quelques mots d'introduction au sujet du jour
« état de l’art » ? facile ! heuuuuu… répondent les juristes.
« état de l’art » ? heuuuuuu… répondent souvent (avec une sage prudence) les professionnels(le)s de la cyber sécurité.
Et si on profitait de ce début d’année pour faire un point technique et juridique autour des notions « d’état de l’art » et de « négligence » en matière de cyber sécurité ? (« oh oui » me souffle-t-on dans l’oreillette).
Nous nous focaliserons sur ce que nous connaissons : l’état de l’art selon l’ANSSI et la CNIL sur le territoire de l’hexagone.
Nous commencerons par un point juridique : quelle définition (légale ?) pour « état de l’art » en matière de cyber sécurité ?
Nous verrons ensuite ce que l’ANSSI considère comme la base de l’état de l’art de la cyber sécurité : « le socle de sécurité » du Guide d’hygiène en 42 points (v2 de 2017).
Tant qu’on y est, nous rappellerons ce que sera l’état de l’art technique avec la Directive NISv2 qui entre en application effective dans… dans 10 mois ! Pour la réponse en version détaillée à cette même question, allez parcourir notre « NISv2 : les 15 points de cyber sécurité » (date de fraicheur : novembre 2023) rédigé avec les pro de CYBERZEN.
L’état de l’art, ce sont aussi les décisions de condamnation prononcées par les autorités de contrôle… Ben oui… Profitons-en pour un petit survol de la jurisprudence CNIL « sécurité » depuis 2017. Coté ANSSI, ça va être rapide (mais ça devrait – enfin – changer… bientôt…).
Mais pourquoi tout ce pataquès autour de la notion « d’état de l’art » ?
Pour une raison simple : si votre « organisation / entité » ne respecte pas le niveau technique de l’état de l’art, votre entité sera NEGLIGENTE ! Et qui dit négligence, dit en conséquence sanctions (par les autorités de contrôle) et responsabilité à l’égard des partenaires contractuels (clients ou prestataires).
A propos de sanctions, rappelons ce qui est prévu dans la Directive NISv2 et dans le Règlement DORA pour les entités elles-mêmes comme pour leurs dirigeants ?
Avant de conclure, intéressons-nous aux impacts techniques / business de l’obligation pour les professionnel(le)s d’être à l’état de l’art, notamment lorsqu’on développe du logiciel.
Les impacts business de l’état de l’art, c’est aussi ce qu’il faut (faudrait ?) écrire dans vos contrats BtoB. Avec un petit focus sur le débat « négligence et force majeure » qui fait beaucoup rêver des genoux certain(e)s juristes.
Tiens d’ailleurs, puisqu’on en est aux considérations juridiques : terminons en beauté et voyons quelle est la nature de l’obligation de cyber sécurité d’être « à l’état de l’art » ? [spoiler : une obligation de moyens ou de résultat ? autre chose ??? mais quel suspens torride…].
Si vous lisez tout ça, vous pourrez prétendre être à l’état de l’art en janvier 2024 !
Coté illustrations, bienvenue dans l’univers de « L’Oeil de la nuit » par Stéphane « Gess » au dessin et Serge « Maitre » Lehmann au scénario. C’est disponible aux éditions Delcourt en 3 tomes tout à fait remarquables (que dis-je : EX CEP TION NELS) !!! Avec quelques clins d’oeil coté « Milady 3000 » , « Le Fléau des Dieux » , « Hercule » et « La Nef des Fous » (tous les liens en fin de ce post de blog).
Avant de poursuivre cette lecture (certainement passionnante), vous pourriez vous demander si vous y trouverez un intérêt professionnel.
Je vous laisse vérifier dans la slide ci-dessous.
La définition (quasi légale) de "l'état de l'art" par l'ANSSI (ami(e)s juristes : arrêtez de réinventer la roue !)
cyber sécurité et état de l'art : voyons ce que prévoit l'ANSSI dans son Guide d'hygiène ?
Etat de l'art cyber sécurité : voyons aussi ce qui est prévu dans la Directive UE "NISv2" ? [dont la loi de transposition ne devrait plus trop tarder...]
Pardon de devoir vous rappeler ce principe juridique intangible : les décisions de condamnation (la jurisprudence) concourent sans doute possible à la définition de l'état de l'art
Vous ne saviez pas qu'il existait de la jurisprudence "cyber sécurité" et "état de l'art" en France ? Pourtant...
le principe de la responsabilité pour "NEGLIGENCE" ? Vous allez voir, ça se comprend assez rapidement...
encore NISv2 et DORA : un rappel des risques de sanction en cas de non-respect des règles légales (et donc de l'état de l'art) de cyber sécurité.
Ah ! Voyons les impacts du nécessaire respect de "l'état de l'art" lorsqu'on développe du logiciel / conduit un projet IT.
Et profitons-en pour voir ce qu'il faudrait écrire dans son contrat BtoB.
Et évacuons la blague de la négligence valant "force majeure" (entendue sans rire et à plusieurs reprises)
LAST BUT NOT LEAST
l'obligation d'être à l'état de l'art en matière de cyber sécurité : une obligation de résultat ? (heureusement que non !!!)
Cher(e)s Juristes, vous devriez lire les quelques slides ci-dessous faites spécialement pour vous !
ah bon ? vous trouvez que le personnage ci-dessous n'incite pas à poser des questions ? comme c'est surprenant...
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Fléau des dieux (Le) » série complète en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006
« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Milady 3000 » one shot © [le Grand] Magnus 1985 © éditions Ansaldi Bruxelles
« Nef des Fous (La) » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023
« Oeil de la Nuit (L’) » série complète en 3 tomes par (les deux génies de la BD que sont) Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)