Avocat en Cybersécurité
Notre cabinet spécialisé en droit des nouvelles technologies vous assistera et vous présentera un plan de sécurisation sur le net.
Nos prestations se matérialisent notamment par :
Demandez un devis
L’équipe du Cabinet Avomedias répond à vos questions. Exposez-nous votre situation dans le cadre d'un premier rendez-vous afin d'auditer votre dossier et vous soumettre un devis précis.
La cybersécurité
Définition
La cybersécurité est définie comme un « État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. » (https://www.ssi.gouv.fr/entreprise/glossaire/c/)
La cybersécurité permet la sécurisation des réseaux informatiques et des informations présentes sur ces réseaux. La sécurité informatique est de plus en plus importante étant donné l’essor des nouvelles formes de criminalités sur internet.
Elle permet l’instauration de bonnes pratiques au sein des entreprises, et de sensibiliser les utilisateurs à faire plus attention à la protection de leurs données personnelles.
La cybersécurité et le RGPD
Le règlement général de la protection des données est entré en application en France le 25 mai 2018. Il a été créé afin d’harmoniser les règles sur la pratique de la protection des données à l’échelle européenne.
Le RGPD a pour but de protéger les données, mais aussi de les sécuriser. L’article 32 du RGPD dispose : « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cet article instaure une obligation générale de sécurisation dans la gestion du traitement des données à caractère personnel.
La suite de l’article énonce des mesures qui sécurisent les données personnelles des utilisateurs :
- a) La pseudonymisation et le chiffrement des données à caractère personnel;
- b) Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- c) Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
- d) Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
La cybersécurité et le RGPD
Cybersécurité
Toutes ces mesures ont pour effet de sécuriser au maximum les données en les rendant anonymes ou illisibles à la lecture avec le procédé de chiffrement.
Ces mesures permettent de se protéger contre les différentes attaques qui sont réalisées sur le cyber espace afin d’accéder à vos données :
- Rançongiciel : ce sont des logiciels malveillants introduits dans un système qui vont bloquer l’accès aux ordinateurs et aux données en les chiffrant. Les hackers demandent une rançon afin de pouvoir récupérer ces données. Ils ont pour but principalement d’extorquer de l’argent et de nuire aux personnes concernées.
- Le phishing : les hackers envoient des courriels en prétendant être des entreprises connues en usurpant leur identité afin de détourner vos informations personnelles par l’ouverture d’un site, l’identification. Ils vont récupérer des données et/ou introduire des logiciels malveillants.
- L’attaque DDos (Distributed Denial of Service attack) : Les hackers vont rendre un service, un réseau indisponible en le saturant par l’envoi d’un nombre importants d’informations. Le système devient donc inaccessible pour les utilisateurs. Ils peuvent demander une rançon, ou simplement détourner les données qu’ils ont pu récupérer grâce à la saturation qui a rendu faible la sécurité du système.
Ces procédés relèvent de l’extorsion de fond et non de l’escroquerie. L’extorsion de fond est prévue à l’article 312-1 du Code pénal qui dispose : « l’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque ». La rançon étant une remise de fonds, elle est considérée comme une contrainte. L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende.
De même que l’infraction d’atteinte à un système de traitement de données prévue à l’article 323-1 du Code pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d’amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d’amende. »
Les mesures de protection
Pour avoir une vision d’ensemble sur la sécurisation des données, il est important d’effectuer un audit de sécurité informatique, qui est une démarque permettant de connaitre le niveau de sécurité global du système d’information, et la mise en place d’une politique d’accès pour les données de l’entreprise.
Cet audit garantit la mise en place des dispositions garantissant la confidentialité du traitement des données à caractère personnel.
Pour les entreprises, il est obligatoire de nommer un délégué à la protection des données personnelles, conformément à l’article 37 du RGPD. Ces missions sont listées à l’article 39 du RGPD :
- « a) Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;
- b) Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;
- c) Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;
- d) Coopérer avec l'autorité de contrôle ;
- e) Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet. »
Il aura donc un rôle d’information, de conseil, et de coopération auprès des autorités de contrôle afin de gérer la protection des données personnelles.
L’Agence national de la sécurité des systèmes d’informations (ANSSI) a rédigé un guide des bonnes pratiques pour sécuriser ces informations dans un cadre personnel et/ou professionnel. C’est un guide en 12 règles que vous pouvez retrouver sur le site : https://www.ssi.gouv.fr/entreprise/guide/guide-des-bonnes-pratiques-de-linformatique/.
En général, il faut :
- Faire les mises à jour régulières des différents logiciels.
- Mettre à jour l’antivirus
- Sauvegarder vos données
- Éviter les sites non sûrs et non sécurisés.
- Utiliser des mots de passes complexes et différents pour chacun de vos identifiants sur les différents sites et sur les applications.
Que faire en cas d’attaque ?
Si vous êtes victime d’une cyberattaque :
- Ne pas éteindre la machine concernée afin de ne pas perdre les données.
- Déconnecter les autres appareils du réseau.
- Si une rançon vous est demandée, ne la payer pas et ne rappeler par le numéro qui vous est communiqué.
- Conserver les preuves : les messages piégés, les postes ou serveurs touchés.
Pour les professionnels :
- Prévenir votre prestataire informatique.
- Si l’infection a provoqué une faille dans la protection des données personnelles, il faut le notifier à la CNIL, conformément à l’article 33 du RGPD. Cette notification doit se faire dans un délai de 72 heures. L’article 34 du RGPD impose la notification aux personnes concernées.
- Mettre à jour votre antivirus et changer vos mots de passe.
Que vous soyez dans un cadre personnel ou professionnel, les cyberattaques peuvent être rapportées aux autorités. Vous pouvez donc porter plainte pour violation de données.
Notre Cabinet vous assistera dans toutes vos diligences relatives aux cyberattaques.
Me Steve OUTMEZGUINE
Fondateur du Cabinet Avomedias
Contactez nous
[email protected]
01 84 14 52 02
Notre adresse
47 Avenue Hoche
75008 Paris
Prendre rendez-vous
Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h
Nous écrire
Contactez-nous
Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle