1

2

• Un "risque" est un événement dont l'arrivée aléatoire, est susceptible de causer un

dommage aux personnes ou aux biens ou aux deux à la fois.

• Il est donc potentiel

• Il ne relève pas d’un cas de force majeure

• Même s’il est inhérent à toute convention, le risque aléatoire n’implique pas que tout

contrat comportant un risque soit aléatoire

1. qu’est ce que le risque?

3

2./ Le risque informatique et la confiance

dans l’économie numérique : exemple

4

• Charte SI : le plus souvent la faille vient de l’intérieur et a pour origine un facteur humain

•Contrats avec les autres acteurs du SI : sous traitance, niveaux de services, cloud computing

• les accords de confidentialité

3. La gestion des risques : la prévention

interne : sécuriser pour garantir la confiance

5

•Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

• Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

•Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant

dispositions diverses relatives à la sécurité et aux contrôles frontaliers

•Le projet de loi pour une république numérique

•Le projet de règlement général sur la protection des données

4. La gestion des risques : assurer la

confiance par le respect des textes légaux

6

•L’atteinte à un système de traitement automatisé de données : articles 323-1 et suivants

du Code pénal

•Le vol d’informations : article 311-1 code pénal

•Directive et projet de loi sur le secret des affaires ?

•Le délit d’identité d’usurpation numérique : Article 226-4-1 du code pénal

•L’article 1382 du code civil

5. La gestion des risques : bénéficier d’outils

de sanctions

7

Cadre légal technique de la sécurité : très peu de texte

– Le référentiel général de sécurité relatif aux échanges électroniques entre les

usages et les autorités administratives et entre ces dernières

– La certification des hébergeurs de données de santé agréés

– Les opérateurs de jeux d’argent et de hasard en ligne

•Une vision pragmatique, même de la part, de l’ANSSI

• Recommandée par l’ANSSI, la démarche d’homologation d’un système d’information est

un préalable à l’instauration de la confiance dans les systèmes d’information et dans leur

exploitation.

• Son objectif est de trouver un équilibre entre le risque acceptable et les coûts de

sécurisation, puis de faire arbitrer cet équilibre, de manière formelle, par un responsable

qui a autorité pour le faire. L’homologation de sécurité permet à un responsable, en

s’appuyant sur l’avis des experts, de s’informer et d’attester aux utilisateurs d’un système

d’information que les risques qui pèsent sur eux, sur les informations qu’ils manipulent et

sur les services rendus, sont connus et maîtrisés.

•Il n’est pas mentionné « sont évités »….

6. La gestion des risques : état de l’art, bon

père de famille et mesure adéquate

8

•Le principe d’accountabilty tiré du projet de règlement général sur la protection des

données

•Quel degré d’obligation ? Obligation de résultat ou obligation de moyen renforcé

•Pour un plan d’assurance Accountabilty ?

•Le respect de normes (ISO…) sans avoir valeur de texte légal

7. La gestion des risques : état de l’art, bon

père de famille et mesure adéquate

9

E-réputation

Big data

Internet des objets

Voitures connectées

La cigarette électronique

8. Risques et confiance dans l’économie

numérique : nouveaux enjeux

10

9. Cartographie des risques SI et

cartographie des risques juridiques

Source : enquête AFAI 8 avril 2010 cartographie des risques informatiques : exemple méthodes et outils

LYON

63 avenue de Saxe

BP 3167 - 69406 Lyon - Cedex 03

Tél. +33 (0)4 72 60 53 93

PARIS

7 rue de Madrid

75008 Paris

Tél. +33 (0)1 44 90 17 10

mathieu,martin@bismuth.fr

www.bismuth.fr

@Bismuth_Avocats

Visio conférence ip :

217.108.168.203

Cabinet certifié iso 9001 / 2008

selarl au capital de 12 800 euros

Siège social : 63 avenue de saxe 69003 Lyon

Rcs lyon n°438 751 737

Siret n°438 751 737 00018

MERCI DE VOTRE ATTENTION