05 janvier 2023

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#438 le droit de pentester l’hébergeur du pentesté en 2023 ?

#438 le droit de pentester l’hébergeur du pentesté en 2023 ?

le droit au pen-test sur l’hébergeur du pen-testé COUV © Ledieu-Avocats 01-2023

Avez-vous le droit de pentester l'hébergeur du pentesté ?

Le droit de pentester l’hébergeur du pentesté en 2023 ?

J’ai posé la question sous forme de sondage sur LinkedIn en novembre 2022.

Le résultat est consternant.

SONDAGE avez-vous le droit de pentester l’hébergeur de votre client © Ledieu-Avocats 2023

Reposons les termes du problème avec Brice AUGRAS CEO de BZHunt, car si la réponse en droit est indéniablement OUI, elle mérite d’être tempérée et de prendre en compte la réalité judiciaire et économique.

Le constat d’abord.

Chaque entreprise, quel que soit son secteur d’activité, possède aujourd’hui un système d’information (ou « SI » ). Pas la peine d’insister sur ce point.

Beaucoup d’entreprises contractent avec un hébergeur pour faire stocker leurs données / logiciels / etc. Nous dirons leurs « data » pour faire simple. Juridiquement, le prestataire hébergeur est un sous-traitant de l’entreprise cliente. Le traitement opéré sur les data du client ? un stockage.

Imaginons qu’une entreprise veuille s’assurer que son SI est sécurisé. Elle contracte avec un professionnel de l’audit de sécurité des systèmes d’information (nous dirons un « pen-testeur » pour faire simple) dont la mission sera de tenter d’accéder aux data.

Y compris celles stockées chez l’hébergeur, donc.

Alors ? Le pen-testeur peut-il légalement accéder aux données du pen-testé qui seraient stockées chez un hébergeur ?

Voyons les données du problème juridique et technique en 9 questions/réponses successives.

QUESTION 1 avez-vous le droit de pentester l’hébergeur de votre client © Ledieu-Avocats 2023

Avez-vous le droit de pentester l’hébergeur de votre client ?

La réponse est bien évidemment OUI. Il suffit pour l’entreprise pen-testée d’encadrer contractuellement la mission du pen-testeur pour que ce dernier ne tombe pas sur l’écueil des articles 323-1 à 323-3 du Code pénal (vous savez, accès / maintien frauduleux, tout ça…).

avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

Si un contrat est signé entre l’entreprise pen-testée et le pen-testeur, il n’y a pas de « manœuvre frauduleuse » de la part du pen-testeur… 

Mais si le pen-testeur sort du champs de sa mission contractuelle ?

Je vous le confirme, ça va pas bien se passer pour lui….

Et si vous souhaitez creuser cet aspect des choses, allez voir notre présentation « accès frauduleux ? légitime défense ? action offensive ? » de novembre 2022.

Avez-vous le droit de pentester l’hébergeur de votre client ?

Pour le dire autrement, les data du client chez l’hébergeur font elles partie du SI du client ?

La réponse – en droit – est OUI !

Prenons la définition de « système d’information » de la Directive NIS#1 (ou de la Directive NISv2 n°2022/2555 adoptée le 14 décembre 2022 – sans changement sur ce point) :

la définition légale de l'UE pour SYSTEME d'INFORMATION NISv2 - avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

Cette définition est reprise à l’identique dans la loi française de transposition de la Directive NIS#1 (loi n°2018-133 du 28 février 2018).

Un « dispositif » en droit français ? C’est un ensemble « matériel + logiciel » .

[mise à jour du 13/01/2023 : en #DORA dans le texte, pour les entreprises du secteur financier, ça s’appelle un « actif de TIC« ]

Il ne fait donc pas de doute – au sens de la loi – que la partie du SI d’une entreprise qui serait accessible chez un prestataire (l’hébergeur) constitue bien un élément du SI de l’entreprise concernée.

L’hébergeur est seulement « prestataire » , sous-traitant d’une prestation spécifique de stockage.

La définition de « sous-traitant » au sens du RGPD (article 4.8) ne dit pas autre chose : « la personne physique ou morale … qui traite des données à caractère personnel pour le compte du responsable du traitement » .

Manifestement, si les données / logiciels / infrastructures IT de l’entreprise stockées chez l’hébergeur demeure évidemment toujours la « propriété » de l’entreprise (nous n’aborderons pas ce point aujourd’hui), les ressources du data center de l’hébergeur / du sous-traitant en mode SaaS / etc. utilisées par l’entreprise font bien partie – légalement parlant – du SI de notre entreprise pen-testée.

Pour la relation juridique hébergeur / hébergé, et pour ce qui est juste des données stockées, il faudra donc utiliser les mécanismes de la directive 96/9 sur les bases de données pour que l’entreprise accorde au prestataire d’hébergement un « droit d’extraction » sur les data afin de valider juridiquement le stockage.

Vous trouverez le détail, textes légaux à l’appui, dans le slider ci-dessous.

 

La conclusion logique ?

Le pen-testeur qui accède aux data de l’entreprise stockées chez un prestataire d’hébergement ne fait qu’accéder au SI de l’entreprise qui lui a commandité le pen-test.

L'HEBERGEUR PEUT-IL METTRE DES LIMITES AUX PEN-TESTS DANS LE CONTRAT D'HEBERGEMENT ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

Avez-vous le droit de pentester l’hébergeur de votre client ? 

La réponse est OUI, bien évidemment.

Un « contrat » fait la loi des parties (article 1103 Code civil), qu’il s’agisse d’un simple contrat d’hébergement (stockage), de service applicatif en mode Cloud (« Software as a Service » ), de « Platform as a Service » , de IaaS (« Infrastructure as a Service » ), etc.

PS avec spéciale dédicace à l’Ourf et Volodia (qui se reconnaitront) : un « NDA » , c’est un contrat. Des « CGU » , c’est aussi un contrat. Une « lettre de mission » , c’est (encore) un contrat. C’est ce que nous dit l’article 1101 du Code civil. Alors, pitié, arrêtez de faire des distinctions juridiques là où nous, juristes, n’en faisons pas ! Non mais !

L’hébergeur peut donc, de manière tout à fait légitime, imposer à l’entreprise (sa cliente dont il stocke les data) des restrictions sur la conduite de pen-tests.

Notez à ce stade que le pen-testeur ne connait pas – juridiquement – les contraintes auxquelles il devrait se soumettre. Il est tiers au contrat d’hébergement. Il n’est donc pas tenu de respecter des règles auxquelles il n’a pas donné son consentement.

Mais regardons la réalité des contrats d’hébergement sur les restrictions généralement imposées par l’hébergeur au pen-testeur :

–  faire white-lister les adresses IP du professionnel qui pen-teste;

– ne pas tenter de faire intrusion dans les données « mutualisées » de l’hébergement (surement trop bien cloisonnées…), même lorsque le client hébergé bénéficie justement d’une prestation mutualisée;

– donner un accord préalable au scénario du pen-test;

– énumérer limitativement par écrit la liste des outils (logiciels) utilisés par les pen-testeurs ;

– justification écrite préalable et individuellement de telle ou telle condition pour chaque pen-testeur personne physique (casier judiciaire ? certification professionnelle qui n’existe nulle part ? preuve de majorité tant qu’on y est ? ) ;

– réaliser les tests seulement pendant une plage horaire limitativement définie (pas la nuit et surtout pas le week-end) ;

– restreindre la typologie des vecteurs d’attaque (je cite ZaX) etc.

Il est évident que dans ces conditions, l’audit de l’hébergeur ne risque pas de révéler de vulnérabilités trop criantes… Notre hébergeur pourra tranquillement continuer son business as usual, sans se poser de questions…

A ce stade, il devient légitime de se poser la question 4.

LES LIMITES AUX PEN-TESTS IMPOSEES PAR LES HEBERGEURS SONT-ELLES LEGITIMES ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

D’après ce que Brice et moi avons pu lire récemment, la réponse est très clairement NON.

Prenons l’hypothèse du locataire d’un appartement dans un immeuble.

Si un locataire (ou son assureur) fait réaliser un test d’intrusion physique jusqu’à la porte d’entrée de son appartement, il faudra que le prestataire d’intrusion franchisse d’abord la porte d’entrée de l’immeuble.

Pensez-vous que ce test d’intrusion sera réaliste, c’est-à-dire qu’il puisse décrire la réalité de la sécurité de l’immeuble, si notre locataire demande son avis au propriétaire et que le testeur s’engage à remplir un tas de conditions préalables ? 

Est-il légitime pour le propriétaire de l’immeuble d’imposer un horaire au testeur (seulement quand je suis là et seulement quand je te regarde) ?

Est-il légitime pour ce même propriétaire de l’immeuble d’imposer au testeur d’utiliser une clé/un code qu’il fournit spécialement au testeur et qui lui permettra d’identifier (sans devoir s’inquiéter) l’origine de l’intrusion ?

Disons-le encore autrement : pourquoi imposer des restrictions au pen-testeur ?

Vous pensez que les cambrioleurs vont respecter les horaires choisis par le propriétaire de notre immeuble ? Qu’ils vont respecter une procédure d’identification ou vous donner par avance leur adresse (IP pour les pen-tests) pour le cas où ?

C’est pourtant ce que faitt une grande majorité de bailleurs / hébergeurs : ils imposent des conditions de réalisation des pen-tests qui ne permettent pas de tester la réalité de la cyber sécurité du service offert aux clients hébergés.

Et les professionnels de la cyber sécurité semblent dans leur majorité (voir le résultat de notre sondage) trouver ça normal !

Quel drôle de monde…

QUELS SONT LES ARGUMENTS DES HEBERGEURS POUR (TENTER DE) JUSTIFIER LE STRICT ENCADREMENT DES PEN-TESTS DE LEURS INFRA ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

Petit inventaire à la Prévert des arguments des hébergeurs pour empêcher les pen-testeurs de faire leur travail (et donc de démontrer que l’hébergeur ne fait pas correctement le sien) :

mais qui sont ces gens qui tentent de rentrer chez moi ?

oh là là, j’héberge des données personnelles, faut que je demande à mon DPO d’abord

pas besoin de tester notre sécurité, nous sommes certifiés ISO 27000 machin !

et si le pen-testeur a accès aux données de mes autres clients, je dis quoi à mes autres clients ? etc. etc.

Ce dernier argument est mon préféré : en clair, si le pen-testeur rentre dans le SI de l’entreprise hébergée, il démontre déjà par la seule réussite de son intrusion (qui n’est pas pénalement frauduleuse, puisqu’il est mandaté par l’entreprise) que le SI de l’hébergeur n’est pas sécurisé. Nous reviendrons plus loin sur le risque d’effets de bord des actions du pen-testeur.

Et si notre pen-testeur accède (ce qui est très probable) aux données d’entreprises autres que celle qui l’a mandaté par contrat, la faute à qui ? Au pen-testeur qui fait son boulot ou à l’hébergeur ?

Ce discours – extrêmement répandu – cache une réalité que bien des hébergeurs aimeraient taire : c’est que leurs services sont – trop souvent – des passoires en termes de sécurité. Et il est rare que des professionnels acceptent de reconnaitre qu’ils sont mauvais / défaillants / perfectibles (choisissez votre terme selon le degré de méchanceté que vous voudrez y mettre…).

Pour le dire autrement encore, beaucoup d’hébergeurs tentent de limiter la manière dont ils vont se faire pen-tester parce qu’ils savent plus ou moins consciemment (respectons la présomption d’innocence) qu’il n’offrent pas à leurs clients un niveau de cyber-sécurité « à l’état de l’art ».

Pourquoi cette crainte du pen-test chez les hébergeurs ? Parce que ça coute cher de faire de la cyber sécurité à l’état de l’art ? Parce qu’il faut accepter de se remettre en question, de s’organiser et de travailler dans un process continu vers toujours plus et mieux en termes de sécurité numérique ?

D’où la question suivante.

 

Coupons court à toute forme de délire juridico-technique.

En France, l’état de l’art est défini par les autorités de contrôle (CNIL, ANSSI, etc.), soit par des décisions de type normative, soit par des décisions de condamnation.

Voyons ce que nous dit l’ANSSI pour « état de l’art » , par exemple dans le référentiel PVID (version 1.1 du 1er mars 2021) :

POUR UN HEBERGEUR, C'EST QUOI "L'ETAT DE L'ART" ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

Vous avez déjà lu un seul contrat dans lequel un hébergeur affirme être à « l’état de l’art » en matière de cyber-sécurité ou décrive son process technique et/ou organisationnel pour s’y maintenir ? Moi, jamais. Parfois, on peut obtenir une certification ISO 27001… voire la faire contrôler…

Vous trouverez le détail de cette démonstration (implacable…) dans le slider ci-dessous.

 

Le triste constat est donc que beaucoup d’hébergeurs, au lieu de travailler activement et en continu pour assurer des prestations à l’état de l’art en termes de cyber-sécurité, imposent à leurs clients des conditions de réalisation des pen-tests qui évitent soigneusement de pouvoir démontrer que leurs infra ne sont pas correctement sécurisées.

LE PEN-TESTEUR EST-IL TENU DE RESPECTER LES CONDITIONS DE PEN-TEST DECRITES DANS LE CONTRAT D'HEBERGEMENT ?avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

La réponse – juridiquement – est NON !

Pourquoi non ? Parce que le pen-testeur n’a pas signé le contrat d’hébergement. Juridiquement, le pen-testeur est un tiers au contrat entre l’entreprise et l’hébergeur. En droit, on appelle ça l’effet relatif des contrats. Le contrat n’engage que ceux qui l’ont signé.

Nous passerons rapidement sous silence l’hypothèse dans laquelle le contrat d’hébergement ne prévoit aucune disposition sur la réalisation de pen-test : le pen-testeur est alors juridiquement en droit d’agir à la demande de l’entreprise commanditaire et comme bon lui semble (sous réserve, bien évidemment, de ne pas causer de dommage à l’hébergeur, nous y reviendrons plus tard).

Gardons l’hypothèse de restrictions au pen-test prévues dans le contrat d’hébergement.

Si le pen-testeur ne les respecte pas (sans même commettre aucun « effet de bord ») : qui est « en faute » ?

Ne rêvez pas, le pen-testeur n’est pas en faute s’il ne respecte pas un contrat qu’il n’a pas signé.

Seule l’entreprise cliente de l’hébergeur sera en manquement contractuel, car l’entreprise est responsable de ses prestataires sous-traitants, comme par exemple des actions de son pen-testeur.

C’est un principe général du droit français, en droit civil comme en droit pénal (voir mon cours à Paris II du 3 novembre 2022 : « la responsabilité pénale / civile / contractuelle et sa répartition entre employeur / salarié(e) / prestataire » ).

 

Que peut alors faire l’hébergeur : agir au pénal contre le pen-testeur pour accès et maintien frauduleux ? Non, car le pen-testeur a pris le soin de contracter avec l’entreprise commanditaire. Le caractère « frauduleux » étant absent, aucune poursuite pénale ne pourra prospérer, c’est évident.

Mais si le pen-testeur est assez fou pour agir sans contrat écrit ? Là, le prestataire de pen-test prend un risque pénal. Pour autant que le Procureur décide de poursuivre, ce qui n’est pas certain, même avec un dépôt de plainte pénale.

Seule option pour l’hébergeur : résilier le contrat avec l’entreprise (son client) pour non-respect des conditions d’hébergement !

Mais soyons réalistes : croyez-vous que les hébergeurs vont résilier les contrats de tous leurs clients qui font réaliser des pen-tests non contractuellement conformes ?

Vous pensez que les hébergeurs vont volontairement se séparer de leurs clients, de plus en plus nombreux à faire réaliser des pen-tests ?

Et si le pen-test démontre des failles de sécurité béantes coté hébergeur, pensez-vous qu’un tribunal confirmera le caractère légitime du motif de résiliation du contrat ? Je suis prêt à remettre ma robe pour aller plaider ce genre de dossier !

QUI EST RESPONSABLE D'UN DOMMAGE QUI SERAIT CAUSE A L'HEBERGEUR A L'OCCASION D'UN PEN-TEST ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

En d’autres termes : qui va payer la réparation des « effets de bord » d’un pen-test mal maitrisé ?

En droit, comme l’hébergeur n’a conclu un contrat qu’avec l’entreprise, l’hébergeur devrait assigner son client hébergé en réparation de tout dommage qui aurait été causé par un pen-testeur.

Si l’entreprise pen-testée est bien conseillée, elle assignera immédiatement en garantie le pen-testeur négligent et demandera que toute condamnation pécuniaire soit mise à la charge du mauvais professionnel.

Mais ce serait trop simple de s’en tenir à ces considérations basiques de procédure civile.

Car si l’hébergeur a subi un dommage, il faudra qu’il le prouve. Et la preuve judiciaire d’un dommage (sa quantification en euro) est soumise à l’appréciation souveraine des juges.

En d’autres termes, il faudra que le Tribunal valide le montant des dommages effectivement subis par l’hébergeur. Et celles et ceux de mes Confrères qui plaident savent combien cette étape est extrêmement difficile (les juges ne sont pas généreux en France…).

Bien évidemment, toute demande de dommages-intérêts ne pourra pas passer en référé. Il faudra que l’hébergeur assigne au fond. Comptez 2 à 5 ans de procédure pour un jugement de première instance + 2 à 3 ans en cas d’appel.

Et vous pensez que devant un contentieux aussi technique (définition et attribution de la responsabilité des effets de bord d’un pen-test), le juge va se contenter des arguments du demandeur (l’hébergeur) ?

Hélas non (pour l’hébergeur). 

Le juge ne manquera pas de demander une expertise technique à réaliser par un expert désigné par le Tribunal. S’ensuivront alors plusieurs RDV d’expertise, durant lesquels l’expert (à supposer qu’il soit effectivement compétent…) devra 1) comprendre le problème puis 2) donner son avis technique, éventuellement aussi sur une éventuelle répartition de la responsabilité entre l’entreprise et son pen-testeur (à supposer que le demandeur à l’expertise ait également pris soin de confier comme mission à l’expert de quantifier son préjudice).

Puis, une fois le rapport officiellement transmis au Tribunal (comptez quelques mois…), le demandeur et les défendeurs auront à conclure en faveur ou en critique à l’égard de ce rapport. Car le rapport ne suffit pas à lui seul. Il faudra donc pour les plaideurs emporter la conviction du juge sur ce que dit  (ou ne dit pas) le rapport. 

Et comprenez que tout cela est susceptible d’être contesté en appel à l’occasion duquel une nouvelle expertise peut-être demandée…

Vous savez que les frais d’expertise sont au départ à la charge du demandeur (l’hébergeur dans notre hypothèse) ? 

QUI EST RESPONSABLE D'UN DOMMAGE QUI SERAIT CAUSE A L'HEBERGEUR A L'OCCASION D'UN PEN-TEST ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

Vous voyez à la longueur de ces quelques lignes que la solution judiciaire qui s’offre à un hébergeur est loin d’être gagnée : ça va être long, très, très long… et ça va couter des sous en frais d’expertise et d’avocats… pour un résultat difficile à prouver… et avec des chances de succès parfaitement aléatoires… 

LE PEN-TESTEUR EST-IL OBLIGE DE SIGNER LES CONDITIONS DE PEN-TEST REDIGEES PAR L'HEBERGEUR ? avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

La réponse est NON, bien sûr.

Personne n’a l’obligation de signer un contrat.

Et signer un contrat avec un couteau sous la gorge rend le contrat nul (pas besoin de faire 5 ans de droit pour comprendre ça).

Si vous insistez, vous trouverez quelques explications dans le slider ci-dessous pour parfaire votre culture juridique.

 

Mais soyons réalistes et mettez-vous à la place de l’entreprise qui veut se faire pen-tester dans le but – je vous le rappelle – de savoir comment améliorer la sécurité de son système d’information (donc de mieux protéger ses données / logiciels / infrastructures) :

– soit cette entreprise laisse faire le pen-testeur sans signer la fameuse « convention tripartite » (les conditions de pen-test écrites par l’hébergeur), auquel cas notre pen-testée prend le risque de se fâcher avec l’hébergeur (voir question 8). Mais si le contrat d’hébergement ne contient aucune disposition sur les conditions de pen-test, ni notre entreprise pen-testée, ni son pen-testeur ne prennent de risque en ne signant pas la « convention tripartite » !

– soit notre entreprise signe la « convention tripartite » avec le pen-testeur et l’hébergeur, auquel cas le pen-testeur (honnête) expliquera au pen-testé qu’il va payer pour un pen-test qui ne servira à rien, puisque l’hébergeur a fait en sorte que les contraintes techniques qu’il impose ne permettront pas de mettre en défaut ses mesures de sécurité.

ma conclusion pour les hébergeurs

Chers hébergeurs,

Arrêtez de vous réfugier derrière vos conventions tripartites de réalisation de pen-test !

Arrêtez de vouloir vous protéger à tout prix, vos clients vont finir par comprendre que vous vous moquez d’eux.

Et, entre nous soit dit, lorsqu’un pen-test bien fait montre que votre infra présente des failles de sécurité, c’est votre client qui paie pour vous permettre d’améliorer votre cyber-sécurité et celle de votre service.

Il ne vous reste plus qu’à régler le(s) problème(s) identifié(s) grâce au travail du pen-testeur (que vous n’avez pas payé, je vous le rappelle…).

ma conclusion pour les entreprises qui souhaitent se faire pen-tester

CONCLUSION pour les entreprises qui souhaitent se faire pen-tester - avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

Chères entreprises qui cherchez à vous faire pen-tester,

Vous avez raison, votre cyber-sécurité n’est probablement pas (euphémisme) à l’état de l’art et vous avez raison de faire appel à un prestataire professionnel qui vous montrera concrètement comment progresser.

Si vous faites plus confiance à votre hébergeur qu’à votre pen-testeur, économisez vos sous et ne faites pas de pen-test !

D’ailleurs, vous devriez faire les choses dans l’ordre et commencer par faire un peu d’hygiène numérique avant tout… et une analyse formelle et concrète de vos risques…

ma conclusion pour les professionnel(le)s du pen-test / de l'audit de sécurité

Chers pen-testeurs,

Soyez honnêtes ! Expliquez à l’entreprise que faire un pen-test dans les conditions de l’hébergeur ne sert très probablement à rien !!!

Vous aurez rempli votre devoir légal d’information (article 1112-1 Code civil) auquel est tenu tout professionnel raisonnable (article 1188 Code civil).

Si l’entreprise, votre cliente à vous, vous demande de signer la convention tripartite (alors que vous lui avez clairement expliqué que c’est débile de bosser comme ça), signez la convention, faites votre boulot et facturez ! Je vous rappelle que le client est roi

CONCLUSION pour les PEN-TESTEURS avez-vous le droit de pen-tester l’hébergeur de votre client © Ledieu-Avocats

 

Pourquoi un tel débat ? Quel est le fond du problème ?

Soyons lucides : c’est la qualité des prestations de beaucoup de pen-testeurs.

Vous feriez confiance à un pen-testeur qui ne disposerait pas de conditions contractuelles sérieuses à faire signer avant toute intervention ?

Vous feriez confiance à un pen-testeur qui ne disposerait pas d’une assurance de responsabilité civile professionnelle ?

Allez lire ce que le Règlement UE « DORA » (Digital Operational Resilience Act n°2022/2554 du 14 décembre 2022) va imposer à tous les professionnels de la banque, de l’assurance et du courtage et A TOUS LEURS PRESTATAIRES IT (hébergeurs en tête, donc) : l’obligation de tester la sécurité de son réseau et de son système d’information au moins une fois par an. 

ET SEULEMENT par des prestataires « testeurs » (article 27) qui:

« 27.1.(a) possèdent l’aptitude et la réputation les plus élevées;

27.1.(b) possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team;

27.1.(c) sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels;

27.1.(d) fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;

27.1.(e) sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence. »

DORA préfigure clairement ce que va devenir l’état de l’art – contractuel et technique – pour la sécurité des systèmes d’information – de tous les systèmes d’information professionnels…

Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les BD ayant servi d'illustration à cette présentation !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022

« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022

« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020

« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016

« Le dernier Troyen » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011

« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012

« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016

« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022

« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016

« Le serpent et la lance » 2 tomes par Hub © éditions Delcourt 2019 – 2021 (bienvenu dans l’Empire aztèque en 1454)

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018

« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​