L’interview sécurité : les DSI face aux enjeux juridiques et réglementaires du Cloud
Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques : boite à outils sécurité dans le Cloud, évolutions de fond, impacts de la crise sanitaire, transformation du métier de la sécurité… Notre invité aujourd’hui est Marine Hardy, Avocat Directeur des pôles Innovation & Sécurité au sein du cabinet ITLAW Avocats.
Pouvez-vous présenter votre parcours ?
Je suis avocate depuis environ 10 ans. Je me suis spécialisée à la fin de mon parcours universitaire, et j’ai toujours travaillé dans le domaine de l’IT. J’ai commencé dans le conseil, puis j’ai fait du contentieux pendant 4 ans.
Durant cette période, le contentieux en cybersécurité s’est beaucoup développé, notamment en matière pénale. C’est ainsi que j’ai été amenée à me spécialiser dans la sécurité et le cyber.
Le développement de la cybersécurité, du point de vue juridique, s’explique par plusieurs facteurs. Ce sont des enjeux de plus en plus stratégiques pour les entreprises, qui veulent sécuriser leurs relations avec leur écosystème IT, dans un contexte avec de plus en plus de réglementations, souvent liées aux données à caractère personnel. Il y a eu une prise de conscience, la perspective d’une sanction administrative est un élément motivant pour inciter les entreprises à se mettre en conformité.
Sur quels sujets êtes-vous spécialisée ?
Au sein d’ITLAW Avocats, je suis la directrice du département Innovation & Sécurité depuis 2 ans. ITLAW Avocats traite tous les sujets liés à l’IT, notamment la négociation de contrats complexes. Le nombre croissant de problématiques liées à la sécurité et à l’innovation nous a amenés à créer un département spécialisé sur ces sujets. Un projet informatique soulève de nombreuses questions connexes, c’est un fil qu’on tire pour tout sécuriser. Par exemple, une solution d’objets connectés présente des risques liés à l’interconnexion au système d’information de l’entreprise.
Depuis 3 ans, nous avons également constaté une flambée de cyberattaques et nous intervenons plus fréquemment sur ces sujets. Il y a beaucoup de ransomwares, mais pas uniquement. La menace vient parfois de l’interne avec des salariés indélicats, ou qui veulent se venger de l’entreprise. Enfin, la cybercriminalité et le vol de données, dont on peut s’apercevoir parfois très tard contrairement aux ransomwares. L’entreprise se rend compte lors d’un audit de sécurité qu’il y a des extractions inexpliquées datant de plusieurs mois, et selon la nature des données cela peut se révéler très problématique.
Peut-on parler de contraintes réglementaires spécifiques au Cloud ? Est ce que l’usage du Cloud a rendu plus complexe, du point de vue réglementaire, la consommation de ressources IT ?
En matière de Cloud, il n’y a pas tellement de spécificités par rapport à d’autres prestations IT. Il y a quelques lois historiques comme la LCEN qui concerne les hébergeurs, mais qui n’a pas beaucoup d’enjeux dans le B to B. On voit cependant émerger des sujets liés à la RSE et à l’impact environnemental. Plusieurs réglementations sont en préparation – c’est une façon d’inciter à limiter le volume des données. Il y a aujourd’hui une tendance à externaliser, souvent pour des raisons de coûts, et les entreprises peuvent être moins vigilantes sur les volumes de données. Beaucoup d’entreprises mettent en place des solutions qui collectent des données, il y a donc une forte croissance des usages de données.
Aujourd’hui l’incitation est réglementaire – la loi de décembre 2022 impose une certaine transparence sur l’impact en terme d’environnement, mais elle s’impose au fournisseur, pas au client. Cette réglementation doit cependant inciter les clients à faire leurs choix en connaissance de cause.
En matière de sécurité, certains domaines sont réglementés, comme les OIV ou la santé, mais il n’y a pas de législation qui s’impose à tous de façon générale. Les certifications essaient de mettre tout un écosystème au même niveau de sécurité, mais il est assez dur de réglementer sur le sujet, car il existe de très nombreuses façons de faire, et il n’y pas de méthode unique qui serait plus sécurisée qu’une autre. Il y a aussi beaucoup de lobbying sur le sujet, avec de forts enjeux financiers. C’est un sujet politique sensible.
Enfin, concernant les données à caractère personnel, c’est un sujet qui n’est pas spécifique au Cloud. Le Cloud implique en revanche qu’il y ait des transferts de données, donc cela crée plus de points de vigilance.
Quelles sont les contraintes réglementaires à venir ? Comment s’y préparer ?
Ce sont principalement des réglementations européennes, au temps d’adoption relativement long, donc c’est un sujet à surveiller. Il y a tout de même un certain nombre de textes qui ont été annoncés, ou qui sont en application immédiate : le CyberResilience Act, le Cybersecurity Act, la directive NIS2, le Data Act, le règlement en matière d’IA, ou des réglementations sectorielles à venir sur les objets connectés.
La difficulté posée par ces réglementations tient au fait que les textes sont de plus en plus denses, et plus techniques, à cheval entre la compétence juridique et la compétence technique. Les DSI sont en effet plus souvent sollicitées sur ces sujets ; se prononcer sur les besoins opérationnels à inscrire dans le contrat pour qu’ils soient en adéquation avec le système d’information de l’entreprise relève davantage de compétences techniques, fonctionnelles et technologiques que juridiques. D’où la nécessité d’impliquer plus les directions opérationnelles telles que les DSI, les RSSI, les métiers sur les sujets de conformité.
Que peut-on attendre du cadre réglementaire européen sur la protection vis-à-vis des législations extraterritoriales comme le Cloud Act ?
Ce sont des enjeux politiques. Si on adopte une loi protectrice, les Etats-Unis font de même et l’impact sur le business européen outre Atlantique est immédiat. Jusqu’à aujourd’hui, la législation s’est efforcée de protéger les données à caractère personnel des utilisateurs, mais les entreprises restent soumises aux lois de leurs pays d’origine. Toute société qui veut faire du commerce avec les Etats-Unis sera impactée par la législation américaine, qui a un pouvoir de sanctions financières et économiques sur cette entreprise. On sort du juridique pour arriver dans le domaine politique. Comment arbitrer quand il y a des risques de sanctions, et des risques de mesures de rétorsion ou d’effets indirects des décisions sur d’autres marchés ?
On sait qu’on est très dépendants des entreprises américaines, mais aussi des entreprises chinoises ou indiennes par exemple. De plus en plus d’entreprises font appel à des prestataires IT indiens, des produits et services IT chinois, qui sont compétents et compétitifs. Et tout comme la France, ces pays ont des lois qui permettent d’accéder aux données dans un cadre judiciaire. Ce n’est pas choquant, chaque pays le fait. Mais le véritable risque est de confier à des entreprises étrangères de grands volumes de données, parmi lesquelles des données d’entreprises stratégiques, et que ces données soient potentiellement accessibles. Si on contracte avec un hébergeur, ou tout autre type de Cloud, qui sous-traite à une entreprise hors UE, l’accès aux données pourrait être demandé.
Par ailleurs, ce qui est souvent reproché au Cloud Act, c’est qu’en général les clients ignorent la procédure, et ils ne peuvent pas la contester. Le fournisseur Cloud n’a pas le droit de dire qu’il fait l’objet d’une demande du gouvernement américain. Le seul levier dont on dispose aujourd’hui dans les contrats, c’est de demander aux entreprises avec lesquelles on contracte qu’elles mettent en œuvre les moyens de contestation desdites décisions. Et donc de mettre en place des recours judiciaires pour contester la décision des autorités américaines. Microsoft l’a déjà fait pour protéger ses clients, et a obtenu gain de cause. Mais une loi comme le Cloud Act est reconduite d’année en année, et adaptée en fonction du marché et des décisions prises. Aujourd’hui les autorités américaines demandent à avoir accès aux données, même si elles ne sont pas sur le territoire américain.
Que recommandez-vous face au Cloud Act?
Il faut poser la question à son prestataire : est-il soumis ou non au Cloud Act ?
S’il ne l’est pas, il est important de le préciser dans le contrat. S’il l’est : il faut mettre en place des mesures. Dans tous les cas, la règle s’appliquera à l’ensemble de la chaîne de sous-traitance. On constate cependant que c’est une disposition compliquée à faire accepter, sauf pour certains prestataires qui sont positionnés sur ce créneau.
Que pensez-vous des enjeux juridiques propres aux partenariats entre fournisseurs Cloud américains et français pour répondre aux demandes de mise en place de solutions de Cloud de confiance ?
Il faut de la transparence pour le client. Ensuite, il faut choisir comment stocker ses données selon qu’elles soient stratégiques ou pas, sensible ou pas. Sur des données issues d’un objet connecté, si ce sont uniquement des données techniques sans informations personnelles, il est peut-être dommage de se priver du choix de certains fournisseurs. Tout en sachant par ailleurs que l’on peut chiffrer ces données, et faire en sorte qu’elles soient conservées pour un temps limité. Sur ce point, nous recommandons de mettre en place des temps de stockage des données très courts : s’il y a une demande d’accès aux données, ce sera sur un volume très limité. On peut être imaginatif dans la mise en œuvre de solutions, et pour cela il est intéressant de discuter avec les DSI des différentes options techniques pour limiter les risques.
À noter que le chiffrement est réglementé : le fournisseur du chiffrement doit déposer le moyen de chiffrement auprès de l’ANSSI. Les Etats-Unis ont certainement la même règle, donc il faut utiliser un moyen de chiffrement qui n’a pas été déposé aux Etats Unis. On voit que c’est un sujet complexe, où il faut dérouler l’ensemble du sujet, aller jusqu’au bout de la réflexion pour s’assurer que ce soit sécurisé.
Plutôt que la souveraineté technologique, vous préférez parler d’indépendance technologique ?
Avant tout, précisons que ce sont des termes qui ne sont pas définis juridiquement. La dépendance technologique, c’est le fait de ne pas pouvoir aller vers une autre solution, donc l’indépendance suppose d’avoir des plans de réversibilité. Sur certains logiciels, ou des solutions Cloud spécifiques, il est peut-être compliqué de basculer sur une autre solution si le sujet n’a pas été anticipé. Cela peut se traduire par les choix d’architectures du SI, avec des redondances et des hébergements localisés sur différentes zones. La dépendance technologique peut aussi être vis-à-vis du prestataire, notamment sur les contrats d’infogérance où tout est externalisé chez un seul fournisseur. Dans ce cas, il peut être très compliqué de sortir. Il faut donc réfléchir à sa stratégie SI, et aux conséquences possibles si on va vers une certaine facilité technologique et relationnelle.
Que pensez-vous du projet de loi d’indemnisation sur les ransomware ?
Il faut savoir que l’ANSSI recommande ne pas payer les rançons car cela alimente un système criminel qui continuera à mener des attaques. Par ailleurs, payer une rançon ne garantit pas que les données n’aient pas été diffusées sur le marché noir.
Il faut savoir que l’année dernière, le montant du marché de la cybercriminalité a dépassé celui du marché de la drogue. C’est très représentatif. Toutes les mafias se seraient spécialisées dans les marchés cyber, qui se sont professionnalisés. S’il existe encore des ransomwares qui sont lancés au hasard, il y a maintenant des hackers expérimentés qui prennent le temps de cibler des entreprises, et dont la demande de rançon est calculée en fonction du CA de l’entreprise. Il est vrai qu’en payant, on alimente ce système. Pour certains assureurs, cela coûte moins cher de payer une rançon plutôt que d’indemniser l’entreprise qui a perdu ses données. À titre personnel, je pense qu’il ne faut pas alimenter ce marché : payer une rançon est une solution à court terme. Et en parallèle on peut comprendre ces entreprises, bloquées, au risque de subir une liquidation, qui pense que payer est la solution pour éviter de fermer. La réponse à cette question ne peut donc pas être binaire.
Quel risque légal pour une entreprise en cas de négligence ?
Historiquement, dans une attaque de ransomware, l’entreprise visée était considérée comme victime. Cependant, les écosystèmes IT sont maintenant tellement liés entre eux que les clients de l’entreprise pourraient faire un recours s’ils estiment que l’entreprise n’a pas bien protégé leurs données.
Dans ce cas, il faudra regarder en détail les mesures de sécurité appliquées, et les tribunaux sont de moins en moins tolérants envers les entreprises qui ne mettent pas en œuvre les bonnes pratiques pour protéger leur SI et les données, comme par exemple le chiffrement ou le cloisonnement des systèmes et des accès. Les assureurs demandent également de mettre en place un certain nombre de mesures pour pouvoir bénéficier des assurances cyber et en cas de non respect, l’assureur ne couvre pas .
Voyez-vous plus de sollicitations par les DSI et sur quels sujets ?
Historiquement nous sommes beaucoup contactés par les DSI, les RSSI et les directions métiers. Souvent, elles ne disposent pas d’expertise juridiques IT et sécurité en interne, c’est ce qui explique que le juridique ne soit pas pris en compte en amont. L’IT s’est complexifié, et le degré d’importance stratégique pour les entreprises est allé grandissant. Ce n’était pas un sujet il y a quelques années, l’IT se réduisait à l’achat de matériels et de services « simples ». Aujourd’hui tout dépend du système d’information, mais globalement ils se sont tous complexifiés !
Aujourd’hui, pour un juriste qui n’est pas spécialiste dans l’IT, il est difficile de décrypter un contrat IT. Les contrats sont longs, complexes, multi-acteurs, multi-technologique, multi-territoriaux… souvent le risque dans ces contrats réside dans les clauses absentes, dans l’architecture contractuelle retenue…
Le CIGREF recommande aux DSI d’acquérir certaines bases juridiques. Je partage cette vision transverse du CIGREF et conseille aussi aux DSI ainsi qu’aux directions qui travaillent en lien avec le SI, tel que les acheteurs, les RSSI, les métiers ainsi que les juristes métiers de se former sur ces sujets pour mieux comprendre ce qui relève de la compétence de chacun, cerner les différents enjeux et anticiper pour mieux préparer l’avenir qui sera encore plus technologique.
Nous préconisons en effet, pour chaque projet, de réunir autour de la table les différents métiers : finance , juridique et opérationnel pour que les appels d’offres couvrent tous les sujets pertinents et que la négociation des contrat soit efficace. De cette façon, on cadre l’ensemble des points et les enjeux spécifiques à chacun de ces métiers.
Le mot de la fin ?
En réalité, le domaine de la sécurité, c’est beaucoup de bon sens. Une fois pris sous cet angle, cela ouvre de nouveaux horizons, on sort de la crainte permanente en matière cyber pour ouvrir en interne la réflexion à de nouvelles solutions. On peut en effet être très imaginatif dans la mise en œuvre des solutions. Il y a eu un vrai changement de perspective sur le sujet, et par ailleurs nous avons la chance d’avoir en France d’excellents ingénieurs sécurité, nos compétences en la matière sont reconnues.