Rechercher
Fermez ce champ de recherche.
Signer
Signer
Retour aux actualités

IP Enforcement and Cybersecurity – Rapport GDE 23

"Des conférenciers d'Europe, d'Israël et de l'OMPI (Australie/Royaume-Uni et Suisse) ont fourni une image mondiale de l'avenir de la propriété intellectuelle et de la cybersécurité, y compris la réinvention de la propriété intellectuelle dans ce domaine en faveur à la fois des entreprises équitables et des consommateurs/société"
  • Rapport GDE, Rencontres numériques mondiales, Nouvelles et mises à jour, Actualités, Propriété intellectuelle, Résumés et propositions Fide

Date : 13 décembre 2022

Orateurs :

  • voie Richard, chef de la sécurité de l'Organisation Mondiale de la Propriété Intellectuelle (OMPI).
  • Professeur Tal Zarsky, doyen et professeur de droit à la faculté de droit de l'Université de Haïfa.

Modérateur:

  • Professeur Manuel Desantes, professeur de droit à l'Université d'Alicante.

Objectifs de la séance :

Avant, pendant et après la crise du COVID, l'interaction complexe entre les questions de propriété intellectuelle (PI) et de cybersécurité s'est progressivement développée : quelles stratégies de cybersécurité et quels modèles commerciaux sont protégés au sein de la PI ? Quelle cybersécurité pour IP ? Comment devons-nous protéger les actifs de propriété intellectuelle contre les failles de cybersécurité ? Quelle est la relation entre la cybersécurité et l'OMPI, et pourquoi cela peut-il être important pour l'OMPI ? Pourquoi la cybersécurité est-elle essentielle pour les entreprises IP innovantes ? Comment la propriété intellectuelle est-elle liée à la confidentialité et à d'autres domaines connexes tout en tenant compte des problèmes de cybersécurité ? De nouveaux modèles sont en cours de développement et ont un besoin urgent de clarté quant à leur interaction avec la propriété intellectuelle classique. Des conférenciers d'Europe, d'Israël et de l'OMPI (Australie/Royaume-Uni et Suisse) ont fourni une image mondiale de l'avenir de la propriété intellectuelle et de la cybersécurité, y compris la réinvention de la propriété intellectuelle dans ce domaine en faveur à la fois des entreprises équitables et des consommateurs/société.

Pr Laurent Manderieux a estimé que la cybersécurité, sujet clé pour la communauté internationale, doit être davantage mise en relation avec le développement de la propriété intellectuelle. J'ai souligné les prochains sujets de la discussion, y compris aborder les questions liées à la cybersécurité et comment protéger la propriété intellectuelle contre les violations ; Pourquoi la cybersécurité peut-elle être importante pour l'Organisation Mondiale de la Propriété Intellectuelle ? Et comment cela se rapporte-t-il aux problèmes de propriété intellectuelle et de protection des données en général ?

Prof Javier Fernandez Lasquetty a souligné que la cybersécurité fait partie, ou devrait faire partie de nos vies, afin de protéger les actifs de propriété intellectuelle et les secrets commerciaux. J'ai ouvert la discussion pour le modérateur et les panélistes.

Professeur Manuel Desantes a jeté les bases en soulevant la question d'un équilibre approprié dans la relation entre la cybersécurité et la propriété intellectuelle.

Question 1 : Quelle est la relation entre la cybersécurité et l'OMPI ? Pourquoi est-ce important pour l'OMPI?

Selon M Richard Lane, cette relation est fondamentale pour le fonctionnement de l'organisation. L'OMPI est le dépositaire des données des clients, qu'il s'agisse, par exemple, de brevets, de dessins industriels ou de toute autre information concernant les dépôts de propriété intellectuelle. L'accent est mis sur la protection des informations. L'impact d'un incident pourrait être catastrophique, selon l'incident. L'OMPI a identifié le risque lié à la cybersécurité comme le principal risque pour l'Organisation. Si nous ne protégeons pas adéquatement les informations qui nous sont confiées, un incident de cybersécurité pourrait avoir des conséquences catastrophiques pour l'OMPI, mais aussi pour les inventeurs, les entreprises et les autres parties prenantes qui lui font confiance.

Professeur Tal Zarsky a ajouté qu'une initiative mondiale était nécessaire. En tant qu'organisation internationale, l'OMPI peut apporter des connaissances et de l'expertise. L'OMPI dispose d'un vaste inventaire d'informations (publiques, privées et personnelles). En ce qui concerne les organisations internationales telles que l'ICANN, il devrait y avoir un débat sur la quantité d'informations qui devrait être gardée secrète ou ouverte au public, ou peut-être seulement dans sa mesure essentielle, car un excès d'informations pourrait, par exemple, fonctionner comme un catalyseur pour d'autres cyberattaques. Chaque équilibre de chaque institution est unique et conduit à des questions intéressantes sur la politique de l'OMPI.

M Richard Lane a répondu que l'OMPI est régie par des traités internationaux de propriété intellectuelle tels que le Protocole relatif à l'Arrangement de Madrid concernant l'enregistrement international des marques et le Traité de coopération en matière de brevets (PCT), où le niveau de protection, quelles données sont conservées et pour combien de temps est établi. Dans ce contexte, l'OMPI ne peut décider seule de ces aspects; au contraire, l'OMPI doit respecter les traités.

Question 2 : Qu'en est-il des entreprises IP innovantes ? La cybersécurité est-elle devenue un problème pour eux aussi ?

Pour répondre à cette question, Professeur Tal Zarsky a fait valoir qu'il est nécessaire de se demander quel est l'environnement nécessaire pour avoir une société innovante réussie ? La confidentialité et la sécurité des données sont essentielles. Si les opérateurs sont soumis à des atteintes à la vie privée ou à la sécurité, cela aura clairement un impact sur l'innovation. Par exemple, les attaques peuvent mettre différents opérateurs sous surveillance et potentiellement provoquer des moqueries qui peuvent entraver l'innovation. Les hacks à coût nul ont le potentiel de diminuer les initiatives d'innovation. Cela dit, il devrait y avoir une corrélation entre l'innovation et la cybersécurité. Les entités intéressées par l'innovation devraient également s'intéresser à la cybersécurité pour promouvoir un environnement sécurisé.

M Richard Lane ont répondu en déclarant que la sécurité est un catalyseur pour l'innovation et les affaires. La mentalité des divisions de sécurité concernant la cybersécurité a changé au fil des ans pour devenir des conseillers de confiance pour les innovateurs qui aident à protéger l'entreprise contre le risque d'exposition et d'autres menaces à l'innovation. La cybersécurité ne doit pas être considérée comme un obstacle, mais comme un catalyseur de protection.

Question 3 : La cybersécurité a gagné en importance. Comment protéger les actifs IP contre les failles de cybersécurité ?

M Richard Lane a déclaré qu'il n'y a pas de solution miracle pour tout sécuriser. La principale réponse est : cela dépend de l'environnement, de la législation applicable, de l'industrie dans laquelle se trouve une entreprise, du paysage des menaces… Par exemple, la principale menace de la recherche pharmaceutique est l'espionnage industriel. Il n'y a pas de solution unique.

La clé, ce sont les utilisateurs finaux, puisque l'équipe (d'individus) est la première ligne de défense. On pourrait dire que la sécurité est aussi forte que le maillon le plus faible et que les utilisateurs sont le maillon le plus faible, mais s'ils sont vraiment le maillon le plus faible, nous, en tant que professionnels de la cybersécurité, leur faisons défaut en ne fournissant pas à ces utilisateurs les outils appropriés pour identifier, comprendre et gérer les cyber-risques. Une entreprise peut mettre en place des pare-feux, des politiques de réponse aux incidents, d'autres politiques de centaines de pages ; Cependant, si les utilisateurs finaux ne savent pas comment se comporter de manière sécurisée, les pare-feux de sécurité, la gestion des réponses aux incidents ou d'autres politiques deviendraient inutiles.

Lors de la construction d'une structure de sécurité, on peut également considérer qu'établir trop de sécurité peut être un tueur. Dans le paysage des menaces, l'un des plus importants est le ransomware. Dans le cas de l'OMPI, si les actifs sont détenus contre rançon puis publiés, l'atteinte à la réputation de l'OMPI serait existentielle et tous les inventeurs ou parties prenantes seraient également lésés, par exemple, par une divulgation antérieure d'informations protégées.

Professeur Tal Zarsky s'interroge sur le rôle de la régulation. Le règlement (UE) 2016/679 sur la protection des données à caractère personnel (règlement général sur la protection des données) promeut la cybersécurité dans l'UE de différentes manières. L'une consiste à établir des normes de cybersécurité, car il est obligatoire de mettre en œuvre des normes de sécurité de pointe. Si une entreprise ne met pas en œuvre les normes de sécurité appropriées et qu'il y a une violation de données, une entreprise peut être passible d'une amende. Le deuxième aspect est le concept de notification de violation, qui ne s'applique pas uniquement au droit de la vie privée. Dans quelle mesure cela est-il utile pour promouvoir des incitations à protéger la propriété intellectuelle ? La perspective de signaler les violations peut intimider un créateur ou un innovateur qui sera incité à mettre en place des mesures de cybersécurité.

En ce qui concerne la réaction au ransomware, il existe un risque substantiel. Toute entreprise peut être exclue de ses propres systèmes. Mon conseil serait de ne pas tout laisser entre les mains des avocats, des experts en sécurité ou de la seule direction. Les personnes traitant de la propriété intellectuelle doivent être impliquées dans cette réaction à une attaque. Comment répondre ? Apporter un aperçu en temps réel des personnes IP. Leurs avis sont importants pour évaluer la valeur réelle des actifs.

M Richard Lane convenu affirmant que l'association de toutes les parties prenantes est essentielle. Il conseillerait de s'engager également avec des entreprises externes. Ne vous contentez pas de payer. Plus de 65% des personnes qui ont payé au cours des douze derniers mois font l'objet d'une autre attaque. Ils peuvent être considérés comme une cible de vache à lait.

Question 4 : Abordons maintenant la question à l'envers. Comment la propriété intellectuelle peut-elle protéger les entreprises innovantes et la cybersécurité ?

Professeur Tal Zarsky maintenu que la cybersécurité a des caractéristiques très spécifiques en tant que domaine, évolue rapidement et que les gens ont des compétences spécifiques. Pour ces raisons, les outils classiques de promotion de la propriété intellectuelle tels que les brevets, les marques ou le droit d'auteur ne sont peut-être pas les mieux adaptés. D'autres outils tels que les secrets commerciaux peuvent jouer un rôle plus important, car ils peuvent protéger des aspects essentiels pour les entreprises innovantes et la cybersécurité. 

Pour M Richard Lane, il y a un manque d'agilité dans certains outils liés aux droits d'auteur, aux brevets ou aux dessins (par exemple, l'enregistrement à La Haye pour les dessins et modèles industriels). Il pourrait être intéressant d'en discuter davantage dans une autre occasion.

Question 5 : Abordons maintenant l'éléphant dans la pièce : la vie privée. Quel est le lien entre la propriété intellectuelle et la confidentialité dans le domaine de la cybersécurité ? Y a-t-il des conflits potentiels entre la cybersécurité et la vie privée ?

M Richard Lane a répondu en déclarant qu'en tant que délégué à la protection des données pour l'OMPI, il ne voit pas la confidentialité et la cybersécurité être en conflit. Les contrôles de sécurité sont là pour protéger les informations. Les lois sur la propriété intellectuelle sont plus contradictoires, car il existe des concepts à prendre en compte tels que la publication et la conservation des données. Les exigences de publication peuvent entrer en conflit avec le droit à l'oubli. D'autre part, le droit à la portabilité peut être géré facilement. Dans tous les cas, cela peut faciliter le recours à d'autres autorités. Comment concilier cela avec le règlement général sur la protection des données est une belle question qui mérite peut-être une discussion plus approfondie.

Professeur Tal Zarsky a ajouté que le droit à l'oubli du règlement général sur la protection des données contient des exemptions et des dérogations. Il est possible que de telles dérogations s'appliquent même dans ce contexte.

Cela dit, il existe d'autres tensions car l'intégrité des bases de données peut nécessiter des changements et l'OMPI se trouve dans une position intéressante. L'OMPI est dans une zone grise concernant le règlement général sur la protection des données, comme la Croix-Rouge. Ce sont des organisations qui doivent promouvoir la justice et les droits humains. Ils doivent trouver le bon équilibre et miser davantage sur l'intégrité des données, même au prix de compromettre la protection des données des individus.

Il existe un exemple récent de l'autorité irlandaise de protection des données sur l'affaire Instagram, permettant la collecte de données personnelles auprès d'enfants. Cette collecte a permis une violation de la sécurité des données car Meta a manqué à son devoir de respect de la vie privée dès la conception. Cet exemple montre comment, dans de nombreux cas, la confidentialité et la sécurité des données sont alignées.

Il y a aussi des conflits possibles le long du droit d'avoir accès à une base de données. Il s'agit d'un droit fondamental dans le cadre de la protection des données, qui constitue également une violation potentielle de la cybersécurité. Par exemple, plus il est difficile d'y accéder, plus il est sécurisé, mais cela peut également compromettre la confidentialité.

Question 6 : Une question du public : A propos du cas de Colonial Pipeline. Ils ont subi une cyberattaque et ils ont payé la rançon, en raison du moment et de l'urgence. Quel aurait été votre conseil ?

M Richard Lane ont exprimé qu'il existe différents problèmes avec le paiement d'une rançon, comme le fait que les attaquants peuvent conserver une copie du contenu. Cela dépend du contexte spécifique et d'un ad hoc une analyse doit être menée pour savoir s'il faut payer ou non. À l'ONU en général, la politique est de ne pas payer de rançon. 

Professeur Tal Zarsky a rappelé qu'il était intéressant de se rendre compte que dans le cas mentionné, Colonial Pipeline avait payé mais, comme il coopérait avec le Federal Bureau of Investigation (FBI), le FBI a pu suivre l'argent et récupérer une partie du montant. Ici, la clé était de travailler avec une entité gouvernementale. Dans tous les cas, l'aspect le plus important pour lutter contre les rançons est de renforcer la coopération mondiale.

Question 7 : Une question du public : De plus en plus de startups s'appuient désormais sur les secrets commerciaux. Évidemment une fois volés, ils ne sont plus secrets. Quelles seraient les alternatives ou recommandations que vous feriez aux startups pour lutter contre ce risque de cybersécurité ?

M Richard Lane a considéré que de nombreuses entreprises, en particulier les startups, ont des difficultés à gagner du terrain pour pouvoir mettre en œuvre des systèmes de cybersécurité robustes. Certains des aspects les plus pertinents consistent à garantir que les données sont cryptées et que les clés sont conservées en toute sécurité. Il recommanderait, en particulier aux startups, d'évaluer s'il convient de tirer parti des fournisseurs de cloud, car ils investissent normalement de grosses sommes d'argent dans la cybersécurité et peuvent être à un stade plus avancé que les startups. 

Professeur Tal Zarsky a ajouté que si l'on examine la confidentialité et la protection des données, certaines informations peuvent être extraites de la minimisation des données, ce qui signifie que seules les données strictement nécessaires sont partagées ou conservées. De plus, les fournisseurs de cloud sont davantage incités à disposer de systèmes cyber-sécurisés. Cependant, il a été récemment découvert que la plupart des problèmes de cybersécurité dans l'environnement cloud proviennent d'erreurs dans la configuration difficile de la phase d'intégration. Par conséquent, il est également très important de prêter attention dans la dernière partie à ce que le système soit opérationnel.

M Richard Lane a fait valoir que la formation d'experts en technologie est essentielle pour disposer d'un environnement sécurisé, car la plupart des failles médiatisées dans le Cloud sont attribuées à des erreurs humaines telles qu'une mauvaise configuration. De plus, si certaines startups n'ont pas les ressources pour embaucher un solide groupe d'experts en technologie, les fournisseurs de cloud ont également des ressources à la disposition de leurs clients.

Question 8 : Une question de l'auditoire : Quelle est votre opinion sur la proposition de la SEC américaine de nouvelles règles sur la gouvernance de la cybersécurité et la divulgation des incidents ? Voyez-vous cela comme une tendance parmi les régulateurs du monde entier ?

Professeur Tal Zarsky a répondu que nous voyons comme une tendance est la notification de violation. La notification de violation est-elle une bonne politique ? Cela dépend de l'objectif de l'établissement des notifications de violation. Son sentiment est que le but de la notification d'infraction à la SEC des États-Unis est un ex ante outil pour inciter les entités à prendre des mesures supplémentaires de sécurité des données parce qu'elles craignent les répercussions de la violation. Cependant, une violation peut parfois résulter d'une action de l'État-nation et, par conséquent, la sanction de l'entité qui fait l'objet de la violation est trop excessive, ce qui peut rendre nécessaire l'établissement de certaines exceptions à cette obligation. 

M Richard Lane partagé que c'est définitivement une tendance. L'un des principaux risques pour les organisations est le risque lié à la chaîne d'approvisionnement ou le risque lié aux fournisseurs tiers. L'OMPI a reçu des notifications de violation dans un passé récent, et elles constituent un outil très utile pour les destinataires de la notification pour commencer à évaluer ce qui s'est passé afin d'éviter les effets secondaires et les dommages collatéraux. Dans tous les cas, les notifications de violation sont un aspect positif et les organisations devraient l'adopter au moins comme une bonne pratique.

Le professeur Manuel Desantes (modérateur) a demandé une conclusion rapide sur ce sujet aux panélistes.

M Richard Lane a déclaré que la cybersécurité est un catalyseur, ce n'est pas le bloqueur qu'elle était. Il est important de collaborer avec les équipes de sécurité et de technologie pour avoir un environnement sûr. De plus, n'ayez pas peur de demander de l'aide.

Professeur Tal Zarsky a conclu que dans un avenir proche, nous verrons comment la propriété intellectuelle peut promouvoir la cybersécurité, et observons qu'il y aura plus de cybersécurité dans les départements de propriété intellectuelle et plus d'innovation dans ce domaine dans les années à venir.

Pr Laurent Manderieux a fourni des conclusions finales, concluant et félicitant les participants.

Rapport rédigé pour les Global Digital Encounters par Rubén CANO PEREZ et Francisco Javier LOPEZ GUZMAN

Si l'article vous a intéressé,

Nous vous invitons à le partager sur les réseaux sociaux

Twitter
LinkedIn
Facebook
Email
WhatsApp

Laisser un commentaire

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.

Retour aux actualités

En savoir plus sur la Fundacion Fide

Abonnez-vous maintenant pour continuer la lecture et accéder aux archives complètes.

Continuer la lecture

Contact

Remplissez le formulaire et une personne de notre équipe vous contactera sous peu.

Facebook Twitter Youtube