Accueil

Articles taggés avec ‘Securité’

Sécuriser sa vie numérique.

jeudi 6 janvier 2022 par : admin

Pierre-Guillaume GOURIO-JEWELL, expert en cyber sécurité et privacy nous a présenté la sécurisation de la vie numérique, professionnelle et personnelle.

Il nous a fait profiter de son expérience très large, tout d’abord des menaces, puis des solutions permettant de faire face aux risques qui peuvent mettre en danger les organisations. Des objets, distribués et commentés, ont illustré les exemples très interessants présentés dans leur contexte.

Les questions, nombreuses, de l’assistance ont montré l’intérêt tout autant du sujet que du discours de l’intervenant, tout à la fois conceptuel et pratique.

La présentation et les échanges de cette soirée sont à découvrir dans le Compte-Rendu, téléchargeable et librement distribuable.

Attaque Cyber de l’AFNOR ; comment la DSI et l’AFNOR ont tenu.

mardi 19 octobre 2021 par : admin

Frédéric LECONTE, DSI de l’AFNOR et membre de l’Association, nous a présenté le retour d’expérience de la cyberattaque subie par l’AFNOR en février 2021

Il a, avec clarté, expertise et lucidité, présenté la manière dont il a géré la DSI, et rétabli les outils indispensables au bon fonctionnement de son entreprise. Après avoir explicité les origines et le déroulement de cet incident, il nous raconte comment, passée la phase de sidération, sont venus diagnostics et maîtrise d’une situation ambigüe et potentiellement catastrophique.

Les questions ont montré l’intérêt fort des membres de l’Association pour de tels retour d’expertise, tout autant que la valeur du témoignage et des propos de Frédéric Leconte.

La présentation et les échanges de cette soirée sont à découvrir dans le Compte-Rendu, téléchargeable et librement distribuable.

FranceConnect

mercredi 26 juillet 2017 par : admin

Lionel FOUILLEN, Business Developer sur le projet FranceConnect de la DINSIC (DSI de l’Etat), nous a présenté la plateforme FranceConnect ; dispositif gratuit, proposé par l’Etat, d’identification et d’authentification des usagers. FranceConnect s’appuie sur des comptes vérifiés par des fournisseurs d’identité afin de simplifier les démarches administratives en ligne.

Nous avons eu droit à un exposé expert et très complet sur la philosophie, les principes et le fonctionnement de FranceConnect, ainsi que sur l’écosystème l’entourant, et ses perspectives de développement.

Le Compte-Rendu est téléchargeable et librement distribuable.

 

 

Cyber Sécurité au Palais du Luxembourg ; Le sénateur Jean-Marie Bockel ouvre la conférence de l’ANDSI

mercredi 13 novembre 2013 par : admin

Le 12 novembre, l’ANDSI a organisé une conférence sur la Cyber Sécurité, dans les locaux du Sénat, et sous le parrainage de Jean-Marie Bockel, sénateur et ancien ministre.
Pierre Delort a ouvert la conférence par la première phrase du Fil de l’Epée, un des écrits majeurs de Charles de Gaulle ; “L’action de guerre revêt essentiellement le caractère de la contingence.”
80 ans après, les DSI des Opérateurs d’Importance Vitale se préparent à la défense des intérêts fondamentaux de la nation.
Quel sera le caractère de leurs actions de Cyber Défense ?
3 personnes vont nous éclairer.
Tout d’abord le sénateur Bockel, sans lequel cette conférence n’aurait pu avoir lieu, merci M. le Sénateur (Compte-Rendu).
Puis Stéphane Sciacco, de la Direction de la sécurité d’Orange Business Service interviendra sur les progrès réalisés en Cyber Défense à travers la mise en œuvre d’un Security Operation Center, mise en œuvre qu’il a lui-même réalisée, et peut-être les limites constatées (Compte-Rendu & présentation).
Enfin Jocelyn Dalle, de l’OCLCTIC conclura sur le quand, auprès de qui & quoi faire en cas d’évènement indésirable Mme Maldonaldo, chef de l’OCLCTIC ayant été appelée à l’étranger aujourd’hui, il assurera, ce dont je le remercie, l’intégralité de la présentation (Compte-Rendu).
Monsieur le Sénateur, Merci de bien vouloir ouvrir la conférence….

L’assistance, composée des membres de l’association, de professionnels de la fonction SI, de la sécurité SI, et de la sécurité publique ainsi que des représentants du monde académique et politique a largement participé aux débats. Un cocktail a permis de les compléter par des échanges plus personnels.
Les présentations et les comptes rendus (cf. ci-avant) sont téléchargeables et librement distribuables.

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION

lundi 30 novembre 2009 par : admin

 

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION

Le 12 octobre 2009, la Cnil a publié sur son site internet un article intitulé « 10 conseils pour sécuriser votre système d’information » suite aux constats qu’elle a effectués lors de contrôles sur place.

Pour mémoire, l’article 34 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés stipule que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La Cnil indique que l’exigence de sécurité se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique » :

1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail
4. Identifier précisément qui peut avoir accès aux fichiers
5. Veiller à la confidentialité des données vis-à-vis des prestataires
6. Sécuriser le réseau local
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi “informatique et libertés”

Ainsi, les mots de passe des postes informatiques doivent contenir au minimum 8 caractères alphanumériques et spéciaux. Les comptes utilisateurs permettant d’accéder à des données personnelles doivent être nominatifs et non génériques. Les postes informatiques doivent se verrouiller automatiquement au-delà d’une courte période d’inactivité. Les données sensibles, telles que les données de santé ou les numéros de carte bancaire, doivent faire l’objet d’un chiffrement.

L’article 35 de la loi Informatique et Libertés doit être strictement respecté et les sous-traitants qui interviennent sur des systèmes d’information contenant des données personnelles doivent présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité et avoir signé une clause relative à la protection de la sécurité et de la confidentialité des données.

Les salles d’hébergement des serveurs et des éléments réseau doivent faire l’objet d’une sécurité physique renforcée, les systèmes d’information doivent quant à eux être soumis à des systèmes de sécurité logique, notamment en ce qui concerne les connexions à distance ou les réseaux wifi. Les données doivent être sauvegardées régulièrement et les supports de sauvegarde stockés dans un local distinct.

Enfin, le facteur humain doit naturellement être pris en compte, il est donc recommandé aux entreprises de former leur personnel aux règles contenues au sein de la loi informatique et libertés, et d’adopter des politiques de sécurité des systèmes d’information et des chartes informatiques règlementant les usages des technologies dans l’entreprise.
2. RESPONSABILITE POUR FAUTE DE L’AFNIC

Après le jugement du Tribunal de Grande Instance de Paris du 26 août 2009 qui avait précisé le régime de responsabilité applicable à l’Afnic et aux bureaux d’enregistrement des noms de domaine, c’est au tour du Tribunal de Grande Instance de Versailles de condamner l’Afnic pour faute en raison de son inactivité suite à une mise en demeure.

La société Francelot, titulaire du nom de domaine www.francelot.com, ayant constaté que le nom de domaine www.francelot.fr avait été réservé par un tiers, dont les nom et coordonnées n’était pas accessible en raison de l’option « diffusion restreinte » activée par défaut pour les enregistrements réalisés par une personne physique, a mis en demeure I’Afnic de communiquer les coordonnées du déposant et de rendre inactive l’adresse www.francelot.fr.

A défaut pour l’Afnic de s’être exécuté, la société Francelot assignait (a) le titulaire du nom de domaine www.francelot.fr, identifié suite à une ordonnance sur requête autorisant la levée de l’anonymat du déposant, et (b) l’Afnic, en concurrence déloyale par détournement de clientèle et parasitisme.

Dans un jugement du 6 octobre 2009, le TGI de Versailles a considéré qu’aucune faute ne pouvait être reprochée à l’Afnic sur le terrain de la levée de l’anonymat, l’article 30 de la Charte de nommage applicable à l’époque des faits prévoyant expressément que les coordonnées personnelles ne peuvent être communiquées par I’Afnic que sur réquisition judiciaire ou après mise en œuvre d’une procédure alternative de résolution des conflits. Le tribunal juge donc qu’en « l’absence de mise en œuvre d’une telle procédure, l’Afnic était fondée à refuser la levée de l’anonymat du déposant du nom de domaine litigieux, dans l’attente de l’ordonnance présidentielle du 14 juin 2007. »

Toute autre est la décision du tribunal quant à la demande de blocage du nom de domaine francelot.fr formulée par la société Francelot dans sa mise en demeure. En effet, l’article 23 de la Charte de nommage, rédigée par I’Afnic, lui impose de procéder au blocage d’un nom de domaine chaque fois qu’elle a identifié une violation des termes ou de l’esprit de la charte. Or, la mise en demeure adressée à l’Afnic devait lui permettre d’identifier une violation de la charte. L’Afnic devait donc procéder au blocage conservatoire du nom de domaine francelot.fr, « le cas échéant après s’être assurée de la pertinence des droits invoqués par la société Francelot, invitée à produire tous justificatifs utiles ».

Ainsi le tribunal considère que « En s’abstenant de toute initiative de blocage, l’Afnic a contribué à la persistance de l’impact parasitaire du site francelot.fr et à la perte d’image de la société Francelot, préjudices qu’il convient d’arbitrer à la somme de 4500 euros ».

Cette décision, va à l’encontre de la politique de l’Afnic, qui consiste à considérer qu’elle ne saurait être tenue « par l’envoi de lettres, de sommations ou copies d’assignation » , et pourrait donc contraindre l’association à être plus attentive aux demandes – justifiées – qui lui sont adressées. Ce d’autant que l’article R20-44-49 du Code des postes et des communications électroniques stipule que « Les offices sont tenus de bloquer, supprimer ou transférer, selon le cas, des noms de domaine :

– lorsqu’ils constatent qu’un enregistrement a été effectué en violation des règles fixées par la présente section du code des postes et des communications électroniques ;

– en application d’une décision rendue à l’issue d’une procédure judiciaire ou extrajudiciaire de résolution des litiges ».
3. PROJET DE LOI RELATIF A L’OUVERTURE A LA CONCURRENCE ET A LA REGULATION DU SECTEUR DES JEUX D’ARGENT ET DE HASARD EN LIGNE

Aujourd’hui, la législation française pose le principe selon lequel les jeux d’argent et de hasard sont interdits, avec des exceptions notamment en ce qui concerne les casinos, le PMU et la Française des jeux.

Sous la pression européenne, un projet de loi relatif à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne a été déposé le 25 mars 2009. Le 13 octobre 2009, l’Assemblée nationale a d’adopté ce projet, modifié par de nombreux amendements, qui doit désormais être examiné par le Sénat.

Ce projet de texte prévoit notamment l’ouverture à certains types de jeux et paris en ligne qui remplissent deux critères cumulatifs : faire appel au savoir-faire des joueurs et faire intervenir plusieurs joueurs (tel que par exemple, les paris hippiques, les paris sportifs ou encore le poker en ligne). La règlementation du hors-ligne reste donc inchangée.

Les opérateurs qui souhaitent proposer des jeux ou paris en ligne autorisés par le texte devront obtenir un agrément, délivré par la nouvelle Autorité de régulation des jeux en ligne(ARJEL), pour une durée de cinq ans renouvelable.

A cette fin, les opérateurs devront se conformer à un cahier des charges dont le contenu sera proposé par l’ARJEL puis approuvé par le ministre de l’intérieur, le ministre chargé du budget, le ministre chargé de l’agriculture et le ministre chargé des sports.

Enfin, on peut noter que le projet de loi encadre strictement la publicité en faveur d’un opérateur de jeux d’argent et de hasard légalement autorisé, celle-ci devant être assortie d’un message de mise en garde contre l’addiction au jeu. En outre, cette publicité sera interdite dans les publications à destination des mineurs, durant les périodes au cours desquelles sont programmées des émissions à destination des mineurs sur les services de télévision et de radio, dans les services de communication au public en ligne à destination des mineurs, et dans les salles de cinéma lors de la diffusion d’œuvres à destination des mineurs.

4. PARASITISME ET SITE INTERNET

La Cour d’appel de Paris vient de condamner, une fois encore, un site internet en raison d’agissements parasitaires à l’encontre d’un autre site web concurrent.

Par un arrêt du 30 septembre 2009, la Cour rappelle que « le parasitisme est un ensemble de comportements par lequel, un agent économique s’immisce dans le sillage d’un autre afin de tirer profit sans rien dépenser de ses efforts et de son savoir-faire ; que cet agissement qui consiste à “vivre aux crochets” d’un autre, n’implique pas nécessairement un risque de confusion, ni même une situation de concurrence ; qu’il suppose une faute, un préjudice et un lien de causalité entre les deux ; que la faute est, en la matière, tout acte contraire aux usages du commerce, ou a fortiori déloyal ».

En l’espèce, le site internet la société éditant le site www.mylittleparis.com avait assigné la société qui édite le site www.doitinparis.com en raison de « troublantes similitudes » entre leur site, notamment quant aux illustrations.

Après avoir écarté certaines similitudes en raison notamment de la banalité de ces éléments au regard de l’activité de ces deux sites, la Cour retient néanmoins la faute de la société éditrice du www.doitinparis.com, considérant que les ressemblances dans les illustrations ne saurait provenir du hasard, mais d’une démarche délibérée. Ainsi, par exemple, se retrouvait sur ces deux sites les dessins d’une conductrice qui passe la tête par la fenêtre de sa voiture décapotable, d’une parisienne à la terrasse d’un café avec un serveur en arrière plan dans une posture strictement semblable, ou encore d’une femme blonde assise devant son ordinateur.

Les juges ont condamné la société éditrice du www.doitinparis.com à supprimer les illustrations litigieuses de son site internet et à verser 5000 euros à titre de provision sur dommages et intérêts. En outre, la Cour ordonne la publication d’une partie de l’arrêt sur la page d’accueil du site www.doitinparis.com pendant une durée de six mois.

Les décisions de ce type ont tendance à se multiplier. Les éditeurs de site web doivent donc de plus en plus être vigilants quant aux actes de leurs salariés « créatifs » ou de leurs prestataires, et prendre soin de former les uns au respect des règles du commerce et notamment de la propriété intellectuelle, et de signer avec les autres des clauses de garantie d’originalité et de jouissance paisible.

5. SFR PERD SA MARQUE TEXTO

La société SFR, qui avait enregistré en mars 1998 la marque « Texto, Dites le en toutes lettres, dites le texto », puis en janvier 2001 la marque « Texto », a assigné la société One Texto et son gérant en contrefaçon de la marque Texto et en concurrence déloyale, en raison notamment du dépôt par celui-ci de la marque semi-figurative « One Texto » et de la réservation du nom de domaine « OneTexto.com ».

Par un jugement en date du 29 janvier 2008, le Tribunal de Grande Instance de Paris avait déclaré la nullité des marques « Texto, Dites le en toutes lettres, dites le texto » et « Texto », pour défaut de distinctivité et débouté la société SFR de ses demandes fondées sur ces marques.

La Cour d’appel de Paris vient de confirmer le défaut de distinctivité de ces marques, la première en raison de son caractère descriptif, et la seconde du fait de son emploi dans le langage courant pour désigner ce service .
En effet, aux termes du Code de la propriété intellectuelle, seul peuvent être enregistré à titre de marque, un signe distinctif par rapport aux produits ou services qu’il désigne. Ainsi, l’article L.711-2 du Code de la propriété intellectuelle stipule que sont dépourvus de caractère distinctif :
« a) Les signes ou dénominations qui, dans le langage courant ou professionnel, sont exclusivement la désignation nécessaire, générique ou usuelle du produit ou du service ;
b) Les signes ou dénominations pouvant servir à désigner une caractéristique du produit ou du service, et notamment l’espèce, la qualité, la quantité, la destination, la valeur, la provenance géographique, l’époque de la production du bien ou de la prestation de service ;
c) Les signes constitués exclusivement par la forme imposée par la nature ou la fonction du produit, ou conférant à ce dernier sa valeur substantielle ».
Une marque doit donc être arbitraire ou fantaisiste, ce qui s’apprécie par rapport au public visé ou au produit à la date du dépôt. Elle ne peut donc consister en une simple description du produit.

Alice COLLIN Françoise COLLIN
alice.collin@collin-avocats.fr
f.collin@collin-avocats.fr

Avocats
www.collin-avocats.fr
15 rue Margueritte 75017 PARIS
TEL : 01 44 29 26 60