"https:\/\/www.iteanu.law\/?p=282"},"modified":"2016-09-16T14:41:17","modified_gmt":"2016-09-16T12:41:17","slug":"cybersecurite-le-droit-est-aussi-un-moyen-et-une-limite","status":"publish","type":"post","link":"https:\/\/www.iteanu.law\/en\/cybersecurite-le-droit-est-aussi-un-moyen-et-une-limite\/","title":{"rendered":"CYBERSECURITE, LE DROIT EST AUSSI UN MOYEN ET UNE LIMITE"},"content":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>

<\/p>\n

\n

L\u2019Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information (ANSSI<\/a>) d\u00e9finit la Cybers\u00e9curit\u00e9 comme un \u00ab\u00a0\u00e9tat recherch\u00e9 pour un syst\u00e8me d\u2019information lui permettant de r\u00e9sister \u00e0 des \u00e9v\u00e8nements issus du cyberespace susceptibles de compromettre la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, trait\u00e9es ou transmisses et des services connexes que ces syst\u00e8mes offrent ou qu\u2019ils rendent accessibles. La cybers\u00e9curit\u00e9 fait appel \u00e0 des techniques de s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information et s\u2019appuie sur la lutte contre la cybercriminalit\u00e9 et sur la mise en place d\u2019une cyberd\u00e9fense. \u00bb<\/em><\/p>\n

Cette notion de cybers\u00e9curit\u00e9, est le dernier avatar de la s\u00e9rie des \u00ab\u00a0cyber\u00a0\u00bb en tout genre.<\/p>\n

Au final, on comprend de cette nouvelle notion que la question de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information doit aussi s\u2019envisager au niveau \u00e9tatique et pas seulement au niveau de chaque syst\u00e8me d\u2019information appartenant \u00e0 une entreprise ou une organisation qu\u2019elle que soit sa taille.<\/p>\n

Cette \u00e9volution s\u00e9mantique ne devrait pas nous \u00e9tonner. Dans une soci\u00e9t\u00e9 qui bascule en sa quasi-totalit\u00e9 et en toutes ses activit\u00e9s sur ou autour des r\u00e9seaux de communications \u00e9lectroniques, Internet inclus, la question d\u2019int\u00e9r\u00eats propres aux Etats devait immanquablement se poser. Comment pour un Etat donn\u00e9, envisager la d\u00e9fense de ses int\u00e9r\u00eats propres, dans un monde interconnect\u00e9 ?<\/p>\n

L\u2019ANSSI est le premier service de l\u2019Etat fran\u00e7ais concern\u00e9 par cette question. Pour m\u00e9moire, il s\u2019agit d\u2019un service, sans personnalit\u00e9 juridique propre, rattach\u00e9 au Secr\u00e9taire g\u00e9n\u00e9ral de la d\u00e9fense et de la s\u00e9curit\u00e9 nationale (SGDSN), autorit\u00e9 elle-m\u00eame charg\u00e9e d\u2019assister le Premier ministre dans l\u2019exercice de ses responsabilit\u00e9s en mati\u00e8re de d\u00e9fense et de s\u00e9curit\u00e9 nationale. Sa d\u00e9finition de la cybers\u00e9curit\u00e9 est donc \u00e0 regarder de tr\u00e8s pr\u00e8s.<\/p>\n

Ce que l\u2019on comprend de la d\u00e9finition donn\u00e9e plus haut, est que cette question est avant tout une probl\u00e9matique \u00e0 r\u00e9soudre sur un plan technique (\u00ab\u00a0la cybers\u00e9curit\u00e9 fait appel des techniques \u00bb) et organisationnelle, c\u2019est-\u00e0-dire humaine.<\/p>\n

Certes, dans le cyberespace, la premi\u00e8re des protections efficaces est d\u2019ordre technique. Produits et services se multiplient et l\u2019Etat en devient un utilisateur massif. Certes, l\u2019organisation et le facteur humain sont des ingr\u00e9dients de la premi\u00e8re importance et en mati\u00e8re de d\u00e9fense nationale, l\u2019Etat s\u2019y conna\u00eet.<\/p>\n

Mais on aurait tort d\u2019oublier une autre composante s\u00e9curitaire, le droit.<\/strong><\/p>\n<\/div>\n

\n

A y regarder de tr\u00e8s pr\u00e8s, il existe m\u00eame une tradition \u00e9tatique, et pas seulement fran\u00e7aise, \u00e0 envisager le droit, plus ou moins officiellement, comme moyen de d\u00e9fense.<\/p>\n

Par ailleurs, dans une soci\u00e9t\u00e9 d\u00e9mocratique et un Etat de droit, la cybers\u00e9curit\u00e9 devra emporter l\u2019adh\u00e9sion de la population qu\u2019elle est cens\u00e9e d\u00e9fendre. Rien ne peut se faire en ce domaine, sans les populations.<\/p>\n

Or, le droit est le seul outil capable de tracer les limites de la cybers\u00e9curit\u00e9.<\/p>\n

Le droit, comme moyen de la cybers\u00e9curit\u00e9<\/h2>\n

Le droit descend de la morale\u00a0: v\u00e9rit\u00e9, Justice et Paix sont les trois piliers du monde dit un psaume du roi David. Mais \u00e0 l\u2019\u00e9poque moderne, le droit peut servir \u00e0 tout autre chose qu\u2019\u00e0 la Justice. Il peut se baser sur tout autre chose que sur la v\u00e9rit\u00e9 et conduire \u00e0 tout autre chose qu\u2019\u00e0 la paix sociale ou la paix des peuples. Ainsi, depuis l\u2019av\u00e8nement de l\u2019\u00e8re industrielle et la cr\u00e9ation des Etats de droit moderne, le droit sert aussi \u00e0 prot\u00e9ger un investissement, \u00e0 contrer l\u2019ascension d\u2019un concurrent, \u00e0 collecter du renseignement. Dans ce dernier cas, on parle d\u2019un droit de l\u2019intelligence \u00e9conomique ou \u00ab\u00a0Law Intelligence \u00bb. Le droit rapproch\u00e9 de la cybers\u00e9curit\u00e9, peut \u00eatre vu de deux fa\u00e7ons. En premier lieu, le droit est un corps de r\u00e8gles normatives. Il se diff\u00e9rencie de la morale ou m\u00eame de la norme, en ce que la r\u00e8gle de droit est sanctionn\u00e9e par les Tribunaux lorsqu\u2019elle est viol\u00e9e. Il existe tout un corpus de r\u00e8gles de droit protectrices des droits de l\u2019Etat. C\u2019est par exemple le cas en mati\u00e8re de propri\u00e9t\u00e9 industrielle. Le droit des inventions et des brevets est ainsi un tr\u00e8s bel exemple de cette \u00e9volution fondamentale. Sait on par exemple que des d\u00e9l\u00e9gu\u00e9s du ministre charg\u00e9 de la d\u00e9fense nationale fran\u00e7ais, sp\u00e9cialement habilit\u00e9s et dont les noms et qualit\u00e9s ont \u00e9t\u00e9 port\u00e9s \u00e0 la connaissance du ministre charg\u00e9 de la propri\u00e9t\u00e9 industrielle, prennent l\u00e9galement connaissance dans les locaux de l’Institut national de la propri\u00e9t\u00e9 industrielle (INPI) de toutes demandes de brevet d\u00e9pos\u00e9es, demandes pourtant confidentielles, pour savoir si l\u2019invention en question n\u2019int\u00e9resse pas la d\u00e9fense nationale. Sait on encore qu\u2019il est interdit \u00e0 une personne r\u00e9sidant ou domicili\u00e9e en France de d\u00e9poser une demande de brevet sur l\u2019une de ses inventions \u00e0 l\u2019\u00e9tranger sous peine de sanctions p\u00e9nales\u00a0? Chacun aura compris le sens de cette interdiction qui tend \u00e0 r\u00e9server \u00e0 la communaut\u00e9 nationale la primeur des inventions \u00e9labor\u00e9es dans la sph\u00e8re nationale. La r\u00e9glementation restrictive sur la cryptologie est une autre illustration \u00ab\u00a0vivante\u00a0\u00bb de cette \u00e9volution. Jusqu\u2019\u00e0 un D\u00e9cret du 1er F\u00e9vrier 1986, l\u2019Etat fran\u00e7ais, comme la quasi majorit\u00e9 des Etats de la plan\u00e8te, avait class\u00e9 les moyens de cryptologie comme armes de seconde cat\u00e9gorie. La cryptologie \u00e9tait soumise au d\u00e9cret- loi du 18 avril 1939 fixant le r\u00e9gime des mat\u00e9riel de guerre, les interdisant de fait et sanctionnant l\u2019usage de ces moyens sous peine, l\u00e0 encore, de prison et d\u2019amendes. En 1939, \u00e0 une \u00e9poque o\u00f9 l\u2019histoire de France b\u00e9gayait, l\u2019Etat ne voulait simplement pas autoriser des individus \u00e0 communiquer secr\u00e8tement par ce moyen, de peur que ces \u00e9changes ne lui \u00e9chappent. Ce r\u00e9gime fut maintenu, sous d\u2019autres justifications, pendant les 47 ann\u00e9es qui suivirent. En second lieu, le droit n\u2019est pas seulement un corps de r\u00e8gles imp\u00e9ratives destin\u00e9es \u00e0 s\u2019appliquer dans un territoire donn\u00e9. Le droit, c\u2019est aussi la cr\u00e9ation d\u2019institutions, d\u2019autorit\u00e9s, de corps, tendant \u00e0 faire vivre le droit. Le cas d\u2019Internet est de ce point de vue exemplaire. L\u2019Internet est structur\u00e9 autour d\u2019un syst\u00e8me dit de nommage sans lequel ses principaux services, le courrier \u00e9lectronique et le Web, ne pourraient \u00eatre utilis\u00e9s par le grand public. Or, ce syst\u00e8me dit de nommage est g\u00e9r\u00e9 par une Soci\u00e9t\u00e9 am\u00e9ricaine d\u00e9nomm\u00e9e l\u2019ICANN constitu\u00e9e le 6 Novembre 1998. Cet acronyme signifie \u00ab\u00a0Internet Corporation for Assigned Names and Numbers \u00bb. A y regarder de plus pr\u00e8s, la forme de Soci\u00e9t\u00e9 a de quoi surprendre le juriste Europ\u00e9en. L\u2019ICANN est en effet une \u00ab\u00a0Soci\u00e9t\u00e9 de droit Californien \u00e0 but non lucratif \u00bb. En Europe, le but non lucratif est habituellement attach\u00e9 \u00e0 la forme associative, pas \u00e0 la forme soci\u00e9tale. La Soci\u00e9t\u00e9 europ\u00e9enne, quant \u00e0 elle, est toujours \u00ab\u00a0\u00e0 but lucratif \u00bb. Or, cette forme de Soci\u00e9t\u00e9 de droit californien pr\u00e9sente une particularit\u00e9 qui n\u2019est ni un d\u00e9tail, ni n\u2019est neutre. Elle ne dispose ni de capital social, ni de membres cotisants. Elle n\u2019est pas une Soci\u00e9t\u00e9 \u00e0 but lucratif, donc elle ne dispose pas d\u2019actionnaires. Pas d\u2019actionnaires, signifie \u00e9galement pas d\u2019assembl\u00e9es d\u2019associ\u00e9s qui nomme ses mandataires sociaux, ou risque de les r\u00e9voquer si une majorit\u00e9 de son capital le d\u00e9cide. Pas de membres cotisants comme pour une association, signifie pas d\u2019assembl\u00e9es de membres ni de risque de voir une telle assembl\u00e9e \u00ab\u00a0d\u00e9barquer\u00a0\u00bb l\u2019\u00e9quipe dirigeante. Ainsi, donc, par sa seule forme, la Soci\u00e9t\u00e9 qui g\u00e8re mondialement les noms de domaine n\u2019est contr\u00f4l\u00e9 ni par des actionnaires, ni par des membres. En r\u00e9alit\u00e9, l\u2019ICANN est une organisation toujours contr\u00f4l\u00e9e par le Gouvernement am\u00e9ricain et le D\u00e9partment Of Commerce (DOC) avec lequel elle a sign\u00e9 un accord (un Memorandum Of Understanding) qui donne \u00e0 ce dernier une sorte de droit de veto sur toutes d\u00e9cisions prises par l\u2019ICANN. Il faut dire que le nommage est une ressource rare de l\u2019Internet et que l\u2019ICANN est capable \u00e0 elle seule de cr\u00e9er un domaine ou de faire dispara\u00eetre de la surface de la toile n\u2019importe quel autre domaine, tel que le .com ou m\u00eame le .fr. Tout cela bien \u00e9videmment en th\u00e9orie \u2026. Dans ces conditions, chacun aura compris l\u2019importance strat\u00e9gique du contr\u00f4le d\u2019une telle organisation.<\/p>\n

Le droit pour poser les limites de la Cybers\u00e9curit\u00e9<\/h2>\n

Dans une soci\u00e9t\u00e9 d\u00e9mocratique et un Etat de droit comme l\u2019est la soci\u00e9t\u00e9 fran\u00e7aise, la cybers\u00e9curit\u00e9 ne saurait \u00eatre en dehors du droit. Sans quoi, le risque de d\u00e9rapage existe. Le cas des interceptions dites de s\u00e9curit\u00e9, les anciennes \u00e9coutes t\u00e9l\u00e9phoniques, est de ce point de vue exemplaire. Ces interceptions sont de deux types\u00a0: soit elles sont autoris\u00e9es par l\u2019autorit\u00e9 judiciaire, le juge des libert\u00e9s \u00e0 la requ\u00eate du procureur de la R\u00e9publique pour le flagrant d\u00e9lit ou le juge d\u2019instruction dans le cadre d\u2019une instruction judiciaire en cours au titre d\u2019une infraction punie d\u2019une peine minimale de deux ans d\u2019emprisonnement\u00a0; soit elles rel\u00e8vent des interceptions dites de s\u00e9curit\u00e9. Dans le premier cas, c\u2019est le juge qui contr\u00f4le la r\u00e9gularit\u00e9 des interceptions et les encadre, notamment dans le temps. Dans le second cas, les interceptions sont hors de contr\u00f4le de l\u2019autorit\u00e9 judiciaire et sont encadr\u00e9es par une loi de 1991 . Elles sont autoris\u00e9es \u00ab\u00a0\u00e0 titre exceptionnel\u00a0\u00bb par le Premier ministre. La loi limite le recours \u00e0 ces \u00e9coutes \u00e0 quatre cas. Il s\u2019agit de la recherche de renseignements int\u00e9ressant la s\u00e9curit\u00e9 nationale (espionnage d\u2019\u00c9tat), la sauvegarde des \u00e9l\u00e9ments essentiels du potentiel scientifique et \u00e9conomique de la France (espionnage industriel), la pr\u00e9vention du terrorisme et enfin la criminalit\u00e9 et la d\u00e9linquance organis\u00e9es. Si le Premier ministre ordonne des interceptions, il doit le faire par \u00e9crit et motiver sa d\u00e9cision en la rattachant \u00e0 l\u2019une de ces quatre cat\u00e9gories. L\u2019autorisation a une dur\u00e9e maximale de quatre mois, mais la loi ne pr\u00e9voit pas de limites \u00e0 son renouvellement. Les enregistrements op\u00e9r\u00e9s dans le cadre des \u00e9coutes ont une dur\u00e9e de vie limit\u00e9e \u00e0 dix jours apr\u00e8s qu\u2019ils ont \u00e9t\u00e9 r\u00e9alis\u00e9s. Cela signifie en pratique que ces enregistrements doivent \u00eatre retranscrits par \u00e9crit, cet \u00e9crit pouvant \u00eatre conserv\u00e9 tant qu\u2019il est \u00ab\u00a0indispensable \u00bb.\u00c0 l\u2019origine, la loi ne pr\u00e9voyait aucun m\u00e9canisme de contr\u00f4le de ces interceptions motiv\u00e9es par la s\u00e9curit\u00e9 nationale. Or, on se souvient de cette fameuse affaire des \u00ab\u00a0\u00e9coutes de l\u2019Elys\u00e9es \u00bb, e, plein milieu du septennat de Fran\u00e7ois Mitterrand. Les \u00e9coutes alors pratiqu\u00e9es, n\u2019avaient rien de la s\u00e9curit\u00e9 nationale mais bien plut\u00f4t \u00e9taient motiv\u00e9s, notamment, par des motifs de vie priv\u00e9e, propres au Pr\u00e9sident de la R\u00e9publique en exercice. Cette situation a \u00e9t\u00e9 rendue possible par l\u2019instauration de r\u00e8gles sans contr\u00f4les. Cette anomalie pour une d\u00e9mocratie a \u00e9t\u00e9 r\u00e9par\u00e9e par une loi de d\u00e9cembre 1992 instituant une autorit\u00e9 administrative ind\u00e9pendante, la Commission nationale de contr\u00f4le des interceptions de s\u00e9curit\u00e9. Tout citoyen peut interroger cette commission bas\u00e9e \u00e0 Paris par lettre recommand\u00e9e avec accus\u00e9 de r\u00e9ception pour savoir si des \u00e9coutes de s\u00e9curit\u00e9 ont \u00e9t\u00e9 op\u00e9r\u00e9es \u00e0 son propos. La commission r\u00e9alise alors un contr\u00f4le pour savoir si les \u00e9coutes existent et si les conditions pr\u00e9vues ont \u00e9t\u00e9 respect\u00e9es et elle informe le citoyen qu\u2019elle a op\u00e9r\u00e9 ce contr\u00f4le. Pour autant, le citoyen ne peut savoir s\u2019il a fait l\u2019objet d\u2019interceptions ni pourquoi, quand et avec quel r\u00e9sultat. Par cet exemple, on voit bien que le droit est capable de s\u2019adapter \u00e0 l\u2019environnement de la s\u00e9curit\u00e9 nationale. Il est en effet \u00e9vident que celui-ci n\u00e9cessite un minimum de secret et confidentialit\u00e9. Pour autant, une d\u00e9mocratie ne peut laisser sans contr\u00f4le de telles proc\u00e9dures. Le droit est l\u00e0 pour apporter cette contrepartie. La question n\u2019agit pas que le landerneau fran\u00e7ais. Aux Etats-Unis des suites de l\u2019attentat du 11 Septembre 2001, le Congr\u00e8s votait une Loi intitul\u00e9e l\u2019USA PATRIOT ACT. Par cette Loi, le FBI se voit attribuer, notamment, la possibilit\u00e9 de faire injonction \u00e0 tout op\u00e9rateur \/ FAI et tout h\u00e9bergeur de lui livrer le contenu des contenus transport\u00e9s ou h\u00e9berg\u00e9s de tout individu qu\u2019elle que soit sa nationalit\u00e9, au moitif de lutte contre le terrorisme international. Cette Loi d\u2019Octobre 2001, remise au go\u00fbt du uour du fait du Cloud Computing, fait passer la s\u00e9curit\u00e9 nationale de l\u2019interception \u00e0 la captation de donn\u00e9es. Or, un juge californien par une d\u00e9cision de Mars 2013 et sur requ\u00eate de l\u2019Electronic Frontier Foundation vient de consid\u00e9rer comme inconstitutionnelle certaines injonctions aux h\u00e9bergeurs faits par le FBI . L\u00e0 encore, dans un Etat de droit, la mati\u00e8re juridique fait son office, m\u00eame sur une question aussi difficile pour les Etats-Unis que la lutte contre le terrorisme international.<\/p>\n

En conclusion<\/strong>, la Cybers\u00e9curit\u00e9 n\u2019est probablement pas une mode mais un ph\u00e9nom\u00e8ne durable.<\/p>\n

Les Editions “Que sais – je<\/a>” viennent de lui consacrer un ouvrage pr\u00e9cieux sur la question. On aurait tort de mettre le droit hors de la Cybers\u00e9curit\u00e9.<\/p>\n

Non seulement il existe une tradition juridique dans les Etats de droit o\u00f9 on associe la mati\u00e8re juridique \u00e0 la s\u00e9curit\u00e9 nationale. Mais de surcro\u00eet dans un Etat de droit d\u00e9mocratique, on ne peut \u00e9noncer de r\u00e8gles sans poser de limites pour les droits fondamentaux reconnus au citoyen, le droit \u00e0 la vie, le droit \u00e0 la libert\u00e9 et le droit au bonheur.<\/p>\n

Mais n\u2019est-ce pas au final, ce que justement la Cybers\u00e9curit\u00e9 cherche \u00e0 prot\u00e9ger\u00a0?<\/p>\n<\/div>\n

<\/p>","protected":false},"excerpt":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>\n

L\u2019Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information (ANSSI) d\u00e9finit la Cybers\u00e9curit\u00e9 comme un \u00ab \u00e9tat recherch\u00e9 pour un syst\u00e8me d\u2019information lui permettant de r\u00e9sister \u00e0 des \u00e9v\u00e8nements issus du cyberespace susceptibles de compromettre la disponibilit\u00e9,<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-282","post","type-post","status-publish","format-standard","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/comments?post=282"}],"version-history":[{"count":1,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/282\/revisions"}],"predecessor-version":[{"id":283,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/282\/revisions\/283"}],"wp:attachment":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media?parent=282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/categories?post=282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/tags?post=282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}