Sécurité et objets connectés

Transcription

1 Sécurité et objets connectés Nacira Salvan Polyanna Bigle /05/2015 Copyright Lexing

2 Introduction Le contexte : les risques et menaces liés à un objet ou à ses données L enjeu : atteintes multiformes : atteintes corporelles, aux biens, à la vie privée, aux systèmes d information, au secret des affaires Le défi : identifier et maîtriser les risques et menaces - Le «Security by design» L actualité : recentrage du Plan Industriel Français Cité de l objet connecté (Angers) 19/05/2015 Copyright Lexing

3 Intervenants 1. Nacira Salvan Responsable pôle Architecture sécurité SAFRAN Aerospace Defense Security 2. Polyanna Bigle Avocat Directeur département Sécurité des systèmes d information et Dématérialisation 19/05/2015 Copyright Lexing

4 Plan 1. Objets connectés : inoffensifs ou dangereux? 2. Sécurité des données collectées par les objets connectés 3. Sécurité et objets connectés : quels contrats pour quelles personnes? 19/05/2015 Copyright Lexing

5 1. Objets connectés : inoffensifs ou dangereux? 1. Objet malveillant 2. Volet pénal 3. Volet civil 19/05/2015 Copyright Lexing

6 1.1 Objet malveillant - Objets connectés de sécurité v/ Sécurité des objets connectés - Objets de sécurité : règlementation spécifique de sécurité : - Exemples : armes, drones, matériel de vidéosurveillance et vidéoprotection ; - Et les autres objets connectés? - Objet devenant malveillant, une arme dangereuse, objet simplement déficient : Exemple de Nacira Salvan ; Exemple : clé USB et introduction de virus. 19/05/2015 Copyright Lexing

7 1.2 Volet pénal : quelles infractions pour quels objets connectés? Problématique : Les infractions actuelles sont-elles suffisantes? - Atteintes involontaires à la vie (homicide involontaire) ou à l intégrité d une personne? - Atteintes aux biens? - Atteintes aux STAD? - Usurpation d identité numérique? 19/05/2015 Copyright Lexing

8 1.2 Volet pénal : Atteintes corporelles par des objets connectés ATTEINTE A L INTEGRITE PHYSIQUE D UNE PERSONNE HOMICIDE INVOLONTAIRE «Le fait de causer [ ] par manquement à une obligation de prudence ou de sécurité imposée par la loi ou le règlement», la mort d'autrui ou atteinte à l intégrité de la personne 2 ans ( c. pénal) 3 ans (221-6 c. pénal) En cas de violation manifestement délibérée d'une obligation particulière de prudence ou de sécurité imposée par la loi ou le règlement 3 ans ans Lorsque [ ] le manquement à une obligation législative ou réglementaire de prudence ou de sécurité est commis par le conducteur d'un véhicule terrestre à moteur Le conducteur n'était pas titulaire du permis de conduire 5 ans ( c. pénal) 5 ans ( c. pénal) 3 ans ( c. pénal) Quid voiture sans conducteur? 5 ans ( c. pénal) Quid ville 19/05/2015 Copyright Lexing 2015 connectée? 8

9 1.2 Volet pénal : Atteintes corporelles par des objets connectés Circonstance aggravante (132-75) Tout autre objet susceptible de présenter un danger pour les personnes est assimilé à une arme dès lors qu'il est utilisé pour tuer, blesser ou menacer ou qu'il est destiné, par celui qui en est porteur, à tuer, blesser ou menacer. L'utilisation d'un animal pour tuer, blesser ou menacer est assimilée à l'usage d'une arme, Animal = robot? Complicité par fourniture de moyens (121-7) Est complice d'un crime ou d'un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. Est également complice la personne qui par don, promesse, menace, ordre, abus d'autorité ou de pouvoir aura provoqué une infraction ou donné des instructions pour la commettre. 19/05/2015 Copyright Lexing

10 1.2 Volet pénal : Atteintes aux biens Destruction, dégradation ou détérioration d'un bien appartenant à autrui (322-1 et c. pénal) La soustraction frauduleuse d'énergie au préjudice d'autrui est assimilée au vol (311-2 c. pénal) 19/05/2015 Copyright Lexing

11 1.2 Volet pénal : Atteintes immatérielles Accès ou maintien frauduleux dans un STAD* (323-1 C. pénal) (*système de traitement automatisé de données) Entrave ou altération du fonctionnement d un STAD* (323-2 C. pénal) 2 ans prison et amende A l encontre d un système de traitement de données personnelles de l Etat 5 ans prison et amende 5 ans prison et amende A l encontre d un système de traitement de données personnelles de l Etat 7 ans prison et amende Usurpation d identité numérique ( c. pénal) Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération 1 an prison et amende 19/05/2015 Copyright Lexing

12 1.3 Volet civil : Quelles responsabilités pour quelles personnes? Objet connecté = bien meuble = chose Droit de propriété (art. 544 c. civ.) La propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu'on n'en fasse pas un usage prohibé par les lois ou par les règlements. Objet contractuel (art c. civ.) Il n'y a que les choses qui sont dans le commerce qui puissent être l'objet de conventions. Problématique : Les responsabilités civiles actuelles sont-elles adaptées aux objets connectés? 19/05/2015 Copyright Lexing

13 1.3 Volet civil : Responsabilités civiles liées à la sécurité de l objet Responsabilité civile délictuelle des choses gardées On est responsable non seulement du dommage [ ] qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde (art c. civ.) : qui a la garde? L utilisateur? L opérateur télécom? L hébergeur? Responsabilité civile délictuelle par négligence ou imprudence Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. (art.1383 c. civ.) : utilisateur? Responsabilité civile contractuelle Les conventions obligent non seulement à ce qui y est exprimé, mais encore à toutes les suites que l'équité, l'usage ou la loi donnent à l'obligation d'après sa nature. (art c. civ.) : celui qui traite les informations collectées (ex:pacemaker). Responsabilité civile contractuelle des vices cachés de la chose Garanties des vices cachés de l objet (art.1643 c. civ.) : fabricant, distributeur, vendeur. 19/05/2015 Copyright Lexing

14 1.3 Volet civil : Responsabilité civile spéciale du fait des produits défectueux Définition : - Produit = tout bien meuble, même s'il est incorporé dans un immeuble, y compris les produits du sol, de l'élevage, de la chasse et de la pêche. L'électricité est considérée comme un produit. - Produit défectueux = n'offre pas la sécurité à laquelle on peut légitimement s'attendre. - Appréciation de cette sécurité = il doit être tenu compte de toutes les circonstances (présentation du produit, de l'usage qui peut en être raisonnablement attendu et du moment de sa mise en circulation, etc.). - Quels dommages? - corporels ou causés aux biens < /05/2015 Copyright Lexing

15 1.3 Volet civil : Les responsables d objets connectés défectueux Responsables du produit défectueux = «producteur» professionnel : le fabricant d'un produit fini ; le producteur d'une matière première ; le fabricant d'une partie composante ; celui qui appose sur le produit son nom, sa marque ou un autre signe distinctif ; le distributeur. Responsables du défaut de sécurité si le «producteur» ne peut être identifié : le vendeur ; le loueur, à l'exception du crédit bailleur ou du loueur assimilable au crédit bailleur ; tout autre fournisseur professionnel. 19/05/2015 Copyright Lexing

16 1.3 Volet civil : Exonérations «2 Compte tenu des circonstances, il y a lieu d'estimer que le défaut ayant causé le dommage n'existait pas au moment où le produit a été mis en circulation par lui ou que ce défaut est né postérieurement ;» «4 l'état des connaissances scientifiques et techniques, au moment de la mise en circulation du produit, n'a pas permis de déceler l'existence du défaut ;» «5 le défaut est dû à la conformité du produit avec des règles impératives d'ordre législatif ou réglementaire ; le défaut est imputable à la conception du produit dans lequel cette partie a été incorporée ou aux instructions données par le producteur de ce produit.» 19/05/2015 Copyright Lexing

17 Conclusion Les responsabilités risquent d être partagées. fabricant distributeur éditeur API opérateur commerçant hébergeur Comment les identifier? Expertise entreprise qui fournit employés utilisateur 19/05/2015 Copyright Lexing

18 2. Sécurité des données collectées par les objets connectés 1. Propriété des données 2. Cybercriminalité sur les données des objets connectés 3. Failles de sécurité 4. Privacy and security by design 5. Zoom : l entreprise 19/05/2015 Copyright Lexing

19 2.1 Propriété des données collectées Utilisateur Tiers? Données collectées Opérateur de l objet? Editeur de l application (API)? Qui est responsable de traitement des données à caractère personnel et qui est sous-traitant? Quelles CGU? 19/05/2015 Copyright Lexing

20 2.2 Cybercriminalité sur les données des objets connectés Introduction, extraction, détention, reproduction, transmission, suppression ou modification frauduleuse de données d un STAD c. pénal STAD utilisateur ou STAD de l éditeur de l API? y compris par négligence, procéder ou faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre Atteinte à la vie privée c. pénal 5 ans prison et amende c. pénal En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé Autres Infractions spécialisées : escroqueries cartes bancaires, escroqueries, blanchiment 19/05/2015 Copyright Lexing

21 2.3 Données personnelles : failles de sécurité Responsables de traitement Fournisseurs de services de communications et sous-traitants Obligation de électroniques Si Faille de sécurité : accessibles au précaution pour Avertissement Cnil public préserver la sécurité Avertissement des données à intéressé caractère personnel Tenue d un registre art. 34 et 35 loi I&L Art. 34 bis loi I&L 19/05/2015 Copyright Lexing

22 2.4 Privacy and security by design De l objet et surtout de sa mise en œuvre : sécurité des transmissions et sécurité de leur hébergement Des obligations : Label Cnil Coffre Fort numérique ; les traitements de données nécessitent une autorisation préalable de la Cnil : volet sécurité particulièrement complet Vers des labels objets connectés? Vers des Standards techniques : Recommandations de l Internet of Things Global Standards ITU (Internationale Telecom Union) agence de l ONU (UIT-Y-2060 et 2061) ; IEEE ; IETF RFC 6550, protocole CoAP ; Initiative Global Standard 1 (GS1) : Electronic Product Code ; Standard Object Name System (ONS 2.0) ; OASIS: protocole MQTT. RFID Bill of Rights (Simon Garfinkel) : Le droit de savoir si un produit contient des étiquettes RFID ; Le droit au silence des puces ; Le droit d utiliser des services RFID sans étiquettes RFID ; Le droit d accès aux données stockées sur les puces ; Le droit de savoir quand, où et comment les données sont lues. 19/05/2015 Copyright Lexing

23 A minima : adopter des bonnes pratiques 19/05/2015 Copyright Lexing

24 2.5 Zoom : Sécurité des objets connectés dans l entreprise Vulnérabilités naissantes : dispositifs industriels (SCADA) et Opérateurs d importance vitale (OIV) (c.f. Guide ANSSI «La cybersécurité des systèmes industriels») Responsabilité employeur ayant mis à disposition ces objets connectés v/ responsabilité salarié - Régulation interne/invités indispensable : charte objets connectés Analyse de risques Sécuriser Informer Réguler Contrôler Conserver les preuves Avertir 19/05/2015 Copyright Lexing

25 3. Sécurité et Objets connectés : quels contrats pour quelles personnes? 1. Relations contractuelles 2. Engagements de sécurité 3. Boîte à outils 19/05/2015 Copyright Lexing

26 3.1 Relations contractuelles Fabricant objet connecté (ou non) Utilisateur(s) Distributeur Client : entreprise, secteur public, consommateur Commerçant Fournisseur de services de communication électronique Editeur de l application 19/05/2015 Copyright Lexing

27 3.2 Engagements de sécurité pour tous Fabricant ; Commerçant qui doit conseiller/former son client ; Editeur de l application ; Hébergeur ; Client qui doit prendre un certain nombre de précautions (mot de passe / suivi des recommandations). 19/05/2015 Copyright Lexing

28 Assistance 24/24 Plan de continuité d activité et plan de reprise d activité Clause de sécurité et d audit Clause de sécurité données personnelles Clause d accès aux données Préavis d arrêt du service Clause de réversibilité Risques : mise en danger (ex : cœur artificiel connecté) objet de sécurité (ex : serrure connectée) Date de péremption Assurance (Pour qui? Pour quel dommage? 19/05/2015 Copyright Lexing

29 3.3 Legal by design : Boîte à outils Schéma directeur juridique de fabrication ou l utilisation des objets connectés Comité de risque / Risk manager Formation & sensibilisation Chartes de régulation internes d objets connectés Guide des opérations de contrôle & preuves Assurances Tableau des risques Cahier des charges juridique : choix du prestataire MCO (chartes et contrats) Audits et tests externes Conditions particulières de cybersécurité Outils juridiques de déploiement international 19/05/2015 Copyright Lexing

30 5 Conseils 1. Identifier les objets et pouvoir déconnecter 2. Sensibilisation / formation en sécurité basique 3. Revoir les contrats et garanties de l écosystème 4. Contrôle régulier de ses objets connectés 5. Sauvegarder les preuves 19/05/2015 Copyright Lexing

31 Prochaine rencontre 9 septembre 2015 «Informatique et libertés : bilan d activité Cnil» Animée par Alain Bensoussan Pour recevoir les lettres Juristendances, abonnez-vous sur notre site internet : 19/05/2015 Copyright Lexing

32 Questions - Réponses 19/05/2015 Copyright Lexing

33 Bibliographie L internet des objets bouleverse la donne juridique La sécurité de l internet des objets au cœur de son développement IoT Internet des objets : quelle régulation? Internet des objets : quelle stratégie pour l entreprise? Machine To Machine : Internet des objets et ressources rares DSI : les enjeux de l internet des objets Les objets connectés T. Piette-Coudol LexisNexis ed. mars 2015 Données personnelles et internet des objets Sécurité des objets connectés Travaux des auditeurs INHESJ Le corps, nouvel objet connecté Cahiers IP n 02 - CNIL 19/05/2015 Copyright Lexing

34 Qui sommes-nous? Le cabinet Alain Bensoussan-Avocats a, pour la 3e année consécutive, obtenu le 1er prix (Trophée d or) du Palmarès des cabinets d avocats 2015 dans la catégorie Technologies de l information / Médias / Télécommunications, organisé par Le Monde du Droit en partenariat avec l Association Française des Juristes d Entreprise (AFJE). Un Client Choice Award a été décerné à Alain Bensoussan en 2014 dans la catégorie «Information Technology», reconnaissant ainsi la qualité exceptionnelle de ses prestations dans le domaine des technologies avancées. Pour la 4e année consécutive, Alain Bensoussan et le cabinet ont été distingués «Lawyer» de l année dans les catégories Technologies, Technologies de l Information, et Contentieux par la revue juridique américaine «Best Lawyers». Après avoir obtenu le label Cnil «Lexing formation informatique et libertés» pour son catalogue de formations informatique et libertés, le cabinet a obtenu le label Cnil pour sa procédure d audit «Lexing audit informatique et libertés». Le premier réseau international d avocats dédié au droit des technologies avancées 19/05/2015 Copyright Lexing

35 Réseau Lexing 19/05/2015 Copyright Lexing

36 ALAIN BENSOUSSAN AVOCATS 58 boulevard Gouvion-Saint-Cyr Paris Tél. : +33 (0) Fax : +33 (0) paris@alain-bensoussan.com Alain Bensoussan Lexing Alain Bensoussan Avocats Polyanna Bigle Mob. : +33 (0) Lexing est une marque déposée par Alain Bensoussan Selas 19/05/2015 Copyright Lexing

37 Crédits photos Concept Communication Technology aldo Fotolia.com Computer Web Signin User Security MissMedia-Fotolia.com Networking Scott Maxwell-Fotolia.com world with a heap of packages Franck Boston-Fotolia.com 19/05/2015 Copyright Lexing