» Acquisition

Sécuriser les échanges numériques



Section 3. La sécurisation des échanges numériques

Pour appréhender globalement le contenu de ces notes, nous précisons ce que, à notre sens, doit couvrir le concept "sécurité des échanges numériques".

Important


Pour nous, il s'agit de sécurité des données numériques transmises via un canal de communication réputé non sûr.


Typiquement, ce canal est le réseau internet avec ses extensions sans fil tel que le Wi-Fi mais d'autres canaux existent et doivent être pris en compte. Les réseaux de télécommunication fixe ou mobile servent à l'échange de données numériques (données, voix, images). Mais, il faut le rappeler, un moyen d'échange numérique des plus courants consiste à transporter physiquement les données géographiquement d'un point à un autre à l'aide de supports aussi diverses que l'ordinateur ou le téléphone portable, la clé USB ou même dans certains cas tout simplement le papier. Le papier peut en effet constituer un moyen d'échange de données numériques après que celles-ci soient imprimées, leur recouvrement après transport étant le résultat d'une simple numérisation à l'aide d'un scanner et d'un logiciel de reconnaissance optique de caractères. Ces canaux et les supports qu'ils utilisent ne sont pas sûrs dans le sens où les données qu'ils font circuler ou qu'ils stockent peuvent être interceptées ou extraites par des personnes non autorisées.

Après avoir décrit le canal de communication, venons en maintenant au terme de sécurité des données numériques auquel nous pouvons nous restreindre même si souvent il est question de sécuriser le canal de communication car la sécurisation du canal n'a de sens que pour la sécurisation des données qui le traversent. En fait la sécurité des données est au cœur de tout dispositif de sécurité des échanges numériques puisque la sécurisation des données "sur place" est nécessaire à la sécurisation des échanges. Ainsi sécuriser son document sur le portable ou l'accès à sa session par un mot de passe sont des procédures basiques à considérer dans le cadre de la sécurisation des échanges numériques aussi bien pour le particulier que pour le professionnel. La sécurité des données numériques est nécessaire pour prévenir de la malveillance, des accidents ou des erreurs qui peuvent nuire au système d'information. Nous nous pencherons essentiellement sur la malveillance, les mesures de sécurité relative aux accidents et aux erreurs pouvant se résumer dans une politique de sauvegarde bien réfléchie.

La malveillance informatique a pour objet

  • l'entrave au bon fonctionnement d'un système informatique ou
  • l'utilisation non autorisée des ressources informatiques ou
  • l'accès non autorisé à des données ayant pour conséquence une atteinte à la vie privée, au secret des correspondances privées ou au secret professionnel.

Elle regroupe un certain nombre d'attaques qui seront présentées plus loin et peut constituer un crime informatique ou un cybercrime quand l'infraction est commise via le réseau internet. Deux types d'infraction sont distingués dans le "guide du traitement judiciaire de la cybercriminalité" du ministère de la justice :

  • les infractions où l'informatique est le moyen de commission d'un crime ou d'un délit telles que celles relatives aux atteintes à la personnalité, les infractions à la loi sur la presse, les infractions contre les biens, l'atteinte à la propriété intellectuelle par exemple.
  • les infractions où l'informatique est l'objet même du crime ou du délit et qui ont été prévues dans des textes spécifiques telles que la loi Godfrain ou la loi informatique et libertés.

-

Pour protéger son système informatique, le professionnel a généralement recours aux services d'une société spécialisée mais la sécurité informatique n'incombe pas aux seuls spécialistes de l'informatique. Et c'est pour cela que des compétences de base dans la sécurité informatique comme l'installation d'un antivirus et les précautions de sauvegarde sont requises dans le référentiel du c2i niveau 1. Dans le cadre du référentiel c2i métiers du droit il s'agit de compléter et de développer ces compétences en les rapprochant au contexte des métiers du droits. L'utilisation de la cryptographie à l'aide de certificats ou l'utilisation d'un pare-feu pour surveiller le trafic sur son réseau viennent par exemple compléter les compétences du c2i niveau 1.

Enfin il est utile de situer l'item du référentiel correspondant à ces notes par rapport aux autres items. Plusieurs notions abordées dans ces notes se retrouvent dans d'autres compétences du référentiel où elles doivent être traitées de manière plus approfondie.

Il s'agit de :

  • D1-3. Respecter le secret professionnel.
  • D1-4. Maitriser les droits des personnes : la protection de la vie privée et des données à caractère personnel, le droit au secret des correspondances.
  • D2-4. Maitriser les échanges numériques entre acteurs judiciaires ou juridiques et les services offerts aux citoyens
  • D3-3. Archiver l’information : préserver l’intégrité des contenus ; assurer la stabilité du contenu informationnel dans le temps.
  • D4-2. Prévenir des actes de cybercriminalité dans un contexte professionnel : face aux attaques externes ; face aux comportements internes.