Вы находитесь на странице: 1из 21

Protection des donnes et risques juridiques

Un Livre Blanc de Check Point Software

Protection des donnes et risques juridiques

Sommaire
Prambule............................................................................................ 3 I. Contexte............................................................................................ 4 II. Ce que dit la Loi ........................................................................... 7 III. Les risques juridiques encourus ..................................................... 10 IV. Bonnes pratiques ............................................................................ 13 V. Solutions .......................................................................................... 15 VI. Rfrences .....................................................................................18

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

Prambule
L'information est au cur de lentreprise. Elle est capitale pour son activit. Avec lavnement dInternet, et la multiplication des rseaux et priphriques communicants, les changes dinformations croissent de faon exponentielle. Depuis quelques annes, cette vie numrique sest organise autour des diffrents acteurs de lentreprise : collaborateurs (galement utilisateurs des nouvelles technologies dans leur cadre priv), partenaires, fournisseurs, exploitants Tous communiquent et partagent des donnes souvent sensibles. Pour beaucoup dentre nous, Internet est devenu le rseau local de lentreprise, rseau qui comporte de nombreux dangers pour les donnes : vols, piratage, dtournements, utilisations frauduleuses Le catalogue des menaces inities par les cyber-criminels est hlas la hauteur des profits gnrs : impressionnant. Linformation est devenue source de convoitise. Et pour cause : un fichier clients, un bilan, des donnes personnelles ou encore des donnes relatives un savoir-faire se monnaient aisment et chers sur le march souterrain . Lentreprise se doit de protger ses donnes. Elle y est contrainte par un cadre lgislatif qui sest tendu toute lEurope. La Loi Informatique et Liberts de 1978 impose que les organismes mettant en uvre des traitements ou disposant de fichiers de donnes en garantissent la scurit. Par scurit des donnes, on entend lensemble des prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour notamment, empcher que les donnes soient dformes, endommages, ou que des tiers non autoriss y aient accs. (Art.34 loi IL). Cette scurit se conoit pour lensemble des processus relatifs ces donnes, quil sagisse de leur cration, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialit, leur intgrit, leur authenticit et leur disponibilit. Lobjectif de ce Livre Blanc est triple : Sensibiliser les entreprises sur limprieuse ncessit de protger ses donnes. Rappeler les principales rglementations en vigueur. Indiquer aux dirigeants et responsables de la scurit les bonnes pratiques suivre et les solutions adopter pour renforcer la protection de leur systme dinformation tout en restant en conformit avec les textes de Lois. Check Point Software remercie tous ceux qui ont contribu la ralisation de ce Livre Blanc et plus particulirement Matre Isabelle Renard (Cabinet Racine), Matre Olivier Iteanu (Cabinet Iteanu) et Olivier Pantalo (Prsident de Provadys et de Majj).

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

I. Contexte
Les donnes constituent le cur du systme dinformation de lentreprise, au centre dun vaste processus conomique. Leur valeur est inestimable. Delles dpendent son activit, son dveloppement, son ouverture sur le monde. Avec Internet et le dveloppement des rseaux et lavnement de la socit numrique , les donnes subissent de multiples traitements facilitant les changes dinformations, de biens et de services. Les donnes sont devenues des denres prcieuses pour tous les acteurs de la vie conomique mais aussi pour les cybercriminels qui les exploitent leur profit. Au cours des deux dernires dcennies, les techniques mises en uvre par les pirates informatiques se sont dveloppes pour exploiter toutes les failles de scurit qui soffrent eux. Les menaces Web ou malwares (virus, vers, chevaux de Troie, phishing, logiciels espions) sont en constante progression. Entre 2005 et 2007, la croissance tait de 1564 % par an. Celle-ci ne cesse daugmenter depuis. En 2009, on dtectait prs de 1 500 nouveaux malwares toutes les heures ! Les menaces sont souvent si complexes que La victime ne remarquera mme pas que son ordinateur a t infect ou que des donnes lui ont t drobes. Les principales menaces qui psent aujourdhui sur les entreprises sont : Vol, dtournement de donnes (fichiers clients, brevets, comptabilit, finance) Corruption dinformations, suppression de fichiers. Paralysie du systme dinformation (et donc de son activit). Suite des actes de piratages cibls, certaines entreprises ont mme d dposer le bilan, la perte ou la corruption de leurs donnes leur ayant t fatales. Une scurit souvent de niveau faible Alors que la quantit dinformations stockes sous forme numrique atteint des records, il semble quil en soit de mme en matire dinscurit : prs dun informaticien sur deux (42%) considre que sa propre entreprise ne fait que peu de chose pour rduire les risques de vols ou de pertes de donnes confidentielles. Les rsultats de lenqute conduite auprs de 1000 spcialistes de la scurit informatique en entreprise par le Ponemon Institute vont mme encore plus loin : 45% d'entre eux reconnaissent quils seraient dans limpossibilit didentifier, et donc davertir, les utilisateurs ou les clients dont les donnes personnelles auraient t voles. Mme si les directions de systmes dinformation ont fait quelques progrs ces dernires annes, elles sont encore trs loin davoir une culture scurit suffisante pour protger efficacement les donnes sensibles caractre personnel ou confidentiel. Le choix jusqualors des entreprises a davantage t de protger les quipements que les donnes elles-mmes. Quant aux solutions installes, beaucoup se contentent dun antivirus (pas toujours jour), voire dun pare-feu et se croient protges. Or, compte tenu de ltendue des priphriques mobiles (cls USB, PDA, assistants personnels et tlphones mobiles) et de leur capacit de stockage (plusieurs dizaines de Go), la protection des donnes na pas suivi la mutation des technologies et des usages.
Les cybercriminels ont organis un march trs juteux de revente sur Internet : Compte Paypal : 7$ N carte bleue (+code scurit) : 7-25 $ Carte de Scurit Sociale : 100 $ N permis de conduire : 150 $ N carte crdit avec code PIN : 500 $ Lexploitation des failles de scurit se monnaye aussi Package malware : 1000 2000 $ Exploit 1 heure : 1 $ Exploit 5 heures : 4$ Infection de 10 000 Pcs : 1000 $

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

Une sensibilisation aux risques mitige De lavis des experts, la perception quont les entreprises des risques auxquelles elles sont confrontes varie suivant la taille et les secteurs dactivit. Toutefois, comme le prcise Olivier Pantalo, Prsident de MAJJ, la plupart des entreprises narrivent pas valuer prcisment lampleur des risques lis la perte de donnes. Celle-ci peut engendrer des prjudices trs importants pour lentreprise. En effet, la perte ou le vol dinformations affectent aussi bien ses rsultats, sa profitabilit que son image de marque. Et Michael Amselem, (Head of Europe Sales Division - End Point Solutions Check Point Software) dajouter : La perte de donnes reprsente galement une perte de crdibilit pour une socit qui naura pas pris les bonnes mesures pour viter ce genre de fuite. Lexemple rcent de Wikileak, par le biais de lexposition de donnes sensibles, dmontre une nouvelle fois lampleur des dgts que ce genre de situations peut gnrer. La protection des donnes nest pas assure comme elle devrait ltre et ce, malgr des lgislations parfois trs svres. Rares sont les entreprises qui ont ralis la cartographie de leurs donnes sensibles poursuit Olivier Pantalo. Seules celles qui ont des contraintes rglementaires fortes - comme le secteur banques, finances, assurances - ont classifi tout ou partie de leurs donnes et ont mis en place des mesures de scurit au regard de leur classification. Ces entreprises font rgulirement des contrles, se positionnant ainsi dans un cercle vertueux. Elles sont donc plus matures que celles voluant dans dautres secteurs dactivit. Quand les entreprises nont pas de contraintes lgales, pas damendes la cl, elles font sans et continuent de faire sans. Ce que confirme Michael Amselem : Dans la plupart des cas, on a privilgi la rpression et la crainte de celle-ci lencontre de lducation. Cela a induit une certaine passivit des entreprises du fait de leur incomprhension des solutions proposes et des impacts rels sur leur organisation en cas de perte de donnes. Trop souvent les entreprises squipent pour protger leurs donnes aprs avoir subi un incident svre. Donnes caractre personnel, donnes dentreprise Comme nous le verrons dans le chapitre suivant, un environnement lgislatif, juridique existe bel et bien et ce, depuis 1978. Mais celui-ci encadre principalement les donnes caractre personnel. A cet effet, quentend-on par donnes personnelles ? Matre Olivier Iteanu prcise : Ce sont les toutes les donnes qui sont susceptibles didentifier une personne physique. Nous avons deux types de donnes caractre personnel : les donnes directes (nom, prnom) et les donnes indirectes (plaque dimmatriculation de voiture, numro de scurit sociale). On imagine aisment limportance que reprsentent ces fichiers pour ladministration, les oprateurs tlcoms, les hpitaux et organismes de sant, les banques et assurances, la grande distribution, voire les services. Certes, au regard de la Loi, les donnes caractre personnel ont un statut particulier puisquelle concerne la vie prive, lintimit mais aussi la libert dune personne. Pour autant, les donnes dentreprise (comptes clients, comptabilit, paie, secrets de fabrication, brevets,) sont des informations capitales pour son activit. Elles le sont aussi pour ses comptiteurs qui pourraient les exploiter leur profit pour disposer, notamment, dun avantage concurrentiel certain. Comment ? En mettant sur le march un produit, un service ou une offre commerciale juste avant celle de son et ses concurrents. Cette avance sur le march se mesure en millions deuros mais aussi en notorit.
La sensibilisation aux risques reste encore mitige selon les entreprises. Selon une enqute mene par le CLUSIF en 2008, 20 % des interrogs pensent que les risques sont en forte baisse alors que 21 % pensent au contraire quils sont en hausse, ventuellement trs forte

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

Les exemples sont lgion, dans lindustrie, la tlphonie mobile ou la grande distribution. Indniablement, lespionnage industriel sest mis lheure du numrique. Dans ce contexte, o les donnes caractre personnel sont stockes et traites aux cts des donnes dentreprise, la protection des donnes doit tre dautant plus renforce quelle est, pour la premire catgorie, entoure dun cadre juridique complet et coercitif et, pour la seconde, vitale pour son fonctionnement et sa prosprit. Lensemble de ces donnes doit tre trait sur le mme plan en matire de protection, avec la mme vigilance et dtermination face aux menaces ce que confirme Matre Isabelle Renard (Cabinet Racine) : Les donnes personnelles sont protges comme le reste des donnes. Il y a dans la Loi Informatique et Libert lArticle 34 qui est trs important car il instaure lobligation de scurit . Les entreprises doivent veiller ce que les donnes personnelles ne puissent pas tre corrompues ou divulgues hors de lentreprise. Dans les faits, cette obligation de scurit nest pas spcifiquement applique. Lentreprise protge ce type de fichiers comme elle protge le reste de ses documents. Si cest bien fait, lobligation de scurit est remplie. Il est trs rare quil y ait une spcificit technique autour de la protection des donnes personnelles. Mais quen est-il sur le plan juridique de la protection des donnes autres que personnelles ? Matre Iteanu prcise que cest le code de la proprit intellectuelle qui sapplique ainsi quun certain nombre de textes un peu pars qui concernent les entreprises comme des dispositions gnrales du code pnal sur le secret des affaires, les secrets de fabrique. Mais il ny a pas de rgime gnral des donnes au sein de lentreprise. On les traite en fonction de leur finalit. Si elles sont caractre personnel, cest la Loi de 1978 / 2004 qui sapplique. Si elles sont originales (littraires, artistiques, musicales), on peut leur appliquer la Loi sur la proprit intellectuelle. Si elles touchent un investissement de lentreprise (secret de fabrique), on parlera de savoir-faire.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

II. Ce que dit la Loi


La France dispose depuis 1978 dun cadre juridique et lgislatif ddi la protection des donnes caractre personnel. Les Lois de 1978 et de 2004 ainsi que la Directive europenne de 1995 dfinissent un cadre lgislatif qui sest enrichi avec lvolution des technologies en matire de traitements et de diffusion des informations. Retour en arrire pour bien mesurer aujourdhui limportance pour les entreprises de connatre et respecter les textes en vigueur. Le texte de rfrence en matire de protection des donnes est celui de la Loi n 78-17 du 6 janvier 1978, Loi relative l'informatique, aux fichiers et aux liberts . ! Cette Loi institue la Commission Nationale de lInformatique et des Liberts (CNIL), autorit charge de veiller la protection des donnes personnelles et de la vie prive. Dans ce cadre, la CNIL vrifie que la Loi est respecte en contrlant les applications informatiques, prononce des sanctions, tablit des normes et propose au gouvernement des mesures lgislatives ou rglementaires de nature adapter la protection des liberts et de la vie prive l'volution des techniques. A retenir larticle 34 : Le responsable du traitement met en uvre toutes mesures adquates, au regard de la nature des donnes et des risques prsents par le traitement, pour assurer la scurit des donnes et en particulier protger les donnes caractre personnel traites contre toute violation entranant accidentellement ou de manire illicite la destruction, la perte, l'altration, la divulgation, la diffusion, le stockage, le traitement ou l'accs non autoriss ou illicites. Puis en 1981, le Conseil de lEurope labore la Convention pour la protection des personnes l'gard du traitement automatis des donnes caractre personnel qui reste ce jour, dans ce domaine, le seul instrument juridique contraignant sur le plan international, vocation universelle, ouverte donc ladhsion de tout pays y compris non membre du Conseil de lEurope. ! Cette Convention dfinit un certain nombre de principes pour que les donnes soient collectes et utilises de faon loyale et licite. Ainsi, elles ne peuvent tre collectes que dans un but prcis et ne peuvent tre utilises de manire incompatible avec ce but ; elles doivent tre exactes, proportionnes cet objectif et conserves uniquement pendant le dlai ncessaire sa ralisation. Le texte tablit, en outre, le droit d'accs et de rectification de la personne concerne et exige une protection spciale pour les donnes sensibles (notamment celles concernant l'appartenance religieuse, les opinions politiques ainsi que les donnes gntiques ou mdicales). Dans le droit fil de cette Convention du Conseil de lEurope, lUnion europenne a adopt en octobre 1995 la directive 95/46/CE qui constitue le texte de rfrence, au niveau europen, en matire de protection des donnes caractre personnel. ! Cette directive met en place un cadre rglementaire visant tablir un quilibre entre un niveau lev de protection de la vie prive des personnes et la libre circulation des donnes caractre personnel au sein de l'Union europenne.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

Pour ce faire, la directive fixe des limites strictes la collecte et l'utilisation des donnes caractre personnel, et demande la cration, dans chaque tat membre, d'un organisme national indpendant charg de la protection de ces donnes. Tous les Etats membres ont maintenant transpos cette directive. Nanmoins, les actions entreprises au sein de lUE restent encore insuffisantes pour faire face aux menaces que reprsentent le spam, les logiciels espions et les logiciels malveillants. Internet tant un rseau mondial, la Commission europenne souhaite dvelopper le dialogue et la coopration avec les pays tiers concernant la lutte contre ces menaces et les activits criminelles qui y sont associes. Cest sur la base de cette Directive que la Loi n2004-801 du 6 aot 2004 a t vote en deuxime lecture. Celle-ci modifie la Loi n 78-17 du 6 janvier 1978 sur la protection des donnes au regard du traitement des donnes personnelles. ! Cette nouvelle Loi donne de nouveaux pouvoirs la CNIL (sanctions) et de nouvelles opportunits pour les entreprises. Elle prend en compte les risques lis l'utilisation des nouvelles technologies dans le cadre du traitement, de l'change et de la circulation des donnes. Dans ces conditions, la Loi s'applique l'ensemble des traitements de donnes caractre personnel, c'est--dire toute opration, quel que soit le procd utilis (la collecte, l'enregistrement, l'organisation, la conservation, l'utilisation, etc.) portant sur toute information relative une personne physique identifie ou pouvant tre identifie par rfrence un numro d'identification ou un ou plusieurs lments qui lui sont propres. Cette Loi de 2004 limite le contrle a priori des fichiers par la CNIL pour lui substituer le plus souvent un contrle a posteriori. Les pouvoirs dinvestigation ou daccs aux donnes de la Commission ainsi que ses possibilits effectives dintervention seront, en contrepartie, renforces. La CNIL dispose de pouvoirs de sanction administrative gradue allant du simple avertissement jusquaux sanctions pcuniaires. Plus rcemment, le 23 mars 2010, le Snat a adopt au Palais du Luxembourg, sans vote contraire, la proposition de Loi N 93 (2009-2010) des Snateurs Anne-Marie Escoffier et Yves Dtraigne visant mieux garantir le droit la vie prive lheure du numrique . ! Cette proposition tend notamment, au travers de son article 7, renforcer l'article 34 de la Loi informatique et liberts en rendant obligatoire la notification des failles de scurit. En voici un extrait En cas de violation du traitement de donnes caractre personnel, le responsable de traitement avertit sans dlai le correspondant informatique et liberts, ou, en l'absence de celui-ci, la Commission Nationale de l'Informatique et des Liberts (CNIL). Le responsable du traitement, avec le concours du correspondant informatique et liberts (CIL), prend immdiatement les mesures ncessaires pour permettre le rtablissement de la protection de l'intgrit et de la confidentialit des donnes. Le CIL en informe la CNIL. Si la violation a affect les donnes caractre personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe galement ces personnes,

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

sauf si ce traitement a t autoris en application de l'article 26. Le contenu, la forme et les modalits de cette information sont dtermins par dcret en Conseil d'Etat pris aprs avis de la Commission nationale de l'informatique et des liberts. Un inventaire des atteintes aux traitements de donnes caractre personnel est tenu jour par le correspondant informatique et liberts. Matre Renard prcise : Ce projet de Loi est actuellement en premire lecture lAssemble Nationale. Il na pas soulev dobjections trs importantes. On peut, dans ces conditions, imaginer que cette Loi sera adopte courant 2011. Et Matre Itanu dajouter : Internet cest linteroprabilit entre nous tous. La tendance de la jurisprudence est de nous rendre tous responsables les uns des autres. Lune des premires manifestations de cet esprit de responsabilit partage est de rendre obligatoire - lorsque des donnes caractre personnel sont conserves - la notification dune faille de scurit lorsque celle-ci est constate. Si le systme dinformation dune entreprise possde une faille qui lui est connue, et que celle-ci est susceptible de permettre lvasion de donnes caractre personnel, il y a obligation de la notifier la CNIL pour que les personnes concernes soient informes. Si cette Loi est adopte, comme le sous-entendent les avocats interrogs, il restera dfinir ses modalits d'application. Que devront prcisment notifier ou omettre les entreprises face une faille de scurit ? Toujours est-il que les juristes saccordent reconnatre que cette directive a le mrite d'obliger les entreprises mettre en place les moyens de protection rclams. La rglementation amricaine, pour sa part, indique que si les donnes voles taient chiffres, il n'est pas ncessaire de faire de notification. Nous verrons plus loin lintrt majeur pour les entreprises de chiffrer toutes leurs donnes, y compris pour les socits franaises. La protection des donnes en Europe Comme nous lavons vu, En matire de protection des donnes personnelles, la France dispose dun corpus de Lois important, en particulier la Loi de 2004 qui a rnov la Loi Informatique et Libert de 1978. Mais quen est-il de la protection des donnes dans les autres pays europens ? Chaque pays a dfini son autorit de supervision et un cadre lgislatif bas pour la plupart dentre eux sur la Directive europenne de 1995. Le niveau de protection des donnes personnelles en Europe est maintenant uniforme au plan lgislatif, mais la protection effective dpend beaucoup des autorits administratives charges du respect de la Loi. La CNIL, en France, est ainsi particulirement active commente Matre Renard. La France est probablement lun des pays du monde o la lgislation en la matire est la plus protectrice, et ce depuis le plus longtemps. Il semble toutefois, au regard des nombreuses publications europenne en matire de protection des donnes, que les anglo-saxons avec leur autorit dauto-rgulation soient les plus actifs en matire de protection des donnes et de sanctions.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

Protection des donnes et risques juridiques

III. Les risques juridiques encourus


Comme nous lavons vu dans le chapitre prcdent, un cadre juridique existe pour les entreprises. Mais quen est-il lorsque lune delle ne respecte pas les recommandations et rglementations en vigueur ? Qui est responsable ? Quelles pnalits ? La responsabilit revient au chef dentreprise Au sein de lentreprise, le responsable des donnes est son reprsentant lgal. Gnralement, cest le dirigeant de lentreprise, le mandataire social. Le non respect de la Loi Informatique et Liberts fait lobjet de sanctions financires et/ou pnales. Les sanctions pnales peuvent tre appliques lentreprise personne morale, et/ou son dirigeant, et/ou un DSI ou un RSSI uniquement qui serait titulaire dune dlgation de pouvoir prcise Matre Isabelle Renard, ce que confirme Matre Olivier Iteanu : Ce que nous constatons, cest un systme de dlgation de pouvoir au sein de lentreprise, le reprsentant lgal cherchant dlguer ses responsabilits pnales des subalternes. Cela peut tre le directeur gnral adjoint, le DSI, le RSSI. Mais cette dlgation est encore timide. Toujours est-il que le chef dentreprise doit sentourer de comptences dont la scurit des informations et la protection des donnes est le mtier. Le DSI et ou le RSSI peuvent le conseiller, lavertir, lalerter ou encore le sensibiliser, non pas par une approche technologique mais par une approche mtier. Des sanctions administratives, financires et pnales en cas de manquement Lors de manquements srieux au respect de la Loi Informatique et liberts, la CNIL a le pouvoir de prononcer des sanctions administratives ou financires (par Arrt du Conseil dEtat du 19 fvrier 2008). Dans ce cas, la CNIL se runit en formation contentieuse pour prononcer les sanctions prvues larticle 45 de la Loi. Les sanctions pnales prvues aux articles 226-16 226-24 du Code pnal peuvent aussi sappliquer, la CNIL ayant la possibilit de dnoncer au Procureur de la Rpublique les infractions la Loi dont elle a connaissance. Lorsque des manquements la Loi sont ports la connaissance de la formation contentieuse de la CNIL, celle-ci peut prononcer : Un avertissement lgard du responsable de traitement fautif, qui peut tre rendu public. Une mise en demeure lorganisme contrl de faire cesser les manquements constats dans un dlai allant de dix jours trois mois. Si le responsable de traitement se conforme la mise en demeure, la procdure s'arrte et le dossier est cltur. Si le responsable de traitement ne se conforme pas la mise en demeure de la CNIL, la formation contentieuse peut prononcer, aprs une procdure contradictoire, durant laquelle le responsable de traitement incrimin peut prsenter des observations orales : Une sanction pcuniaire (sauf pour les traitements de lEtat), dun montant maximal de 150 000!, et en cas de rcidive, jusqu 300 000 ! ; en cas de mauvaise foi, la CNIL peut ordonner linsertion de la dcision de sanction dans la presse. Une injonction de cesser le traitement.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

10

Protection des donnes et risques juridiques

Un retrait de lautorisation accorde en application de larticle 25 de la Loi. En cas durgence, linterruption de la mise en uvre du traitement, et le verrouillage des donnes pour trois mois. En cas datteinte grave et immdiate aux droits et liberts, le prsident de la CNIL peut demander, par rfr, la juridiction comptente, dordonner toute mesure de scurit ncessaire. La CNIL peut saisir le parquet qui est le seul infliger une sanction pnale : jusqu 5 ans demprisonnement. La Loi prvoit des sanctions pnales dont je nhsite pas dire quelles sont ridiculement lourdes. Cest un des problmes de cette Loi. Par exemple, un dfaut de dclaration, cest 2 ans de prison et 300 000 euros damende. Si lon appliquait cette Loi, 80 % des patrons franais seraient en prison. Il y a une disproportion importante entre la sanction et lapplication de la Loi. Les sanctions sont rarement appliques, ce qui ne les rend pas crdibles note Matre Renard ce que confirme Matre Iteanu : Lactivit pnale reste trs faible : pas plus dune vingtaine de jugements ont t rendus depuis 1978 par les Tribunaux et Cours dAppels. Le volet pnal est l pour dissuader mais il est peu appliqu. La principale sanction, cest la publication et la publicit faite autour des dcisions de la CNIL. Cela peut coter trs cher lentreprise (en particulier si celle-ci sadresse au grand public) en termes dimage et de pourcentage de chiffre daffaires perdu. En juin 2010, la formation contentieuse de la CNIL a condamn la socit JPSM pour lenvoi des particuliers de fax publicitaires non-sollicits. Cette dcision intervient aprs une sanction pour des faits identiques en 2007. Cest la premire fois que la CNIL fait usage des pouvoirs dont elle dispose pour condamner la ritration de manquements la loi Informatique et Liberts. Un cot lev pour lentreprise Quel est le cot de cette perte de donnes ? Quont pay les entreprises face leurs manquements au regard de leur lgislation respective ? Voici ce quont du payer les entreprises lorganisme de rgulation pour non respect de la Loi : 6,75 Milliards deuros Aux Etats-Unis (en hausse de 2% par rapport 2008) 2,58 Milliards deuros en Allemagne (en hausse de 7% par rapport 2008) 1,68 Milliards de livres sterling au Royaume-Uni (en baisse de 3% par rapport 2008). On se souvient le cas de cette institution financire anglaise, la Nationwide Building Society, qui a t condamne par la Financial Services Authority (FSA) verser une amende de 980 000 la suite du vol dun de ses ordinateurs portables contenant des donnes de ses clients sans protection adquate. On notera en particulier que la CNIL, le juge pnal ou la FSA, sanctionnent labsence de mesures appropries de scurit en tant que telle, sans pour autant quun tiers, mal intentionn ou non, accde aux donnes. Etre en conformit avec la Loi Que faire pour respecter la Loi ? Les entreprises doivent procder un audit des traitements de donnes personnelles dont elles sont responsables, le cas chant avec lassistance de conseils spcialiss. Elles peuvent aussi nommer un Correspondant aux Donnes Personnelles (CDP).

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

11

Protection des donnes et risques juridiques

Cet interlocuteur permet lentreprise dtre dispense des dclarations simples. Mais personne dans lentreprise nest trs chaud pour tre CDP, notamment du fait dun certain manque de clart quant son indpendance. De ce fait, il ny en a pas beaucoup souligne Matre Renard. Les entreprises peuvent galement sinformer sur le site de la CNIL. Son site Web est loutil dinformation par excellence, bien fait, bien crit, assez clair. Chaque anne, la CNIL tablit un rapport de trs bonne tenue qui permet de se tenir inform de ltat des questions et de leur volution ajoute Matre Iteanu qui constate que le respect de la Loi par les entreprises franaises est en progression, en particulier ces dernires annes du fait du pouvoir de sanction accru de la CNIL.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

12

Protection des donnes et risques juridiques

IV. Bonnes pratiques


Pour tre et rester en conformit avec le cadre juridique et les rglementations en vigueur, lentreprise doit dfinir et appliquer des processus visant renforcer la protection des donnes. Dans un premier temps, il est primordial pour lentreprise davoir une vue claire des obligations qui sappliquent son environnement. Puis, en fonction de celles-ci, elle identifie les donnes protger. Il est ensuite plus ais pour elle de mettre en uvre des plans de protection adapts sur le primtre qui a t dfini souligne Olivier Pantalo (MAJJ). Il faut rappeler que le premier reproche fait lentreprise est le manquement son obligation de moyens. Cest en somme une ngligence qui est punie par la Loi. Tous les experts, de la CNIL aux intgrateurs spcialiss en scurit informatique, proposent aux entreprises de suivre les bonnes pratiques suivantes. 1. Raliser une tude des risques Ltude des risques permet de dterminer des mesures de scurit mettre en place. Elle doit tre formalise dans un document complet. Il convient donc de prvoir un budget pour leur mise en uvre. Cette tude devra tre mise jour de manire rgulire selon les volutions du contexte et doit : Recenser les fichiers et donnes caractre personnel (ex : fichiers client, contrats...) et les traitements associs, automatiss ou non, en identifiant les supports sur lesquels reposent ces traitements : - les matriels (ex : serveur de gestion des ressources humaines, CDROM...) ; - les logiciels (ex : systme dexploitation, logiciel mtier...) ; - les canaux de communication (ex : fibre optique, Wifi, Internet...) ; - les supports papier (ex : document imprim, photocopie...). tudier les menaces qui psent sur chaque support et les hirarchiser selon leur probabilit doccurrence (vraisemblance). Exemples de menaces : vol dun PC portable, contagion par un code malveillant, saturation des canaux de communication, photocopie de documents papier...). tudier les risques : - Combiner chaque impact avec les menaces qui le concernent. - Hirarchiser les risques ainsi obtenus selon leur gravit et leur vraisemblance. Mettre en uvre des mesures de scurit Dterminer les mesures de scurit pour rduire, transfrer ou viter les risques. En fonction des moyens disponibles, il peut galement tre utile de prvoir la formation des personnes charges de raliser les tudes de risques et un audit scurit du systme dinformation. 2. Protger les postes de travail La protection des postes de travail passe par la mise en uvre de mesures pour prvenir les tentatives daccs frauduleux, lexcution de virus (ou autres malwares) ou encore la prise de contrle distance, notamment via Internet.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

13

Protection des donnes et risques juridiques

Voici quelques prcautions lmentaires : Installer un pare-feu (firewall) logiciel, et limiter les ports de communication strictement ncessaires au bon fonctionnement des applications installes sur le poste de travail. Utiliser des antivirus rgulirement mis jour (souvent de faon automatique). Chiffrer les donnes (voir plus loin). Prvoir une procdure de verrouillage automatique de session en cas de nonutilisation du poste pendant un temps donn. 3. Scuriser linformatique mobile La multiplication des ordinateurs portables, des cls USB et des smartphones rend indispensable danticiper la possible perte dinformations conscutive au vol ou la perte dun tel quipement. La prcaution lmentaire est de prvoir des moyens de chiffrement pour les espaces de stockage des matriels informatiques mobiles (ordinateur portable, priphrique de stockage amovible tels que cls USB, CD-ROM, DVD-RW, etc.). Parmi ces moyens, on peut citer : - le chiffrement du disque dur dans sa totalit au niveau matriel ; - le chiffrement du disque dur dans sa totalit un niveau logique via le systme dexploitation ; - le chiffrement fichier par fichier ; - la cration de conteneurs (fichier pouvant contenir plusieurs documents) chiffrs. En rsum Lentreprise qui souhaite renforcer la protection de ses donnes et rester en conformit avec la rglementation en vigueur doit (sur les conseils de la CNIL) : 1. Analyser les risques 2. Authentifier les utilisateurs 3. Grer les habilitations & sensibiliser les utilisateurs 4. Scuriser les postes de travail 5. Scuriser linformatique mobile 6. Sauvegarder et prvoir la continuit dactivite 7. Encadrer la maintenance 8. Tracer les accs et grer les incidents 9. Protger les locaux 10. Protger le rseau informatique interne 11. Scuriser les serveurs et les applications 12. Grer la sous-traitance 13. Archiver 14. Scuriser les changes avec dautres organismes

Le chiffrement, parfois improprement appel cryptage, est un procd cryptographique permettant de garantir la confidentialit dune information. Les mcanismes de cryptographie permettent galement dassurer lintgrit dune information, ainsi que lauthenticit dun message en le signant.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

14

Protection des donnes et risques juridiques

V. Solutions
Plusieurs solutions permettent aux entreprises de protger lensemble de leurs donnes, de contenir la perte de donnes et la fuite dinformations tout en restant en conformit avec les rglementations en cours. Leader mondial dans le domaine de la scurit informatique, Check Point Software propose aux entreprises un vaste panel de logiciels pour protger toutes les composantes du systme dinformation, de la passerelle Internet aux postes de travail. Parmi celles-ci, Endpoint Security, Full Disk Encryption / Media Encryption mais aussi Check Point Abra et ou encore la Software Blade DLP. Protger son poste de travail contre les menaces Internet Les menaces Internet se multiplient en nombre et en complexit. Nombre dentre elles ont t conues par les cyber-criminels pour drober les informations sensibles et confidentielles stockes sur le PC des collaborateurs. Check Point Endpoint Security protge les utilisateurs contre ltendue des menaces Web, empchant les logiciels malveillants daccder ou de contaminer leur poste de travail. Les utilisateurs sont entours dune bulle de scurit quand ils surfent sur le Web, qui rend le systme de protection transparent pour eux. Respectant une rgle de scurit trs simple, similaire celle dun pare-feu, tous les tlchargements autoriss peuvent tre raliss, mais pas ceux qui ne sont pas sollicits. Ceci permet aux utilisateurs de naviguer sur nimporte quel site Web et de cliquer sur nimporte quel lien sans aucune crainte. Tous les comportements inconnus ou changements non sollicits (attaque du navigateur, logiciels espions et les virus) sont dirigs vers un systme de fichiers virtualis, et seuls les contenus dsirs par lutilisateur sont tlchargs et stocks sur son poste. Par ailleurs, pour viter que les utilisateurs se retrouvent pigs sur des sites frauduleux (versions falsifies de vrais sites Web), la technologie WebCheck utilise un moteur anti-Phishing bimodal constitu la fois dune base de signatures de Phishing et dune dtection heuristique avance. Chiffrer ses donnes Oublier son ordinateur portable dans un taxi ou un train, un aroport ou un htel est trs courant. Cette perte est un prjudice important pour lentreprise qui voit dans cette disparition la mise disponibilit dautrui de donnes souvent sensibles : fichiers clients, brevets, renseignements personnels Aussi, pour viter toute utilisation frauduleuse des prcieuses informations, une seule solution : chiffrer son PC. Check Point Full Disk Encryption offre de nombreuses fonctionnalits pour chiffrer la totalit de son PC de bureau ou de son ordinateur portable : Chiffrement intgral du disque et authentification preboot Gestion de politique centrale, rcupration de cl et assistance distance Fonctionnement automatique et transparent pour l'utilisateur final Authentification performante et options de single sign-on Common Criteria EAL4, FIPS 140-2 et autres certifications cls Compatible avec les environnements Windows, Mac OS X et Linux Grce Check Point Full Disk Encryption, lordinateur protg devient inexploitable par toute personne non autorise.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

15

Protection des donnes et risques juridiques

Avec lemploi gnralis des supports mobiles (comme les cls USB) qui contiennent dsormais plusieurs giga-octets de donnes, il est aussi trs important de chiffrer ce type de priphrique avec la solution Check Point Media Encryption. Celle-ci chiffre entirement les donnes contenues de sorte quelles ne puissent tre lues et exploites que par son possesseur. En cas de perte, la cl ne peut dlivrer ses secrets Protger son environnement de travail Accder son environnement de travail (applications et fichiers dentreprises) en dplacement ou de chez soi est trs pratique pour pouvoir continuer travailler, notamment en cas de pandmie ou de conditions mtos Mais comment garantir la scurit des donnes consultes ? Check Point Abra est la solution adquate pour les entreprises qui veulent doter leurs utilisateurs nomades dun outil aussi pratique quefficace pour accder et exploiter en toute scurit les donnes du systme dinformation. Se prsentant sous la forme dune cl USB, elle fournit une connectivit scurise partir dun poste banalis et contrle toutes les oprations effectues dans cet environnement ainsi que tous les accs au systme dinformation. Un identifiant et mot de passe sont ncessaires pour dverrouiller la cl et afficher le bureau virtuel ; celui-ci donne accs aux donnes chiffres de lutilisateur stockes sur la cl mais aussi au systme dinformation de lentreprise pour lire ses emails, se connecter lintranet, accder ses fichiers, les traiter puis les stocker sur la cl USB ou encore lancer certaines tches (impression, copier/coller...) tout en empchant toute tentative dintrusion ou de rcupration de frappes clavier (keylogger) par des codes malveillants. Une fois la session termine, aucune trace (fichiers, historique) ne subsiste sur le PC hte. Abra est la solution idale pour les entreprises qui souhaitent mettre en place un plan de continuit dactivit (pour faire face, par exemple, une pidmie) ou encore donner la possibilit des partenaires de se connecter son rseau (par exemple, pour de la tierce maintenance applicative). Contenir les fuites dinformations La fuite de donnes (DLP - Data Loss Prevention) est devenue pour les entreprises un enjeu tout aussi important que la protection de ses informations. Celle-ci se produit quasi-quotidiennement via la messagerie dentreprise la suite derreurs banales : envoi par email de donnes sensibles un mauvais destinataire, ajout dune pice jointe diffrente de celle prvue... Les exemples sont hlas nombreux. Ces fuites dinformations, non intentionnelles dans 90 % des cas, peuvent toutefois causer des prjudices importants pour lentreprise Que faire alors pour endiguer ce phnomne courant ? La Software Blade DLP de Check Point dote les entreprises dun dispositif qui leur permet dassurer une protection premptive contre toute perte involontaire de donnes confidentielles. A cet effet, la lame logicielle DLP embarque un moteur de corrlation multi-donnes MultiSpect qui garantit une identification extrmement prcise des violations de donnes. Elle intgre galement la technologie UserCheck qui avertit les collaborateurs en cas de danger, par e-mail ou laide de fentres dalerte. Ceux-ci sont alors invits rsoudre le problme rapidement avant la violation effective des donnes. Cette solution contribue grandement la sensibilisation des utilisateurs et la rsolution de problmes futurs.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

16

Protection des donnes et risques juridiques

Pourquoi choisir les solutions Check Point ? Rponse en trois points Check Point leader dans la protection des donnes mobiles Depuis sa cration en 1993, Check Point Software consacre la totalit de son activit la protection du systme dinformation et des donnes. Leader dans le domaine de la scurit informatique, Check Point Software ne cesse dinnover dans le respect des standards pour garder en permanence un temps davance sur ses comptiteurs. Un savoir-faire reconnu mondialement Dans sa toute rcente tude ddie la protection des donnes mobiles, le Gartner a positionn Check Point Software comme lun des leaders de son Magic Quadrant. Selon lInstitut de recherche, Check Point est hautement reconnue par les clients et les analystes pour ltendue de sa gamme ddie la protection des donnes. La nouvelle solution Check Point Abra a galement montr la capacit de Check Point innover dans le domaine de la protection des donnes mobiles. Des solutions de scurit prouves, penses pour les utilisateurs La plupart des solutions du march ncessite une connaissance informatique importante et sollicite lutilisateur de nombreuses reprises, au dtriment de sa productivit. Plusieurs technologies mises en uvre par Check Point contribuent un usage transparent de la protection en place. Tel le mcanisme de Single-Sign-On (SSO) qui permet de sidentifier une seule fois, au dmarrage du PC. Cette mme authentification sert la fois dchiffrer le disque, dmarrer la session Windows, tablir la connexion VPN, chiffrer les donnes sur les mdias amovibles, etc. Au final, lutilisateur ne saperoit pas de ce besoin didentification. La fonctionnalit de SSO est intgre dans la solution Check Point Endpoint Security sur tous les composants dauthentification. Check Point Abra joue galement la carte de la performance et de la transparence via une authentification unique (pour dchiffrer le media et afficher le bureau virtuel) et un certificat digital qui rend transparente la connexion VPN sans ncessiter une nouvelle authentification. Lutilisateur gagne ainsi en rapidit et en confort. Pour Check Point, la scurit doit avant tout passer par lducation et la comprhension de nos clients des enjeux et des risques potentiels encourus en cas de non respect des rgles de scurit. Nous observons que certaines entreprises sont encore rticentes implmenter certaines technologies de peur dimpacter directement le poste de travail. La comprhension de ces besoins nous a amen dvelopper des solutions simples utiliser avec un agent unique End Point couvrant tous les aspects de protection. Ces solutions sont faciles implmenter et prservent lenvironnement de lutilisateur sans altrer ses performances. Elles sont galement administrables distance depuis une console de management unique ; celle-ci gre lensemble des composants, en assure le dploiement et applique les rgles de scurit en parfaite cohrence pour lensemble de lentreprise conclut souligne Michael Amselem.

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

17

Protection des donnes et risques juridiques

VI. Rfrences
La CNIL La Commission Nationale de l'Informatique et des Liberts (CNIL) a t institue par la Loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, modifie en 2004, qui la qualifie d'autorit administrative indpendante. La CNIL a pour mission essentielle de protger la vie prive et les liberts dans un monde numrique. Ses missions peuvent se rsumer en quatre mots : informer, conseiller, rguler et recenser. La commission se compose dun collge pluraliste de 17 personnalits : 4 parlementaires (2 dputs, 2 snateurs), 2 membres du Conseil conomique et social, 6 reprsentants des hautes juridictions (2 conseillers dEtat, 2 conseillers la Cour de cassation, 2 conseillers la Cour des comptes), 5 personnalits qualifies dsignes par le Conseil des ministres (3), le Prsident de lAssemble nationale (1) et le Prsident du Snat (1). La CNIL en chiffres Chaque anne : 72 000 traitements dclars 120 000 appels tlphoniques 25 000 courriers reus 5 000 plaintes ou demandes de conseil 200 contrles 13 millions d! de budget La CNIL a dit le guide La scurit des donnes personnelles lattention de tous les responsables de traitement ainsi qu toute personne disposant dun minimum de connaissances informatiques (administrateur systme, dveloppeur, responsable de la scurit des systmes dinformation, utilisateur...) et souhaitant valuer le niveau de scurit dont doit bnficier tout traitement de donnes caractre personnel. Vous pouvez vous le procurer sur le site de la CNIL : www.cnil.fr

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

18

Protection des donnes et risques juridiques

Matre Isabelle Renard Isabelle Renard a rejoint le Cabinet Racine en qualit dassoci en 2010. Avocat et Docteur Ingnieur, elle a dvelopp au cours de sa carrire une forte expertise des aspects juridiques et stratgiques des technologies de linformation, qui s'appuie sur son exprience professionnelle dans lindustrie de llectronique et des services. Elle anime une quipe ddie la protection et la dfense des actifs incorporels des entreprises, qui couvrent tant au conseil quau contentieux les domaines de comptence suivants : Les contrats industriels, commerciaux et informatiques Le droit de la proprit intellectuelle (logiciels et actifs immatriels de lentreprise). Les contentieux de brevets La scurit Informatique, la dmatrialisation des changes et larchivage numrique. La protection des donnes personnelles Le droit de lInternet Lintressement des salaris leurs crations et inventions. Expert IFEJI (Institut Franais dexperts juridiques internationaux) et membre de la FEDISA (Fdration ILM, stockage, Archivage), Isabelle Renard exerce en outre une importante activit denseignement et est lauteur douvrages et de nombreux articles dans la presse spcialise et gnrale. Elle est membre du conseil d'administration de l'AFAI (Association Franaise des auditeurs informatiques) et de FEDISA. www.racine.eu Matre Olivier Iteanu Matre Olivier ITEANU est Avocat la Cour d'Appel de Paris depuis Dcembre 1988. Il est galement charg denseignement lUniversit de Paris XI (Facult Jean Monet), dans les Master 2 (DESS) du droit du numrique, du droit des activits spatiales et des tlcommunications, de la gestion de linformation ainsi qu lUniversit de Paris I Sorbonne dans le Master droit de ladministration lectronique. Il est le fondateur et dirigeant de la socit d'Avocats, la Selarl ITEANU. Olivier Iteanu est lauteur de nombreux ouvrages dont Internet et le droit aspects juridiques du commerce lectronique (premier ouvrage de droit franais traitant de l'Internet paru aux Editions Eyrolles en Avril 1996) ainsi que Tous cybercriminels paru aux ditions Jacques-Marie LAFFONT EDITION en Avril 2004 et de L'identit numrique en question (Editions Eyrolles Mars 2008). Il est responsable du module de formation droit de linformatique de lcole Franaise des Barreaux Paris pour la formation des Avocats stagiaires et ralise des interventions dans le cadre du module Nouvelles Technologies et Droit devant les auditeurs de Justice de l'cole Nationale de la Magistrature Bordeaux ainsi que devant les magistrats en formation permanente Paris. Olivier Iteanu dispense des formations sur les contrats informatiques pour le Groupe LAMY, sur les aspects juridiques d'Internet pour EFE et sur la scurit informatique auprs des professionnels pour le Groupe RISC TECHNOLOGY. www.iteanu.com

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

19

Protection des donnes et risques juridiques

MAJJ Expert en scurit de linformation, MAJJ accompagne les entreprises dans l'intgration et le dploiement de solutions valeur ajoute afin de rpondre aux exigences des normes telles que PCI DSS ou encore ISO2700X. Prsent sur tous les secteurs dactivits, MAJJ apporte ses clients son expertise ainsi que des solutions cls en main pour rpondre aux contraintes normatives et rglementaires, et ce, travers deux offres : Dploiement et Intgration Etude, Ingnierie et expertise Mise en uvre de solutions Transfert de comptences Services Manags Support aux utilisateurs Exploitation & Administration Hotline et traitement des incidents Les principaux atouts de MAJJ sont son expertise en matire de scurit et de conformit, sa souplesse et sa ractivit (service sur mesure dans des dlais trs brefs) ainsi quune grande connaissance des environnements informatiques complexes. www.majj.fr

Ressources / Livres Blancs Livre Blanc sur le DLP : http://france.checkpoint.com/uploads/white-papers/dlp-whitepaper-fr.pdf Livre Blanc sur Check Point Abra : http://france.checkpoint.com/index.php?page=abra_form

softwareBlades

2011 Check Point Software Technologies Ltd. All rights reserved. Classification : [Unrestricted] - For everyone

20

About Check Point Software Technologies Ltd.


Check Point Software Technologies Ltd. (www.checkpoint.com), worldwide leader in securing the Internet, is the only vendor to deliver Total Security for networks, data and endpoints, unified under a single management framework. Check Point provides customers uncompromised protection against all types of threats, reduces security complexity and lowers total cost of ownership. Check Point first pioneered the industry with FireWall-1 and its patented Stateful Inspection technology. Today, Check Point continues to innovate with the development of the software blade architecture. The dynamic software blade architecture delivers secure, flexible and simple solutions that can be fully customized to meet the exact security needs of any organization or environment. Check Point customers include tens of thousands of businesses and organizations of all sizes including all Fortune 100 companies. Check Point award-winning ZoneAlarm solutions protect millions of consumers from hackers, spyware and identity theft.

CHECK POINT OFFICES


Worldwide Headquarters 5 HaSolelim Street Tel Aviv 67897, Israel Tel: 972-3-753 4555 Fax: 972-3-624-1100 email: info@checkpoint.com U.S. Headquarters 800 Bridge Parkway Redwood City, CA 94065 Tel: 800-429-4391 ; 650-628-2000 Fax: 650-654-4233 URL: http://www.checkpoint.com

20032011 Check Point Software Technologies Ltd. All rights reserved. Check Point, Abra, AlertAdvisor, Application Intelligence, Check Point DLP Check Point Endpoint Security, Check Point Endpoint Security On Demand, the Check Point logo, Check Point Full Disk Encryption, Check Point Horizon Manager, Check Point Media Encryption, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R70, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DLP-1, DynamicID, Endpoint Connect VPN Client, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, Software Blade, IQ Engine, MailSafe, the More, better, Simpler Security logo, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@ Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, , SiteManager-1, Smart-1, SmartCenter, , SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SofaWare, Software Blade architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, 7,165,076, 7,540,013 and 7,725,737 and may be protected by other U.S. Patents, foreign patents, or pending applications. Janvier 2010