L’interview sécurité : bilan de 5 ans de RGPD avec Marc-Antoine Ledieu
Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques. Pour compléter les points de vue techniques abordés jusque-là, et continuer notre exploration des aspects juridiques de la sécurité et de la conformité, nous accueillons aujourd’hui Marc-Antoine Ledieu.
Marc-Antoine Ledieu est avocat au barreau de Paris depuis plus de 20 ans. Après une formation classique en droit, il a plaidé pendant plusieurs années avant de basculer dans l’univers du numérique. A la fin des années 90, Marc-Antoine Ledieu se lance dans le conseil juridique lié au logiciel. Il se passionne alors pour le sujet, et commence à s’intéresser aux bases de données, aux réseaux, et se forme de façon empirique sur les techniques du numérique : code source, cryptographie, cloud, blockchain, …
Marc-Antoine Ledieu anime le blog Technique et droit du numérique et intervient dans le podcast NoLimitSecu.
Quel est le quotidien d’un avocat spécialisé dans l’IT ?
Mon métier consiste à comprendre la technique et à expliquer ses implications juridiques, ou bien à l’inverse, vulgariser le juridique à des profils techniques. Puis à rédiger les contrats pour que tout le monde sache ce qu’il faut faire et qui est responsable de quoi. A vrai dire, c’est aussi difficile dans un sens que dans l’autre, car aucune des deux parties ne veut réellement s’y mettre. Or pour comprendre les textes de loi et les appliquer, il faut maîtriser le droit autant que la technique.
Quand je ne comprends pas un sujet de technique numérique, j’appelle des amis ingénieurs pour qu’ils m’expliquent le problème avec des mots simples ou des métaphores parlantes. J’ai découvert récemment les proxy et reverse proxy… ce n’est pas forcément évident de comprendre comment filtrer des flux entrants/sortants d’un système d’information avec une formation en droit.
J’explique ensuite ce que j’ai compris, de façon simple, et je le fais avec des bandes dessinées. C’est une façon de briser l’image de complexité du juridique et de la technique, et j’ajoute à ça des schémas, des pictogrammes et (parfois) un peu d’humour. Faire ce travail d’explication m’aide aussi à retenir le détail de tous ces sujets qui évoluent souvent très vite.
Le droit du numérique en BD sur le blog de Marc-Antoine
A quoi sert le droit du numérique ? Est-il plutôt réactif ?
Il y a 20 ans, il n’y avait pas de législation « numérique » à part la directive « logiciel » de 1991 et la directive « bases de données » de 1996. Le business s’est développé de façon légitime dans les années 70 et 80, et ces directives ont apporté un début de réponse qui permettait aux professionnels de travailler avec un minimum de prévisibilité et de sérénité. Mais jusqu’en 2016, il ne s’est pas passé grand-chose coté sécurité. Avec l’arrivée du RGPD, on a compris que les traitements (franchement opaques) de quantités massives de données personnelles posaient un nouveau défi à nos sociétés occidentales, notamment en termes de liberté publique, et qu’il fallait arrêter de faire n’importe quoi avec cette technologie géniale. Notre société a fait un bond technologique énorme en moins de 20 ans, il était nécessaire de mettre en place des règles pour que ça ne soit plus le Far West.
Aujourd’hui le sujet central dans les contrats BtoB, c’est la cyber sécurité. L’année qui vient de passer a montré que l’Ukraine était bien protégée en termes de cyber sécurité, et que les Russes ont fait croire qu’ils étaient meilleurs qu’ils ne le sont en réalité, mais le constat général est que les infrastructures numériques occidentales sont très vulnérables. Et si on n’impose pas la sécurité – de force – aux acteurs qualifiés d’ « essentiels » ou de « critiques », alors il ne se passera rien. Parce que la sécurité, ça coûte de l’argent, et ça ne rapporte rien (c’est bien connu).
Quand la directive NIS a été publiée en 2016, personne n’en a parlé, ça passait pour un truc de spécialistes. Les sanctions théoriques plafonnaient à 125 000 euros. Il n’y a eu aucune jurisprudence, pas de condamnation et donc (fort logiquement), il ne s’est rien passé… Avec la mise à jour du 14 décembre 2022 (adoption de la Directive NISv2), la sanction est portée à un minimum de 2% du CA de l’entité concernée. On passe d’une sanction dérisoire, jamais mise en œuvre, à une sanction massue. C’est la première fois que l’Union européenne prévoit des dispositifs de sanction avec un minimum aussi élevé, et c’est très révélateur de l’importance que prennent ces législations cyber sécurité.
Coté éditeur de logiciel, le constat est accablant : l’industrie du logiciel est la seule industrie mondiale qui n’ait pas de normes ou d’objectifs de sécurité. Chaque mois, des centaines de CVE sont annoncées, il y a des vulnérabilités partout, et je ne vois aucune réaction structurée de cette industrie pour y mettre un terme. Un simple constat : forme-t-on les développeurs aux problématiques de cyber sécurité ?
L’IA est également un sujet sur lequel on va franchir un cap sur les questions d’éthique. Il est essentiel de réglementer la matière, sinon, nous les européens, nous allons au devant de sérieux problèmes (voir l’exemple du crédit social chinois). On va encore dire que les Européens empêchent le business avec leur législation, mais – pour moi – c’est une bonne chose que l’UE, premier marché économique mondial, fasse l’effort de réglementer ces sujets nouveaux.
A ce titre, quel bilan tirer de 5 ans d’application du RGPD ?
Le RGPD a eu un véritable impact sur les entreprises, c’est indéniable. Les pro ont arrêté, dans leur immense majorité, de faire n’importe quoi avec les données personnelles de leurs clients ou de leurs salariés. Prenez l’exemple des Analytics de Google : toutes les CNIL européennes, les unes après les autres, les interdisent pour non-respect (flagrant) des principes du RGPD. Ce sera une première réussite européenne, car – en termes de libertés publiques – il n’est pas acceptable qu’une entreprise connaisse tout de vos données, de vos actions et de vos déplacements. Il était devenu nécessaire de pousser les entreprises à réfléchir sur la valeur et la nécessaire protection du patrimoine que constitue les données personnelles.
Alors bien sûr, il y a aussi des excès, avec des DPO trop zélé(e)s et pas toujours au fait de la réalité technique, qui bloquent des deals. Mais globalement le RGPD est une avancée remarquable qui a assaini le « business de la data ». Dans les années 2000, une clause CNIL oubliée dans un contrat ne provoquait strictement aucune réaction. Le sujet était très mal géré, parce que perçu comme un non-risque.
Aujourd’hui, avec le RGPD, il en va clairement autrement, même si ce texte est lourd, long, compliqué… Et maintenant que l’Angleterre est sortie de l’UE, les européens ont pu adopter un gros paquet législatif en à peine 3 ans (NIS2, Critical Entities, Cyber Security Act, etc.) : l’UE n’est plus freinée par le Royaume-Uni qui bloquait – par principe – toute forme de réglementation numérique (secteur bancaire notamment).
L’Union européenne a repris à bras le corps la réglementation et la direction qu’elle souhaite donner sur le numérique au sens large, avec un focus sur le danger cyber. C’est l’exemple du Règlement DORA sur la « cyber résilience » des entités financières (banques, assurances, courtiers, etc.). Si les banques s’arrêtent de fonctionner pour un problème informatique, l’économie européenne s’arrête purement et simplement. Il en va de même pour un grand nombre d’entités dites « critiques » (énergie, transport, alimentation en eau potable, etc.).
C’est au niveau européen qu’il faut agir sur ces sujets, pas seulement au niveau de l’hexagone. Une initiative comme le Cyberscore qui sent le camembert et la baguette, ça ne sert franchement à rien !
Que pensez-vous de l’annonce du remboursement des cyber rançons par les assureurs ?
Imaginez la réaction des assureurs : pourquoi nous ? A vrai dire, nos politiques nous ont promis une montagne, laquelle au final a accouché d’une souris. Le 24 janvier 2023, la LOPMI (loi d’orientation et de programmation du ministère de l’intérieur) a précisé les conditions d’indemnisation des dommages cyber par les assureurs. Gros progrès pour les entreprises : pour être indemnisées, elles devront porter plainte dans les 72h de la cyber attaque… Mais la loi (rédigée sans doute un peu vite par des gens trop intelligents…) a oublié une toute petite chose : qu’est-ce qui est indemnisable par un assureur ? Si on se réfère aux règles classiques du droit civil, le remboursement de la rançon par l’assureur, ce n’est pas légal ! C’est tout simplement contraire à la loi. Encore une fois, on ferait mieux de laisser l’Union européenne travailler plutôt que de produire ce genre d’inepties.
Toute la réglementation numérique aujourd’hui, logiciels, bases de données, cyber sécurité, IA, neutralité du net, c’est du droit européen. De fait, dans mes contrats, je ne cite que des textes de droit européen. L’Europe a compris que le numérique représentait l’avenir et elle agit. C’est toujours un peu long, parfois compliqué, mais l’Europe fait un vrai travail de fond et les sujets avancent.
Au niveau réglementaire, le Cloud a-t-il rendu plus complexe la consommation de ressources IT ?
Le Cloud a apporté beaucoup de liberté en permettant de provisionner au plus proche de la consommation des « users », entreprises en tête. Les hébergeurs doivent par contre être vigilants, si les pentesteurs arrivent à rentrer chez eux, c’est qu’ils ne sont pas sécurisés et ça va leur coûter cher. Certains hébergeurs font très bien leur travail, d’autres font n’importe quoi depuis 20 ans.
Dans quelle mesure la législation européenne peut garantir la souveraineté des données ?
Prenons l’exemple du RPGD : nous, les juristes, nous nous sommes tout de suite posé la question des sanctions. Le texte évoque la possibilité « d’interrompre les flux de données » en cas de transfert de données personnelles hors UE. Est-ce que c’est possible techniquement ? Est-ce qu’on va sectionner des câbles en sortie de datacenter ? Ce n’est techniquement pas possible. Restent les sanctions pécuniaires…
De la même façon, on doit organiser la souveraineté des données. On ne peut pas laisser filer nos données aux Etats-Unis ou en Chine. Tiktok est un aspirateur à data, un outil de fichage qui vise les plus jeunes. Si on n’arrive pas à imposer la souveraineté (mais qu’est-ce que ça veut dire, au juste ?), on doit au minimum exiger le stockage de nos données sur le territoire de l’UE, ce que font d’abord toutes les grandes dictatures (Chine, Russie…) qui imposent le stockage sur leur « territoire national ». Si nous, les européens, n’imposons pas aussi nos conditions, nous allons continuer de nous faire piller.
Le sujet de la souveraineté avance doucement, en commençant par exemple par l’obligation de sécurité physique et numérique pour les entités qualifiées de « critiques », « essentielles » ou « importantes ». Imposer des normes de cyber sécurité pour les systèmes d’information de l’UE est une façon de mettre en œuvre une application concrète du concept de souveraineté. On passera ensuite à la data et à l’IoT, mais cela va prendre du temps. Le monde évolue : qui aurait imaginé il y a 18 mois que la Russie attaquerait l’Ukraine ? Dans ce contexte, il est rassurant que l’Europe se réveille et se soucie de protéger ses intérêts. Le RGPD a eu comme effet de bord l’installation de datacenters au sein de l’UE, cela a permis de faire fonctionner notre industrie et de (re)gagner en contrôle, c’est déjà pas mal.
Encore une fois, c’est au niveau européen qu’il faut agir si on veut être efficaces. Que reste-t-il dans la législation du numérique qui soit exclusivement du ressort de chaque Etat ? A part la cryptographie, qui soulève des questions de souveraineté ? Pas grand-chose… Donc pour développer la souveraineté de façon industrielle, cohérente, à l’échelle, il faut sortir des petites querelles entre Etats européens et avancer ensemble. Je pense que le problème fondamental de l’Europe est sa structure : tant qu’elle ne sera qu’un marché, et non une fédération, il sera compliqué de faire avancer les grands projets structurants.
C’est dommage car sur ces sujets, nous les français avons été des précurseurs : la France a mis en place des mesures de sécurité physique pour les OIV en 2005, et le texte d’origine date de 1958 (les SIV durant la guerre d’Algérie). L’Union européenne a attendu fin 2022 pour s’y mettre. Cela a pris 2 ans et demi pour arriver à ce texte depuis sa première version en septembre 2020. Comptons encore 18 mois de transposition (vote de la loi nationale conforme à la Directive de l’UE), puis encore un délai de 9 mois… et on devrait être prêts d’ici 2025.
Outre Atlantique, comment sont traitées ces questions ?
Généralement les Américains agissent le jour où il y a un gros souci, comme pour l’affaire SolarWinds. Le piratage du code source de cet éditeur a compromis toutes les infrastructures numériques du gouvernement fédéral des USA. Ça s’est passé à la fin du mandat de Trump. L’administration Biden a agi très discrètement en obligeant les prestataires IT contractant avec le gouvernement à prouver la sécurité de leurs développements, à faire systématiquement de la recherche de vulnérabilités, du zero trust, etc.
La fourniture de services numériques au gouvernement est un énorme marché, donc l’executive order de mai 2021 du Président Biden a eu pour objectif de mettre l’écosystème industriel US du numérique « au pas » vers plus de cyber sécurité. L’objectif de facto était d’en profiter pour que le secteur privé adopte des mesures similaires. Indirectement, cela va aussi finir par rayonner sur l’Europe. Mais les Etats-Unis auront toujours un train d’avance sur nous et ils continueront à rafler des parts de marché. Ici, personne ne veut faire l’effort d’appliquer la réglementation, ça prend beaucoup de temps et d’énergie, c’est compliqué, pourtant il est indispensable de le faire. Assurer notre souveraineté passe aussi par notre capacité à bien nous défendre. Et bien se défendre, c’est commencer par faire de la (cyber) sécurité.
Comment les DSI doivent se préparer aux contraintes réglementaires à venir ?
Tout d’abord, en faisant appel à des professionnels qui font de la veille, et qui savent de quoi ils parlent. Ensuite, éviter de se limiter à l’angle DPO/RGPD qui est trop restrictif. Pour ma part, je suis la réglementation et j’accompagne mes clients dans la compréhension des textes. Certains textes comme le règlement DORA sont particulièrement difficiles à lire : les juristes ne veulent pas s’y mettre car il faut comprendre la technique numérique, et pour les profils « tech » (DSI / RSSI / etc.), c’est du droit et ils trouvent ça illisible (et c’est en partie vrai).
Il y a quelques indépendants, et des grosses structures, qui naviguent entre ces deux univers, le juridique et l’IT. Les petites structures sont très au point techniquement, mais pas assez chères, et donc pas crédibles (oui, le monde est fou !!!). Et puis il y a des entreprises qui n’y croient pas. Le Règlement DORA arrive, mais certains ne veulent pas s’adapter ou pensent avoir le temps avant de s’y mettre. Pourtant les banques/assurances/courtiers vont finir par réagir et elles vont assainir la liste de leurs prestataires…
J’espère qu’il en ressortira un écosystème plus vertueux en termes de sécurité SI. Mais j’avoue que je suis curieux de voir comment les gros opérateurs vont mettre le Règlement en application, et comment ils se justifieront auprès des autorités de contrôle.
Comment les DSI doivent travailler avec les juristes ?
Je constate qu’en général les DSI font leur travail, pour peu qu’elles disposent de budget et des ressources humaines.
Plus souvent, ce sont les juristes qui posent problème, ils/elles sont en majorité peu qualifiés en droit du numérique, et quand on donne un peu de pouvoir à des gens qui n’ont pas le bon niveau de compréhension, tout devient lent et compliqué. Un problème insignifiant (mais connu) devient une montagne, et a contrario on passe à côté des sujets importants.
Vous avez publié dans un billet récent “arrêtez de signer n’importe quoi comme contrat avec vos prestataires sous prétexte que vous êtes un(e) industriel(le), et que votre « informatique », c’est accessoire”. Pouvez-vous commenter ?
De plus en plus d’industriels sont victimes d’attaques au cryptolocker, même les PME sont touchées. C’est assez révélateur : pour beaucoup d’industriels, l’informatique n’est pas un sujet important, et payer des spécialistes IT, des experts sécurité ou des juristes ne sert à rien. Résultat, les entreprises sont très mal protégées contre le risque cyber. Triste constat. A l’instar du texte sur le remboursement des ransomware par les assurances : personne n’a lu l’article du droit des assurances, personne n’a creusé le sujet. Au final, que va-t-il se passer ? rien !
Je pense que si le sujet évolue, cela se fera de façon structurée par les assureurs. Ils demanderont des analyses de risques, la mise en œuvre de mesures de sécurité numérique, organisationnelles, et vérifieront le sérieux des analyses de risques et des politiques mises en œuvre. Si leurs critères ne sont pas respectés, il n’y aura pas d’indemnisation.
Pour terminer, j’aimerais citer Abraham Lincoln qui disait, avec une grande justesse “si vous trouvez que l’éducation coûte cher, essayez l’ignorance”.
A lire également sur le sujet :
- Les DSI face aux enjeux juridiques et réglementaires du Cloud, avec Marine Hardy, Avocat Directeur des pôles Innovation & Sécurité au sein du cabinet ITLAW Avocats.
- Les DSI face aux enjeux juridiques et réglementaires du Cloud – partie 2, avec Quentin Sgard, Most Valuable Risk & Compliance Manager chez Devoteam Cyber Trust.