Outils pour utilisateurs
Notes et transcriptions du cours “Défis et enjeux de la cybersécurité” proposé par l' UBS1) sur la plateforme FUN MOOC.
Quizz séquence 3
Parmi les trois propositions suivantes, laquelle correspond à un tiercé gagnant de la cybersécurité ?
- Confidentialité – Intégrité – Disponibilité
- Identité numérique – Confidentialité numérique – Souveraineté numérique
- Droit privé – Droit pénal – Droit public
L’attaque par rançongiciel est-elle contre ou via un système de traitement automatisé des données (STAD) ?
- Contre
- Via
- Les deux
La cyberdéfense est :
- La cybersécurité du ministère de la défense
- La cybersécurité des intérêts vitaux de la Nation sur le cyberespace
- La possibilité pour une entreprise de se défendre numériquement par une Politique de Sécurité des Systèmes d’Information (PSSI)
En cas d’attaque par rançongiciel, sur quel fondement juridique faut-il porter plainte ?
- L’extorsion
- Le chantage
- L'atteinte à un STAD
En cas d’attaque par rançongiciel, est-il recommandé de payer la rançon ?
- Non
- Oui
- Ça dépend du montant de la rançon
À propos des Opérateurs de Services Essentiels (OSE), l’on peut dire :
- Que leur importance vitale pour protéger la Nation impose une réglementation pointilleuse, et notamment leur classement sur une liste « confidentiel – défense »
- Qu’ils fournissent un service dont l'interruption aurait un impact significatif sur l'économie ou la marche de la société Q
- Que leur création par le droit français a inspiré le droit européen pour créer le statut des Fournisseurs de Services Numériques (FSN)
L’idée selon laquelle la conformité juridique garantit la cybersécurité…
- se vérifie en pratique, les règles juridiques ayant précisément pour but de garantir la cybersécurité
- ne se vérifie pas en pratique, mais l’avantage de se mettre en conformité sur le plan juridique est, pour l’organisation victime, de limiter sa responsabilité en cas de cyberattaque
- se vérifie en pratique, même si les attaquants ont toujours un temps d’avance sur les législateurs
Où se situe le risque financier par rapport aux risques opérationnel, juridique et réputationnel ?
- Il est commun aux trois autres risques
- Il ne concerne que certains de ces risques
- Il est le quatrième risque que fait courir une cyberattaque
Le droit français de la cybersécurité est-il codifié ?
- Oui, il existe un code de la cybersécurité, mais il n’est pas à la hauteur des enjeux
- Non, il n’existe pas de code de la cybersécurité et il faut en créer un qui crée de nouvelles règles qui font actuellement défaut
- Non, il n’existe pas de code de la cybersécurité et il faut en créer un qui rassemble en un seul ouvrage les règles existant notamment dans de nombreux codes
En cas de cyberattaque, quel est le risque dont les conséquences sont les plus imprévisibles ?
- Le risque opérationnel
- Le risque d’image
- Le risque juridique
Comment protéger la confidentialité numérique ?
- Par le chiffrement des échanges
- Par la biométrie
- Par un code de la cybersécurité
À propos de la Politique de Sécurité des Systèmes d’Information (PSSI), l’on peut dire que :
- C’est un document qui fixe des objectifs de cybersécurité standardisés pour toute organisation connectée
- C’est un document bien codifié, mais qu’il faut adapter à chaque entreprise pour que les objectifs et les moyens de la cybersécurité soient sur-mesure
- C’est un document qui cartographie les données de l’entreprise
À propos de la cartographie des données, l’on peut dire :
- Qu’elle est un outil de lutte contre la cybercriminalité
- Qu’elle permet de hiérarchiser les données d’une entreprise
- Qu’elle traite identiquement le numéro de série d’un bon de commande et une donnée de santé
Au sens du RGPD, un outil informatique qui offre une protection par défaut signifie :
- Que la protection existe dès la conception de l’outil informatique
- Que la protection doit être déjà active quand on acquiert l’outil informatique
- Que la protection agit contre les défauts de conception du produit
À propos d’une mesure technique comme la pseudonymisation des données personnelles, l'on peut dire :
- Qu’elle s’applique de manière indistincte à toutes les organisations, ce qui garantit son efficacité
- Qu’elle s’applique à toutes les organisation d’une certaine taille, ce qui garantit sa pertinence
- Qu’elle s’applique selon le niveau de risque et de criticité des données personnelles en question
En cas de cyberattaque sur les données personnelles confiées à un sous-traitant, il faut que ce dernier :
- Émette des notifications aux usagers concernés par la fuite des données
- Porte plainte auprès des autorités de justice (police, gendarmerie, douanes)
- Notifie la fuite au responsable de traitement afin de lui permettre de prendre les mesures qui s’imposent
Il est important de distinguer les trois branches du droit de la cybersécurité (droit privé, droit pénal et droit public)…
- car ces trois branches sont étrangères les unes aux autres
- mais ces trois branches se conjuguent
- car ces trois branches entretiennent des logiques d’opposition les unes aux autres
Si un OIV ne respecte pas les règles de cybersécurité qui s’appliquent à lui, les sanctions peuvent être :
- De 150 000 euros d’amende pour l’entreprise
- De 150 000 euros d’amende pour le dirigeant et le quintuple pour l’entreprise
- De 150 000 euros pour le dirigeant, mais l’entreprise ne peut pas être incriminée (non bis in idem)
Quand une entreprise est victime d’une cyberattaque
- Elle peut également être coupable d’avoir été négligente
- Elle peut être condamnée deux fois, conformément au principe non bis in idem
- Elle ne peut être condamnée que par la plus haute des peines encourues
L’attaque par rançongiciel est-elle punissable en tant que « demande de fonds sous contrainte » ?
- Non, car la demande de fonds sous contrainte, au sens du Code pénal, doit se faire sur la voie publique
- Oui, c’est d’ailleurs l’élément de contrainte qui caractérise le rançongiciel
- Oui, car elle doit se faire sur la voie publique mais internet est considéré comme une voie publique au sens du Code pénal
Outils de la page
