Que dit la loi sur la cybersécurité ?
La cybersécurité est un domaine régulé, tant au niveau national qu’européen et international. Des normes permettent de définir des cadres afin d’homogénéiser la gestion des risques criminels en sécurité informatique. Entreprises privées et organisations publiques, comme tout particulier, doivent connaître les réglementations à suivre. Quelles lois s’appliquent en cybersécurité ?
Pourquoi faut-il des lois en cybersécurité ?
La présidente de la Commission européenne, Ursula von de Leyen, l’expliquait ainsi : tous les appareils pouvant être connectés peuvent être piratés. La vulnérabilité des particuliers comme des professionnels ne fait qu’accroître avec la digitalisation de la société. Les cyberattaques, toutefois, peuvent être réalisées de n’importe où dans le monde.
Un pirate basé aux États-Unis, attaquant une structure française, pose alors un souci légal : de quelle loi répond-il ? Pour répondre à ces préoccupations grandissantes des gouvernements, des cadres légaux sont définis au fil des innovations et évolutions technologiques. Au-delà des réglementations nationales, s’ajoutent ainsi des normes à plus grande échelle pour mieux gérer les dangers de l’informatique, qui ne connaissent aucune frontière.
Il n’est donc pas uniquement question de lutter contre la cybercriminalité, mais également de proposer des directives claires pour sécuriser correctement les systèmes informatique (SI). Quelles sont les lois en cybersécurité ?
Qu’est-ce que la Loi Godfrain du 5 janvier 1988 ?
Contrairement à ce que certains pourraient s’imaginer, la législation autour de la sécurité informatique n’a pas commencé à se développer uniquement avec la transition digitale des entreprises. Les nouvelles technologies, en effet, font partie de la société et des préoccupations légales depuis bien avant. La première loi française à cet effet est la loi Godfrain du 5 janvier 1988.
Que réglemente la loi Godfrain en cybersécurité ?
Depuis sa promulgation, cette loi est un des fondements de la réglementation autour de la cybercriminalité et du piratage. Lorsqu’il est question du droit des nouvelles technologies de l’information et de la communication (NTIC), c’est donc cette loi qui s’applique. Elle réglemente :
- les systèmes de traitement automatisés de données ;
- la falsification de documents informatisés ;
- toute tentative de délits informatiques en groupes organisés.
Comment a évolué la loi Godfrain ?
Cette loi est impactée par trois textes, qui ajoutent quelques subtilités. Il y a d’abord la LCEN de 2004, qui ajoute une réprimande pénale lorsque des failles informatiques sont publiées ou fournies à des tiers. Ensuite, la directive 2009/136/CE qui implémente la nécessité d’alerter l’autorité compétente en cas de faille de sécurité. Enfin, le décret n°2012-436 du 30 mars 2012 qui applique la loi de 1978. Elle est dite loi Informatique et Libertés et réglemente le traitement des données et du fichage des personnes humaines.
Pour comprendre l’application légale de la loi Godfrain, deux cas sont parlants : l’affaire Kitetoa, du Canard Enchaîné, en 1999 et l’affaire Damien Bancal, en 2009. Dans les deux cas, il s’agit de failles de sécurité entraînant des fuites de données.
Que savoir sur le Cybersecurity Act, ce cadre légal européen ?
Le Cybersecurity Act est une réponse des autorités européennes à l’essor des criminels informatiques. Pour contrer leurs actions, un cadre législatif européen a été réfléchi. Les agences nationales de cybersécurité des États membres et l’Union Européenne participent ainsi à son édition. Ce texte entre en vigueur le 27 juin 2019 en tant que premier règlement d’ampleur sur la cybersécurité à échelle européenne.
Quels sont les enjeux du Cybersecurity Act ?
Ce texte de loi européen permet, dans un premier temps, de renforcer les compétences de l’European Union Agency for Cybersecurity, ou ENISA. L’Agence se charge ainsi d’appliquer les normes, et de guider les États dans leurs stratégies en cybersécurité selon les dispositions de la loi.
Ce texte de loi européen permet, dans un premier temps, de renforcer les compétences de l’European Union Agency for Cybersecurity, ou ENISA. L’Agence se charge ainsi d’appliquer les normes, et de guider les États dans leurs stratégies en cybersécurité selon les dispositions de la loi.
Le Cybersecurity Act permet donc d’avoir un cadre européen de certification de cybersécurité. Il s’applique tant aux produits qu’aux services et processus de technologies de l’information et des communications. Ces derniers sont testés par un organisme tiers afin d’obtenir une certification selon leur degré de résistance aux risques informatiques.
Comment fonctionne le Cybersecurity Act ?
Ce texte de loi s’applique obligatoirement au sein des États. Les entreprises et organisations privées demeurent volontaires dans l’application de la certification. Cela, tant que les législations nationales ne l’imposent pas. Le Cybersecurity Act encourage par exemple tout organisme à :
- sécuriser tout le cycle de vie d’un produit ou d’un service par des mises à jour ;
- protéger ses données, notamment lors de la phase de collecte, traitement et stockage, pour éviter toute divulgation ou altération ;
- veiller à ce que seuls les ayants droits puissent accéder aux données personnelles.
3 niveaux d’assurance sont ainsi donnés par le Cybersecurity Act. Les produits, données ou processus peuvent être classés élémentaires, substantiels ou élevés. Les tests réalisés donnent différents degrés d’assurance. Par exemple, les voitures connectées doivent avoir un niveau d’assurance élevé, ce qui demande de tester des attaques simultanées et d’analyser les documentations techniques.
Quelle est l’utilité de la norme ISO/CEI 27001 en cybersécurité ?
Dans la lignée des tests réalisés pour la certification du Cybersecurity Act, se développe la norme ISO/CEI 27001. Cette dernière s’applique au niveau international et permet d’améliorer le système de management de la sécurité de l’information (SMSI).
S’il ne s’agit pas d’une obligation légale, la norme représente un enjeu de sécurité pour une entreprise qui la rend déterminante. Elle consiste à mettre la gestion des risques au cœur des préoccupations. Il est par exemple obligatoire de :
- définir une politique de sécurité ;
- évaluer les risques potentiels et existants sur les données ;
- définir des processus pour gérer les risques identifiés ;
- contrôler les risques afin de les réduire continuellement.
Comment assurer la protection des données en appliquant le RGPD ?
Parmi les lois qui impactent la cybersécurité, le Règlement Général sur la Protection des Données est un nouvel incontournable. Ce règlement européen vient s’inscrire dans la volonté de la Loi Informatique et Libertés de 1978 appliquée en France. Il est mis en pratique le 25 mai 2018. L’idée est de renforcer le contrôle de l’utilisation des données des citoyens.
Que savoir sur le RGPD ?
- Il s’applique à toute organisation, publique ou privée, du territoire de l’Union Européenne ou en activité avec un résident européen.
- Le traitement de données concerné est celui des informations personnelles, telles que la localisation, l’âge, les comportements d’achats, bref, tout élément permettant l’identification d’une personne.
- Chaque traitement de données doit être justifié par un enjeu ou un but légal au sein de l’entreprise et de ses activités professionnelles.
Le cyberscore, qu’est-ce que c’est ?
Encourager les internautes à connaître les réalités des risques informatiques sur les sites qu’ils consultent fait partie des enjeux du gouvernement français. La loi du 3 mars 2022 y participe avec la création d’un cyberscore, similaire au Nutri-Score alimentaire.
Le visuel en question sera affiché sur les sites afin d’avertir l’internaute de la sécurité de ces derniers et des données hébergées. Pour obtenir ce score, les entreprises doivent réaliser des audits auprès de prestataires qualifiés par l’ANSSI. Les critères et l’application du cyberscore seront précisés par arrêté d’ici son application au 1er octobre 2023.
Chiffres clés
Ces évolutions législatives témoignent de la volonté de l'Union Européenne de renforcer la résilience des entreprises face aux cyberattaques et de garantir une protection accrue des infrastructures critiques.
des entreprises européennes devront se conformer à la directive NIS2, couvrant de nombreux secteurs essentiels (santé, énergie, finance, etc.). European Commission.
c’est le délai maximal pour que les fabricants signalent les vulnérabilités des produits numériques à l’autorité nationale compétente. Cyber Resilience Act
Cyber Resilience Act imposera de nouvelles normes à l’ensemble des produits numériques vendus en Europe à partir de cette date, avec une surveillance accrue pour garantir leur sécurité tout au long de leur cycle de vie
Quelle est la différence entre sécurité informatique et cybersécurité ?
Réfléchir à la cybersécurité et à la sécurité informatique est essentiel à la protection des données personnelles. Mais quelles différences entre les deux ?