Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 31 mai au 2 juin 2006.

Regards croisés de juristes et d'informaticiens sur la sécurité informatiqueIsabelle De Lamberterie, Marion Videau


Date : 31 May 2006 à 15:45 — 45 min.

Lorsque l'informatique est passée d'un domaine réservé à une minorité d'amateurs et de chercheurs à une réalité quotidienne pour une majorité, il a nécessairement fallu prendre en compte la dimension « publique » de l'informatisation croissante. Il est indéniable que la massification a mis au jour des vulnérabilités amplifiées par le passage à l'échelle. Cette vulnérabilité conjointement à laquelle s'est développée l'informatisation s'est accompagnée du développement de réponses de sécurité informatique.

La sécurité informatique évoque inévitablement une réponse technologique face aux risques qu'encourt un système d'information. Mais une rapide réflexion fait apparaître qu'elle ne peut être réduite à cette dimension. La prévention et la gestion de la vulnérabilité passe, aussi, par une régulation juridique. Celle-ci peut-être « bottom up » : (chartes et autre codes de bonne conduite) ou « top down » (textes législatifs ou réglementaires).

Dans les deux cas, la régulation doit faire face à la prise en compte des caractéristiques intrinsèques au nouveau domaine qu'elle vise à réglementer, prise en compte qui ne va pas sans paradoxe quand les cultures et interprétations sont différentes.

Le premier sujet sur lequel nous avons travaillé concerne les caractéristiques exigées de l'écrit dit électronique pour lui reconnaître une valeur juridique et une force probatoire dans le cadre déchanges à court terme et sur le long terme. Que signifie la notion d'intégrité pour un juriste et un informaticien ? Quelles sont les conséquences de ces différences d'interprétation ?

Le deuxième sujet traité concerne la recherche en sécurité informatique. La culture dans ce domaine est celle d'une confrontation permanente attaquant-attaqué, comme l'illustre par exemple l'évaluation de la sécurité d'un système de chiffrement. Il n'est meilleure sécurité que celle fournie par celui qui connaît et maîtrise les attaques existantes, avec ce que cela implique donc de travail d'attaquant. Les lois visant à interdire la détention et la mise à disposition de virus ou le contournement de mesures de protection techniques témoignent d'une certaine méconnaissance des mécanismes de recherche dans ce domaine. Elles rendent bien incertaines les activités d'une communauté dont les contours, souvent flous, sont bien plus larges que la seule communauté académique. L'efficacité des mesures telles qu'attendues par la loi pourrait ainsi être appelée à en souffrir.