Sécurité et Confiance dans les Réseaux et Systèmes d Information

Transcription

1 Agence Nationale de Réglementation des Télécommunications Sécurité et Confiance dans les Réseaux et Systèmes d Information - Cadre institutionnel et réglementaire - Présenté par : Laila ZOUAK Entité Prospective et Nouvelles Technologies

2 Plan Introduction Sécurité des échanges électroniques Protection de la vie privée Lutte contre la criminalité informatique Conclusion 2

3 Introduction Une bonne utilisation des technologies et leur viabilité ne peut intervenir que dans un cadre de sécurité qui instaure ou renforce la confiance. Dans un contexte virtuel et dématérialisé source d insécurité, la confiance est mise à rude épreuve. Elle constitue un enjeux déterminant liée à plusieurs domaines en l occurrence, le commerce, l administration, la liberté individuelle. Elle implique notamment la sécurité à travers la prévention et la répression d infractions commises à travers les réseaux ou ayant ces derniers comme cible. -> Sécurité Technique et Sécurité Juridique La sécurité et la confiance dans l utilisation des réseaux numériques notamment Internet et des activités métiers et supports qu offrent les systèmes d information s appuie principalement sur les aspects suivants : La sécurité des échanges électroniques La protection des données personnelles; La lutte contre la cybercriminalité. 3

4 Sécurité des Échanges Électroniques La sécurité des échanges électroniques repose sur : La sécurité des réseaux - Fonctionnement du réseau - Maintien de l intégrité du réseau - Protection des données et des informations traitées, transmises ou stockés Les moyens et prestations sécurisant les données et échanges électroniques Il s agit de solutions technologiques à certains problèmes de sécurité et de vérification comme la signature électronique et la certification qui repose en général sur les techniques de cryptage. 4

5 Sécurité des Échanges Électroniques La sécurité des systèmes d information et de communication recouvre plusieurs aspects interdépendants: Robustesse des réseaux face aux attaques; Protection des Intrusions physiques et informatiques; Conception d architectures de réseaux sécurisées; Contrôle des accès aux services; Cryptographie; Protection et filtrage des contenus; Protection face aux virus et vers informatique; Etc. 5

6 Sécurité des Échanges Électroniques L OCDE a établi des lignes directrices régissant la sécurité des systèmes et réseaux d information qui concluent sur la nécessité de développer «une culture de la sécurité» Il s agit notamment de : Promouvoir parmi l ensemble des parties prenantes une culture de la sécurité en tant que moyen de protection des systèmes et réseaux d information. Renforcer la sensibilisation aux risques pour les systèmes et réseaux d information, aux politiques, pratiques, mesures et procédures disponibles pour faire face à ces risques, ainsi qu à la nécessité de les adopter et de les mettre en oeuvre. Promouvoir parmi l ensemble des parties prenantes une plus grande confiance dans les systèmes et réseaux d information et dans la manière dont ceux-ci sont mis à disposition et utilisés. Créer un cadre général de référence qui aide à comprendre la nature des problèmes liés à la sécurité. Promouvoir la coopération et le partage d informations appropriés pour l élaboration et la mise en oeuvre des politiques, pratiques, mesures et procédures pour la sécurité. Promouvoir la prise en considération de la sécurité en tant qu objectif important. 6

7 Sécurité des Échanges Électroniques 1.Réglementation en vigueur au Maroc 1.1 En ce qui concerne la sécurité des réseaux Loi et ses décrets d application - Décret du relatif à l'interconnexion des réseaux de télécommunications - Décret relatif aux conditions générales d'exploitation des réseaux publics de télécommunications - Cahiers des charges des opérateurs. Loi n relative à la communication audiovisuelle Loi n complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données ->cf.lutte contre la cybercriminalité 7

8 Sécurité des Échanges Électroniques 1.Réglementation en vigueur au Maroc 1.1 En ce qui concerne les moyens et prestations de sécurité La réglementation marocaine en vigueur : Ne prévoit pas de dispositions relative à la signature électronique et à la certification. habilite l ANRT à réglementer et contrôler les modalité de chiffrage Un projet de loi en cours d adoption relative à l échange électronique de données juridiques vise à modifier l état actuel de la réglementation. 8

9 PLAN Sécurité des Échanges Électroniques 2.Projet de loi encours d adoption: projet de loi relative à l échange électroniques de données juridiques. 2.1 Synthèse par rapport aux principaux points innovants du projet de loi Reconnaissance du contrat conclu sous forme électronique et des conditions de sa conclusion par rapport notamment à l offre et à la demande et particulièrement les informations nécessaires pour éclairer le consentement. Reconnaissance de la preuve sous forme de donnée électronique. Le projet de loi prévoit dans ce cadre les conditions de validité des aspects qui y sont liée : support électronique, signature électronique, la signature électronique sécurisée qui est attestée par un certificat électronique sécurisé, la certification de la signature électronique avec l intervention d une part des prestataires de services de certification électronique qui seront soumis à des obligations spécifiques et d autre part d une Autorité nationale qui sera chargée d agréer et de surveiller la certification. Définition de la cryptographie et encadrement de l usage, l importation, la fourniture ainsi que l exploitation de moyens ou prestations de cryptographie selon l objet et la finalité recherchée. Répression à travers des sanctions et pénalités, pouvoirs d enquêtes pour les agents de l Autorité nationale habilités à cet effet par le Premier Ministre outre les OPJ et APJ et les agents des douanes. 9

10 PLAN Protection de la Vie Privée Le principe de protection de la vie privée est reconnu par le dispositif juridique marocain - Déclaration universelle des droits de l homme ratifiée par le Maroc - Constitution marocaine La réglementation actuelle prévoit des dispositions en matière de respect de la vie privée et de protection des données personnelles Ces dispositions concernent des domaines particuliers : Domaine des télécommunications (loi 24-96, décret relatif aux conditions générales d'exploitation des réseaux publics des télécommunications, Cahiers des charges des opérateurs.) Autres (audiovisuel, presse,conventions et accord ratifiés sur la protection des enfants,l assistance en matière douanière, 10

11 PLAN Protection de la Vie Privée 2.Projet de loi en cours d élaboration: Avant projet de loi sur la protection des personnes physiques à l égard du traitement de données à caractère personnel Cible : Traitement des données à caractère personnel, automatisé en tout ou en partie Traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. En général, l avant projet : Vise à s inscrire dans le sillage des instruments juridiques d autres pays notamment européen, en consacrant les principes directeurs déterminant la licéité des traitements des données à caractère personnel. 11

12 Protection de la Vie Privée Les technologies, les interconnexions et le perfectionnement des stratégies de collecte et de diffusion d adresses électroniques ont permis de nouvelles formes d atteinte qui peuvent selon les cas constituer une simple nuisance jusqu'à représenter un véritable risque pour les personnes. Exemples : les "cookies", "Spam" Nécessité d une sécurité juridique et technique associée pour faire face aux atteintes aux données personnelles et à la vie privé dans l environnement numérique Les efforts et mesures entreprises au niveau national devront être renforcés par des stratégies coordonnées à l échelle internationale 12

13 Lutte contre la Criminalité Informatique Les principales infractions auxquelles se référent des instruments juridiques notamment européen abordent la cybercriminalité à travers notamment : L Accès non autorisé et sabotage : des infractions liées à l'accès non autorisé aux systèmes informatiques (piratage informatique, sabotage informatique et diffusion de virus, espionnage informatique, falsification informatique ou fraude informatique); Et aussi à travers les : Atteintes à la vie privée: la collecte, le stockage, la modification, la divulgation et la diffusion illicites de données à caractère personnel; Atteintes à la propriété intellectuelle: atteinte à la protection juridique des programmes d'ordinateur et des bases de données, du droit d'auteur et des droits voisins; Infractions liées au contenu: la diffusion d'images obscènes, de déclarations racistes et d'informations provoquant la violence (appel à la haine, appel au meurtre, ) etc. 13

14 Lutte contre la Criminalité Informatique 1.Réglementation en vigueur (Accès non autorisé et atteintes aux systèmes et données) - Au Maroc, depuis le 11 novembre 2003, une loi encadre dans une certaine mesure les infractions informatiques. la loi n 07-03, complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données(stad) Elle prévoit certaines dispositions relatives à la répression de la criminalité informatique. - En substance, la loi n réprime : L intrusion ou le maintien frauduleux dans un système de traitement automatisé de données (STAD) ; Les atteintes au fonctionnement d un STAD ; Les atteintes volontaires aux données ; L association de malfaiteurs informatiques. 14

15 CONCLUSION Les aspects qui ont trait aux technologies, réseaux et systèmes d information nécessitent une double approche : Approche juridique et technique L adoption de dispositions législatives, réglementaires et organisationnelles qui s avèrent nécessaires et le recours au développement de solutions techniques. Cette approche doit s effectuer, notamment avec les enjeux et défis que représentent Internet, à deux niveaux : Niveau national et international Les efforts et mesures entreprises au niveau national devront être renforcés par la coopération à l échelle internationale. 15

16 MERCI POUR VOTRE ATTENTION Laila ZOUAK Chef du projet Confiance Numérique Entité Prospective et Nouvelles Technologies ANRT 16