Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 382

Doctrine
susceptibles d'entrainer la garantie de
l'assureur lorsqu'il s'agit d'assurance de
choses, ou en assurance de responsabilité
les dommage ou ensemble de dommages
causés à un ou plusieurs tiers, engageant
la responsabilité de l'assuré, résultant d'un
fait dommageable et ayant fait l'objet d'une
réclamation.
Pourtant la définition d'un incident de sécurité existe et découle de la notion d'« événement de sécurité », au sens des normes
ISO 27001 (« Technologies de l'information - Techniques de sécurité - Systèmes
de gestion de sécurité de l'information Exigences ») et ISO 27002 (code de bonnes
pratiques pour la gestion de la sécurité
de l'information) qui définissent la notion
comme « une occurrence identifiée d'un
état d'un système, d'un service ou d'un
réseau indiquant (une faille pour l'ISO
27001 ou une brèche pour l'ISO 27002)
possible dans la politique de sécurité de
l'information ou un échec des moyens de
protection, ou encore une situation inconnue jusqu'alors et pouvant relever de la
sécurité ».
Une fois que l'événement de sécurité
survient, celui-ci peut, dans un second
temps et en fonction des éléments de
contexte applicables, être qualifié d' « incident de sécurité ». Cela dépend en pratique
s'il tend à révéler une probable compromission des activités de l'organisme ou
de la sécurité de l'information et corrélativement il va s'inscrire dans différents
dispositifs réglementaires, plus particulièrement lorsque ces incidents de sécurité
sont soumis à des obligations de notification. On citera pêle-mêle les notifications
d'incident de sécurité à l'ARS des établissements de santé, laboratoire de biologie
médicale et centre de radiothérapie, ou à
l'Anssi les Opérateurs d'importance vitale
(OIV), les Opérateurs de service essentiel
(OSE) ou Opérateur de service numérique
(OSN) mettant à disposition des places
de marchés et les moteurs de recherche
en ligne et des services d'informatique
en nuage, service de confiance (SDC) ou
Opérateurs Télécom.
Considérant que l'incident de sécurité est
défini, voyons quelles sont les exclusions
qui s'y rattachent.
Les deux principales exclusions qui nous
intéressent ici sont relatives à l'erreur
humaine et à l'erreur de programmation.

382

Dans une perspective du risque cyber
essentiellement tournée vers la fraude et la
malveillance, les assureurs excluent volontiers les erreurs. L'erreur humaine sera
définie comme l'erreur de manipulation
commise par négligence ou imprudence,
y compris dans le choix du logiciel utilisé,
erreur de paramétrage ainsi que toute
intervention ponctuelle inappropriée sur le
système d'information de l'assuré, commise
en règle générale par un préposé de l'assuré. L'erreur de programmation quant à elle
sera définie comme l'erreur de développement ou d'encodage d'un logiciel, d'une
application ou d'un système d'exploitation,
ayant pour conséquence, suivant sa mise
en exploitation, de provoquer un dysfonctionnement du système d'information, d'en
interrompre les opérations ou d'en fausser
le résultat.
Rapporté à l'affaire Hertz, peut-on considérer que dans un tel cas la garantie d'assurance serait déclenchée par l'incident de
sécurité ?
C'est dans le cadre du protocole d'alerte
Zataz que la Cnil a été informée de l'existence d'un incident de sécurité sur le site
www.cartereduction-hertz.com. Bien qu'il
ne s'agisse pas d'un point d'assurance,
on peut s'interroger sur la qualification de
lanceur d'alerte. C'est d'ailleurs ce qu'a
soulevé le site d'autopartage Ouicar qui
recevait de la part de la Cnil un simple
avertissement public du fait de faille de
sécurité constatée antérieurement à la date
de mise en application de la loi Lemaire.
OuiCar soulevait que l'alerte donnée par
Zataz.com « avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs
d'alerte » (délibération de la formation
restreinte de la Cnil datant du 20 juillet 2017).
Un argument balayé par la Commission,
mais qui mérite néanmoins que l'on s'interroge, en particulier au regard de la
loi Sapin-II du 9 décembre 2016 relative à
la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. En effet, en établissant un statut de
lanceurs d'alerte, la loi Sapin II limite les
destinataires de cette protection. L'article 6
de la loi Sapin II définit le lanceur d'alerte
comme une personne physique qui révèle
ou signale, de manière désintéressée et de
bonne foi, notamment un crime ou un délit
ou une menace ou un préjudice grave pour
l'intérêt général dont elle a eu personnellement connaissance, et cela ne concerne

EXPERTISES NOVEMBRE 2017

que les lanceurs d'alerte qui procèdent
à un signalement visant l'organisme qui
les emploie ou auxquels ils apportent leur
collaboration professionnelle, ce qui exclurait les lanceurs d'alerte « externes » notamment les journalistes.
Si la garantie est déclenchée par l'incident
de sécurité, force est de constater que dans
le cas présent celui-ci avait pour origine
une erreur commise par le sous-traitant
en charge du développement du site ayant
entrainé la suppression involontaire d'une
ligne de code lors du remplacement de
l'un des serveurs, causant le réaffichage
du formulaire contenant l'ensemble des
données à caractère personnel renseignées par les personnes s'inscrivant au
programme de réduction. On pourrait
alors se voir opposer l'exclusion de l'erreur
humaine ou de l'erreur de programmation.
Si la garantie d'assurance est
déclenchée par l'atteinte au système
d'information ou aux données
Il convient pareillement de se pencher sur
la définition de l'atteinte au système d'information ou aux données et en particulier sur
la notion de violation de données, selon les
termes employés par la délibération de la
Cnil. La plupart des contrats d'assurance
définissent la notion de violation de données
selon qu'elle est la conséquence d'un déni
de service (DoS), d'un acte de malveillance
informatique ou d'un maliciel. Le déni de
service est défini comme une attaque logique
d'origine malveillante conduisant à la privation, la perturbation totale ou partielle et/ou
l'indisponibilité du système d'information,
y compris l'altération ou la destruction des
ressources logicielles associées, et causant
la saturation du système d'information par
la surcharge des demandes de connections
entrantes. L'acte de malveillance informatique est celui commis par un préposé de
l'assuré ou par un tiers visant à accéder ou
se maintenir frauduleusement dans tout ou
partie du système d'information de l'assuré ou à entraver ou fausser le fonctionnement du système d'information de l'assuré,
tandis que le maliciel est le logiciel malveillant (notamment le virus, logiciel espion,
vers informatique, cheval de Troie, rootkit,
ransomware, keyloggers, dialers, spywares,
adwares, faux logiciels de sécurité...) conçu
aux fins d'accéder ou de se maintenir frauduleusement au sein du système d'information, d'en entraver ou d'en fausser le fonctionnement ou d'introduire, altérer ou détruire
des informations qu'il renferme.



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES DUR COMBAT AUTOUR DE L’E-PRIVACY
EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEWS
BREVETABILITÉ DE LOGICIELS INSÉCURITÉ JURIDIQUE
VALORISER SES ACTIFS IMMATÉRIELS
DOCTRINE
DONNÉES - DE QUELQUES QUESTIONS SUR LA PROPRIÉTÉ DES DONNÉES DE PAIEMENT
DONNÉES PERSONNELLES - LES ENSEIGNEMENTS DE LA DÉLIBÉRATION HERTZ POUR L’ASSURANCE CYBER
CYBERCRIMINALITÉ - DARKNET, ZONE DE NON-DROIT OU TERRA INCOGNITA POUR LE JURISTE ?
DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ (2)
MARQUES VERBALES - POUR OPTIMISER UNE DÉFENSE DES MARQUES SUR L’INTERNET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - FOCUS DONNÉES PERSONNELLES DUR COMBAT AUTOUR DE L’E-PRIVACY
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 365
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 366
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 367
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 369
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - BREVETABILITÉ DE LOGICIELS INSÉCURITÉ JURIDIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - VALORISER SES ACTIFS IMMATÉRIELS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 377
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES - DE QUELQUES QUESTIONS SUR LA PROPRIÉTÉ DES DONNÉES DE PAIEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES PERSONNELLES - LES ENSEIGNEMENTS DE LA DÉLIBÉRATION HERTZ POUR L’ASSURANCE CYBER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 382
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - CYBERCRIMINALITÉ - DARKNET, ZONE DE NON-DROIT OU TERRA INCOGNITA POUR LE JURISTE ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ (2)
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - MARQUES VERBALES - POUR OPTIMISER UNE DÉFENSE DES MARQUES SUR L’INTERNET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 400
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com