Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. Gestion des procédures
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

Gestion des procédures

Introduction

La gestion des procédures administratives et judiciaires constitue un élément essentiel de la gestion juridique des crises cyber. Cette gestion implique à la fois de maîtriser les exigences légales et réglementaires afin d’orienter les démarches administratives et autres procédures internes susceptibles d’être contrôlées par les autorités concernées, mais également de disposer d’une visibilité accrue sur les différentes procédures judiciaires susceptibles d’être enclenchées par l’organisation victime.

Procédures administratives

1. Registre des incidents et registre des violations

a. Le registre des incidents

La tenue du registre des incidents de sécurité constitue une formalité essentielle imposée par le RGPD en cas de violation de données. Il s’agit plus généralement d’un instrument général de pilotage pour les Directions des systèmes d’information (DSI).

Il permet de consigner les incidents de sécurité qui se sont produits dans un environnement informatique donné : compromissions, incidents techniques, violation de données à caractère personnel, tentatives d’intrusion et autres évènements indésirables y seront consignés.

Le registre des incidents de sécurité contient des informations détaillées sur chaque incident, telles que :

  • la date et l’heure de début et de fin de l’incident,

  • les circonstances de découverte et la description de l’incident,

  • la nature de la violation de données,

  • la catégorie de personnes concernées,

  • le type de données concernées,

  • l’importance de l’incident sur la vie privée de l’individu,

  • les mesures de sécurité préalables à la faille de sécurité,

  • les mesures techniques correctives,

  • les mesures juridiques engagées.

Le registre permet d’identifier les vulnérabilités récurrentes et ainsi d’anticiper de potentiels incidents futurs.

images/P204DP01.png

b. Le registre des violations de données

Le RGPD impose au responsable de traitement de documenter toute violation de données à caractère personnel au sein d’un registre.

Article 33-5 du RGPD : 

« Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

La tenue d’un registre interne de toutes les violations de données personnelles est selon la CNIL une précaution élémentaire....

Procédures judiciaires

Les aspects juridiques et procéduraux doivent être maîtrisés dans le cadre de la gestion juridique des cyber attaques.

1. Réponse cyber : la procédure pénale

a. Le dépôt de plainte

En sus de l’intérêt d’identifier l’auteur de l’attaque en vue de sa condamnation, il apparaît particulièrement important d’acter le statut de victime de l’entité visée par une cyberattaque.

Dans cette perspective, le dépôt d’une plainte permet d’acter juridiquement ce statut et de bénéficier, en cas de poursuite des pouvoirs d’enquête des forces publiques en vie, d’identifier les responsables et de les voir condamnés.

Il convient de mettre en exergue l’article 5 de la loi du 24 janvier 2023 relative à l’orientation et à la programmation pour le ministère de l’Intérieur (LOPMI), lequel institue une obligation inédite à la charge des entreprises victimes d’attaques cyber, tel que cela est exposé dans le chapitre Couverture assurantielle adaptée au risque cyber de cet ouvrage.

Il est possible de déposer une plainte directement auprès d’une brigade de gendarmerie ou d’un commissariat de police, ou encore directement au Procureur de la République par courrier adressé au tribunal judiciaire compétent.

Au préalable, il convient de préciser les modalités permettant de réaliser une pré-plainte en ligne.

La pré-plainte en ligne et la visioplainte

La pré-plainte en ligne est un service accessible via le portail dédié (pre-plainte-en-ligne.gouv.fr) qui permet à une victime d’initier une déclaration pour des faits d’atteinte aux biens (vols, dégradations, escroqueries, etc.) et dont l’auteur est inconnu.

Il est toutefois précisé que pour qu’elle soit enregistrée officiellement en tant que plainte, il demeure impératif de se rendre dans une unité de gendarmerie ou un service de police afin de signer la déclaration.

En vertu d’une nouvelle réglementation prévue par un décret du 23 février 2024 et par l’article 15-3-1-1...

Références

(1) Disponible sur : https://cyber.gouv.fr/notifications-reglementaires

(2) Centre de réponse aux incidents cyber au profit des entités implantées sur le territoire régional

(3) Article 434-15-2 Code pénal

(4) Article 434-15-2 Code pénal

(5) Article 230-46 du Code de procédure pénale, découlant de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice

(6) Disponible sur : https://cyber.gouv.fr/publications/recommandations-de-securite-pour-larchitecture-dun-systeme-de-journalisation

(7) À cela, il est possible d’ajouter notamment le Network Detection and Response (NDR) analysant le trafic réseau en temps réel et le Endpoint Protection Plateform que l’on peut résumer à un antivirus 2.0

(8) On parle notamment d’outil de Extended Detection and Response (XDR) intégrant des technologies de machine learning

(9) Délibération de la formation restreinte n°SAN-2023-021 du 27 décembre 2023 concernant la société AMAZON FRANCE LOGISTIQUE

(10) Les parties à un procès doivent ainsi prouver les faits « conformément à la loi les faits nécessaires au succès de sa prétention »

(11) Voir notam. Cass. Soc. 20 nov. 1991 n° 88-43.120 ; Cass. soc., 4 févr....