Question de Droit

Les cyberrisques. La gestion juridique des risques à l’ère immatérielle. Entretien avec Olivier de Maison Rouge.

Collection Numérique & Droit


Jacqueline Sala
Mercredi 20 Novembre 2024


Les cyberattaques de grande envergure représentent des menaces hybrides qui se manifestent à travers une cyberguerre. En réaction, ce livre est un guide pour manager les risques numériques en termes de droit, englobant à la fois la protection des dispositifs et la sécurité des échanges et informations.



Un guide pour manager les risques numériques en termes de droit, englobant à la fois la protection des dispositifs et la sécurité des échanges et informations.

Les récentes évolutions du cyberespace ont été marquées par la démonstration par Edward Snowden de la vulnérabilité de l'espace numérique face aux interventions des agences de renseignement.

La pandémie a boosté la numérisation des entreprises, augmentant ainsi leur exposition aux risques liés à la cybersécurité. La montée en puissance des entreprises chinoises a révélé une concurrence géopolitique intense et une bataille technologique. L'intervention dans la manipulation de l'information est devenue une question centrale.

Les cyberattaques de grande envergure représentent des menaces hybrides qui se manifestent à travers une cyberguerre. Alors que l'avènement de la société numérique avait suscité de grands espoirs, l'évolution actuelle fait naître des soupçons légitimes face à la cybercriminalité de plus en plus répandue : ransomware, piratage de données sensibles, menaces pour la réputation, divulgation d'informations sur les réseaux sociaux, usurpation d'identité, cyberharcèlement...

En réaction, ce livre est un guide incontournable pour manager les risques numériques en termes de droit, englobant à la fois la protection des dispositifs et la sécurité des échanges et informations.

Les cyberrisques sont abordés selon quatre axes.
- le contrôle des données en ligne
- les dangers des technologies numériques (les organismes de contrôle numérique, les Stratégies publiques de protection des données)
- La gestion des données, la protection et la communication électronique sont des risques liés à la cybernétique.
- la punition des attaques informatiques.

En conclusion, le livre se termine par une discussion sur l'intelligence artificielle.

Entretien avec Olivier de Maison Rouge

Olivier de Maison Rouge est avocat. Docteur en droit. Diplômé de Sciences politiques. DPO externe.
Directeur de programme du MBA Management stratégique et intelligence juridique à l’EGE, intervenant régulier à l’IHEDN et à l’ENM.
Également Vice-président de la Fédération européenne des experts en cybersécurité, il est membre de la commission permanente « secrets d’affaires » de l’Association internationale pour la protection de la propriété intellectuelle.
Président du comité d’éthique du Syndicat français de l’intelligence économique.


Qu’est-ce qui vous a inspiré à écrire sur ce sujet ? Avez-vous eu une expérience personnelle qui a influencé votre décision ?

Cela fait désormais de nombreuses années que je suis avocat d’affaires, plus particulièrement versé dans les sujets d’intelligence économique et stratégique.
 
Précisément, cette discipline repose en grande partie sur le traitement de l’information et notamment sa protection.
 
Or, avec la croissance exponentielle de la dématérialisation des activités économiques, d’une part, et la multiplication des données alliée au souci de les sécuriser, d’autre part, il m’est apparu évident que la cybersécurité était ainsi devenue un vaste champ d’application des méthodes d’intelligence économique, s’agissant notamment du management des informations.
 
Ce faisant, les méthodes tirées de l’intelligence économique, en matière de collecte, de traitement, d’analyse de risques, de cartographie, de protection de l’information, de classification des données etc. avaient très largement imprégné les démarches de la sécurité numérique. Celle-ci est ainsi devenue un réceptacle naturel des méthodes et savoir-faire issus de l’intelligence économique.
 
S’agissant de mon expérience personnelle, j’avais été très tôt saisi pour traiter des affaires pénales de « vol de données » à la fin des années 2000. C’est à cette occasion que j’ai constaté qu’il restait encore beaucoup à faire et à écrire en droit, malgré quelques textes iconiques qui avaient prévalu tels que la Loi informatique et liberté et la loi Godfrain, mais lesquels demeuraient insuffisants compte tenu de l’évolution des utilisations malveillantes.
 
Ayant ainsi obtenu quelques jugements significatifs, mon activité s’est donc orientée vers les sujets de cybersécurité qui ont été sur le devant de la scène et demeurent d’actualité. Cela s’est notamment traduit par des travaux de conseil et d’expertise auprès d’institutions, organisations et élus, ayant ainsi contribué à plusieurs textes qui sont devenus depuis lors des références en matière cyber au niveau européen.
 
Depuis lors, en qualité d’avocat en droit du numérique, mais aussi DPO, j’applique et diffuse les pratiques juridiques tirées du RGPD, NIS puis désormais NIS2, DSA, DMA etc.

Comment la souveraineté numérique et l’intelligence artificielle affectent-elles les cyberrisques ?

La souveraineté numérique, parce qu’il s’agit d’assurer l’autonomie en matière d’acquisition, d’hébergement, de traitement et d’exploitation des données alors même que les acteurs européens sont soumis à une forte dépendance systémique en raison des technologies et supports étrangers qui sont autant de vecteurs d’ingérence, en particulier dans le cloud. Je pense aux règlementations extraterritoriales qui affectent le cyberespace et constituent des menaces majeures, ainsi que l’a révélé Edward Snowden en matière de cyberespionnage. Le choix de la loi applicable, en regard du lieu d’hébergement des données et de l’utilisation des supports et applicatifs doivent être prépondérants pour assurer une véritable souveraineté technologique. L’un ne va pas sans l’autre et son les deux faces d’une même pièce.
 
L’intelligence artificielle peut également constituer un risque dès lors qu’elle participe de manière autonome au traitement des données. Ainsi, s’agissant de l’IA générative, elle peut générer des risques en matière d’atteinte au RGPD, aux droits d’auteur et plus largement aux droits de propriété intellectuelle mais aussi par la désinformation, intox et autres outils à disposition des cyber attaquants.
Mais encore, l’intelligence artificielle autonome peut échapper à son géniteur ou intégrer des biais qui se retournent contre l’Homme ou modifient sa perception et son jugement.
 
Comme toute innovation majeure – qu’il convient d’appréhender et de s’approprier – elle comporte une part de craintes légitimes. C’est d’ailleurs pourquoi l’Union Européenne a cru bon de la réguler dès à présent par l’IA Act en créant des limitations ou interdits.
 
Enfin, quel message aimeriez-vous que vos lecteurs retiennent après avoir lu votre livre ?
 
Le cyberespace est loin d’être aussi neutre que l’on veut bien nous le présenter.
 
Certes, les outils numériques irriguent désormais notre quotidien et le facilite abondamment. Il y a lieu de s’en réjouir. Mais il convient néanmoins de bien connaître les usages que l’on peut faire de nos données et ce à quoi nous sommes susceptibles de les exposer. Il ne faut pas être naïfs en la matière ou s’en désintéresser sous prétexte que c’est technique. Le numérique obéit à des logiques - en tout premier lieu humaines - qu’il convient de comprendre pour l’utiliser à bon escient.
 
Sans sombrer dans une paranoïa, il est bon d’avoir une distance nécessaire pour bien cerner les finalités d’exploitation et éviter d’augmenter la surface de vulnérabilité.
 
Cela vaut autant concernant les flux internationaux de données qui sont désormais au cœur des rivalités géopolitiques.
 

Peut-être une remarque plus personnelle, une recommandation …

En matière de cyberrisques, il ne faut pas tomber dans le travers de la technique, d’autant plus si l’on est béotien en la matière, mais simplement avoir les bons réflexes numériques du quotidien, qui relèvent essentiellement du bon sens (mot de passe robuste, mises à jour, choix des hébergements et supports, chiffrement des données sensibles, sauvegardes intelligentes, …).
 
A ce titre, de nombreuses institutions, au premier rang desquelles l’ANSSI, ont émis des recommandations de grande valeur qui doivent être le B.A-BA de tout consommateur du numérique, particulier ou entreprise.
 

Gardez le contact