23 novembre 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#360 DORA projet 2/2 les définitions de la sécurité informatique par l’UE

#360 DORA projet 2/2 les définitions de la sécurité informatique par l’UE

DORA projet 2/2 les définitions de la sécurité informatique par l'UE © Ledieu-Avocats

DORA projet 2/2 les définitions de la sécurité informatique par l’UE

Bien que l’exercice soit particulièrement pénible, pour celles et ceux qui veulent comprendre le projet de règlement DORA, il est nécessaire de commencer par prendre en compte les définitions légales en matière de « sécurité informatique« .

Plutôt que de nous cantonner à la simple citation de l’ensemble des définitions pertinentes, nous avons profité de l’exercice pour mettre en parallèle certaines notions légales essentielles en matière de sécurité des systèmes d’information.

Vous trouverez donc dans les slides ci-dessous des définitions, bonnes ou parfois moins bonnes, qui proviennent :

(i) de la directive NIS#1 (et de la loi française SRSI du 26 février 2018),

(ii) du projet de directive NIS#2 (dans sa rédaction du 16 décembre 2020),

(iii) du règlement UE « Cyber Security Act » du 17 avril 2019 (actuellement en vigueur),

(iv) de la norme ISO/IEC 27000:2018 (fr),

(v) du glossaire en ligne de l’ANSSI.

Dès à présent, je suis au regret de devoir vous prévenir : beaucoup de ces définitions ne sont pas techniquement pertinentes. Aussi, je vous proposerai certaines définitions issues de ma pratique du droit des contrats BtoB.

Avant d’attaquer cette lecture, je me répète, pénible mais nécessaire, je vous invite à réviser l’épisode #1 du feuilleton « DORA ou la sécurité informatique (bientôt) imposée au secteur financier« .

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : l'intro (en image)

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "réseau" et "système d'information"

Avant de nous pencher en détail sur les définitions de type « menace », « menace cyber », « risque », « risque cyber », etc., commençons par une définition essentielle : « réseau et système d’information« . 

Un « réseau » ? c’est un « réseau de communications électroniques » au sens de la directive UE 2018/1972 du 11 décembre 2018, qui remplace le « paquet telecom » de 2002.

Cette directive « code des communications électroniques européens » a été transposée en droit français par un ordonnance du 26 mai 2021, qui a elle-même modifié notre Code des postes et des communications électroniques.

Je ne doute pas que vous soyez édifié(e) par ce savant parcours législatif qui ne vous apprendra rien de ce qu’est un « réseau de communications électroniques« . 

Vous trouverez ce détail dans les slides ci-dessous. Retenez en synthèse qu’un « réseau » (de communications électroniques, donc) est constitué de l’ensemble des matériel et logiciel permettant de transporter des data numériques. C’est aussi simple que cela. 

DORA "réseau de communications électroniques" définitions sécurité informatique du secteur financier

Voyons maintenant « système d’information« .

Cette définition est particulièrement claire, techniquement et juridiquement, dans la directive NIS #1 (et dans la loi française du 26 février 2018).

En synthèse ? Consittue un système d’information tout ensemble matériel + logiciel + data.

Je vous laisse, avec une certaine perversité, aller lire le détail tout de même un peu plus compliqué, dans les slides ci-dessous. 

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "cyber-menace" et "cyber défense"

Le présent chapitre n’est pas indispensable à la compréhension du projet DORA. 

Cependant, nous avons cherché à être exhaustif et à faire un point véritablement détaillé sur l’ensemble de ces notions barbares qui, si elles ne parlent surement pas au grand public, ne sont pas toujours connues non plus des professionnel(le)s…

DORA "cybermenace" définitions sécurité informatique du secteur financier

Vous aurez bien compris que ce dont le « secteur financier » (banques, sociétés financières, assurances, et une liste particulièrement gratinée de professionnels impactés) doit se protéger, ce sont les cyber-attaques.

Il aurait été plus simple de définir cette seule notion.

Hélas, qu’ils s’agissent des fonctionnaires de la Commission de Bruxelles, ou des rédacteurs des normes ISO, ces braves gens ont chacun, sans concertation, choisi de définir ce que peut être une « (cyber)menace« …

Le détail, comme toujours sur ce blog, figure dans les slides illustrées en BD que vous trouverez ci-dessous. 

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "attaque" et "cyber-attaque"

Le coeur du problème, pour le secteur financier, comme pour l’ensemble des entreprises, des collectivités territoriales, des associations…  et des particuliers que nous sommes (aussi), vous et moi : les cyber-attaques.

Vous pourriez espérer trouver, au milieu de cette législation foisonnante, une définition simple et pertinente. 

Vous allez être déçu(e).

Qu’il s’agisse de la directive NIS#1, du projet NIS#2, du projet de Règlement DORA (mais laissez l’exploratrice tranquille…), du glossaire de l’ANSSI ou des normes ISO, le résultat est soit peu pertinent, soit inutilement compliqué.

Pour ne pas vous laisser dans l’expectative, vous retrouverez ci-dessous une définition (la mienne) qui me semble plus pertinente et tout à fait en adéquation avec les termes légaux provenant de l’ensemble des législations évoquées dans ce post. 

DORA définition "cyberattaque" ou cyber-attaque ou cyber attaque sécurité informatique du secteur financier

 

Si vous prenez une minute pour parcourir les slides que vous trouverez ci-dessous, vous constaterez sans doute avec surprise qu’une des rares définitions légales pour « cyber-attaque » nous vient de la doctrine militaire française publiée de manière tout à fait officielle par le Ministère des armées en 2019.

Vous découvrirez à cette occasion, que la France dispose aujourd’hui officiellement d’une doctrine militaire de « Lutte Informatique Défensive » (LID) et de « Lutte Informatique Offensive » (LIO) dont le titre, à lui seul, est tout à fait évocateur.

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "(cyber) sécurité"

Si vous ne retenez que deux choses de ce post, après la définition de « système d’information« , allez lire ce que, juridiquement signifie la « sécurité » d’un système d’information.

Cette définition légale de la notion de « sécurité » provient directement de la directive NIS#1.

Pour une fois, j’ai une bonne nouvelle : cette définition ne devrait pas changer dans la directive NIS#2 !

DORA définition "sécurité" informatique du secteur financier

 

La « sécurité » devient une obligation qui impose à l’exploitant d’un système d’information de protéger : 

(i) la disponibilité

(ii) l’authenticité

(iii) l’intégrité ou 

(iv) la confidentialité 

de « données numériques stockées, transmises ou faisant l’objet d’un traitement« .

Il ne nous semble pas utile de préciser les termes composant le dernier élément de cette phrase. 

Il nous paraît en revanche plus intéressant de nous pencher en détail sur les quatre notions listées ci-dessus, que vous retrouverez dans d’autres textes légaux, comme la loi française sur le chiffrement / la cryptologie (LCEN de 2004) ou dans le RGPD à propos de l’obligation de sécurité de l’article 32.

Et plutôt que de vous assomer avec ma prose, vous trouverez dans les slides ci-dessous la citation exacte de la définition de chacun de ces quatre termes provenant de la norme ISO 27000:2018.

Mise à part la notion d' »authenticité » (qui me semble franchement foireuse dans la norme ISO), les notions de « disponibilité« , d' »intégrité » et de « confidentialité » méritent d’être lues et retenues.

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "résilience" et "résilience opérationnelle"

Comment passer sous silence cette notion de « résilience opérationnelle« , qui occupe à elle seule deux des quatre lettres de l’acronyme DORA ? 

Pour bien comprendre de quoi tout cela retourne, commençons par une définition de « résilience » tirée d’un dictionnaire accessible en ligne. 

La spécificité du projet de règlement DORA est d’accoler à la notion de résilience le terme « opérationnel ». 

Même si la définition officielle dans le projet DORA de « résilience opérationnelle » est un peu longue (mais tout à fait intéressante), il faut en retenir que sera prochainement imposé au « secteur financier » une obligation de veiller à la continuité des services rendus à titre professionnel. 

En ce sens, DORA va au-delà de la notion purement technique de résilience (sécurité) et organise une véritable obligation de « continuité de services »  à l’ensemble de l’industrie de la banque, de la finance et des assurances. 

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "vulnérabilité"

Pour résumer techniquement ce qu’est une cyber-attaque, retenez l’équation « vulnérabilité + malware« .

Alors ? Une définition légale dans un de ces textes de « vulnérabilité » ? 

Franchement ? C’est pas terrible dans la littérature juridique de l’Union Européenne. 

La définition « presque légale » que je préfère retenir est celle provenant du glossaire de l’ANSSI (ça va faire plaisir  @ Vincent…).

DORA définition ANSSI vulnérabilité sécurité informatique du secteur financier

Comme pour l’ensemble des définitions que nous avons évoquées dans ce post de blog, vous trouverez dans les slides ci-dessous tout ce que nous avons pu trouver dans les directives NIS#1 et NIS#2, le règlement « Cyber Security Act » de 2019 et la norme ISO 27000:2018.

N’étant pas satisfait de la pertinence de ces définitions, vous en trouverez un exemple issu une fois encore de ma pratique du droit des contrats BtoB.

Je précise que cette définition contractuelle que je vous propose a été déjà, et à plusieurs reprises, acceptée dans des contrats signés entre opérateurs économiques.

DORA projet 2/2 les définitions de la sécurité informatique par l'UE : "malware" (logiciel malveillant)

Depuis des années, les professionnels s’échinent à tenter de définir contractuellement la notion de « malware« .

A la lecture des slides ci-dessous vous pourrez constater qu’aucun des textes légaux évoqués précédemment ne nous propose une quelconque définition de ce que peuvent être des « logiciels malveillants« . 

Sur ce point encore, je vous proposerai une définition empirique issue de ma pratique contractuelle. 

Prochain épisode DORA#3 : la gestion de risque (cyber) !


Le générique des BD ayant servi d'illustration à cette présentation ? Merci aux éditions Delcourt / Soleil (les meilleures !)

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​