Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149

son inhibition et l'existence d'un
système régulateur.
En conséquence, la sensibilisation classique dans ses formes usuelles : conférences, tables rondes, vidéos, guides,
plaquettes, etc., restera insuffisante tant
qu'elle ne participe pas la construction
de la résistance aux automatismes de
la pensée pour inhiber l'instinct, et
en conséquence, être en mesure de
déjouer les manipulations.
Il s'agit de développer des plans de
sensibilisation innovants qui intègrent
des exercices proactifs impromptus,
répétés et variés dans la forme, le
support, la période, etc., au plus proche
de la réalité où les utilisateurs prendront tour à tour la place de la victime,
pour subir ou réagir, et celle de l'attaquant-manipulateur, pour bâtir et
exécuter divers scénarii.
aussi de valider les actions menées
dans le temps, en termes de participation et de résultats de cet apprentissage
par des métriques appropriées, en vue
d'améliorations. Au-delà, une gestion
des ressources humaines adaptée
permettrait l'adhésion à une politique
de sécurité interne prenant en compte
toute « la part de l'homme » pour la
transmission de la sécurité en adéquation avec les normes et les guides, et le
respect des mesures humaines, organisationnelles, procédurales et techniques, dans une vision plus cohérente.

Daniel GUINIER
Docteur ès Sciences
Certifications CISSP, ISSMP,
ISSAP en sécurité des SI et MBCI
en continuité et gestion des crises
Expert en cybercriminalité et crimes
financiers près la Cour pénale
internationale de La Haye

Bibliographie
Bennacef T. (2016) : Techniques de manipulation, MISC,
n° 87, septembre/octobre, pp. 25-31
Breton Ph. (2000) : La Parole manipulée, Ed. La
Découverte, 221 p.
von Clausewitz C. (1812) : Principes fondamentaux de
stratégie militaire. Traduction de l'Allemand du texte
intégral par G. Chamayou. Ed. Mille et une nuits, 94 p.
Cuzacq M.-L. (2011) : Les Manipulateurs : Les identifier,
déjouer leurs pièges, Edigo, 161 p.
Freedman J. L., Fraser S. C. (1966) : Compliance without
pressure. The foot-in-the-door technique. Journal of
personality and social psychology, Vol. 4, n° 2, pp. 155-202
Gross D. (2013) : L'ingénierie sociale : le talon d'Achille
de la cybersécurité. La Revue du GRASCO, juillet, n°6,
pp. 23-28

Guinier D. (1991) : Sécurité et qualité des SI - Approche
systémique - « La part de l'homme », Ed. Masson, 311 p.
Guinier D. (1995a) : Catastrophe et management. Ed.
Masson, 336 p.
Guinier D. (1995b) : Development of a specific criminology dedicated to information technologies - In relationship
with computers, networks and information highways,
7th Ann. Canadian Information Technology Security
Symposium, GoC/CST-CSE, Ottawa, 16-19 mai 5, pp.
21-45
Guinier D. (2015) : Cyberattaques : Caractéristiques et
dynamique. Expertises, n° 407, Novembre, pp. 386-392.
Houdé O. (2014) : Apprendre à résister. Ed. Le pommier,
coll. Manifestes, 84 p.
Kahneman D. (2012) : Système 1 / Système 2 : Les deux
vitesses de la pensée, Flammarion, Essais, 545 p.
March J.G., Olsen J.P. (1974) : Ambiguity and choice in
organisations. Universitetforgaget, 2ème édition, 408 p.
Mitnick K. (2002) : The Art of Deception - Controlling the
Human Element of Security. Ed. C. Long, 353 p.
Kervern G.-Y. (1995) : Éléments fondamentaux des cindyniques, Economica, 110 p.
Shafir E. et al. (1993) : Reason-based choice. Cognition,
49, Elsevier Science, pp. 11-36
Simon H. (1955) : A behavioral model of rational choice.
Quaterly Journal of Economics, 69, pp. 99-118
Tversky A., Kahneman D. (1974) : Judgment uncertainty :
Heuristics and biaises. Science, New Series, AAAS, vol.
185, n° 4157, 27 sept., pp. 1124-1131
Sun Tzu (5ème siècle avant J.-C.) : L'art de la guerre.
Traduction du Chinois du texte intégral par le père
Amiot, Ed. Mille et une nuits, 128 p.

Notes
(1) Voir A. Tversky et D. Kahneman (1974).
(2) Qualifiés de déficits cyndinogènes systémiques,
en rapport aux dangers étudiés ; voir G.-Y.
Kervern (1995).
(3) Partie du titre du livre paru en 1991 : Sécurité et
qualité des SI - Approche systémique ; "La part de
l'homme".
(4) Voir C. von Clausewitz (1812) sur les principes de
stratégie militaire et notamment la dimension
psychologique du conflit et l'emploi de la ruse.
(5) Voir Sun Tzu, « L'art de la guerre », avec notamment les tromperies, le renseignement, et la topologie pour le choix des cibles.
(6) Voir D. Guinier (1995b) sur le développement
d'une criminologie spécifique aux technologies
de l'information.
(7) Voir D. Guinier (1995a) pour les mécanismes du
cerveau humain du pilotage à l'acte de décision,
pp. 52-59.
(8) Voir Ph. Breton (2000), p. 26.
(9) En France, la manipulation se retrouvera dans
l'abus frauduleux d'état de faiblesse existant (Art.
313-4 du CP).
(10) VICE, pour Vénal, Idéologie, Compromission, Ego.
(11) Voir D. Gross (2013), pour les approches juridiques
et l'analyse de la réponse pénale face aux cyberattaques fondées sur des stratégies d ́ingénierie
sociale.
(12) Voir D. Kahneman (2012), prix Nobel d'économie
en 2002, pour la synthèse de ses recherches sur la
pensée, repris par Bennacef T. (2016).
(13) Voir H. Simon (1955), prix Nobel d'économie en
1978, pour la rationalité limitée dans la prise de
décision.
(14) Voir D. Guinier (1991), pp. 35-55.
(15) Voir D. Guinier (1995a), pp. 51-63.
(16) Ce qui est aussi conforme à la pyramide d'apprentissage du National Training Laboratories
(Bethel), au vu des statistiques : on retient 75% de
ce qui est pratiqué par soi-même et seulement
10% des propos d'une conférence.

EXPERTISES AVRIL 2017

(17) Voir V. Gignoux-Ezratty (2016), sur l'utilité et les
limites d'un modèle de raisonnement basé sur
des systèmes.
(18) Voir D. Guinier (2015), Expertises, n° 407, nov., pp.
386-392.
(19) Ex. Code malveillant : virus, cheval de Troie,
bombe logique, injection SQL, capture : Wifi,
Bluetooth, etc.
(20) L'effet de récence est la facilité de se rappeler
dans l'immédiat essentiellement des premiers
et derniers stimuli ou événements, du fait d'une
mémoire à court terme. Le système 1 y sera donc
plus sensible.
(21) « Les cliqueurs anonymes » serait ici une organisation d'entraide imaginée par l'auteur dont le
but est d'aider les personnes reconnaissant leur
problème d'automatisme en rapport avec l'Internet, en acceptant toute proposition de cliquer
sur un lien ou d'ouvrir un fichier, lesquelles
souhaitent s'en corriger. La démarche se fonde
sur des séquences facultatives d'écoute où les
membres ont à tour de rôle la liberté d'exposer
leurs mésaventures et d'en discuter en cercle avec
un modérateur, en termes sereins et constructifs,
pour changer leur comportement.
(22) L'attaquant ne dispose pas forcément d'autres
indications que l'adresse de messagerie pour
envoyer un « spam » et procéder au « phishing »
non ciblé, alors que d'autres renseignements
seront nécessaires au « spear phishing » pour
cibler une entreprise, voire un service ou une
personne en particulier.
(23) Un rançongiciel, ou ransomware, est un logiciel
malveillant comportant notamment un cheval
de Troie destiné à crypter les données à l'insu
de leur propriétaire : entreprise ou particulier, ou
encore à bloquer l'accès au système. Selon le cas,
les données sont alors inutilisables ou le système
inaccessible, jusqu'à ce qu'une clé de décryptage
ou un outil de débridage soit envoyé à la victime
en échange du montant réclamé pour la rançon.
(24) En France, l'extorsion est un délit puni de sept ans
d'emprisonnement et de 100 000 € d'amende aux
termes de l'Art. 312-1 du code pénal.
(25) A l'époque des faits, le cours du Bitcoin était de
l'ordre de 600 euros, contre 1 090 euros fin février
2017.
(26) En 2015, CryptoWall aurait rapporté 325 millions
de dollars à ses auteurs (source : Cyber Threat
Alliance).
(27) En France, l'escroquerie est un délit puni de 5 ans
d'emprisonnement et de 375 000 € d'amende, aux
termes de l'Art. 313-1 du code pénal.
(28) Avec le nomadisme on constate la généralisation
de points d'accès WiFi dans divers lieux : aéroports, hôtels, entreprise d'accueil, etc., privilégiant
la facilité de connexion au détriment de la sécurité et de la conformité. L'interposition volontaire
d'une borne WiFi « escroc », dénommée rogue AP,
peut permettre de compromettre les systèmes :
smartphone, tablette, ou microordinateur, des
utilisateurs qui s'y connectent : redirection vers un
serveur substitut local pour récupérer ou modifier
le trafic, introduction d'un cheval de Troie, etc.,
notamment pour récupérer des données confidentielles (ex. mot de passe), sans que pratiquement il soit possible de faire la distinction entre ce
rogue AP et le point d'accès légitime.
(29) En louant un numéro local proche de celui d'un
client, d'un fournisseur, ou d'un lieu de déplacement, y compris à l'étranger (ex. Sonetel), ou
mieux, en choisissant un numéro précis en louant
des services d'usurpation au travers d'une plateforme Web sur l'Internet : SpoofCar, CrazyCall,
BluffmyCall, CallerIDFaker ou SpoofTel ; certaines
offrant la possibilité de modifier les caractéristiques de la voix, pour la rendre plus grave ou
aigüe.
(30) Voir D. Guinier (1991), p. 176, sur le fameux
facteur humain !... et le théâtre au service de la
sensibilisation.

149



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423

Couverture
Editorial & Sommaire
MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
INTERVIEW JURISTE : UN MÉTIER EN MUTATION
DOCTRINE
DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 124
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 129
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - INTERVIEW JURISTE : UN MÉTIER EN MUTATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 132
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 136
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 146
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 157
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 158
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 159
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com