Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE
2
Point de vue d’un opérateur de jeu en ligne ................................................. 24
Angelika KOLLER ............................................................................................................. 24
Air Force lutte en équipe contre les failles de sécurité ................................. 36
Willet ADOFO ................................................................................................................. 36
Le protocole d’alerte Zataz ........................................................................... 36
Damien BANCAL .............................................................................................................. 36
Une loi pour réguler le marché des jeux en ligne .......................................... 72
François TRUCY .............................................................................................................. 72
Bénéfices et risques des échanges de données pour les patients ................. 90
Christian SAOUT ............................................................................................................. 90
Web 2.0, web 3.0, web2, Internet des objets : quel est l’avenir du net ? 93
Modérateur : Jean-Paul Pinte ............................................................................................ 93
Inculquer une culture technique pour une meilleure utilisation d’Internet .. 94
Cyberinfiltration ........................................................................................97
Modérateur : Sylvia BREGER ............................................................................................. 97
Clôture ....................................................................................................111
Général d'armée Marc WATIN-AUGOUARD ........................................................................ 111
Sigles .......................................................................................................112
Annexes...................................................................................................114
Intervention du Général d'armée Roland GILLES, Directeur général de la
Gendarmerie – Forum cybercriminalite – 01/04/2010 ............................... 114
Pierre de SAINTIGNON
Premier adjoint au maire de Lille – Vice-président du conseil régional du Nord – Pas de Calais
Accueillir le Forum international sur la cybercriminalité (FIC) à Lille est une grande fierté pour
notre ville, qui veut être une pionnière au cœur de la révolution des moyens de
communication. Notre ville est au centre d’un carrefour européen et elle s’impose en tant que
capitale de l’Europe du Nord. Aujourd’hui, la protection des données informatiques et la
lutte contre la cybercriminalité sont des impératifs catégoriques. Ce sont par ailleurs les
fondements mêmes de ce forum. Face à des menaces qui ignorent les frontières, seule une
approche globale permettra de lutter contre la cybercriminalité. Il s’agit à la fois de renforcer
la coopération internationale, mais aussi de donner de l’importance aux acteurs locaux, aux
collectivités locales. En effet, ces dernières sont très attentives à la protection du droit du
citoyen. Le FIC, car il est un outil de sensibilisation et d’information sur les dangers de la
cybercriminalité, permet l’échange de bonnes pratiques. Il doit cependant trouver son
prolongement dans notre quotidien ; c’est pourquoi je propose de développer, à
EuraTechnologies, un cyber pôle d’excellence de lutte contre la criminalité numérique.
Faisons-en le symbole d’une lutte contre les atteintes aux libertés qui se profilent derrière la
cybercriminalité.
Stefaan de CLERCK
Ministre belge de la Justice, Président de l'Eurométropole Lille-Kortrijk-Tournai
Aujourd’hui, le monde virtuel se développe à une vitesse phénoménale, en nous proposant des
outils qui auraient pu sembler inconcevables il y a à peine dix ans. Le Web, cet espace de
libertés illimité, est dans le même temps devenu un nouvel espace pour la criminalité. A
l’échelle internationale, les nombreux délits de la cybercriminalité – escroquerie
organisée, attaques contre des réseaux, pédopornographie, etc. – génèrent un chiffre
d’affaires supérieur à celui du trafic de drogue 1.
Dans une société où la protection des systèmes d’information est essentielle, tous les
acteurs doivent faire preuve de vigilance. Les utilisateurs – particuliers ou dans les
entreprises – peuvent utiliser des copies de logiciels illégales ou sont parfois imprudents lors
du partage d’informations personnelles. Il est impératif de lancer une campagne d’information
massive pour permettre plus de sécurité. Par ailleurs, il est nécessaire de fournir un cadre à la
justice et à la police, dont les évolutions sont plus lentes que celles du cyberespace.
1
Europol évalue les pertes liées à la cybercriminalité à 700 milliards d'Euros par an (source Europol).
Organisé autour de trois actions – échange de bonnes pratiques, recherches académiques et
formations des services de police et de magistrature –, ce centre sollicitera évidemment la
volonté transfrontalière pour lutter contre une criminalité qui ne connaît aucune frontière.
Il me semble aussi qu’il faut empêcher l’instauration d’une frontière entre un Etat responsable
d’une part et un citoyen irresponsable d’autre part. Dans ce contexte, l’Etat doit être un
promoteur équitable de la sécurité de tous et le citoyen le promoteur de sa liberté propre.
Ce forum sur la cybercriminalité entend chasser la vision angélique d’un certain monde
économique. Elle consisterait à dire que les territoires économiques jouissent d’une sécurité
immanente et que les stratégies classiques de sécurité continueront à s’appliquer sans subir la
révolution numérique.
Jean-Michel BERARD
Préfet de la région Nord-Pas de Calais, Préfet du Nord, Préfet de la zone de défense Nord
Les réseaux numériques forment un vecteur à la puissance jamais atteinte. Or, nous assistons
à l’émergence de nombreuses formes de délinquance, qui se jouent des frontières et des
réglementations. Enjeu fondamental pour la sécurité nationale, les technologies de
l’information doivent être protégées et maîtrisées.
Nous devons inventer une législation adaptée et efficace, pour bloquer les sites à caractère
pédopornographique. D’un point de vue moral, nous devons répondre à la violence de
ces sites, qui cachent la criminalité, la prostitution infantile et les viols. Ainsi, la loi Lopsi
autorise le blocage de l’accès aux sites hébergés en France. Il ne s’agit pas de restreindre
l’accès des citoyens au Web ; nous œuvrons pour qu’Internet ne devienne pas une zone de
non-droit.
En outre, l’avènement des réseaux sociaux nous invite à mettre en place des dispositions en ce
qui concerne l’usurpation d’identité. En effet, si ce délit n’est réprimé qu’en cas de préjudice
financier, il faudra demain qu’il le soit au titre du préjudice moral.
La cybercriminalité dépasse les frontières et touche des domaines extrêmement variées (trafic
de drogue, contrefaçon, pédopornographie...). Face à ce défi, l'Europe dispose d'outils de lutte
efficaces: Europol et Eurojust. Mais il faut développer une harmonisation des réglementations
qui dépasse l'échelle européenne. La cybercriminalité augmente ainsi tout particulièrement en
Afrique.
Rob WAINWRIGHT
Directeur, Europol - La Haye (Pays-Bas)
Cette nouvelle criminalité, complexe et d’une ampleur sans précédent, impose que les acteurs
internationaux s’associent. Europol aide les pays européens à s’organiser, notamment en
rassemblant des informations sur une plateforme partagée et en coordonnant des
actions transfrontalières. L’Union européenne (UE) peut en effet compter sur quelque
2 millions d’unités de répression.
Dans notre économie numérique mondialisée, de nouvelles activités telles que le phishing – ou
hameçonnage – seraient responsables d’un manque à gagner de 700 milliards d’euros par
an. Le nombre d’ordinateurs piratés chaque jour est évalué à 150 000 ; ils permettent de
commettre des délits ou de propager des virus et des codes malicieux. L’Internet mobile, qui
n’a de cesse de se développer, entraîne davantage de fragilité ; il sera manifestement la
prochaine cible des cybercriminels.
Nos ambitions à cinq ans sont de renforcer nos capacités de lutte contre la cybercriminalité, de
toujours mieux partager le renseignement, d’améliorer la collaboration avec le secteur
privé et les universités et de développer une meilleure appréhension de cette
menace pour la société toute entière.
Gérard LOUBENS
Représentant de la France à Eurojust - La Haye (Pays-Bas)
Eurojust, créée en 2002, est une unité de coopération judiciaire européenne. Cette instance,
installée à La Haye, regroupe 27 membres nationaux, qui sont autant de magistrats du parquet
auxquels il faut ajouter 200 autres membres du personnel. Notre budget s’élève à 30,1 millions
d’euros et nos partenaires sont divers : ministères, magistrats de liaison, Europol, juridictions
nationales, réseau judiciaire européen…
Eurojust instruit les dossiers qui lui sont confiés, organise des réunions de coordination,
participe à des réflexions au travers de college teams et alimente les fichiers d’Europol (comme
Cyborg, relatif à la cybercriminalité).
Le dossier Rimonabant
Le dossier Rimonabant concerne des médicaments contrefaits vendus sur Internet. Fin
2005, Sanofi-Aventis dépose une plainte pour le vol de la molécule du rimonabant. Cette
dernière, qui lutte contre l’obésité, entraîne d’importants effets secondaires. Le laboratoire
retrouve son produit sur des sites Internet étrangers ; il s’agit de la même molécule, si ce n’est
que la prescription est de 40 mg, soit le double de la dose maximale journalière prescriptible.
Suite à cette plainte, une enquête a été ouverte pour contrefaçon de marque, de brevets et
pour vol… Ensuite, les magistrats instructeurs en charge du dossier ont sollicité Eurojust, ce
qui a abouti à une réunion de niveau 3 à La Haye. Suite aux décisions qui y ont été prises,
quatre opérations de police ont été effectuées simultanément dans quatre pays. Deux
ressortissants suédois qui organisaient le trafic ont été arrêtés.
Le cas Koala
Le cas Koala concerne une affaire de pédopornographie, qui débute en juillet 2006 lorsque
la police australienne découvre une vidéo de viol infantile. Les services de police constatent
qu’elle provient de Belgique, raison pour laquelle Interpol Belgique est saisi. L’auteur et ses
deux victimes – de 9 et 11 ans – sont identifiés. Le réalisateur possède un studio en Ukraine et
alimente un site Internet qui propose 1 million de photos et de vidéos à 2 500 clients.
L’enquête a permis de déterminer que 19 pays, dont 16 européens, étaient concernés. Quatre
réunions de coordination ont été nécessaires à Eurojust pour examiner les éventuelles
différences juridiques concernant l’âge sexuel ou la législation sur le téléchargement. L’action
d’Eurojust a conduit à l’arrestation de 25 personnes.
Le nombre de dossiers qui nous ont été confiés a rapidement évolué, pour passer de 202
dossiers en 2002 à 1 372 pour l’année 2009. La lutte contre la cybercriminalité reste une des
priorités opérationnelles d’Eurojust.
Alexander SEGER
Head of Economic Crime Division, Directorate General of Human Rights and Legal Affairs, Conseil de
l'Europe - Strasbourg (France)
Cet accord a déclenché une tendance dans le sens d’une harmonisation des législations. Par
exemple, le Sénégal et l’Inde ont adopté une législation conciliable avec la Convention de
Budapest. Ainsi, nous pouvons légitimement affirmer qu’un pays qui souhaiterait se doter
d’une législation en la matière peut s’inspirer de cette convention.
Les Nations Unies proposent en ce moment l’élaboration d’une nouvelle convention au sujet de
la cybercriminalité. Je crains donc que la Convention de Budapest ne souffre d’une telle
concurrence.
Au niveau européen, nous avons progressé dans le sens de la coopération, alors qu’une telle
action semblait inconcevable il y a encore cinq ans. A cet égard, Europol et Eurojust sont des
outils importants pour enquêter sur la cybercriminalité et pour former tous les acteurs.
A l’avenir, un consensus de base entre les différents partenaires clés permettra un progrès.
Notre but n’est pas de réduire les normes, mais bien de les harmoniser dans le
monde entier.
Dr Mohamed CHAWKI
Magistrat au Conseil d'état d'Egypte, Président de l'Association internationale de lutte contre la
cybercriminalité, Chercheur à l'ISPEC de l'Université d'Aix-Marseille III et au CEDEJ (CNRS/MAEE) –
Le Caire (Egypte)
La situation de la cybercriminalité africaine est tout à fait particulière. Alors que le premier
pays africain utilisateur de l’Internet, l’Egypte, ne compte que 12,5 millions d’internautes, un
rapport du FBI identifie trois pays africains parmi les dix premiers vecteurs de la
cybercriminalité – le Nigeria est en troisième position derrière les Etats-Unis et la Grande-
Bretagne.
Il est important de lutter contre la cybercriminalité en Afrique, parce que les fournisseurs
d’accès ne sont soumis à aucune responsabilité morale, que le continent africain manque
d’experts dans ce domaine et qu’aucune législation spécifique n’existe.
Les manifestations de cette criminalité numérique sont de natures différentes. Par exemple, la
fraude 419 – dont le numéro correspond à celui de l’article du code pénal nigérian – ou
« arnaque à la nigériane » utilise l’e-mail pour prof iter de la crédulité d’un internaute et lui
soutirer de l’argent 2. On retrouve aussi le phishing, qui entend obtenir un numéro bancaire par
mail, ou encore le vol d’identité.
En revanche, sur les 52 pays africains, seulement 9 sont soumis à une législation
spécifique, notamment la Zambie, l’Algérie, le Nigeria et le Kenya. En Europe, ce sont 36 des
46 pays qui possèdent une législation spécifique.
Des projets de lois sont discutés en Ouganda et en Egypte. Dans ce dernier pays, il est
néanmoins possible d’invoquer certaines lois existantes telles que celles sur la propriété
intellectuelle, la signature électronique ou encore la réglementation des télécommunications.
De la salle
Vous nous avez fourni de nombreuses informations sur les typologies de la cybercriminalité,
mais peu de statistiques. En France, combien de personnes ont été victimes d’attaques ?
Rob WAINWRIGHT
Il est difficile d’estimer précisément l’impact de la cybercriminalité parce qu’elle est
internationale. Nous savons que 120 000 virus et codes malicieux sont actuellement en
circulation et que, chaque jour, 150 000 ordinateurs sont touchés. En somme, tous les citoyens
européens sont des cibles potentielles.
Dr Mohamed CHAWKI
Actuellement, la France ne dispose pas de statistique précise en ce qui concerne ces
infractions.
2
On estime que 70 % des e-mails expédiés du Nigeria vers les Etats-Unis relèvent de la fraude 419
3
Technologies de l’information et de la communication
Alexander SEGER
La majeure partie de ces attaques provient du Nigeria. Or, il ne s’agit pas de
cybercriminalité en tant que telle, car elle n’est pas pénalisée. Des poursuites ne
peuvent être engagées qu’en cas de fraude bancaire ou financière.
Dr Mohamed CHAWKI
Le fait que neuf pays africains possèdent une législation n’est pas suffisant. Il faut que des
spécialistes se penchent sur le problème pour qu’une fois le fraudeur identifié, il puisse être
placé derrière les verrous. En 1991, un virus a sévi sur Internet ; le FBI et la CIA avaient
identifié les hackers philippins à l’origine de l’attaque. En l’absence de réglementation
appropriée aux Philippines, ils ont été innocentés.
De la salle
Pensez-vous que la formation à destination des juges est suffisante pour qu’ils aient le réflexe
de saisir Eurojust ?
Gérard LOUBENS
Il me semble que la formation n’est pas suffisante. Actuellement, je me rends dans les huit
juridictions interrégionales spécialisées et les invite à nous saisir. En ce qui concerne les
magistrats de liaison, il arrive qu’Eurojust porte une assistance juridique à certains pays. Ainsi,
nous avons mis en place un protocole d’assistance avec huit pays et avons un point de contact
avec 23 autres.
De la salle
S’agissant d’Europol, quelle sera la stratégie future et les perspectives à trois et cinq ans ?
Rob WAINWRIGHT
Nous avons observé les bonnes pratiques dans de nombreux pays et avons remarqué qu’elles
étaient généralement indépendantes les unes des autres. Or, nous savons à l’heure actuelle
que la menace cybercriminelle impose une réaction transnationale. Europol aspire à un
meilleur lien entre les pays membres, de manière à aboutir à une réponse intégrée au
sein de l’Union européenne.
Notre mission prioritaire est d’assurer la sécurité et la sûreté au cœur de l’Union européenne,
d’où la nécessité de continuer à développer notre plateforme d’échanges des bonnes pratiques.
De la salle
Qu’en est-il de la protection contre les attaques du système informatique d’Europol ?
Rob WAINWRIGHT
Nos mesures de sécurités sont extrêmement strictes.
De la salle
Pouvez-vous nous fournir quelques détails sur les systèmes de reporting au sein de l’UE ?
Rob WAINWRIGHT
Grâce à notre forum, des équipes de police peuvent échanger des notifications et des mémos
afin de communiquer entre collègues à l’échelle européenne.
E-réputation et Social engineering : nouvel enjeu
de société
Garance MATHIAS
Avocat spécialisé dans le droit des nouvelles technologies - Paris (France)
Le social engineering, pratique consistant à manipuler par toute méthode une ou plusieurs
personnes afin d'obtenir des informations sensibles, a connu une progression fulgurante suite
à l’avènement du Web 2.0 et cela même si cette pratique est ancienne. Dans une société où
l’utilisateur conserve toutes ses informations (mails archivés…), il existe une somme
d’informations qui peuvent être utilisées à des fins malveillantes. Les attaques peuvent être
matérielles (à partir des informations confidentielles jetées à la poubelle mais pas détruites),
personnelles (recherche de coordonnées sur 123People) ou numériques (usurpation d’identité
ou accès à un réseau non autorisé).
Marc BLANCHARD
Epidémiologiste, Directeur des laboratoires BitDefender en France- Montrouge (France)
Sur l’ensemble de nos conversations, 10 % peuvent être exploitées par le social engineering , le
reste n’est que garbage . Sur le Web, quand je réponds publiquement à la question « Tu pars
en vacances ? » , je donne de nombreuses informations à d’éventuels attaquants. « Je pars cet
été dans le Sud de la France » offre des informations isomorphiques (il part seul ou reste
discret sur sa famille), homomorphiques (il renseigne les dates de disponibilité de ses
systèmes d’informations) et qui concernent le système d’influence (il consultera peu ses e-
mails et le système sera ouvert). C’est la raison pour laquelle il faut faire attention à ce que
l’on écrit. En effet un attaquant ne pense pas comme vous: une information qui peut vous
sembler anodine peut avoir une grande valeur pour qui saura s'en servir.
La e-réputation par les salariés et la veille
Liane MATHIAUT
Responsable Veille-Image, Direction de la communication de la SNCF - Paris (France)
La SNCF compte 220 000 salariés et autant de personnes capables de prendre la parole et
d’avoir une influence sur la e-réputation de l’entreprise. Depuis 2009, nous formons l’ensemble
du personnel à « Attitude 3D ». Ce programme de bonnes pratiques apprend à crypter les
mails confidentiels, à être vigilant sur les réseaux sociaux où lors d’une conversation dans un
lieu public.
En outre, nous avons mis en place il y a quelques années une veille concernant notre image.
Nous analysons les tendances à partir des blogs, des forums ou des médias en ligne pour
comprendre l’image de l’entreprise sur Internet. Les décideurs reçoivent des alertes et peuvent
réagir dans des conditions plus confortables. De plus, nous évaluons les sujets sensibles à
venir afin de les anticiper (en préparant des réponses par exemple). Enfin nous surveillons les
ventes d'objet « corporate » sur des plates-formes comme e-bay
Me Olivier ITEANU
Avocat, Président honoraire de l'ISOC 4France - Paris (France)
La prise de parole des internautes peut faire reculer les projets d’un certain nombre
d’entreprises ou de marques. Par exemple, les blogueurs ont de plus en plus d’influence et ils
constituent parfois un véritable pouvoir. Il faut bien distinguer deux prises de parole : d’une
part, celle des collaborateurs d’une entreprise, qu’il est nécessaire de réguler par des outils
pédagogiques (charte d’usage d’Internet) ou même juridiques (en cas de diffamation ou de
révélation d’un secret industriel par exemple) ; d’autre part, celles des personnes extérieures à
l’entreprise et qui sont susceptibles d’exercer une influence néfaste sur son image. Dans ce
dernier cas, si les limites de la liberté d’expression sont dépassées, un arsenal juridique peut
être mis en branle… mais à condition de repérer l’internaute, souvent anonyme (identification
grâce à l’IP).
Emilie OGEZ
Experte en médias sociaux et gestion de l'identité numérique - Paris (France)
Internet peut être un véritable tremplin pour gagner en visibilité : d’un point de vue personnel
(trouver un emploi) ou professionnel (développer une marque). Mais si l’on peut contrôler sa
visibilité, on ne gère pas ce que l’on dit de nous. La e-réputation renvoie à un ensemble de
traces volontaires (laissées par l’internaute) et involontaires (laissées par d’autres internautes
sur la personne en question). Le défi est de contrôler sa réputation dans un flux grossissant
d’informations et de supports. C’est pourquoi il est impératif que l’internaute utilise les outils
adaptés à ces objectifs et besoins (moteurs de blogs, suivi de commentaires, recherche sur
4
Internet Society
Twitter…). Pour les entreprises disposant de peu de moyens, les alertes google permettent une
veille relativement efficace.
Le paradoxe actuel est que les gens se plaignent de l’intrusion de l’Etat alors qu’ils exposent de
plus en plus d’informations personnelles sur des sites accessibles à tous. En 2010, les services
de police en apprennent plus sur Facebook que dans leurs bases de données traditionnelles.
Mais si les policiers utilisent ces données (en complément d’autres preuves) devant un juge,
les avocats de la défense n’hésitent pas à ternir l’image des enquêteurs. C’est pourquoi nous
devons répéter à nos policiers de faire attention à ce qu’ils disent sur les réseaux sociaux. Mais
aussi à ce qu’ils font : un agent new-yorkais a trahi la confidentialité d’une enquête en
diffusant sur le Web les photos d’une scène de crime.
Nota : mardi 30 mars, le réseau de distribution d'applications Blue Cat Systems a rendu public
un rapport très complet sur les tendances de la cybercriminalité: de 2008 à 2009, le nombre
d'attaques utilisant des sites communautaires a augmenté de 500%. Selon ce rapport, les gens
sont plus prudents à l'égard des e-mails, cependant la prise de conscience des menaces
émanant des forums, réseaux sociaux... reste très faible.
Jeux d’argent en ligne : la lutte contre la fraude
s’organise
Sans être totalement nouvelles, les fraudes liées aux jeux d’argent en ligne intéressent la
criminalité organisée en raison des enjeux financiers (possibilités de manipulation, de
détournement), et des possibilités de recyclage d’argent sale venu d’ailleurs. Désormais, la 3 e
directive européenne anti blanchiment (2005/60/CE), désormais transposée en droit français,
s’impose aux casinos et aux jeux en ligne ; de plus, une loi française spécifique aux jeux en
ligne et plus contraignante pour les opérateurs est actuellement en discussion au Parlement
français. Et les probables mesures techniques et réglementaires qui en découlent sont plutôt
rassurantes. Reste à organiser et coordonner la lutte à l’échelle européenne et internationale,
ce qui est complexe, étant donné la diversité des lois et réglementations existantes.
Olivier KHUN
Directeur des opérations Média & Telecom, Atos Wordline (Seclin)
Les risques de fraude sont assez classiques et inhérents au commerce en ligne. On distingue la
manipulation des résultats sportifs, la corruption et la tricherie d’un côté et les situations de
jeux anormales de l’autre (escroqueries dont sont victimes des joueurs). La fraude liée aux
moyens de paiement est un troisième pan de menaces : test ou utilisation de numéros de
cartes bleues récupérées malhonnêtement par exemple.
L’Etat a bien conscience des enjeux : la future loi sera dure pour les opérateurs, qui devront
s’assurer de l’identité du joueur candidat, restreindre les moyens de paiement, tracer et
archiver les opérations de jeux pendant 5 ans, etc. Cette « boîte noire » sera mise à
disposition de l’Arjel5 ou des cyberdouaniers en cas d’enquête. Elle leur offrira des moyens
d’investigation solides, dont ils ne disposent pas dans le monde physique.
Bertrand LATHOUD
Information risk manager EU, Paypal (Luxembourg)
Paypal, créée en 1998 et rachetée en 2002 par Ebay, est opérateur de paiement en ligne
partout en Europe, les jeux en ligne représentant 15 % des volumes de paiement. Chaque
compte Paypal présente un identifiant unique et il est alimenté par plusieurs moyens (carte de
crédit, virements…). Nous étudions à l’échelle mondiale la délinquance en ligne. Depuis environ
2 ans, nous observons l’émergence d’un véritable marché de la délinquance en ligne dans
lequel des groupes offrent des services criminels. Leur process est rôdé : repérage de cibles,
préparation de l’attaque, mise en œuvre, création de monnaie et enfin blanchiment, l’étape la
5
Autorité de régulation des jeux en ligne (Arjel)
plus épineuse pour les criminels. De notre point de vue, les risques traditionnels liés aux jeux
se complexifient en raison des menaces liées au crime électronique, et un miracle
technologique ou réglementaire ne résoudra pas tout. Nous avons la conviction que la lutte
consiste en un ensemble de mesures.
A l’échelle mondiale, industries et pouvoirs publics – en partenariat – ont tous un rôle à jouer
dans la déstabilisation des marchés criminels, en leur rendant la vie impossible (augmentation
des coûts, dissuasion). En matière de cybercriminalité, les spécialistes ne sont pas si
nombreux, et une fois identifiés et arrêtés, les mouvements criminels auxquels ils
appartiennent peuvent vraiment être freinés.
Angelika KOLLER
Senior Team Leader Fraud & Risk, Sportingbet (Royaume-Uni)
Depuis les risques de collusion entre joueurs de pokers jusqu’aux jetons frauduleux, l’éventail
des fraudes est clairement établi. Tout comme un établissement de crédit, nous analysons la
situation financière des clients potentiels.
Les procédures quotidiennes, lors de la création d’un compte par exemple, sont
particulièrement strictes. Un seul exemple : si un même client détient des comptes bancaires à
Lille, Paris, et Toulouse, il est rejeté d’office.
Un deuxième cercle de mesures consiste à limiter les sommes misées, la création de comptes
Sportingbet (un seul autorisé), et même à imposer un seul ordinateur où la connexion est
possible. Nous vérifions les informations données par le client (en lien avec les banques) ou
encore la cohérence de jeu : un joueur mauvais devenant tout à coup un très grand joueur
constitue une alerte. Nos mesures graduelles face au risque sont des demandes d’informations
supplémentaires, puis des mesures de restriction, puis une inscription à notre liste noire. Nous
menons des comparaisons entre nos bases de données et celle répertoriant les terroristes, les
personnes exposées politiquement, ou encore les joueurs addictifs.
Nous avons parfaitement conscience de notre co-responsabilité vis-à-vis du blanchiment
d’argent. En cas de soupçon sur une transaction, notre rapport détaillé est communiqué aux
forces de l’ordre. Les joueurs résidant dans certains pays d’Afrique de l’Ouest ne sont pas
autorisés, ainsi que ceux des pays de l’ex-Union soviétique : c’est une question de confiance
dans leur système de lutte contre le blanchiment.
Un cadre juridique européen
Nous allons devoir vivre avec ces risques, car les paris et les jeux en ligne feront toujours
partie des solutions pour le blanchiment. Si la France s’apprête à réglementer les sites de jeux
en ligne, en Espagne la réglementation est inexistante. Même si vous voyez des publicités sur
les T-shirt de joueurs de football, ces sites ne sont généralement pas légaux !
Les opérateurs ont évoqué l’identification des utilisateurs, mais le problème reste entier sur
Internet pour toute l’activité commerciale : il sera toujours impossible d’identifier formellement
la personne derrière l’ordinateur.
On connaît aussi la difficulté d’intenter des procédures contre une société dont les bases
légales se situent dans des pays n’ayant pas noué d’accords avec le nôtre. Or, il est facile pour
les criminels de récupérer un numéro de carte de crédit, de faire des paris, de mettre l’argent
sur Money Bookers, et de récupérer le cash. La transaction prend 15 minutes, et les forces de
l’ordre mettront peut-être 5 ans pour retrouver le criminel : les données auront alors disparu.
Créons donc un cadre juridique européen. Puisque les criminels se déplacent rapidement, et
dans le monde entier, nous aussi pouvoirs publics devons éliminer les frontières.
Notre mission consiste à lutter contre la criminalité organisée et à mener un travail normatif en
concertation avec les différents Etats de l’Union. Entre liberté d’établissement et règles, nous
recherchons sans cesse un équilibre. Pour les jeux en ligne, l’idée prédominante est qu’il ne
s’agit pas de services comme les autres : les Etats membres pourraient donc choisir leur
approche en veillant à rester conformes aux traités. Les travaux du Conseil européen mettent
en effet en évidence des différences de pratiques du jeu dans les 27 Etats.
La lutte contre la criminalité organisée est un autre défi. Dans certains Etats, une fraude est
punie par une simple amende, ce qui n’est pas de nature à renforcer la coordination entre les
pays. Derrière les paris sportifs en ligne apparaît le sujet du financement du sport : une étude
sur les rapports entre jeux et sports sera financée par la Commission européenne. Pour être
opérationnels enfin, il nous faut en Europe des enquêteurs spécialistes des investigations
financières, des juristes aguerris, des techniciens de haut vol : le progrès ici passera par la
recherche et la formation, que la Commission soutiendra financièrement.
De la salle
L’arrivée du PMU et de la Française des jeux en ligne change-t-elle la donne ?
Juliette de NOUE
Non, l’intérêt du PMU et la Française des jeux pour les jeux en ligne n’est pas nouveau. Par
ailleurs, le fait que l’Etat soit actionnaire de la Française des jeux (72 %) ne change pas grand-
chose à l’échelle européenne.
De la salle
Où en sont les projets sur l’identité numérique certifiée ?
Olivier KHUN
Le projet de carte d’identité électronique, envisagée pour authentifier l’internaute, est
effectivement dans les tuyaux du gouvernement.
De la salle
Que faire pour les sites illégaux ?
Olivier KHUN
Les sites illégaux n’auront pas d’agrément et figureront donc sur une liste noire. Le projet de
loi prévoit un blocage des paiements et une mesure technique de blocage d’accès au site par
les Fournisseurs d’accès à Internet.
Présentation des outils de sensibilisation aux
dangers d’Internet
Les pouvoirs publics et les associations ont développé différents programmes et outils pour
sensibiliser le public aux dangers d’Internet. Dès l’école primaire, les enfants sont familiarisés
à Internet sans avoir conscience des risques qu'ils encourent, et les faits divers numériques
sont en constante augmentation (et ce dans tous les milieux). Les parents doivent prendre
conscience de leur rôle essentiel de prévention. Mais n’est-il pas réducteur de ne considérer
Internet que sous l’angle des dangers ? Parents, enfants et grands-parents doivent certes être
sensibilisés à ces risques, mais ils doivent maîtriser cet outil et prendrre conscience de leur
responsabilité citoyenne lorsqu’ils naviguent et publient des informations sur la toile.
Sidi-Mohammed BELDJILALI
Etudiant-chercheur en relations internationales, membre de la Ligue des Droits de l'Homme - Colmar
(France)
Laurent BAUP
Juriste et chargé de mission, Legal connel, Forum des droits sur l'Internet - Paris (France)
Créé en 2001, le Forum des droits sur l’Internet est un organisme de co-régulation réunissant
les industriels, la société civile et les institutions. Il travaille principalement à l’élaboration de
recommandations. Celle intitulée « Les enfants du net » a permis la création d’une nouvelle
incrimination pénale : l’émission de propositions à caractère sexuel à destination de mineurs
par le biais d’Internet.
Il ne s’agit pas seulement de sensibiliser les internautes aux dangers d’Internet,
mais surtout de les aider à maîtriser cet outil et à comprendre leurs responsabilités
sur la toile. Pour ce faire, le Forum a publié trois guides et 400 fiches pratiques6, il offre
également des services de médiation et d’information en ligne. Ces outils de sensibilisation
doivent toucher le plus grand nombre : mineurs, parents, grands-parents…
2025 exmachina
Emilie PEINCHAUD
Chargée de communication, Tralalère, Internet Sans Crainte - Paris (France)
Les adolescents français connaissent très bien les règles du Web, mais ils ne les
appliquent pas nécessairement. « Internet sans crainte », le programme national de
sensibilisation des jeunes aux bons usages de l’Internet, a donc créé 2025 exmachina7, un
serious game d’éducation critique aux médias. Son objectif est notamment de faire prendre
conscience aux adolescents de l’impact de leurs actions ou leurs responsabilités sur la toile.
Action Innocence
Vanessa COUPEZ
Psychologue, responsable de la prévention, Action Innocence France - Paris (France)
Outre la lutte menée avec les services de police d’Europe contre les fichiers
pédopornographiques, la prévention sur les dangers d’Internet dans les établissements
scolaires et auprès des gendarmes est une action primordiale de l’association Action
Innocence. En CM2, un enfant sur deux a déjà vu des images pornographiques, mais il n’en
parle pas de peur d’être puni. L’association a donc mis en place différents modules de
prévention pour les 8-12 ans et les collégiens. Elle intervient surtout à la demande de parents
ou de professionnels déroutés par un fait divers numérique survenu dans leur établissement.
En 2009, en France, 15 000 adolescents ont été ainsi sensibilisés. Ces faits divers
numériques, en constante augmentation, touchent tous les établissements, toutes
les classes sociales, autant en milieu rural qu’urbain.
6
Disponibles gratuitement sur www.foruminternet.org
7
www.2025exmachina.net
La prévention doit reposer sur un cadre, favoriser le dialogue, responsabiliser les enfants et
intégrer l’éducation aux Nouvelles technologies de l’information et de la communication (NTIC)
dans l’éducation parentale.
Jean-Luc MARTIN
Représentant de l'Ecole des grands-parents européens (EGPE) Nord - Lille (France)
Les résultats de deux enquêtes, l’une réalisée par l’EGPE auprès de 305 jeunes de
l’agglomération de Lille-Roubaix-Tourcoing, l’autre par l’UDAF 8 auprès de parents du
département du Nord, démontrent l’urgence de sensibiliser les jeunes, les parents et les
grands-parents aux intérêts et dangers d’Internet. D’après la première enquête, la plupart des
jeunes possède un mobile (presque 100 %), un ordinateur (70 %), une console de jeux (58 %)
et une télévision (56 %). De nombreux jeunes passent ainsi beaucoup de temps devant leur
écran. 81 % des jeunes déclarent avoir eu des propositions sur Internet (échanges de
messages, rencontres…) et 82 % des ordinateurs sont utilisés sans contrôle parental. Les
parents doivent donc protéger leurs enfants et ne pas surestimer leur
autodiscipline.
Safer Internet
Carole GAY
Responsable des affaires juridiques et réglementaires, Association des fournisseurs d'accès et de
services Internet (AFA), Paris
8
Union nationale des associations familiales
9
Premier programme de 1999 à 2004 (budget : 38,3 millions d’euros), deuxième programme de 2005
à 2008 (budget : 45 millions d’euros), troisième programme de 2009 à 2013 (budget : 55 millions
d’euros)
Echanges avec la salle
De la salle
Pouvez-vous évaluer le contrôle parental proposé par Microsoft ?
De la salle
Les programmes scolaires font également de la prévention sur les dangers d’Internet…
De la salle
Les différents projets présentés ne sont-ils pas concurrents ? Avez-vous prévu de regrouper
vos actions ?
10
www.pedagojeux.fr
L'informatique industrielle, talon d'Achille des
entreprises
La sécurité des entreprises passe aujourd’hui par une prise de conscience des nombreux
dangers auxquels sont exposés leurs Systèmes d’Informations (SI). Les responsables de leur
sûreté font face à des pratiques endémiques à risques qu’il est difficile de modifier. Les risques
encourus ne sont plus seulement dus à des menaces accidentelles mais de plus en plus à des
actions intentionnelles. La prise de conscience de cet enjeu est donc capitale. Si l’Etat semble
en prendre désormais la mesure en protégeant les secteurs critiques et en proposant des
inspections (notamment avec l'ANSSI), il manque cependant cruellement d’experts formés et
d’outils suffisants. Les entreprises s’en remettent donc souvent aux initiatives privées
(International Society of Automation) ou internes. Il faut à ce sujet réaffirmer l'importance des
RSSI.
Victor VUILLARD
Chef du bureau inspection au sein de l'Agence nationale de la sécurité des systèmes d'information
(ANSSI) - Paris (France)
L’ANSSI procède à des inspections de sécurité chez des opérateurs publics et privés
« d’importance vitale », dans le secteur de l’énergie ou de la défense notamment. Ces audits
révèlent que la sécurité physique (protéger le périmètre d’une usine par exemple) obtient de
bonnes performances. En revanche, la protection des systèmes d’informations (SI) est une
préoccupation récente, voire inexistante en l’absence d’obligation.
Les industriels doivent comprendre que la sûreté doit certes prendre en compte des menaces
accidentelles mais également des menaces intentionnelles envers la continuité de la production
et envers la protection des personnes et de l’environnement (centrale nucléaire…). Les
défenses traditionnelles, souvent dupliquées à plusieurs niveaux, ne protègent donc pas
efficacement des attaques malveillantes.
L’exploitation des vulnérabilités était hier affaire de spécialistes mais aujourd’hui, les failles
sont plus faciles à exploiter, fragilisées par la mise en marché de systèmes d’exploitation grand
public moins coûteux : il en résulte des vulnérabilités au quotidien pour les entreprises.
Pascal LOINTIER
Président du Club de la sécurité de l'informatique français (CLUSIF), Conseiller sécurité de
l'information CHARTIS - Paris (France)
La compréhension par les chefs d’entreprises des enjeux de la SSI est capitale. Il est donc
nécessaire de les éclairer sur les dangers que peuvent notamment présenter leurs services
généraux, cibles fréquentes de malveillance. On relève d’ailleurs plusieurs types de failles dans
ces services qui peuvent avoir de graves conséquences.
La migration IP des équipements a mis à jour des risques d’attaque via les périphériques (virus
CodeRed dès 2001) et la destruction ou mise hors service d’équipements annexes (groupes
électrogènes numérisés en 2007, ventilation d’un hôpital en 2009).
Les dispositifs SCADA et les réseaux Wif i pour l’accès à distance ou le transfert de données
sont vecteurs d’autres malveillances : prise de contrôle de systèmes de surveillance caméra,
interception d’informations, voire arrêt de l’activité de certaines entreprises (feux de
signalisation de Los Angeles en 2009).
Il faut insister sur le fait que tout le monde, sans exception, est concerné dans l’entreprise.
Dans les entreprises où il n’existe pas encore de matériel pour la convergence de la SSI et des
services généraux, le Responsable de la Sécurité des Systèmes d’information (RSSI) est
d’autant plus central pour la sécurité des équipements.
Jean-Pierre HAUET
Président de l'ISA France - Paris (France)
L’International Society of Automation (ISA) crée des standards internationaux et des cahiers
des charges pour les professionnels de l’automatisme, du contrôle et de l’instrumentation. Les
failles existantes identifiées suite au 11 septembre 2001 dans les secteurs critiques (énergie…)
ont élevé la cybersécurité au rang de priorité pour l’ISA.
Le risque de perte de données ou de mise en danger de l’environnement est bien réel. De plus,
de nouvelles situations à risques se présentent aujourd’hui comme les collaborations inter-
entreprises (échanges de clés USB…) ou l’utilisation de systèmes banalisés (attaque du Large
Hadron Collider en 2008). Malheureusement les entreprises communiquent actuellement peu
sur ces sujets. La création de la norme ISA-99 répond à ces préoccupations. Sa démarche
repose sur une analyse rationnelle des actifs à protéger et des menaces potentielles, dans le
but de construire une architecture sécurisée. Elle s’appuie sur la « défense en profondeur » qui
multiplie les défenses et cloisonne les zones potentiellement défaillantes.
Néanmoins, le pré-requis à ces mesures est la convergence des personnels vers une culture
cybersécuritaire.
Michelin, un géant sous protection
Jean-François PACAULT
Service du haut fonctionnaire de défense et de sécurité, Ministère de l'économie, industrie et de
l'emploi (MEIE) - Paris (France)
La protection de l’informatique des entreprises tend à s’améliorer (ISA, Michelin…) mais pas
assez rapidement face au développement des incidents constatés. Les Etats sont d’ores et déjà
sensibilisés et leurs interventions peuvent accélérer ce processus grâce aux guides de bonnes
pratiques ou à leur action auprès des secteurs sensibles (l’énergie…).
Un travail de sensibilisation reste à faire auprès des chefs d’entreprises. Hormis aux USA où
des formations et des actions de recherche existent, l’expertise reste rare en France. De ce
fait, les quelques réglementations qui incluent implicitement la SSI sont rarement appliquées.
Le MEIE tente d’y remédier à travers des formations et des guides, mais insiste sur un
indispensable dialogue entre RSSI et chefs d’entreprises.
Thomas PILLOT
Chef du Service développement industriel et technologique, Direction régionale des entreprises, de la
concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) - Douai (France)
La SSI demeure un sujet méconnu bien que très sensible. S’il concerne tous les secteurs et les
PME autant que les grands groupes, les niveaux de connaissance sont très inégaux. Ainsi, on
peut pointer du doigt plus particulièrement en France le secteur de l’agro-
alimentaire qui semble ne pas réaliser l’importance de la SSI face à l’enjeu de sécurité
sanitaire par exemple. L’Etat s’implique et propose divers outils (guides, DVD…) pour
sensibiliser les entreprises à cet enjeu qui dépasse la simple sécurité bureautique et concerne
à terme leur compétitivité.
La révélation des failles de sécurité, risques et
enjeux
La protection des données personnelles sur la toile passe peu à peu le pas de la législation. Si
les réponses apportées à ce problème divergent, la prise de conscience est de plus en plus
forte. Le mot d’ordre est la responsabilisation de tous : utilisateurs, entreprises, opérateurs
télécom… La loi Informatique et libertés invitait déjà depuis 2004 à prendre les précautions
pour éviter les failles de sécurité, mais les textes en cours vont plus loin et obligeront bientôt à
signaler ces failles. Les organisations (entreprises, associations ou institutions), qui brassent
de nombreuses données informatiques sensibles, prennent ces risques très au sérieux. Elles
sont nombreuses depuis 2005 à avoir choisi de désigner un correspondant informatique et
liberté et/ou un responsable de la sécurité des systèmes d’information (RSSI).
Deux textes de loi en cours obligent à révéler les failles de sécurité à la CNIL ou au
correspondant informatique et liberté d’une entreprise :
- Une Directive européenne (prévue pour mai 2011) ne concernant que les opérateurs télécom
- la proposition de loi du 23 mars 2010 concernant toutes les entreprises françaises.
Bruno RASLE
Délégué général de l’Association française des correspondants aux données personnelles (AFCDP) –
Paris (France)
Willet ADOFO
Computer crime investigator US, AFOSI – Vogelweh (Allemagne)
Air Force base sa défense contre les failles de sécurité sur les compétences des bureaux
d’investigation en cybercriminalité et sur l’équipe de réponse aux urgences informatiques,
l’AFCERT 11. L’AFCERT détermine s’il y a une menace réelle et quelle est sa catégorie : est-ce du
ressort d’une simple application de la loi ou du contre-espionnage ? L’enquête porte alors sur
la nature de l’attaque, la sensibilité des données, et la préservation des preuves. L’AFCERT
interroge directement les personnes impliquées, analyse le matériel, et s’entoure d’avocats
pour s’adapter aux législations des différents Etats. Elle bénéficie de 90 jours pour approfondir
les recherches sans que les preuves ne soient détruites. L’enquête dévoile les techniques
utilisées par l’adversaire, les détails de l’intrusion, et permet d’identifier la personne
responsable, la ou les machine(s) infectée(s), mais aussi les faiblesses du réseau d’Air Force.
Damien BANCAL
Journaliste spécialisé dans la sécurité informatique, ZATAZ – Paris (France)
Le site Zataz.com est un protocole d’alerte. Par l’intermédiaire de nos lecteurs ou de nos
propres outils, les « honey zataz12 », nous recevons des alertes sur les fuites de données
(lorsqu’un webmaster oublie de verrouiller une partie d’un site par exemple). Notre mission est
alors de faire pression sur les entreprises qui laissent des données personnelles accessibles sur
le Net. Les honey pots sont mis en place pour attirer les attaques et recueillir des
informations sur le site piraté et l’entreprise par laquelle passe l’attaque, le pays concerné, le
nombre et la durée de l’attaque. Ils parviennent même à détecter la préparation d’attaque de
masse.
Zataz a détecté la présence de 400 000 données bancaires sur le Net : nous avons prévenu
l’entreprise pour qu’elle corrige la faille, puis en tant que journaliste, j’ai informé les 400 000
personnes concernées par la presse, après correction de la faille. J’ai été attaqué au Tribunal
civil pour diffamation (procès perdu) et au pénal pour piratage informatique (procès gagné). A
l’heure actuelle, l’entreprise n’a toujours pas prévenu ses clients. Depuis le 1 er janvier 2010,
Zataz a identifié 1 863 entreprises françaises qui ont laissé des informations nominatives sur
Internet en source ouverte : 900 nous ont répondu, 300 ont corrigé la faille.
11
Air Force Computer Emergency Response Team
12
En référence aux honey pots
Les phases du protocole d’alerte
Le hacking éthique
Franck EBEL
Enseignant, responsable de la licence Collaborateur pour la défense et l’anti intrusion des systèmes
informatiques (CDAISI), IUT Informatique – Maubeuge (France)
Raphaël RAULT
Avocat, BRM Avocats – Lille (France)
Pour illustrer notre intervention, nous partirons d’un scénario fictif. Un pays de l’Est propose un
forum international auquel une société décide d’envoyer l’un de ses cadres, Monsieur
Delarevue. Depuis l’hôtel, il consulte ses e-mails via une connexion free Wifi, qui est en réalité
une borne pirate. Le pirate se place entre son ordinateur et le Wifi et capte ses informations.
Monsieur Delarevue laisse son ordinateur au coffre de sa chambre pendant que le personnel la
nettoie. Le « faux » personnel de l’hôtel doit récupérer un maximum d’informations sur les
participants au forum. Il extrait le portable du coffre, introduit une clé usb déclenchant un
programme avant le redémarrage du système et contourne ainsi le mot de passe. Au
redémarrage suivant, le mot de passe sera à nouveau demandé : l’infraction est donc invisible.
Ce logiciel est disponible sur le Net.
Bruno RASLE
Le correspondant informatique et liberté a été instauré il y a 5 ans13 et est un protecteur et
conseiller au sein de l’entreprise, qui épaule le Responsable de la sécurité et des systèmes
d’information (RSSI), en charge de la sécurité des données personnelles.
De la salle
Une entreprise peut avoir accès à des données personnelles à travers une faille informatique,
sans savoir qu’il s’agit d’une faille. Est-elle alors hors la loi ?
De la salle
Au même titre que l’invention de la route, le monde de l’Internet requiert une signalisation et
des règles à respecter. Internet est une « poule aux œufs d’or » : on ne tue pas une poule aux
œufs d’or, on essaie d’informer les gens, de les cadrer, et de rendre Internet plus sûr pour
tous.
13
Décret d’application juin 2005
Cybersécurité, entre frein et support à la
créativité et à la performance dans l'entreprise
Dans la société actuelle, l’information est la première ressource pour une entreprise. C’est
pourquoi elle doit la protéger grâce à une politique de cybersécurité, ce qui implique à la fois
la sécurité physique des réseaux et la gestion des flux d'informations. Si des initiatives, comme
celle de Doublet SA, soutiennent la créativité, les entreprises sous-estiment leur vulnérabilité
et le manque à gagner éventuel. Les Petites et moyennes entreprises (PME) sont les plus
fragiles : elles ne soupçonnent pas les risques qu’elles courent et n’ont généralement aucun
système de protection, or les attaques cybercriminelles ont des conséquences bien réelles
(destruction de données, détournement d'argent). Pour garantir la performance en entreprise,
il faut donc impliquer la hiérarchie, anticiper les attaques et développer la pédagogie en
direction des collaborateurs.
Clémence CODRON
Animateur, Doctorante, Membre de la mission Lille Eurométropole défense sécurité (LEDS) - Lille
(France)
Si les attaques cybercriminelles sont virtuelles, leurs conséquences sont bien réelles :
destruction de données, détournement d’argent… Les grandes entreprises ont déjà compris le
danger que cette menace représentait ; les PME tardent à appréhender leur vulnérabilité.
Luc DOUBLET
Président du comité de surveillance, Société DOUBLET SA - Avelin (France)
La créativité en entreprise impose que chaque collaborateur puisse s’exprimer et accéder aux
informations de l’entreprise pour les exploiter. Doublet SA est une entreprise ouverte qui
mélange les générations ( digital native et digital migrant ) et les fonctions – communication,
design et recherche travaillent dans les mêmes bureaux. La rencontre de deux générations
exige que nous définissions des bonnes pratiques et des limites. Par exemple, un jeune
designer d’une autre société a publié le prototype d’une basquette sur Facebook ; le modèle
est déjà copié en Chine. Les paradigmes changent et les notions de liberté ne sont plus les
mêmes selon les générations.
Pour stimuler la créativité, nous utilisons un système de gestion complet qui permet à chacun
de voir ce que chacun fait et d’alimenter ou de corriger un wiki collectif. Ce système est
l’illustration d’une certaine philosophie de la gestion des informations. Même si ce système
14
Lille Eurométropole défense sécurité
singulier peut empêcher les joint-venture , notre culture d’ouverture a généralement un effet
salvateur sur des structures qui cultivaient une culture étanche.
Nicolas ARPAGIAN
Institut national des hautes études de sécurité-Justice (INHES-J), Rédacteur en chef de la revue
“Prospective stratégique” - Paris (France)
La cybersécurité repose sur deux bases : la sécurité physique des réseaux et la gestion des
flux d’informations. Ce dernier point invite les entreprises à définir les données stratégiques et
celles qui ne le sont pas, et à les protéger en conséquence. A cela, il faut ajouter le vol ou la
perte d’appareils électroniques (PDA15, ordinateurs), qui sont autant d’éléments de fragilisation
d’une entreprise. Quant au cloud computing, il permet certes des réductions de coûts, mais
l’hébergement des données n’est plus maîtrisé.
De la salle
Quels conseils donneriez-vous aux PME plus préoccupées par leur gestion quotidienne que par
leur cybersécurité ?
Luc DOUBLET
La plupart des outils de protection informatique ne sont pas compris des PME. Certaines
d’entre elles ne perçoivent pas l’évolution du monde et deviennent technopathes. Je crois qu’il
ne faut pas attendre qu’une attaque ait lieu pour s’y intéresser.
Pour pouvoir introduire l’informatique dans les armées, il s’agissait d’y créer une culture de
masse. Pour y parvenir, il fallait impliquer la hiérarchie afin d’affirmer le caractère prioritaire de
l’opération et développer des plans de sensibilisation réguliers. Il en va de même avec les PME.
De la salle
Comment encourager les efforts en faveur de la pédagogie ?
Nicolas ARPAGIAN
En général, il faut malheureusement attendre une crise pour que des efforts de pédagogie
soient mis en place. Et même dans ces cas-là, les dépôts de plainte sont marginaux :
l’entreprise n’a pas connaissance de l’attaque ou elle cherche à la taire. La pédagogie doit se
structurer autour d’individualités ou de cénacles capables de former les collaborateurs.
De la salle
Quelles sont les tendances à venir en entreprise ?
15
Personal digital assistant
Nicolas ARPAGIAN
L’outil informatique se développe et il n’est pas rare qu’un individu possède des outils plus
perfectionnés que ceux qu’il utilise en entreprise. Par ailleurs, les collaborateurs sont des
utilisateurs de plus en plus chevronnés de l’outil informatique. Cette pression extérieure
impose de mettre en place des règlements au sein de l’entreprise (pour s’assurer que les
informations ne transitent pas vers l’ordinateur personnel par exemple…).
Haine et intolérance sur le Net : quelle réponse ?
Laurent BAUP
Juriste et chargé de mission, Legal councel forum, Forum des droits sur l’Internet – Paris (France)
16
A la suite de l’opération « Plomb endurci » menée dans la bande de Gaza, le Comité
interministériel français de lutte contre le racisme et l’antisémitisme a demandé au CSA, à Isabelle
Falque-Pierrotin et au Forum des droits sur Internet, d’établir un rapport sur le poids d’Internet dans
la propagation de contenus à caractère raciste
17
Les instigateurs connaissent les codes et les lois ; ils choisissent d’héberger leurs sites dans des
pays moins regardants que la France
18
Loi relative aux infractions de presse, Loi pour la confiance en l’économie numérique (LCEN)
les référentiels, poursuivre la campagne d’information et de sensibilisation, améliorer la
visibilité des procédures de signalement ou encore inciter les Européens à ratifier le protocole
additionnel sur la cybercriminalité.
Véronique FIMA-FROMAGET
Directrice d’Action Innocence France – Paris (France)
Aujourd’hui, Internet peut aussi bien être le support de propos violents ou l’outil de
propagande de groupes à caractère haineux ou racistes. Le racisme prend plusieurs formes :
du discours construit de propagande à un racisme ordinaire. Nous devons nous interroger sur
le moment à partir duquel on peut juger qu’un propos est intolérant, car les insultes diverses
(sur le physique, la race, la religion, les tendances sexuelles, etc.) se banalisent et le risque
d’escalade de l’intolérance existe. 5 % des 50 000 dérives signalées en 2009 (sur des sites
comme Internet.gouv.fr) concernent des faits de xénophobie et des discriminations. Il reste à
faire un travail de pédagogie pour sensibiliser les internautes, encore réticents à l’idée de
dénoncer des contenus déviants. Quoi qu’il en soit, les adolescents se disent eux-mêmes
choqués par la banalisation du racisme sur Internet qu’ils constatent au quotidien. Par ailleurs,
à leur âge, ils sont une cible potentielle de recrutement par des groupes à caractère haineux.
Nous avons tous un rôle à jouer dans l’éducation de ces enfants : les modérateurs, les parents,
les associations. Action Innocence sensibilise les enfants en insistant en particulier sur le fait
qu’Internet n’est pas une zone de non-droit.
Monique MARCHAL
Déléguée régionale de l'Alsace de la Ligue des Droits de l’Homme – Colmar (France)
Comment juguler l’intolérance et la haine sur le Net ? Alors que l’Europe détient tous les
éléments juridiques nécessaires, l’équilibre entre sécurité sur Internet et respect des droits
pour tous est difficile à trouver. Toutes les conventions internationales rappellent aux Etats
qu’ils ne doivent pas s’immiscer dans la vie des personnes. La question de l’implication
interindividuelle transnationale des Droits de l’Homme surgit inévitablement : il faut créer un
cadre éthique mondial au sein de la société civile internationale. En France, la CNIL 19, les
officiers spécialisés et les gendarmes N’Tech jouent un rôle important dans la surveillance du
Net, mais ils manquent encore de moyens. Il faudrait : créer une police de proximité pour
informer les jeunes ; motiver les procureurs encore peu intéressés par le sujet ; former les
policiers et gendarmes à la lutte contre la cybercriminalité, et les enquêteurs et magistrats aux
procédures d’infractions sur le Net ; inciter les collectivités territoriales à prendre des mesures
adéquates contre les tendances racistes et xénophobes ; intégrer, dans les établissements
scolaires, l’éducation aux libertés fondamentales… Enfin, grâce à Internet, chacun peut devenir
l’interlocuteur de tout autre et jouer un rôle positif dans la consolidation de la communauté
humaine.
19
Commission nationale de l’informatique et des libertés
Lutte contre la haine nationale en Estonie
Anu BAUM
Chef de l’unité de lutte contre la cybercriminalité, Estonian Police and Guard Board, Criminal
Department Police Leading Inspector – Tallinn (Estonie)
Kalev KARU
Spécialiste de l’unité d’analyses criminelles de la Police judiciaire, Préfecture de Police Nord – Tallinn
(Estonie)
De façon évidente, Internet a joué un rôle dans les émeutes de 2007 qui n’auraient autrement
pas pris la même ampleur. Contrairement à la France, l’Estonie est davantage confrontée à la
haine vis-à-vis d’autres nationalités qu’à des propos à caractère raciste. En discutant avec les
responsables de portails Internet et en obtenant la fermeture de ceux qui faisaient l’objet du
plus de déviances, nous avons pu calmer la situation. Mais l’incitation à la haine nationale n’est
toujours pas sanctionnée pénalement.
Données sensibles : quelles solutions de stockage
sécurisé
Il n’existe pas de définition unique de la notion de données sensibles, comme le montrent les
différences de protection juridique des données sensibles en France. Les entreprises ont
tendance à sous-estimer leur vulnérabilité (impact de la perte de données) et les risques
qu’elles encourent. Le vol de données est un risque réel, qui a pour corollaire la nécessité de
mettre en place un système de protection et de stockage sécurisé des données. Cela est
actuellement du ressort du RSSI, ce qui pose problème lors de la phase d'attribution des
budgets. Ceci explique les recours fréquents à un stockage externalisé. Il faut alors prendre
garde à ce que le contrat d’info-gérance soit correctement négocié et rédigé, et que les risques
(physiques ou virtuels) de l’externalisation soient mesurés.
Sabine MARCELLIN
Juriste à CA-CIB animatrice du groupe de travail du Forum sur l’archivage électronique dans les
entreprises – Paris (France)
Le droit ne propose pas une définition unique de la notion de données sensibles. Pour
l’individu, le Code civil et la Commission Nationale Informatique et Liberté (CNIL) protègent les
données relatives à la vie privée (art.9 du Code civil) et à caractère personnel (numéro de
compte bancaire…). L’entreprise, verra, elle, sa propriété intellectuelle, son savoir-faire et ses
informations propres (risque de concurrence déloyale) protégées par la loi. De même, les
données sensibles sectorielles (secret bancaire…) sont protégées par d’autres dispositifs
(instaurés par le Code pénal et la jurisprudence). Enfin, le Code pénal prévoit la protection des
données sensibles de l’Etat (secret-défense et secret administratif) et la loi de blocage 20
protège les informations stratégiques d’un pays (économiques, scientifiques).
Pascal LOINTIER
Président du Club de la sécurité de l’informatique française (CLUSIF), conseiller sécurité de
l’information CHARTIS – Paris (France)
Plus de 50 % des entreprises ne font pas d’analyse globale des risques encourus. Une
cartographie des risques permet pourtant d’établir une politique de sécurité des données en
fonction du caractère critique des données de chaque entreprise.
20
Il s’agit de la loi n° 80-538 du 16 juillet 1980 – dite « loi de blocage » – modifiant la loi n°68-678
du 26 juillet 1968.
Fréderic MARTINEZ
Architecte solution sécurité EMEA, Alcatel-Lucent France - Vélizy (France)
Actuellement, l’estimation des données sensibles et de l’impact d’une dégradation des données
est du ressort du RSSI. Cette configuration pose problème dans l’attribution des budgets de
protection (le retour sur investissement est difficile à prouver) et dans la pertinence des choix
(les directions métiers seraient plus à même de caractériser les données comme sensibles).
Les moyens de protection, même s’ils peuvent représenter une contrainte (limitation de la
rapidité d’accès), doivent être opérationnels en permanence et ne doivent pas être contournés.
Pascal LOINTIER
L’entreprise s’expose à des risques en externalisant le stockage de ses données, puisqu’elle se
repose entièrement sur l’entité extérieure. Or, il ne faut pas être naïf, le niveau de sécurité mis
en place est directement fonction du niveau de paiement. Il est donc essentiel que les contrats
d’info-gérance soient lus attentivement, tant par les services juridique et informatique que par
les directions métiers. Par ailleurs, l’externalisation des données ne met pas fin au risque
physique de pertes de données (panne électrique).
Fréderic MARTINEZ
L’externalisation ne représente pas toujours une prise de risque. Selon les métiers, la
protection standard mise en place par l’hébergeur peut s’avérer supérieure à celle qui aurait
été mise en place en interne.
Alain CORPEL
Enseignant-chercheur sécurité des systèmes d’information, lead auditor ISO/IEC 27001, Université de
technologie de Troyes (UTT) – Troyes (France)
En cas d’externalisation, pour choisir son prestataire, l’entreprise doit s’intéresser à la méthode
de cloisonnement des données et à la méthode d’accès aux données (le prestataire est-il le
seul à y avoir accès ?). L’entreprise doit également pouvoir effectuer des audits chez son
prestataire.
Nicolas DEVIN
Enquêteur N’Tech, Section de recherches (SR) – Lille (France)
En tant que gendarmes, nous n’intervenons pas sur la sécurisation du stockage des données,
mais en fin de chaîne, lorsque les données ont été perdues : nous en retrouvons la trace. Les
données dont nous retrouvons la trace le plus aisément sont celles qui ont été externalisées en
France (pas besoin d’un accord juridique international pour les récupérer) et dans une
entreprise qui n’a pas déposé le bilan (si les serveurs ont été formatés, les logs 21 ne sont plus
récupérables).
21
Journal, historique
Audit et contrat d’externalisation : quelles clauses essentielles ?
Sabine MARCELLIN
Le contrat peut être un garde-fou précieux. Il permet d’évoquer dès les départs les différents
problèmes qui pourraient être rencontrés, et de formaliser les obligations du prestataire.
Pascal LOINTIER
Une PME n’a pas le pouvoir de négocier les clauses d’un contrat ou d’imposer un audit à son
prestataire. Elle a donc intérêt à surveiller certains éléments du contrat, qui sont autant de
marqueurs de danger, tels que les délais de reprise d’activité en cas d’incident, et la possibilité
que le prestataire se relocalise ou sous-traite sans l’annoncer.
Fréderic MARTINEZ
Le client doit pouvoir vérifier que les conditions négociées dans le contrat sont pérennes. Il
doit pouvoir visiter le site et faire un audit. L’audit, néanmoins, ne doit pas permettre
d’accéder aux données des autres clients du prestataire et ralentir le fonctionnement de
l’hébergeur (pas d’audit d’intrusion).
Alain CORPEL
Les clauses de réversibilité (pour récupérer les données initiales), et d’obligation de plan de
secours (en cas d’incident de force majeure) sont à intégrer au contrat.
Pascal LOINTIER
La démarche de chiffrement des données sensibles, bien qu’accessible à tous, est sous-utilisée
par les entreprises.
Sabine MARCELLIN
Lors du choix du lieu de stockage des données, il faut s’intéresser à des éléments
géographiques et économiques (concurrence) et à la réglementation locale (accès des autorités
aux données légalement, comme aux Etats-Unis ?).
Nicolas DEVIN
Le vol de données n’existe pas en France, puisque la notion de vol ne porte pas sur
l’immatériel. Néanmoins, le vol de données est raccroché à la législation française par le biais
des infractions (par exemple l’utilisation de données donne lieu à un abus de confiance)
Pascal LOINTIER
Pour parer à la malveillance, il faut mettre en place d’un système de sécurité, durcir le niveau
de sécurité (pour ralentir l’intrusion) et enfin archiver les atypismes (zones faibles) du
fonctionnement du système de sécurité, pour que les attaques, même de faible charge, soient
détectées en amont et entrainent le déclenchement d’un mécanisme d’investigation.
De la salle
Aux Etats-Unis, certains Etats imposent l’obligation de déclarer les fraudes. Pourquoi n’est-ce
pas le cas en France ?
Pour lutter contre la cybercriminalité, les autorités judiciaires des Etats se dotent de plates-
formes de signalement, publiques ou privées, avec leurs spécificités propres. A l’échelon
européen, I-cros sera chargée de consolider ces données nationales pour éviter les
redondances d’enquêtes, accélérer et améliorer la lutte contre les fraudes via Europol. Les
plates-formes nationales ne sont pas toutes au même niveau de développement – 7 pays
européens n’en n’ont d’ailleurs pas – mais toutes ont besoin d’amélioration technologique pour
optimiser le traitement des signalements, les transmissions des infractions et leur propre
visibilité vis-à-vis du citoyen.
Préambule
Les 65 gendarmes et policiers de l’Office central de lutte contre la criminalité liée aux
technologies de l’information et de la communication (OCLCTIC) combattent le piratage
informatique mais aussi tous les délits que les TIC aident à résoudre.
L’idée d’une plate-forme européenne de signalement de contenus illicites est née pendant la
présidence française de l’Union européenne.
Nicola DILEONE
First Officer o3, Criminal Finances & Technology, Europol – La Haye (Pays-Bas)
Pour lutter contre la cybercriminalité, Europol utilise le système ECCP (European cyber crime
platform ), composé de trois éléments : I-Cross, les enquêtes nationales, et IFOREX (un forum
de partage des meilleurs pratiques et outils existants). La plate-forme I-Cros a été créée pour
pallier l’absence en Europe de chiffres fiables sur le sujet, améliorer la coordination
internationale (éviter notamment les doublons d’enquête) et lutter contre les nouveaux délits.
Via I-Cros, Europol aura accès à des données consolidées. Aux Etats-membres revient la
responsabilité de contrôler l’efficacité de leur système national. A l’état de pilote 22, I-cros sera
étendue aux 27 membres par la suite. Il est impossible de gérer 27 réalités sur le signalement.
Il faut une gestion du système pour chaque Etat membre et une centralisation du dossier au
niveau européen.
22
13 partenaires dans le groupe de travail depuis février 2009
ECOPS, l’exemple belge
Laurent BOUNAMEAU
Commissaire, Police fédérale judiciaire, FCCU – Bruxelles (Belgique)
Le Federal Computer Crime Unit, l’unité belge 23 de lutte contre la cybercriminalité a créé en
2007 la plate-forme de signalements www.ecops.be. Dès la première année de
fonctionnement, la plate-forme a reçu près de 15 000 signalements (dont 8 900 infractions
constatées) : la pertinence des messages s’est améliorée par rapport à l’ancien système
d’envois par e-mails. Quand une infraction est constatée (fraude nigériane, fraude financière,
pédo-pornographie, ventes d’organes humains), il faut déterminer – parfois avec difficulté –
quel service doit le traiter. Le FCCU collabore avec les ministères, les polices locales, le
Régional Computer Crime Unit, les ONG, et envisage à l’avenir de se rapprocher davantage des
ISP. Le signalement d’une infraction sur la plate-forme ne vaut pas dépôt de plainte, ce dernier
doit toujours se réaliser au commissariat. L’intérêt d’une telle plate-forme est évident au
niveau national, la consolidation internationale des données ne peut être que bénéfique et
prouver à la classe dirigeante la menace réelle de la cybercriminalité.
23
Cette unité compte 200 personnes
24
Direction centrale de la police judiciaire
Point de contact.net
Quentin AOUSTIN
Juriste, Analyste de contenus, Association des fournisseurs d’accès et de services Internet (AFA) –
Paris (France)
L’AFA a créé en 1998 une plate-forme accessible à tout internaute, depuis tout support, pour
signaler un contenu choquant. A l’initiative des fournisseurs d’accès et précédant la loi LCEN 25
de juin 2004, cette plate-forme de signalement rejoint ensuite le réseau INHOPE. Son champ
de compétence est un peu plus restreint que celui de la plate-forme PHAROS ; quand le
contenu est pédo-pornographique, le signalement est transmis à la plate-forme PHAROS et au
pays concerné. Les autres informations hors de son champ de compétence (envoi abusif
d’offres commerciales), sont écartées. Avec l’usage des captchas 26, les signalements sont de
meilleure qualité.
Christian AGHROUM
Rappelons que le domaine de la cybercriminalité est assez jeune et soudé, les collaborations
inter-services fonctionnement bien.
Radomir JANSKY
Policy officer, Fight against Organized Crime, Direction générale justice, liberté et sécurité (DG/JLS),
Commission européenne – Bruxelles (Belgique)
De la salle
Je suis surpris par l’écart des chiffres entre la Belgique et la France : un nombre de
signalements identique pour des populations différentes et des taux de résolutions faibles en
France ?
25
Loi pour la confiance dans l'économie numérique
26
Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un
utilisateur humain d'un ordinateur
De la tribune
On ne sait pas si les 8 000 signalements transmis aux autorités d’enquêtes (sur 15 000) en
Belgique sont résolus. Le citoyen français a peut être moins la culture du signalement.
De la salle
Comment faites-vous pour retirer le contenu illégal des sites ?
Nicola DI LEONE
La nouvelle structure d’Europol pourrait avoir des accords avec le secteur privé (les ISP) pour
retirer le contenu illégal : c’est effectivement un point fondamental sur lequel nous devons
travailler.
Laurent BOUNAMEAU
Lorsqu’il s’agit de pédo-pornographie et qu’on ne peut saisir le contenu, nous en bloquons
l’accès via l’adresse IP.
Atelier démonstration – Module de prévention aux
dangers sur internet
Enquêteurs N’Tech
Groupement de gendarmerie du Pas-de-Calais – Arras (France)
Les mineurs utilisent de plus en plus Internet. Pourtant, leurs parents ont rarement conscience
des dangers qu’une navigation non encadrée peut représenter. Dans le Pas-de-Calais, un
module de prévention « Dangers sur internet » permet de les en informer. Ce module traite de
trois sujets : les mineurs victimes d’infraction, les mineurs auteurs d’infraction et des mesures
préventives.
En utilisant les outils et support du web – que l’on pense généralement sans danger – les
mineurs visionnent des messages parfois violents ou choquants. Ainsi, une simple recherche
sur Google peut les exposer à des contenus à caractère pédopornographique (comme des clips
de dessins animés détournés à des fins pornographiques…). Les blogs, véritables journaux
intimes virtuels, peuvent aussi véhiculer aussi des messages d’incitation au suicide ou au
satanisme. Ces signes préoccupants, dont les adolescents sont les auteurs, demeurent la
plupart du temps ignorés des parents. Enfin, les chats ou les mondes virtuels comme Second
Life sont les canaux de rencontre que privilégient les individus malhonnêtes pour corrompre les
mineurs en leur extorquant des images compromettantes ( strip-tease ). Usant du chantage, ils
essaient d’obtenir ensuite un vrai rendez-vous. Les enfants, mus par la culpabilité, gardent trop
souvent le silence sur de tels faits.
Méconnues des mineurs et des parents, les peines encourues pour ces infractions sont
pourtant sévères. Dans le cas du happy slapping, elles peuvent aller jusqu’à trois ans de prison
ferme et 45 000 € d’amende.
Mesures préventives
Plusieurs solutions techniques s’offrent aux parents qui souhaitent protéger leurs enfants des
dangers d’internet (configuration du contrôle parental, installation d’un pare-feu ou d’un anti-
virus…). Néanmoins, établir un dialogue au sein de la famille sur l’utilisation d’internet est
certainement le meilleur moyen de prévenir les risques. Ainsi le choix du lieu d’installation de
l’ordinateur ou la limitation du temps passé sur internet peuvent faire l’objet de discussions.
Des conseils et des mises en garde très simples se révèlent aussi efficaces (se méfier des
curieux, ne divulguer aucune information personnelle, utiliser systématiquement un
pseudonyme…).
Face à une situation problématique, deux précautions s’imposent d’emblée : tout d’abord
matérialiser les faits (sauvegarde des données d’un chat , impression d’écran…) puis ne jamais
supprimer aucun contenu. En agissant ainsi, les parents facilitent considérablement le travail
des policiers et des gendarmes.
Conclusion
Le nomadisme est une pratique émergente qui comporte de nombreux risques. En cas de
voyage à l’étranger, le collaborateur d’une entreprise doit se préoccuper de la sûreté (les
risques humains comme la corruption ou les agressions) autant que de la sécurité matérielle
(sanctuariser son environnement de travail, chiffrer ses données…). Le nomadisme peut, dans
le cas d’un déficit de sécurité, devenir une catastrophe pour l’entreprise, dont le réseau peut
être très rapidement infecté. Pour terminer, le télétravail est aussi une situation de nomadisme
qui exige des précautions supplémentaires.
Isabelle TISSERAND
Docteur de l'EHESS, Coordinatrice du Cercle européen de la sécurité des systèmes d'information -
Paris (France)
En situation de nomadisme ou de voyages d’affaires, les risques humains ne doivent pas être
oubliés. Une personne VIP (médiatisée ou dont le savoir-faire est envié par exemple) peut être
approchée pour des raisons financières ou afin d’obtenir des renseignements stratégiques.
Pour ce faire, les agresseurs utilisent les vulnérabilités comportementales (goût pour l’argent,
appétence pour les voitures de sport, orientations politiques…) ou des méthodes violentes
(pressions psychologiques ou physiques, filatures sauvages…). Depuis peu, le fait de proposer
une protection est un moyen d’approche fréquemment utilisé.
Pour éviter ces risques, le collaborateur en situation de nomadisme ne doit pas divulguer
d’informations à caractère personnel, connaître les techniques de manipulation et s’informer
sur les codes culturels des pays dans lesquels il voyage. Il doit par ailleurs savoir que, du point
de vue comportemental, la fatigue, le stress et la distance affective sont des points faibles. En
somme, plus les Ressources Humaines sont informées, mieux elles sont protégées.
Denis LANGLOIS
Responsable du pôle menaces et vulnérabilités, Securymind - Paris (France)
Lors de séjours prolongés à l’étranger, il est essentiel d’allier sécurité informatique et sûreté
humaine. Trois lieux sont privilégiés dans l’attaque de données sensibles : d’une part, dans les
transports, il est important de surveiller ses affaires et de les protéger des regards indiscrets ;
d’autre part, lors du passage en douane, il est possible (sous le scanner d’objets) d’ajouter ou
d’enlever des informations ; pour finir, l’hôtel est une zone ennemie dans laquelle on se croit
chez soi. Or, c’est la zone de faiblesse par excellence, dans laquelle il faut surveiller en
permanence ses équipements. Pour éviter d’être victime d’attaques, il est possible de chiffrer
l’information, d’utiliser des Virtual Private Network 27 (VPN) ou de sanctuariser les espaces dans
lesquels on travaille.
La biométrie, invention française d’Alphonse Bertillon, est une manière fiable de prouver son
identité. Parmi les technologies actuellement disponibles – géométrie de la main, du visage, de
l’iris ou empreinte digitale – la reconnaissance faciale est la moins fiable, même si elle
présente l’intérêt de ne pas réclamer la coopération de l’utilisateur.
A l’avenir, des équipements mobiles utiliseront les technologies dites « à la volée » (On the fly
ou On the move ) qui sont moins intrusives. De plus, l’intégration de la 3D et la fusion de
plusieurs technologies (multi-biométrie combinant empreinte digitale et iris par exemple) vont
améliorer la performance de la biométrie. A terme, les mots de passe seront probablement
remplacés par des identifications biométriques.
Sébastien VILLAIN
Consultant en sécurité, SPIE Communications - Lille (France)
En 2009, la perspective d’une pandémie (Grippe A H1N1) a dynamisé les ventes de VPN et a vu
naître le token à la demande qui permet des connexions uniques. Le télétravail s’appuie
aujourd’hui sur la volonté de réduire les déplacements et leur impact écologique (pollution).
Ainsi, le télétravailleur utilise un ordinateur personnel ou celui d’un cybercafé, d’où la nécessité
de transporter de manière sécurisée son environnement de travail.
27
Ce réseau privé virtuel représente une extension des réseaux locaux ; il préserve la sécurité existant
à l'intérieur d'un réseau local
Nomadisme et malwares : « scénario catastrophe »
Nicolas BRULEZ
Malware senior researcher - Kaspersky Lab – Rueil-Malmaison (France)
Les supports amovibles (Clés USB, téléphones ou disques durs externes) sont généralement
utilisés à des fins personnelles et professionnelles. Si ce support est infecté ou si l’utilisateur,
connecté à la borne Wifi d’un hôtel, clique sur un lien malicieux (tel que le lien dans un
commentaire sur un site communautaire), il risque d’infecter son poste professionnel. En cas
de protection Internet défaillante, le malware peut se mettre à jour. Ensuite, il peut se
propager dans l’entreprise, suite à une connexion à son réseau à l’aide d’un VPN, ou par
branchement de la machine infectée directement au réseau. Finalement, le virus infecte les
fichiers exécutables mais aussi l’ordinateur du webmaster, qui met par exemple en ligne un site
institutionnel infecté. Microsoft, IBM, Vodafone ont récemment distribué des téléphones dans
lesquels étaient installés des malwares . En somme, toute l’entreprise est infectée à partir d’une
situation de nomadisme non protégée.
Le commerce du futur : sécurisation des données
et confiance du consommateur
Alors que 85 % des internautes utilisent des sites e-commerce, seuls 51 % disent avoir
confiance en ces sites. Et pour cause, la cybercriminalité ne cesse de se développer. L'identité
numérique est délicate à gérer. En outre, les internautes, tout comme les e-commerçants, sont
encore peu sensibilisés aux systèmes qui pourraient leur permettre de garantir la fiabilité de
leurs transactions. Pourtant, les initiatives et projets en ce sens se multiplient : projet
collaboratif FC 2 pour certifier l’identité numérique, certificats d’identité numériques, plate-
forme pour authentifier les produits vendus sur le Net ou encore système de sécurisation des
messages électroniques.
La cybercriminalité désigne l’ensemble des infractions pénales commises via les réseaux
informatiques. Or les réseaux évoluent très rapidement et les internautes prennent davantage
de pouvoir. Dans ce contexte, les e-commerçants doivent relever le défi de la sécurité, en
particulier celle de l’atteinte aux biens (fraude à la carte bancaire, vente d’objets volés…).
Selon une étude publiée le 23 mars 2010, alors que 85 % des internautes utilisent des sites de
e-commerce, seuls 51 % disent avoir confiance en ces sites. Près d’un acheteur sur deux craint
avant tout le piratage des données bancaires et personnelles. Quelles principales questions se
posent autour de l’identité des utilisateurs, dès lors qu’ils opèrent une transaction en ligne ?
Olivier MAAS
Project Management O&D – R&D, intervenant sur le projet FC²28, ATOS Worldline29 – Blois (France)
L’identité numérique apparaît dès lors qu’un internaute renseigne un formulaire avec des
données qui le concernent (nom, prénom, âge...). Le fait que les données soient déclaratives
limite les services proposés – comme l’ouverture d’un compte bancaire – qui, parce qu’ils
nécessitent la confiance du fournisseur du service vis-à-vis de l’internaute, ne peuvent pas être
dématérialisés. Dans la vraie vie, la présentation d’une pièce d’identité certifie l’identité, qui
n’est plus uniquement basée sur une déclaration. L’identité numérique est donc au cœur du
développement du commerce en ligne. ATOS Worldline participe au projet collaboratif FC2 sur
l’identité numérique. FC 2 souhaite valider une architecture interopérable et des composants qui
permettront de certifier l’identité en ligne, afin d’améliorer la confiance des internautes et des
fournisseurs de services. Les solutions qui seront développées devront être suffisamment
ergonomiques et ne pas rallonger le parcours des utilisateurs pour être acceptées. Pour le
fournisseur de services, le coût d’intégration devra être acceptable. Le prototype développé par
FC 2 a été favorablement accueilli, en particulier le lecteur de carte.
28
Fédération des cercles de confiance
29
Entreprise spécialisée dans le traitement des transactions électroniques sécurisées
Certificats d’identité numérique pour authentifier la fiabilité des
sites et des utilisateurs
Yannick LEPLARD
Directeur R&D Dhimyotis (entreprise spécialisée en cryptologie) – Lille (France)
Les certificats SSL 30 des sites Web assurent l’internaute qu’il se trouve bien sur le bon site et
rendent confidentielles toutes les données qu’il y entrera. Par ailleurs, les internautes peuvent
eux-mêmes se doter d’un certificat d’identité pour que les e-commerçants puissent les
authentifier. Les internautes ont alors un unique mot de passe pour tous les sites Web qui
utilisent des certificats numériques, et n’ont à délivrer leurs informations personnelles qu’une
seule fois. Récemment, un décret a instauré la norme PRIS/RGS pour que des entreprises
puissent être certifiées par l’Etat comme étant aptes à délivrer des certificats numériques aux
internautes. Les cartes d’identité numériques contribueront ainsi certainement au
développement du e-commerce, d’autant qu’elles sont simples d’utilisation. Reste encore à
sensibiliser les internautes sur l’existence de ces solutions de sécurité.
Xavier BARRAS
Directeur Innovation et Technologies GS1 France31 – Issy-Les-Moulineaux (France)
Les enjeux de l’authentification des produits vendus sur Internet sont importants, à la fois
pour l’internaute, la marque et le e-commerçant. Ce dernier doit à la fois contrôler
l’authenticité des produits qu’il vend, et celle des produits qui lui sont retournés. Au-delà des
produits de luxe, la contrefaçon s’attaque de plus en plus aux biens de consommation
courante. Aujourd’hui, les acteurs de la lutte contre la contrefaçon doivent s’organiser et aider
les commerçants à identifier les produits contrefaits. GS1 a ainsi lancé l’initiative
Estceauthentique.org pour faciliter l’échange d’informations entre celui qui veut authentifier
son produit et celui qui connaît les éléments qui permettent de le faire (éléments visuels,
numéros de série…).
Philippe LECLERC
Directeur informatique, Document Channel32 – Paris (France)
Document Channel a lancé le service « e.velop » pour instaurer la confiance dans les échanges
numériques entre un destinataire et un réceptionnaire d’un message électronique, assurer la
traçabilité du message, et trouver une solution interopérable pour sécuriser l’envoi de
courriels. L’expéditeur d’une « e.velop » s’identifie, crée son message puis l’envoie ;
l’enveloppe électronique cryptée « e.velop » est alors créée. Le destinataire reçoit une
notification contenant le lien qui lui permet de se connecter à l’espace sécurisé d’« e.velop ».
Le bureau de poste virtuel vérifie l’intégrité du message envoyé et authentifie l’identité de la
30
Secure Sockets Layer
31
GS1 définit des standards d’échange d’information entre entreprises, dans le domaine du
commerce, de la santé, du transport et du négoce des matériaux
32
Document Channel développe une offre pour améliorer la confiance dans les échanges numériques
personne qui demande à le lire. L’expéditeur est quant à lui prévenu à la réception et à la
lecture du message. Aujourd’hui, des informations telles que des codes secrets de comptes
bancaires peuvent transiter par « e.velop ». La première mesure de sécurité à prendre est de
faire preuve de rigueur dans la gestion des informations personnelles.
Eric DHAUSSY
Directeur du développement Arvato Services33 – Lille (France)
Pour lutter contre la cybercriminalité, les centres de relation client des entreprises qui vendent
des produits par Internet doivent avant tout être vigilants avec leurs processus. Ainsi, il
convient a minima de confronter les coordonnées du client qu’ils ont au téléphone avec celles
contenues dans la base de données, comme il faut être critique par exemple vis-à-vis des
commandes en très grande quantité. Par ailleurs, les communautés en ligne se multiplient et
sont le support de systèmes déviants (annonceurs peu scrupuleux, faux « amis »). Les jeux en
ligne notamment qui nécessitent de livrer des informations personnelles, parfois des
coordonnées bancaires, sont le lieu d’usurpation d’identité numérique. C’est pourquoi il est
indispensable de sensibiliser davantage les internautes et les commerçants aux enjeux de
sécurité.
Didier LIEVEN
Les acteurs du e-commerce ont donc pris à bras-le-corps le problème de la cybercriminalité.
De la salle
Comment l’internaute pourra-t-il contrôler l’utilisation de ses informations alors qu’elles seront
utilisées par différents sites détenteur d’un certificat numérique ?
Par ailleurs, pour que les certificats se développent, ils doivent s’accompagner de nouveaux
services : éviter d’avoir à se déplacer pour signer un prêt automobile, récupérer par Internet
des documents administratifs…
33
Leader de la relation client
Quels profils pour les futurs Responsables sécurité
des systèmes d’information (RSSI) ?
Pierre-Luc REFALO
Le métier de RSSI est apparu au début des années 1980s, avec la découverte des premiers
virus. Il a depuis fortement muté pour devenir un métier en plein essor. Dans un milieu de plus
en plus compétitif, la fonction de RSSI tend à devenir un métier de vocation. Toutes les
professions peuvent avoir besoin d’y faire appel car le risque informatique est désormais partie
intégrante de la sécurité globale de toute entreprise.
En 2009, la fonction de RSSI se consacre principalement à trois thèmes majeurs : la
protection du patrimoine immatériel (l’information), la protection des données
personnelles et la lutte contre la fraude. Le responsable sécurité assume en moyenne une
douzaine de rôles différents, allant de l’analyste des risques à celui de formateur en sécurité
informatique. Selon les cas, un RSSI peut présenter un profil de pilote, d’architecte (qui
élabore les plans de sécurité), ou d’administrateur (qui se positionne principalement dans
l’opérationnel).
Gérard LEYMARIE
Adjoint du directeur sécurité informatique et méthodes, Groupe ACCOR – Paris (France)
Le métier de RSSI connaît en effet une mutation profonde. A terme, les trois profils différents
qui peuvent caractériser un RSSI, devraient se fondre en un seul. Deux voies, l’ingénierie
technique et l’audit informatique, mènent au métier de RSSI. Ceci contribue à ce que
co-existent deux conceptions différentes du métier ; les uns disposent d’une bonne
compréhension des outils du RSSI tandis que les autres comprennent davantage la méthode et
les enjeux du métier. Dans les deux cas, cependant, l’offre de formation, bien que déjà
existante, reste à améliorer.
Portrait du RSSI : qualités, connaissances et savoirs essentiels
Le responsable sécurité doit être polyvalent : doté d’un socle de connaissances techniques (qui
assoient sa crédibilité), il possède des compétences en management, un savoir juridique et une
capacité à assurer une veille permanente sur son métier et sur son entreprise. De plus, le
métier exige des qualités humaines (pragmatisme, résistance au stress, pédagogie),
comportementales (adaptation culturelle, capacité à se remettre en cause, facilité à se créer
des réseaux).
Vincent LEROUX
Médecin des hôpitaux, co-responsable du pôle ingénierie de la santé et de la gestion des risques,
professeur l’école centrale de Paris, auditeur de l’IHEDN – Paris (France)
Liliane DENIS-CUSSAGET
Directrice de l’Institut informatique et entreprise (IIE), CCI du Valenciennois, commandant (RC) de la
gendarmerie nationale – Valenciennes (France)
L’IIE forme depuis 30 ans par alternance des spécialistes du développement informatique et
des réseaux. Depuis 2008, l’offre de formation s’est enrichie grâce à une nouvelle formation au
métier chef de projet en sécurité des systèmes d’information (SSI).
La thématique de sécurité de l’information est intégrée dans toutes les formations, pour que ce
ne soit pas uniquement une option d’étude, afin de proposer des métiers qui répondent aux
besoins des entreprises. La formation en alternance, conçues pour et avec les entreprises
permet aux élèves de développer une palette de compétences (techniques, gestion de projet)
et de qualités comportementales (résistance au stress) qui leur confère une certaine crédibilité
dans le milieu.
De la salle
Le métier de RSSI peut-il convenir à un débutant ?
34
L’hospitalisation à domicile s’accompagne désormais de technologie numérique
Liliane DENIS-CUSSAGET et Gérard LEYMARIE et Pierre-Luc REFALO
Il n’y a pas d’âge pour débuter, tout dépend de la maturité de la personne. Il est tout à fait
possible d’employer des débutants mais il est important de bien les encadrer et les
accompagner. A l’inverse, une personne qui connaît tout de l’entreprise mais débute
complètement en SSI peut devenir un très bon RSSI en quelques mois.
De la salle
Quels sont les liens entre intelligence économique (IE) et protection de l’information ?
Pierre-Luc REFALO
Il n’existe pas pour l’instant de modèle d’intégration entre IE et SSI, tout dépend encore de la
maturité et de l’appétence de l’entreprise. Historiquement, le SSI vient des assurances, tandis
que l’IE provient du monde de la défense. Deux logiques (assurance ou démarche de
protection stratégique) s’affrontent. Cependant, les deux notions seront peut-être fondues
dans le cadre de la sécurité globale.
De la salle
Dans le contexte actuel, le RSSI peut se retrouver à avoir à défendre ses budgets. Que peut-il
faire ?
Pierre-Luc REFALO
La sécurité est une entité dont l’utilité est de plus en plus reconnue. Le RSSI doit donc insister
sur ce point.
De la salle
Il est important de contraster le budget sécurité avec d’autres budgets : aujourd’hui, un
budget de sensibilisation à 10 € par personne et par an fait bondir, tandis que le budget café,
bien plus élevé, lui, ne choque personne.
Liliane DENIS-CUSSAGET
L’action la plus efficace pour souligner l’importance d’un RSSI est de montrer concrètement
aux entreprises, notamment aux PME, les risques qu’elles encourent.
Conclusion
Pierre-Luc REFALO
Les facteurs clés d’un RSSI, comprennent, entre autres, certaines capacités (savoir faire un
choix, et savoir proposer des solutions adaptées) et un certain charisme (il faut savoir
réseauter, et être un bon communiquant).
Cyberdéfense : quelle coopération public-privé
dans le cadre du livre blanc sur la défense et la
sécurité nationale ?
Publié en 2008, le livre blanc sur la défense et la sécurité nationale souligne l’importance que
prendront les cybermenaces dans les quinze prochaines années (botnets ). Les Etats ne
peuvent pas assurer seuls la cyberdéfense, c’est pourquoi les coopérations entre eux et avec le
secteur privé doivent se renforcer. Pour ce faire, il est primordial de bâtir un cadre de
confiance entre les partenaires, de replacer le facteur humain au cœur des dispositifs de
sécurité et de développer la prévention, la protection, la R&D et la promotion de normes dans
ce domaine.
Guillaume TISSIER
Directeur, Pôle risques opérationnels, Compagnie européenne d’intelligence stratégique (CEIS), Paris
Sébastien HEON
Senior manager, EADS - Elancourt (France)
Stanislas De MAUPEOU
Chef de projet cyberdéfense, THALES - Paris (France)
Dans son volet prévention, le livre blanc insiste sur la lutte contre l’apparition de menaces. Des
partenariats public-privé peuvent ainsi naître dans les phases d’avant-crise : traitement des
vulnérabilités, développement des exercices de sécurité, préparation de la gestion de crise.
Dans les phases de crise et de stabilisation, les industriels doivent être à la disposition des
Etats qui dirigent les opérations. Le livre blanc s’intéresse également à la protection face aux
agressions intentionnelles et non intentionnelles. Dans ce domaine, les réseaux résilients et les
clubs de travail sur la sécurité sont de bons espaces de partenariats. Ces partenariats doivent
se réaliser avec des industriels de confiance.
Philippe WOLF
Ingénieur général de l’armement, ANSSI - Paris (France)
Jean-Pierre DARDAYROL
Ingénieur général des mines, Conseil général de l'industrie, de l'énergie et des technologies - Paris
(France)
La cybercriminalité est avant tout une économie puissante, innovatrice et mondialisée. Les
botnets sont des réseaux de machines « zombies » (PC contrôlés par un tiers à l’insu de leur
utilisateur) commandés de façon décentralisée et sécurisée. Véritable « Cinquième colonne »
de l’Internet, ils pourraient y semer une grande paranoïa. La France intéresse les contrôleurs
de botnets , car elle appartient à la zone euro et dispose d’ordinateurs et d’un réseau puissants.
Les botnets permettent avant tout d’envoyer des pourriels, mais ils collectent également des
données bancaires et sont à la racine de délits de services. Des organisations terroristes
pourraient s’en servir. Pour lutter efficacement contre ces réseaux, les Etats, les Fournisseurs
d’accès à Internet (FAI) et les éditeurs de logiciels doivent coopérer, car aucune réponse
35
Computer Emergency Response Team
36
Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques
37
www.securite-informatique.gouv.fr
technique ne peut les détruire. Certains pays trouvent un intérêt à ces réseaux, et un code de
bonne conduite des Etats sur ce point devra être adopté mondialement. Les botnets
prolifèrent également par des PC domestiques souvent mal protégés : la formation des jeunes
utilisateurs est essentielle.
De la salle
Comment veiller à ce que des infrastructures non classées secret-défense mais néanmoins
stratégiques ne soient pas gérées par des sous-traitants à l’étranger ?
De la salle
Le monde politique français est-il vraiment conscient des problèmes liés à la cybercriminalité ?
De la salle
Où en est la coopération juridique internationale sur la cybercriminalité ?
38
http://conventions.coe.int/Treaty/fr/Treaties/Html/185.htm
39
Cette convention a été adoptée le 23 novembre 2001 et est entrée en vigueur le 1er juillet 2004.
Elle réunit 30 Etats signataires: les membres du Conseil de l'Europe, les Etats-Unis, le Canada, le
Japon et l'Afrique du Sud. Elle comporte trois objectifs: harmoniser les législations des Etats
signataires en matière de cybercriminalité, compléter les législations en matière procédurale et
améliorer la coopération internationale en matière d'extradition et d'entraide répressive
Conférence / La protection des systèmes
d’information (SI) : véritable enjeu de sécurité
nationale
Emmanuel SARTORIUS
Haut fonctionnaire de défense et de sécurité, Ministère de l'Economie Industrie et de l'Emploi (MEIE),
Paris
Gilles GRAY
Adjoint au délégué interministériel à l’intelligence économique, chef du pôle sécurité économique,
sécurité affaires intérieures et actions territoriales - Paris (France)
Depuis 2006, les autorités publiques ont recensé 5 000 agressions subies par les entreprises
sur le territoire français, dont 70 % étaient liées à des comportements humains. La délégation
40
Petites et moyennes entreprises, petites et moyennes industries
interministérielle à l’intelligence économique cherche donc à sensibiliser les entreprises à la
sécurité de leur SI. Ces dernières peuvent subir des attaques anonymes. Ainsi, à la veille d’un
défilé, le site Internet de Chanel a été piraté, de telle sorte qu’en cliquant dessus, une photo
d’un renard sanguinolent apparaissait. Mais l’Etat est très inquiet des risques que
peuvent faire encourir les salariés à leur propre entreprise. En effet, ces derniers
donnent de nombreuses informations sur leur entreprise via les réseaux sociaux ou des sites
comme www.notetonentreprise.com et peuvent ainsi porter atteinte à son image. Pour y
remédier, certaines entreprises ont d’ailleurs ajouté à leurs contrats de travail des clauses de
confidentialité.
La délégation interministérielle s’est également attelée à l’élaboration d’une formation
obligatoire en intelligence économique pour les grandes écoles de l’Etat, les universités…
Patrick PAILLOUX
Directeur général, ANSSI, Paris
Jean-Jacques HENRY
Directeur de la sûreté, SNCF, Paris
La SNCF a été désignée par l’Etat comme « opérateur d’importance vitale », parce qu’elle fait
circuler 10 000 trains par jour et alimente de nombreuses industries. Aujourd’hui, les SI sont
omniprésents dans son fonctionnement (système d’exploitation, information des voyageurs,
site de vente par correspondance…) et doivent donc être fiables. La SNCF est cible d’attaques,
comme en 2007 où ses serveurs ont subi 70 000 attaques en cinq heures : la SNCF a réagi
avec efficacité, mais sa messagerie est restée bloquée pendant 24 heures. La communication
de crise lors de tels événements est très délicate (il faut être transparent sans affoler) et doit
donc être préparée en amont. Afin de se protéger, la SNCF a structuré la sécurité des SI
en nommant dans chaque branche « de haut niveau » un responsable, aisément en contact
avec les dirigeants. Un processus d’analyse des risques et une démarche de maîtrise
progressive de ces risques font l’objet d’un suivi rigoureux. D’autre part, le plus grand danger
pour la sécurité des SI provenant de l’imprudence des hommes, la SNCF sensibilise donc ses
salariés. Cette sécurité passe également par la coopération avec l’Etat, les autres entreprises,
etc.
Yann JOUNOT
Préfet, Haut fonctionnaire de défense adjoint, Directeur de la planification de sécurité nationale,
ministère de l'Intérieur - Paris (France)
Le ministère de l’Intérieur a l’obligation de protéger son SI, d’autant plus que ses
responsabilités régaliennes touchent à la sécurité et à la liberté des citoyens. En outre, le livre
blanc sur la défense et la sécurité nationale renforce son rôle de maintien des capacités de
gouvernance de l’Etat sur tout le territoire.
La protection de chaque entité publique sur le territoire passe - sous le contrôle de l’ANSSI -
par la mise en place d’une politique de sécurité des SI, qui touche à la fois des questions
techniques, d’organisation et de formation (pour agir sur les comportements humains). Une
réelle gouvernance de la sécurité des SI est donc essentielle : il est nécessaire de se
préoccuper de la sécurité des SI dès leur conception, ainsi que de la mise en responsabilité des
chaînes humaines. La capacité à détecter les attaques est une des conditions de protection des
systèmes. Les outils d’analyse des risques doivent être simples, rationnalisés et ergonomiques
pour être utilisés correctement.
Le projet « Cyberdéfense » du ministère est un audit « en continu » de ses sites, afin de
vérifier qu’ils continueraient à fonctionner malgré les attaques et de repérer les mauvaises
utilisations des SI. Le ministère et l’ANSSI collaborent également sur la mise en place
d’observatoires zonaux (sept en métropole), pour diffuser la culture de la sécurité auprès des
services déconcentrés de l’Etat, des collectivités territoriales et des entités parapubliques.
Patrick PAILLOUX
Ces observatoires sont en quelque sorte des « clubs » qui fédèrent les acteurs, leur apportent
de l’information tout en faisant remonter leurs attentes au ministère.
La coopération doit également se développer sur le plan international, entre Etats et avec les
industriels. Elle a considérablement progressé récemment ; reste à améliorer la communication
envers les populations. En outre, les organisations qui nient faire l’objet d’attaques
informatiques ne sont pas crédibles.
Echanges avec la salle
Patrick PAILLOUX
Les grandes priorités de l’ANSSI sont d’augmenter la capacité de cyberdéfense et de se doter
de capacité de détection. Elle cherchera par ailleurs à développer des guides, des
recommandations et l’assistance pour les services publics et les industriels. L’agence
s’intéresse également à la problématique des infrastructures vitales. Par exemple, la mise en
réseau de toutes les machines dans les hôpitaux les rend vulnérables aux virus, et le ministère
de la Santé réfléchit à ce problème. Enfin l'ANSSI devrait avoir un centre de supervision des
systèmes de détection pleinement opérationnel en 2012.
Gilles GRAY
Effectivement. L’Etat cherche à faire passer le message de l’intelligence économique au monde
de la recherche, mais celui-ci étant un monde d’échanges, cela est très difficile. La délégation
interministérielle à l’intelligence économique travaille en outre avec l’ANSSI et la Direction de la
planification de sécurité nationale (DPSN) sur la sécurisation des plateformes des pôles de
compétitivité.
Patrick PAILLOUX
Ce guide est fait pour tous. L’ANSSI souhaiterait connaître les besoins des acteurs de terrain.
Gilles GRAY
La Confédération générale des PME a adressé un questionnaire à ses adhérents sur
l’intelligence et la sécurité économique : 47 % des PME ont en entendu parler, contre 5 % il y
a cinq ans.
Patrick PAILLOUX
L’ANSSI a mis en place un système d’évaluation de premier niveau permettant de certifier les
produits des entreprises 43. Elle créera également un label pour les prestataires de service, en
41
Très petites entreprises
42
Chambres de commerce et d’industrie
particulier d’audit. L’achat de produits labellisés par les utilisateurs incitera les industriels à
faire certifier leurs produits.
Patrick PAILLOUX
Il peut être pertinent pour une entreprise de vérifier l’ordinateur d’un collaborateur qui revient
de l’étranger. En revanche, il est impossible de blacklister les produits dans lesquels on ne peut
avoir confiance à 100 % : il n’en resterait quasiment aucun ! Microsoft a reproché à l’ANSSI
d’avoir diffusé une alerte à la vulnérabilité pour Internet Explorer.
43
Leur liste est consultable sur www.securite-informatique.gouv.fr et sur www.ssi.gouv.fr
Jeux d'argent en ligne : comment combattre les
sites illégaux ?
Pour réguler cet immense marché des jeux en ligne, une loi semblait nécessaire. Ses objectifs
sont clairs : lutter contre la fraude, le jeu excessif et l’accès à ces sites par les mineurs. Pour
appliquer la loi et délivrer les agréments légaux, l’Etat peut compter sur l’ARJEL et ses
instances. Mais ces initiatives suffiront-elles dans un environnement où l’identification des
joueurs et des opérateurs est rendue difficile ? Pour terminer, certains sites d’apparence légale
sont les lieux privilégiés de fraudeurs.
François TRUCY
Sénateur du Var, Rapporteur du projet de loi sur les jeux en ligne - Paris (France)
La loi sur les jeux en ligne entend réguler un marché qui voit fleurir des sites illégaux : sur les
3 milliards d’euros de chiffre d’affaires qu’ils génèrent, seul 1 milliard provient de sites légaux
(PMU et Française des jeux). Ainsi, cette loi de 58 articles crée l’Autorité de régulation des jeux
en ligne (ARJEL), qui distribue des agréments aux sites qui veulent entrer dans la légalité. Ces
derniers seront soumis aux obligations de la loi : conforter la politique de jeu responsable en
protégeant les mineurs et les joueurs fragiles – refus de l’accès aux interdits de jeu, messages
de prévention… – et assurer les ressources de l’Etat en luttant contre la fraude et le
blanchiment. En revanche, les responsables de sites qui proposeront une offre en ligne sans
disposer d’agrément risqueront 3 ans de prison et 90 000 euros d’amende, 7 ans et
200 000 euros s’il s’agit d’une bande organisée.
Frédéric EPAULARD
Secrétaire général de la mission de préfiguration de l'Autorité de régulation des jeux en ligne (ARJEL)
- Paris (France)
En l’absence de définition officielle, doivent être considérés comme illégaux tous les sites qui
n’ont pas obtenu d’agrément et qui s’adressent à la population française (par exemple, un site
en langue française qui propose de parier sur la ligue 1 de football). Pour lutter contre les sites
illégaux, l’ARJEL emploie différentes dispositions : interdiction de publicité dans tous les
médias, possibilité de saisir le président du Tribunal de grande instance (TGI) de Paris pour
stopper la diffusion d’un site auprès d’un fournisseur d’accès ou blocage des virements du
compte de l’opérateur vers celui des joueurs. Pour les sites qui demandent un agrément, le
collège de l’ARJEL étudie les dossiers à partir d’éléments techniques, économiques (provenance
des fonds) et juridiques. Cette instance espère que – suivant la promulgation de la loi – le
marché sera ouvert début juin, pour permettre les paris sur les matchs de la Coupe du monde
de football en Afrique du sud.
Cyril LEVY
Spécialiste des questions de sécurité liées au jeu en ligne, Agence Salamandre - Paris (France)
Face au nombre de sites de jeux en ligne (25 000), certains obstacles techniques freinent le
contrôle des sites illégaux. En effet, des outils extrêmement simples d’utilisation assurent
l’anonymat des internautes : programme Ultrasurf, site Anonymizer ou VPN virtuels qui
brouillent les adresses IP, seules à permettre l’identification et la localisation d’un joueur ou
d’un opérateur. Difficile, dans ces conditions, de déterminer si le joueur est français.
Par ailleurs, les opérateurs de jeu illégaux investissent massivement pour sécuriser leur
activité. Les combattre relève généralement de la partie de cache-cache, comme l’ont prouvé
de récentes procédures en Italie.
Frédéric ABADIE
Rédacteur en chef, Journal des casinos - Troyes (France)
Si l’industrie des casinos physiques est aujourd’hui bien régulée, celle des sites légaux peut
dissimuler des activités délictueuses. Par exemple, le Kahnawake – petite réserve du Québec
qui compte 8 500 habitants – héberge 400 sites de poker, dont Absolute Poker . Deux
administrateurs de ce site légal ont manipulé les cartes pour réaliser une fraude qui s’élève à
500 000 euros. Quand l’argent circule aussi vite, il est difficile d’évaluer si les joueurs sont
sincères et de déceler une fraude qui aurait lieu sur un site légal.
Se pose aussi la question des paris truqués, principalement en ce qui concerne le football
(90 % des cas). Ainsi, un réseau allemand a été démantelé en 2009 ; il avait truqué
200 rencontres dans 17 pays, dont 7 matchs du tour préliminaire de la Ligue des Champions. Il
s’agit une fois de plus de fraudes qui ont un impact sur les jeux en ligne.
De la salle
Quelles sont les garanties pour les mineurs ?
François TRUCY
Le joueur qui souhaite s’inscrire doit fournir sa carte d’identité et un RIB. Evidemment, un
mineur pourra toujours utiliser la pièce d’identité de son père…
Mais la procédure d’identification s’inspire de celle de la Française des jeux et du monde
bancaire ; le système français sera le plus strict d’Europe.
Frédéric EPAULARD
En ce qui concerne la lutte contre l’addiction, des audits et autres procédures permettent de
s’assurer que les sites s’engagent réellement contre ce phénomène.
Lutte anti-virale en environnement informatique
Aujourd’hui, les Systèmes d’information (SI) des organisations sont de plus en plus
interconnectés entre eux et gèrent de plus en plus d’activités. En parallèle, de nouveaux
malware 44 et vers (worms ) peuvent provoquer quasi instantanément des dégâts dans les SI et
engager la responsabilité pénale des utilisateurs. Ceux-ci ont pourtant du mal à saisir les
risques de ces attaques nouvelles, et ne se protègent pas assez. Pour contrer ces attaques,
différentes mesures doivent être prises : négocier les protocoles de sécurité des contrats de
maintenance des machines, collaborer avec les laboratoires antivirus et autres organisations,
etc.
Nobutaka MANTANI
Technical official, High-Tech Crime Technology Division, National Police Agency, Tokyo (Japon)
En mai et décembre 2009, le Japon a été largement touché par des attaques Gumblar45, dites des
attaques « drive by download ». Gumblar provoque des dégâts en injectant du java script dans le
code des sites web (plus de 200 sites touchés, dont des sites de grandes entreprises). Le java script
injecté endommage les sites et redirige les internautes vers des sites malveillants, qui infectent à leur
tour les ordinateurs de ces mêmes internautes (en y installant des malware). De plus, Gumblar
récupère les codes d’accès des serveurs FTP46 des sites infectés et s’en sert pour transmettre les
malware, ce qui accélère l’infection (réactions en chaîne).
Pour lutter contre Gumblar, les mises à jour sécurité de Windows et des logiciels anti-virus
(notamment contre les malware) sont primordiales. Les webmasters peuvent de plus, mettre à jour
leur site en passant par du FTPS47 ou du SSH48 au lieu du FTP traditionnel. Enfin, une surveillance
régulière des log d’accès au serveur FTP est également recommandée pour détecter toute activité
suspecte.
Philippe LOUDENOT
Fonctionnaire de sécurité des systèmes d'information adjoint, ministère de la Santé, Paris
Dans les hôpitaux, les SI sont désormais omniprésents, interconnectés entre eux et
télémaintenus. Ils sont donc particulièrement vulnérables aux attaques virales, or le monde de
44
Logiciel malveillant
45
Le nom est tiré du nom de domaine du site utilisé à l’origine pour lancer les attaques virales
46
File transfer protocol
47
FTP sécurisé
48
Secure Shell
la santé est peu sensible à leur sécurité. L’infection par Conficker49 de nombreux hôpitaux a eu
de nombreuses conséquences : rupture de la communication avec l’extérieur, pertes
financières, suspicion sur l’intégrité des données médicales, risque de poursuites pénales…
Pour parer ces attaques, il est primordial de définir le périmètre des SSI50, d’inventorier les
valeurs de l’entreprise (actifs), d’impliquer l’ensemble des acteurs dans la sécurité, d’ajouter
des clauses de sécurité dans les contrats de maintenance. Les utilisateurs doivent comprendre
également que ce qui n’est pas autorisé explicitement est interdit.
Garance MATHIAS
Les données médicales sont personnelles et sensibles et bénéficient d’une protection juridique
renforcée. Le droit appréhende les dommages et préjudices causés par les attaques, d’un point
de vue pénal (en cas de plainte) et civil (obligations contractuelles des prestataires).
Marc BLANCHARD
Epidémiologiste, directeur des laboratoires technologiques & scientifiques BitDefender, Montrouge
Depuis 1 an, de nouveaux vers (worms ) arrivent sur les ordinateurs via les moteurs de
recherche, les applications communicantes…, et plus seulement par mail. Les pirates utilisent
des technologies déportées, comme si plusieurs voitures faisaient passer une mitrailleuse en
pièces détachées à la douane : ils pénètrent une machine, ne l’infectent pas mais l’affectent en
installant un process en mémoire qui se fait référencer et récupère ensuite les exploits de
l’extérieur.
Ces vers ont une durée de vie très longue, car ils s’attaquent à l’environnement et non plus
seulement à un fichier. En cas d’attaque, les utilisateurs doivent contacter immédiatement leur
laboratoire antivirus et suivre scrupuleusement les procédures données, car les vers
capitalisent sur l’expérience et changent aussitôt de comportement. Avant même d’intervenir
sur la machine infectée, il faut la cloner physiquement, la mettre en quarantaine et la remettre
aux autorités. Aujourd’hui, un ver peut contaminer 160 000 machines en 35 secondes, et il
faut moins de quatre minutes pour exploiter les failles de sécurité d’un système.
Conficker
Cyrille RENAUD
Expert en attaques réseaux de malware, BitDefender, Montrouge
Conficker a stoppé pendant 1h les Domain Name Systems (DNS) locaux d’une grande société
française pour récupérer sa bande passante, mais les utilisateurs croyaient avoir perdu leur
connexion Internet. Le serveur a succombé à deux attaques d’environ 10 mn, de
49
Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique
qui est apparu fin novembre 2008
50
Sécurité des systèmes d’information
51
Littéralement ver orage, capable d’attaques foudroyantes
respectivement 60 000 et 47 000 requêtes envoyées. Quand le hacker a terminé, il a redonné
la main sur les DNS pour que l’administrateur ne reformate pas ses machines.
Il est donc primordial de fournir les logs du firewall à un laboratoire antivirus qui le demande,
pour détecter les méthodes d’attaques.
De la salle
Comment se protéger des patchs qui désactivent les firewall ?
De la salle
Quel est le statut juridique des logs ?
De la salle
Faut-il séparer les différentes parties d’un réseau ?
De la salle
Peut-on avoir confiance dans les antivirus ?
52
En tête de fichier informatique
Lutte contre les téléchargements illicites d’œuvres
multimédias
Les mesures de lutte contre le téléchargement illégal sont de plus en plus efficaces grâce aux
techniques innovantes de détection de fichiers contrefaits ; elles varient de pays à pays (au
Japon, le décrochage d’utilisateurs des réseaux de P2P montre l’efficacité des mesures) et ont
parfois du mal à être harmonisée (cas des modalités d’échange des données personnelles en
Europe). Dans le cadre de la lutte contre le téléchargement illégal, la France est dotée d’un
cadre législatif singulier, HADOPI, qui présente des difficultés juridiques et pratiques.
François HONNORAT
Avocat associé, spécialiste en droit pénal et économique, cabinet Racine – Paris (France)
Malgré la volonté des Etats membres d’unifier leurs approches de lutte contre les
téléchargements illicites, la création d’un espace juridique homogène demeure un objectif
idéal, qui se heurte aux marges d’appréciation étatiques, notamment en matière de collecte de
données. Ainsi, pour lutter contre le téléchargement illégal, la France a choisi de mettre en
place un dispositif singulier : la Haute autorité pour la diffusion des œuvres et la protection
des droits sur Internet (HADOPI). Cette autorité ne dispose pas de pouvoirs juridictionnels
(répression) mais peut collecter à un niveau administratif des données à caractère privé
d’utilisateurs qui téléchargent de façon illicite. Or, à l’exception de ce dispositif original en
France, l’accès aux données personnelles demeure en Europe du ressort du juge (appréciation
de l’opportunité de divulguer des données au Royaume-Uni). Les modalités d’échanges de
données personnelles au niveau européen restent donc à définir.
Yoshio YAMADA
Assistant director, High-Tech Crime Technology Division, National Police Agency – Tokyo (Japon)
53
Internet protocol
données ainsi que le vote de lois contre le téléchargement illicite contribuent néanmoins à ce
que des informations sur les fournisseurs de fichiers illicites soient rassemblées. Ces actions de
répression du téléchargement illégal ont été couronnées de succès : il a été constaté une
baisse conséquente du nombre d’utilisateurs se connectant aux réseaux de P2P (200 000
utilisateurs en moins sur Share en 3 mois en 2009).
François HONNORAT
Avocat associé, spécialiste en droit pénal et économique, cabinet Racine – Paris (France)
Pour lutter contre le téléchargement illicite, des techniques innovantes de détection ont été
développées. Elles font appel au concept de robustesse (persistance des informations malgré
les changements de format, de position, de dimension…) et au concept de similitude (entre
une base de données et un fichier). Ainsi, la détection par empreinte intègre ces concepts pour
la vidéo : les images d’une image sont caractérisées grâce à leurs zones remarquables (calcul
des points de minutie).
Marc PIC
Directeur des opérations techniques, Hologram Industries, Division Média, Advestigo – Paris (France)
Si la surveillance et le suivi des fichiers illicites peuvent être automatisés, l’apport de la preuve
de la contrefaçon est encore un grand chantier à mener.
La notion de hash (signature des fichiers) est exploitée pour surveiller Internet dans sa
globalité : tous les fichiers portant un hash qualifié en contrefaçon peuvent être
automatiquement reconnus. Toutes les personnes qui partagent ce fichier illicite sont donc
ensuite détectées. Dès lors que cette collecte de données d’utilisateurs est effectuée, les
agents assermentés peuvent compiler et sélectionner des adresses IP pour ensuite les
sanctionner selon le principe de riposte graduée, estampillé « HADOPI ». Néanmoins, pour
pouvoir le faire, la contrefaçon doit être obligatoirement caractérisée : un échange entre
l’agent et l’internaute doit donc avoir lieu pour que l’agent constate que l’internaute suspecté
dispose bien du contenu détecté dans une quantité non-négligeable.
Corinne THIERACHE
Avocat associé droit des TIC et propriété intellectuelle, présidente de l’association Cyberlex – Paris
(France)
De nombreuses difficultés sont attendues à tous les niveaux de la mise en place du nouveau cadre
législatif HADOPI : en amont du téléchargement illicite (obligation légale de sécurisation de l’accès,
complexe à circonscrire et à mettre en place), lors de la constatation du téléchargement illicite (remise
en cause de la fiabilité de l’IP, qui est pour l’instant la clef de voute de cette constatation), lors de
mise en œuvre de la riposte (doutes quant au respect du droit à l’information des internautes…) et
enfin lors de l’instruction des dossiers (manque de ressources, financières et humaines). Pour autant,
le caractère applicable des lois ne peut encore être jugé puisque leurs décrets n’ont pas encore paru.
Echanges avec la salle
François HONNORAT
Si les initiatives payantes habituent les internautes à ce que le contenu téléchargé acquière
une valeur forfaitaire, ce serait un progrès. Ainsi, à terme, les Fournisseurs d’accès Internet
(FAI) pourront intégrer dans le prix de leur forfait un droit à télécharger. Les initiatives
gratuites, qui ont vocation à protéger l’accès à l’information des internautes, n’ont, elles, pas
vocation à laisser télécharger n’importe quoi et ne présentent donc pas de risque dans la
répression du téléchargement illicite.
De la salle
Sous quel mandat considère-t-on le partage de fichiers dans le cadre du réseau Friend to
Friend ?
Corinne THIERACHE
Le Friend to Friend n’est pas la priorité des pouvoirs publics. Dans ce type de réseau, seule la
provenance du fichier est observée.
François HONNORAT
Le réseau Friend to Friend sera le vrai challenge du futur : les réseaux d’amis sont difficilement
pénétrables.
E-démocratie – Opportunités et menaces pour les
collectivités territoriales
Les collectivités locales recourent de plus en plus à Internet, y compris pour animer la vie
démocratique. Opportunité économique certaine, l’e-démocratie n’en soulève pas moins des
enjeux sécuritaires complexes (risque de piratage, de manipulation de données…). Ces
difficultés peuvent néanmoins être dépassées comme le montre l’expérience de la
Communauté de communes de l’Atrébatie. Des précautions permettent ainsi de se prémunir du
risque juridique que représente la gestion d’un site Internet, comme par exemple la
conservation des données d'indentification et une modération des propos. La création d’un
poste dédié à la sécurité des systèmes d’information comme c’est le cas à la Communauté
Urbaine de Lille (CUDL) est aussi un moyen d’instaurer une bonne gestion d’Internet. Enfin,
toute collectivité doit clairement délimiter le cadre de son usage d’Internet.
Avec la multiplication des procédures d’appel d’offres gérées en ligne ou la numérisation des
fichiers d’état civil, l’administration se dématérialise chaque jour un peu plus. Suivant le même
élan, la démocratie tend aussi à recourir à l’outil Internet. Quelles sont alors les opportunités
et les menaces de cette nouvelle tendance pour les collectivités territoriales ?
Bruno PIETRINI
Chargé de mission, Service TIC, Direction recherche, enseignement supérieur, santé, technologies de
l'information et de la communication, Conseil régional Nord-Pas-de-Calais - Lille (France).
Environ 1,7 milliard de personnes dans le monde ont accès à Internet, soit autant de citoyens
qui peuvent être consultés en direct par le biais d’Internet, grâce à une multitude d’outils
(blogs, forums, chats…). Dans un tel contexte, l’utilisation d’Internet, pour améliorer la
démocratie, devient incontournable. Le développement de l'e-démocratie est aussi très attractif
puisque de nombreuses opportunités économiques y sont associées. Ainsi, chaque nouveau
service (débat public, gestion de l’image…) requiert une solution numérique spécifique.
Hervé DELEERSNYDER
Chef de projet territoire numérique, Communauté de communes de l'Atrébatie - Avesnes-Le-Comte
(France)
Néanmoins, il ne faut pas négliger que sur le Net, comme ailleurs, les débats demeurent
l’emprise de ceux qui ont la capacité et la facilité de s’exprimer.
Me Martine RICOUART-MAILLET
Avocat associé BRM Avocats, Administrateur de l'AFCDP - Lille (France)
La gestion des données personnelles apparaît comme un autre défi à relever. D’une part, le
respect de plusieurs principes s’impose (droit à l’oubli pour les personnes ayant déménagé,
utilisation du fichier électoral pour les seules élections…) et d’autre part, la législation tend à
rendre obligatoire la notification de toute faille de sécurité à la CNIL55 voire aux personnes
concernées. Dans ce contexte, la désignation d'un Correspondant Informatique et Libertés,
(CIL) dans une entreprise, une collectivité locale ou une administration peut être judicieuse. En
effet, le CIL a une mission de sensibilisation et d'alerte.
Fethi CHAOUI
Responsable systèmes d'information, Lille métropole communauté urbaine (LMCU) - Lille (France),
54
Technologies de l’information et de la communication
55
Commission nationale de l’informatique et des libertés
Aujourd’hui, l’objectif est d’assurer une plus grande disponibilité du réseau Internet pour les
usagers de la CUDL en réduisant les défaillances électroniques qui peuvent générer la perte de
données ou l’arrêt des communications téléphoniques et ainsi mettre en péril l’image de la
CUDL. Peu à peu, un cercle vertueux se met en place pour assurer une sécurité permanente
des systèmes d'information.
Perspectives
François GARAY
Maire – Les Mureaux (France)
La municipalité des Mureaux travaille sur l’e-démocratie depuis 2001. Trois réflexions
principales émergent dans ce débat.
Tout d’abord, il est nécessaire, pour une municipalité de se doter d’un plan local d’urbanisme
d’information. Ensuite, l’espace virtuel doit non seulement être contrôlé mais aussi clairement
délimité. Ainsi, il faut décider jusqu’où cet espace virtuel peut être utilisé : pour permettre la
consultation d’informations, pour faciliter la vie des citoyens (services administratifs en ligne…)
ou bien pour créer une participation citoyenne active (référendum d’initiative locale organisé
sur internet par exemple) ? Enfin, ce projet doit s’inscrire dans une démarche de qualité.
SSI : rôle et responsabilité du chef d’entreprise
Dans une entreprise, la responsabilité des SSI incombe à son dirigeant. Celui-ci l’ignore trop
souvent et, méconnaissant les risques qui l’entourent, il ne prend donc aucune précaution.
Pourtant, cette responsabilité est très large et peut être liée aussi bien à un contenu
(téléchargement illégal de fichiers par un salarié par exemple) qu’à du matériel. Bien que
fastidieux à mettre en œuvre, un système de traçabilité de la responsabilité est très utile pour
identifier clairement l’origine d’une infraction. Par ailleurs, le télétravail, contrairement aux
idées reçues, est un autre moyen de renforcer la sécurité informatique de son entreprise.
Illustrations concrètes
La responsabilité du chef d’entreprise peut être mise en cause pour divers motifs comme la
pédopornographie (dès qu’un salarié utilise sa connexion professionnelle pour télécharger de telles
images). Le plus souvent, le chef d’entreprise est surpris par l’intervention des forces de l’ordre car il
ignore les risques encourus. Les politiques de sécurité informatique sont rares dans les entreprises et,
lorsqu’elles existent, sont souvent obsolètes du fait de l’évolution rapide des nouvelles technologies.
La plupart des grandes entreprises ont mis au point une politique de sécurité informatique. En
revanche, les TPE et PME ne mesurent pas l’ampleur des richesses qu’elles ont à protéger
(fichiers clients, archives…) et ne prennent donc aucune mesure pour assurer la sécurité de
leurs systèmes informatiques. Ainsi, les codes de sécurité sont rarement modifiés : un ancien
salarié malveillant peut donc aisément accéder à des données à caractère privé (coordonnées
des clients notamment) stockées sur le réseau de l’entreprise. Or, le chef d’entreprise a pour
obligation légale de sécuriser ces données. Lorsque la police ou la gendarmerie intervient dans
ces affaires, elle enquête mais tente également de sensibiliser le chef d’entreprise aux risques
encourus.
Blandine POIDEVIN
Avocat spécialisé dans le droit des nouvelles technologies, Jurisexpert, - Lille (France)
La plupart des affaires mettent en cause la responsabilité de l’entreprise en tant que personne
morale et non le chef d’entreprise en tant que personne physique. La responsabilité
informatique peut être liée à un contenu délictueux (atteinte à la vie privée, diffamation…) ou
au matériel mis à disposition des salariés. La responsabilité liée au contenu est très large car
elle est mise en cause devant un tribunal pénal dès qu’il y a facilitation de l’infraction. Ainsi, le
chef d’entreprise peut être inquiété en tant que fournisseur d’accès à internet – tant la
connexion fixe que nomade – pour ses salariés, ou en tant qu’hébergeur de contenus. Dès
lors, la sécurisation des données et des accès est indispensable.
En tant que cabinet, nous intervenons lorsque l’infraction est commise mais nous en profitons
aussi pour apporter des conseils (rédaction d’une charte, déclaration à la CNIL…) qui
préviendront d’autres risques éventuels.
La traçabilité de la responsabilité
Sébastien VILLAIN
Consultant en sécurité, SPIE Communications – Lille (France)
Plusieurs problèmes se posent lorsque l’on cherche à retrouver la trace d’une infraction et la
responsabilité qui en découle. Tout d’abord, les entreprises ne collectent généralement pas de
façon automatique les logs qui permettent de remonter à une adresse Ip. Ensuite, le stockage
de ces logs est difficile puisqu’ils représentent plusieurs téra-octets de données. Enfin, le
filtrage et la mise en relation des logs pour faire émerger une anomalie relève d’un travail
fastidieux.
Serge LE ROUX
Vice-président de l'Association française du télétravail et de téléactivités (AFTT), Gérant de CAP
Télétravail, Animateur du Réseau de recherches sur l'innovation (RRI) - Noordpeene (France)
Le télétravail, outre ses effets bénéfiques sur l’entreprise (accroissement de la confiance entre
salariés et responsables, développement de la créativité…), facilite aussi la mise en place d’une
politique de sécurité informatique. Dépendant de l’outil collaboratif qu’il utilise pour travailler
(pour échanger de données et d’informations avec ses collègues au bureau), le salarié devient
en effet acteur de cette politique. Auparavant, elle aurait au contraire pu être vécue comme
une contrainte supplémentaire. La méfiance française vis-à-vis du télétravail mériterait donc
largement d’être dépassée.
De la salle
La responsabilité des conseils ou des infos-gérants peut-elle être mise en cause ?
Blandine POIDEVIN
Tout conseil a obligation d’information. Dans ce cadre, il peut donc être mis en cause. Par
exemple, pour l’obligation de sécurisation des données personnelles, c’est à l’hébergeur de
prouver qu’il a bien informé le chef de d’entreprise de sa responsabilité dans le domaine (dans
le contrat ou dans une charte d’utilisation par exemple).
De la salle
Peut-on se décharger de cette responsabilité grâce à une délégation de pouvoir faite au profit
du directeur informatique ?
Blandine POIDEVIN
On peut procéder ainsi à condition que le délégataire dispose de toutes les responsabilités et
de tous les moyens entourant cette délégation.
Etablissements bancaires : gestion de la sécurité
des opérations en ligne
Le nombre croissant d’utilisateurs des services bancaires en ligne ne manque pas de poser des
questions de sécurité. Les cyberdéliquants profitent bien souvent du manque d’information de
l’utilisateur lui-même, qui prend des risques qu’il ne mesure pas (laisser une session ouverte,
se connecter depuis une borne Wifi publique…). Par ailleurs, des outils (token et codes non-
rejouables) permettent de renforcer la sécurité en ligne. Il ne reste plus qu’à les démocratiser
et informer le client…
Me Benoît LOUVET
Animateur, avocat spécialiste en droit des nouvelles technologies - Paris (France)
Les utilisateurs sont de plus en plus nombreux à se connecter à l’interface de leur banque pour
consulter leurs comptes ou effectuer des virements. Depuis peu, ces opérations en ligne
concernent aussi les Smartphones. Les conditions de sécurité sont-elles suffisantes ?
Gilles DUTEIL
Docteur ès sciences de gestion - HDR, Directeur du Centre d'études des techniques financières et
d'ingénierie (CEFTI) et du Groupe européen de recherches sur la délinquance financière et la
criminalité organisée, Expert judiciaire près la Cour d'appel - Aix-en-Provence (France)
Les banques qui proposent des opérations en ligne doivent se prémunir contre différentes
menaces. Il peut s’agir d’attaques externes d’organisations structurées, d’attaques internes à
la banque ou causées par le manque de précaution du client lui-même. Dans ce dernier cas, un
utilisateur peut se faire voler ses identifiants par phishing (pratique qui décline), pharming
(virus qui nous redirige vers un site d’apparence identique mais au contenu frauduleux) ou par
des key-loggers qui enregistrent ce que l’on frappe sur le clavier. Le client peut aussi prendre
des risques en mémorisant son mot de passe, en laissant une session publique ouverte ou en
utilisant les bornes Wifi d’un aéroport ou d’un hôtel.
Patrick PICHEREAU
Responsable de l'unité sécurité multimédia, Crédit Agricole Groupe - Paris (France)
Le Crédit Agricole sensibilise ses collaborateurs en interne, qui eux-mêmes transmettent les
bonnes pratiques à leurs clients. Les dispositifs d’authentification rendent moins efficaces les
attaques qui cherchent à soutirer des informations bancaires. Le phishing est ainsi en fin
de vie. En revanche, il faut redouter l’arrivée massive de malwares (logiciels malveillants)
qui, grâce à l’interaction de l’utilisateur, contournent les systèmes d’identification.
Alexandre STERVINOU
Expert sécurité, Banque de France - Paris (France)
Gil DELILLE
Responsable sécurité des systèmes d'information, Crédit Agricole Groupe - Paris (France)
Le pic de fraudes bancaires en ligne a eu lieu en 2004, ce qui correspond à la naissance des
sites et à l’inflation des opérations réalisables sur Internet. A l’heure actuelle, la sécurité
repose sur l’utilisation de clés non-rejouables délivrées par SMS, de cartes bancaires capables
de générer des codes uniques ou de certificats. Pour étoffer la gamme des services en ligne,
les banques travaillent au développement de la signature électronique – pour souscrire un
contrat d’assurance vie de chez soi par exemple. La veille et le suivi des menaces sont
essentiels pour détecter les fraudes avant qu’elles ne se développent.
Alain FAUVARQUE
Directeur de la sécurité des systèmes d'information, Crédit du Nord - Lille (France)
De la salle
Les utilisateurs sont-ils assez bien protégés des attaques ? Quel est le taux de réussite de ces
attaques ?
Gilles DUTEIL
En général, les gens possèdent les protections minimales livrées avec l’ordinateur. Le taux
d’efficacité du phishing est ridiculement bas : les fraudeurs envoient des spams (pourriels) par
millions en espérant obtenir quelques réponses 56. En outre, il arrive qu’une fenêtre apparaisse
sur votre écran et que l’utilisateur trouve la question technique ou complexe ; elle propose
ensuite de cliquer sur « oui » ou sur « non ». Les fraudeurs ont une chance sur deux de
pénétrer votre ordinateur.
De la salle
Pensez-vous que les clients soient assez sensibilisés sur l’utilisation des codes non-rejouables ?
Alexandre STERVINOU
Les utilisateurs ne connaissent pas encore suffisamment ces outils. C’est aux banques d’établir
la confiance, de les informer et de les éduquer.
56
Cependant selon Nucleus research Inc., les spams (pourriels) auraient coûté 71 milliards de dollars
en 2007 en terme de perte de productivité (temps passé à les supprimer, à s'en protéger...).
La cybercriminalité s’intéresse à votre santé
Philippe LOUDENOT
Fonctionnaire de sécurité des systèmes d'information adjoint, ministère de la Santé, Paris
L’intérêt sensible des données médicales offre un vaste champ d’action à la cybercriminalité. Le
domaine médical doit faire face à de nombreux risques qui n’ont pas tous été identifiés :
- la nuisance à la réputation d’une personne ou d’un établissement
- la problématique de la fausse information, en particulier véhiculée sur Internet, qui nuit
gravement à la santé des patients
- l’infection des Systèmes d’information (SI) des établissements hospitaliers, comme l’attaque
du ver Conficker en 2009, qui a paralysé plusieurs hôpitaux français
- les problèmes liés à la confidentialité des données de santé : aux USA, 8 millions de dossiers
médicaux ont été ainsi pris en otage contre une rançon
- la prise en main à distance d’un implant cardiaque
la vente illégale sur Internet de médicaments contrefaits et le trafic d’organes 57.
Aujourd'hui, les scanners et les IRM sont tous connectés. Il est nécessaire que les poistes de
santé soient criptés.
Le marché mondial des médicaments représente 700 milliards de dollars, dont 33 en France.
Or, les médicaments contrefaits représentent 10 % de ce marché, mettant ainsi en péril la
santé de leurs utilisateurs. Le principal vecteur utilisé pour le trafic est Internet : des
structures très organisées fabriquent ces produits en Asie, développent une chaîne de
57
Selon une étude du conseil de l’Europe, 5 à 10 % des greffes d’organes sont issues de trafic.
grossistes et de dealers et contactent via les spam les acheteurs, qui récupèrent leur livraison
par voie postale.
Sous l’égide d’Interpol, les services de police et de gendarmerie de 27 pays ont mené une
opération coup-de-poing sur les sites de vente de médicaments. En octobre 2009, 165 sites
français ont ainsi été repérés, dont 22 ont fait l’objet de procédures d’interpellation et quatre
ont subi une condamnation. Le parquet peut faire fermer ces sites.
Pour condamner ces trafics, nous nous appuyons sur la législation en matière d’exercice illégal
de la profession de pharmacien.
Dr Jacques LUCAS
Vice-président du CNOM, chargé des systèmes d'information en santé - Paris (France)
Christian SAOUT
Président du Collectif inter associatif sur la santé (CISS) - Paris (France)
Les associations de patients sont prêtes à accepter la libéralisation des échanges de données
de santé pour augmenter leurs chances d’être mieux soignés. Néanmoins, elles demandent un
profond respect des libertés individuelles, car la divulgation de données personnelles peut
atteindre à la réputation ou à la vie privée des personnes. Elles n’ont pas encore intégré
tous les risques liés à la sécurité informatique (notamment ceux liés à l’atteinte au bien
physique des personnes). Elles ont cependant demandé aux décideurs politiques de pénaliser
58
Organe consultatif européen indépendant créé par l’article 29 de la directive 95/46/CE
59
http://europa.eu/legislation_summaries/information_society/l14012_fr.htm
fortement les professionnels de santé mésusant des données personnelles, mais elles n’ont pas
été entendues, et se demandent si cela est pertinent.
Pour les patients, l’équilibre entre les bénéfices des échanges de données (obtenir les soins les
plus opportuns au meilleur moment) et les risques est donc difficile à trouver. Un débat de
société doit être mené à ce sujet.
De la salle
Combien de temps est-il nécessaire pour former le monde médical aux risques cybercriminels ?
Dr Jacques LUCAS
Afin de sensibiliser les professionnels de santé à ce problème, l’Agence des systèmes
d’informations partagés de santé (ASIP) organisera en 2010 des assises nationales sur la
protection des données. Des dispositions réglementaires comme le décret « confidentialité
relatif à la protection des données de santé » prévoient des dispositifs de formation, mais elles
ne sont pas applicables. L’Etat doit assurer sa mission régalienne sur ce point et organiser une
campagne publique sur la protection des données de santé personnelle.
De la salle
Pensez-vous agréer certaines sociétés pour aider les maisons médicales à gérer les données
des patients ?
Philippe LOUDENOT
Les vendeurs de solutions de gestion de bases de données ne sont pas formés aux problèmes
de sécurité.
Un document établissant les exigences minimales en cas d’intégration de matériel biomédical
sur un réseau d’établissement de soins a été réalisé par des Responsables de la sécurité des
systèmes informatiques (RSSI) et les ingénieurs et techniciens biomédicaux. Le service du haut
fonctionnaire de défense et de sécurité souhaite diffuser largement ce document, y compris en
Europe.
Dr Jacques LUCAS
Il serait également intéressant de s’inspirer du ministère belge de la Santé, qui garantit qu’il
prendra en charge les mises à jour des logiciels de sécurité, car cette exigence est relative à la
sécurité publique.
De la salle
Que pensez-vous du partage de l’information entre la Sécurité sociale et les mutuelles ?
Christian SAOUT
Le partage des données entre la Sécurité sociale et les mutuelles est régi au sein de l’Institut
des données de santé (IDS), mais cela ne fonctionne pas. Le partage s’est organisé hors de
cette institution, l’Etat a échangé l’accès des données de santé aux mutuelles contre un million
d’euros.
Dr Jacques LUCAS
La guerre informatique est déjà ouverte : les politiques publiques, qui ont été défaillantes sur
l’informatisation des systèmes de santé, doivent rattraper leur retard. Le futur conseil national
stratégique de l’informatisation de la santé devra comporter un volet sécurité.
Internet, au gré de ses évolutions, connaît des appellations différentes (actuellement web 2.0
pour le web axé sur les réseaux sociaux). En outre, ses nombreuses mutations posent
constamment de nouvelles questions sur son utilisation : faut-il instaurer un droit d’Internet ?
Que faire face à l’impact d’Internet sur nos comportements ? Actuellement espace sous régulé,
Internet influence nos moeurs. Il faut une éducation à cet outil (technique, sensibilisation à l'e-
réputation) et ce d'autant plus que semble apparaître un web 3.0 qui se détache de l’interface
traditionnelle de l’ordinateur pour s’incarner dans tous les objets quotidiens.
Historique du web
Jean-Paul PINTE
L’Internet actuel est à l’heure du web 2.0, à l’ère du web social. Le web de demain sera lui, un
web 3.0, sémantique (avec des puces Radio Frequency Identification ([RFID]60 notamment).
Louis POUZIN
Président d’honneur de la société française d’Internet – Paris (France)
Malgré ses 30 ans d’existence, Internet demeure toujours le même réseau expérimental qu’il
était à ses origines en 1974 : une base Transmission Control Protocol/Internet Protocol
(TCP/IP). Depuis, la base n’a pas été retouchée et toutes les avancées d’Internet ont été
effectuées au niveau de ses applications.
Louis POUZIN
Souvenons-nous qu’Internet est un espace de non droit et qu’il est impensable de le voir
comme un espace de droit commun. On pourrait toutefois songer à créer des espaces de droit
localisés, régionaux. Mais en l’absence d’un cadre juridique défini, Internet est largement
devenu une affaire de monopoles (Google, Microsoft).
Samuel MORILLON
Directeur général délégué, Cybion SA, co-fondateur d’Agoraxvox– Paris (France)
Pour le moment, un droit international du web n’est pas envisageable puisqu’Internet est un
espace sans contrôle. Néanmoins, le contrôle d’Internet devient de plus en plus un enjeu
fondamental, tant sur les réseaux classiques que les réseaux mobiles. Microsoft dépense
1 milliard de dollars en Recherche & Développement (R&D) chaque année, dont 80 % sont
60
En français, RFID signifie identification par radio fréquence
consacrés à la sécurité de Windows. De plus, l’émergence d’un Internet local ( e-commerce,
streaming ) accentue le besoin d’un droit régionalisé d’Internet.
Olivier LE DEUFF
Docteur en information - communication, spécialiste : culture de l’information et formation à
l’information, Ater en information - communication, Université Lyon 3 – Lyon (France)
Il n’y a pas de droit international du Web mais Internet est régulé par des normes techniques.
Eric DELCROIX
Expert en réseaux sociaux et web temps réel - Université de Lille III
Si l’on souhaite disposer d’un Internet qui conserve des droits par pays, il faut revenir au
minitel car Internet n’a pas cette vocation ! Pour autant, Internet devient de plus en plus un
espace de droit dans lequel subsistent des zones de non-droit. L’usurpation d’identité est l’un
de ces domaines peu légiféré.
Samuel MORILLON
Avec l’avènement de jeux qui créent des mondes virtuels (World of Warcraft ), les relations
entre individus évoluent et les tabous peuvent changer. Ainsi, selon les pays, entre 2 et 8
connections sur 10 sont liées à la pornographie. La haine est aussi véhiculée par Internet, avec
une ampleur sans précédent depuis 50 ans.
Oliver LE DEUFF
La haine « sort » du cadre des sites caractérisés comme violents et se croise à de nombreux
endroits du web. Ce phénomène réinterroge la liberté d’expression et les modes de contrôle du
web (censure, action judiciaire, sensibilisation…).
Samuel MORILLON
L’Internet moderne a rendu la relation à l’écran irrationnelle, émotionnelle, parfois addictive .
C’est le système de valeurs induit par cette nouvelle relation, qu’il faut éduquer et comprendre.
Eric DELCROIX
La publication de photos personnelles est un bon exemple de la différence de valeur entre la
jeune et l’ancienne génération ; pour autant, les jeunes ne sont pas si inconscients de leurs
actes qu’on pourrait le croire.
Jean-Paul PINTE
L’internaute averti du fonctionnement d’Internet peut aisément être référencé premier sur
Google, sans avoir forcément des choses à dire.
Oliver LE DEUFF
Notre société devient une société de veille, où chacun, grâce aux réseaux sociaux, veille sur
son identité numérique et celle des autres. L’apparition de nouveaux outils doit s’accompagner
de l’éducation nécessaire à la maîtrise de leurs usages
Samuel MORILLON
95 % des usages d’Internet relèvent d’une sorte de « fange numérique » et seule une élite
utilise le web pour transmettre un savoir (Ipad avec option vidéoconférence).
Eric DELCROIX
Internet n’est pas le grand village social si souvent décrit, ou seulement pour une élite. Pour
les autres, les novices, il représente un danger face auquel il faut des clés de lecture.
Jean-Paul PINTE
Est-il dangereux de laisser des traces personnelles ou professionnelles sur Internet ? Sur des
sites comme webmii.com , de nombreuses informations, parfois obsolètes, demeurent
accessibles dans le cimetière des pages Web. En cas d’usurpation d’identité, la réputation peut
être ternie de façon durable : l’ e-reputation est un phénomène qui prend de l’ampleur. Les
risques classiques vont augmenter avec le web 3.0, notamment pour la recherche frauduleuse
d'informations et les usurpations d'identité.
Olivier LE DEUFF
La crainte de laisser des traces ne doit pas gouverner notre navigation sur Internet. Mieux vaut
imposer ses propres traces, en construisant et en veillant à son identité numérique à long
terme (ne pas laisser apparaître des informations nuisibles).
Samuel MORILLON
Il y a beaucoup de bruit sur Internet, sur les informations personnelles, la réputation.
Cependant, en raison de ce bruit, l’information de qualité est difficile à trouver.
Jean-Paul PINTE
L’Internet des objets paraît étrange à ceux qui ne sont pas des digital natives comme l’est la
jeune génération : le Domain naming service (DNS) est remplacé par l‘ Object naming service
(ONS).
Olivier LE DEUFF
L’Internet des ordinateurs est voué à disparaître. La généralisation du protocole IPv6 (nombre
illimité d’adresses IP) changera la donne des interfaces d’Internet : demain, les objets (habits,
frigidaire) seront reliés à Internet.
Louis POUZIN
Le web des objets a aussi tendance à vouloir remplacer les personnes par des capteurs, ce qui
est inquiétant. Les processus automatisés sont de plus en plus complexes, sans qu’une
intervention humaine ne soit prévue en cas de problème. Une charte pour l’utilisateur devrait
parer à ces possibles défaillances.
De la salle
Un projet de loi souhaite introduire la notion de l’homo numéricus et propose de chiffrer les
données, d’instaurer un droit à l’oubli et à faire taire les puces Radio Frequency Identification
(RFID 61). Si ce projet présente de bonnes idées, il n’est pas réaliste : le droit à l’oubli est
encore difficile mis en œuvre sur Internet.
Samuel MORILLON
Le droit n’avance pas à la même vitesse que le web heureusement. L’Etat a pris conscience du
phénomène numérique et essaye de mettre en place une réponse juridique pérenne.
De la salle
De nombreux pays (Etats-Unis, Inde, Chine) sont en train de développer un web des
connaissances ( cyber-infrastructure) . Pourquoi n’est-ce pas le cas de la France ?
Olivier LE DEUFF
L’échange de données dans une cyber-infrastructure est un mythe. Un tel projet, de grande
ampleur, présente des risques, et il faudrait lui privilégier des petits projets, aux applications
concrètes.
Samuel MORILLON
Il ne faut pas attendre que l’Etat finance un tel projet, mais plutôt solliciter des financements
privés (avoir une approche business du Web, comme aux Etats-Unis).
61
En français, RFID signifie identification par radio fréquence
Cyberinfiltration
En France, plusieurs acteurs interviennent pour lutter contre la cybercriminalité. Parmi eux, le
STRJD se charge des enquêtes au niveau national. Le STRJD comprend deux entités : un
département de sciences du comportement (les profilers ) et une division de lutte contre la
cyberinfiltration qui fait l’objet de cette présentation.
La lutte contre la cybercriminalité est encadrée par la loi du 5 mars 2007 qui oblige les
policiers et gendarmes à disposer d’une habilitation pour participer à des missions de
cyberinfiltration. Cette habilitation les autorise à utiliser de fausses identités ou à entrer en
contact avec des pédophiles. La cyberinfiltration est un travail difficile et au « goût malsain »,
car elle requiert d’endosser le rôle d’enfants ou bien de pédophiles ; les enquêteurs bénéficient
donc d’une formation à cette technique en amont puis d’un suivi psychologique. En outre, ils
œuvrent toujours en binôme.
Enfin, contrairement aux idées reçues, la pédopornographie et la pédophilie ne sont pas les
actes de cyberdélinquance les plus nombreux : ils sont devancés par les escroqueries.
Le fonctionnement de la cyberinfiltration au Québec
La cyberinfiltration est utilisée au Québec dans des cas variés : pédopornographie, pédophilie
mais aussi vente de stupéfiants, fugues… Les enquêteurs québécois agissent via les chats
(MSN par exemple) et les réseaux sociaux (Facebook, Netlog…) où ils entretiennent en
permanence plusieurs profils et comptes qu’ils adaptent en fonction des affaires en cours.
Bien qu’elle soit reconnue comme technique d’enquête, la cyberinfiltration fait l’objet au
Québec d’un vide juridique. Rien ne l’interdit mais rien ne l’autorise non plus. Les enquêteurs
sont donc simplement attentifs à ne pas commettre d’infraction au code criminel, en vérifiant
par exemple que les identités qu’ils utilisent sont bien fictives.
Craig S. HOTALING
Superintendent, Cyber Operations and Investigations US, AFOSI – Vogelweh (Allemagne)
Créée en 1948 par le FBI, l’AFOSI est une agence fédérale de service répressif. Son siège est à
Washington D.C. mais elle possède d’autres unités aux Etats-Unis et à l’étranger (Allemagne,
Japon…). Dans le cadre de la lutte contre la cybercriminalité, elle mène des enquêtes avec le
concours de la police locale ou fédérale.
En ce qui concerne la lutte contre la pédopornographie, la loi américaine interdit de voir,
télécharger ou distribuer des images à caractère pédopornographique. L’exploitation des
mineurs (à des fins pornographiques) est aussi illégale. Munis d’un mandat, les agents de
l'AFOSI peuvent aussi accéder à l’ordinateur personnel d’un individu aux agissements
suspicieux.
Les enquêteurs de l’AFOSI sont spécialisés dans l’analyse de systèmes informatiques et de
fichiers médias et utilisent les technologies les plus récentes. Ils doivent être vigilants dans
leurs procédures d’enquêtes car, lorsqu’une affaire paraît devant la justice, les avocats de la
défense s’empressent de chercher une faille dans le dossier.
Si la contrefaçon est surtout connue pour les produits de luxe, elle couvre en réalité un large
spectre de marchandises (jouets, vêtements, médicaments, jeux vidéos…). On évalue la valeur
de la contrefaçon à 5 % du PNB mondial. Quelles sont les solutions pour freiner la progression
de ce fléau sur le Net ?
Christophe ROQUILLY
Professeur, Directeur du centre de recherche Legaledhec, Ecole des hautes études commerciales du
Nord (EDHEC) - Lille (France)
La contrefaçon constitue un risque pour l’entreprise qui a donc tout intérêt à réduire les
incertitudes qui l’entourent pour mieux le maîtriser. Face à la contrefaçon, les entreprises
peuvent se trouver dans différentes positions : certaines sont responsables d’un comportement
de contrefaçon, d’autres en sont victimes et d’autres encore sont à la fois victimes et
responsables (Ebay, par exemple, véhicule à son insu des produits contrefaits).
Myriam QUEMENER
Magistrat au Parquet général, Cour d'appel - Versailles (France)
Les comportements de contrefaçon sont de plus en plus nombreux s’inscrivent de plus en plus
dans une logique de réseaux. Pour tenter d’enrayer ces développements la législation française
s’est renforcée. Ainsi, la loi du 9 mars 2004 a accru les sanctions pour contrefaçon et
l’infraction est de nature aggravée lorsqu’elle est commise en ligne.
Bien que complet, l’arsenal législatif français n’en demeure pas moins sous-utilisé. Une
spécialisation des parquets, une meilleure coordination des actions pénales et douanières ou
encore une mutualisation des informations sont autant de moyens qui pourraient renforcer
l’optimisation de l’activité pénale en matière de contrefaçon.
Massimo GRILLO
Colonel, chef du service des relations internationales, quartier général de la Guardia di finanza - Rome
(Italie)
La Guardia di Finanza est une police financière qui dépend du ministère de l’Economie et des
Finances italien, et l’une de ses missions est la lutte contre la contrefaçon. Lors d’une affaire
récente, l’enquête s’est déroulée en deux phases successives. L’enquête a commencé tout
d’abord par l’analyse et la surveillance des enchères de certains produits d’une grande marque
italienne sur le site Ebay. Ensuite, la détection du premier fournisseur a permis de retrouver le
fournisseur italien ainsi que les entrepôts de stockage des produits contrefaits.
Cette affaire a mobilisé 500 agents et officiers ; elle a permis de retrouver 600 000 biens de
contrefaçon. Par ailleurs, 148 personnes ont été déférées à l’autorité judiciaire.
Christian TOURNIE
Chef d’escadron, expert national détaché, Direction générale justice, libertés et sécurité (DG/JLS) -
Bruxelles (Belgique)
La lutte contre la contrefaçon est un enjeu européen majeur, car elle permet de protéger
l’innovation et le marché intérieur. Dans ce cadre, l’Union Européenne a tout d’abord procédé à
l’harmonisation du droit de la propriété intellectuelle. Ensuite, le règlement douanier, en date
de 2003, permet d’améliorer le contrôle des biens et en favorise la rétention en cas de soupçon
de contrefaçon. Une directive de 2003 contraint aussi les États membres à mettre en place des
sanctions et des mesures suffisamment dissuasives en matière de contrefaçon. En outre, dans
le champ pénal, une proposition d’harmonisation est en cours d’élaboration. Enfin, un plan
européen global de lutte contre la contrefaçon et le piratage a été mis en place. Il a
notamment permis la création de l’Observatoire européen pour la contrefaçon et le piratage.
Martin GRASSET
Avocat spécialiste en droit des marques, dessins et modèles - Lille (France)
La contrefaçon est une activité très lucrative. Les gains sont importants et les risques, tout du
moins en France, sont en comparaison dérisoires (5 ans de prison ou 500 000 € d’amende).
Plusieurs arrêts récents de la Cour de Justice de l’Union Européenne (CJUE) tendent à alléger
de plus en plus la responsabilité de l’annonceur (par exemple Ebay ou Price Minister…). En
dépit de cette évolution, les plateformes de vente aux enchères en ligne et les grandes
marques ont signé, en France, une charte pour lutter contre la contrefaçon. Si elle a le mérite
d’exister, cette charte n’en est pas pour autant contraignante. La création de la cyberdouane,
en 2009, constitue une autre avancée. Malheureusement, ses effectifs demeurent restreints
(15 personnes seulement).
Plusieurs perspectives restent à exploiter comme la signature d’un accord entre l’Union des
fabricants (UNIFAB) et Google ou l’obligation d’afficher un jugement pour contrefaçon sur le
site poursuivi.
Colloque OSCE: Une approche globale de la cyber-
sécurité
Intervenants: Kurt EINZIGER, membre du conseil de l'ISPA, ancien président de l'Euro ISPA,
Marco GERCKE, Director Cybercrime Research Institute, Evan KOHLMANN, Consultant
terrorisme international Globalterroalert, Nemanja MALISEVIC, Associate programme officer
OSCE, Raphael PERL, Head of Anti-Terrorism Issues OSCE, John ROLLINS, Specialist in
Terrorism and National Security Library of Congres, Mirco RORH, Kaspersky Labs GmbH, Keith
VERRALLS, Detective Inspector Counter Terrorism Command New Scotland Yard
On 1 April 2010, the OSCE Action against Terrorism Unit (ATU) organized an expert panel at
the Fourth International Forum on Cybercriminality , in Lille, France to discuss responses,
countermeasures and the way forward in securing cyberspace. Building on previous efforts by
the OSCE, the panel focused on a comprehensive approach to cyber security - an
approach that strengthens national security; tackles cybercrime; inhibits terrorist use of the
Internet; takes into account all possible risks and threats, and enables authorities to protect a
wide spectrum of targets, from the individual Internet user to critical infrastructures. Concrete
recommendations and suggestions made by participants of the OSCE expert panel include the
following62:
62
These suggestions and recommendations are not to be interpreted as official OSCE recommendations based on a consensus
decision. They reflect opinions expressed by panellists and do not represent an official OSCE position, or that of any particular
OSCE participating State.
Cyber security should be proactive rather than reactive. This includes the need to
share intelligence among relevant stakeholders in a timely manner but also to develop
national and international emergency plans/disaster recovery to enhance preparedness and
resiliency in response to cyber incidents. Awareness of decision makers needs to be raised
regarding the fact that the Internet itself is a critical infrastructure and needs to be
protected accordingly.
End-user education should be significantly improved. Internet users remain the weakest
link in terms of cyber security. Raising awareness and continuously educating Internet
users on how to stay safe online is essential.
Dans le cadre du 4ème Forum International sur la Cybercriminalité tenu à Lille les 31 mars et
1er avril 2010, l’Unité d’Action contre le Terrorisme (ATU) de l’OSCE a organisé un panel de
discussion sur les différentes étapes à suivre et possibles contre-mesures à adopter pour
sécuriser l’espace numérique. Le panel d’experts, réuni par l’OSCE dans la continuité de ses
précédentes activités en la matière, a mis l’accent sur le besoin d’une approche globale de
la cyber-sécurité. Cette approche comporte plusieurs enjeux : le renforcement de la sécurité
nationale ; la lutte contre la cybercriminalité et l’utilisation d’Internet à des fins terroristes ; la
prise en compte de l’ensemble des risques et menaces ; et la capacité des pouvoirs publics à
assurer la protection d’une multitude de cibles potentielles, allant de l’utilisateur Internet
lambda aux infrastructures sensibles. Voici certaines des recommandations et suggestions
concrètes avancées par le panel modéré par l’OSCE 63:
L’amélioration globale de la sécurité numérique nécessite un renforcement de la
coopération internationale. Les menaces numériques sont de nature globale et ne
peuvent dès lors être résolues que de manière globale. Il faut donc harmoniser les
législations nationales et internationales en ce sens. Il serait également utile de tenter
d’évaluer, par la collecte de données fiables, l’efficacité réelle des initiatives nationales et
internationales existantes en matière de cyber-sécurité.
Les partenariats public-privé (PPP) visant à l’amélioration globale de la cyber-
sécurité doivent être encouragés. Les compétences et connaissances techniques du
secteur privé doivent être mises à contribution de manière systématique. Cela requiert
l’élaboration d’un cadre législatif et réglementaire clair et l’intensification de la
collaboration entre les autorités et les Fournisseurs d’Accès à Internet (FAI), en particulier
sur les questions de divulgation et protection des données.
La coopération au niveau opérationnel doit être renforcée, car d’elle dépend
notamment l’efficacité de la réponse aux incidents numériques. Dans le cas des services
de protection civile, il conviendrait de mettre en place des lignes de communication en
temps réel. Quant aux systèmes judiciaires, il faudrait les doter de procédés efficaces
assurant la recevabilité de preuves auprès des tribunaux compétents. Il conviendrait
également d’envisager la nomination d’agents de liaison entre toutes les parties
concernées.
63
Ces recommandations et suggestions ne sont que le reflet d’opinions exprimées par les participants du panel d’experts et ne
peuvent en aucun cas être interprétées comme position officielle de l’OSCE ou de l’un de ses États participants.
La cyber-sécurité doit être abordée de manière proactive et non réactive. Il est
non seulement indispensable que les différentes parties prenantes partagent leurs
informations de manière diligente, mais il faut également veiller à la mise en place de
plans d’urgence et de reprise d’activité, aux niveaux national et international, renforçant
les capacités de préparation et de résilience face aux incidents numériques. Il est par
ailleurs indispensable de sensibiliser les décisionnaires au fait que l’Internet est une
infrastructure sensible en soi, qui doit être protégée en tant que telle.
L’éducation des internautes doit être considérablement développée car ils
demeurent le maillon faible en matière de cyber-sécurité. Il est essentiel d’œuvrer vers
une sensibilisation et un effort d’éveil constant de l’ensemble des utilisateurs de l’Internet
aux précautions nécessaires au maintien de leur sécurité dans l’espace numérique.
Conférence plénière de clôture / Droit à l'oubli sur
le Web : ultime protection de l'identité
numérique ?
La question du droit à l'oubli se pose notamment dans le cadre des réseaux sociaux qui ont
tendance à rendre public par défaut toute information publiée. L'e-réputation est une question
centrale pour l'internaute ou l'entreprise, toute information publiée sur le web laisse des traces
qui peuvent servir ou déservir cette réputation numérique. Le droit à l'oubli, alors qu'il peut
nuire à la bonne administration de la justice, ne fait pas l'objet d'un consensus international et
ne remplacera pas les législations nationales; il n'apparaît donc pas comme une solution
immédiate contrairement à l'éducation des internautes.
Jacques HENNO
Journaliste indépendant, auteur, conférencier spécialiste N'Tech – Paris (France).
Quand on pense au droit à l’oubli, on pense à Facebook, à ses 400 millions d’utilisateurs et aux
trois millions de photos publiées chaque mois. On pense aussi au récent changement de la
politique de confidentialité du site, qui rend publiques toutes les informations d’un profil. Dans
ce contexte, comment protéger les adolescents d’eux-mêmes ? Les jeunes ont-ils vraiment
conscience des risques que peut entraîner la publication de ces photos ?
Alex TURK
Sénateur du Nord, Président de la Commission nationale informatique et libertés (CNIL) – Paris
(France)
Je conçois aisément que ces photos puissent gêner des adolescents dans leur avenir. La
réponse de la CNIL repose sur la pédagogie et l’intérêt de préserver son intimité. Il faut
impérativement aller contre l’idée du « je n’ai rien à cacher » et ne pas confondre légitimité et
intimité. Mark Zuckerberg, le créateur de Facebook, a affirmé qu’il nous fallait revoir notre
définition de l’intimité. Je m’oppose à cette idée, en réaffirmant le devoir de protéger nos
droits fondamentaux et de mettre la technologie à notre service.
Jacques HENNO
Ainsi, 14 % des DRH français affirment avoir déjà écarté un candidat en raison de sa
réputation en ligne64.
Alex TURK
Il faut aussi dire aux jeunes que les policiers en apprennent plus sur eux sur Facebook qu’en
consultant le Système de traitement des infractions constatées (STIC) ou le fichier Edvige65.
64
Le chiffre atteint 70 % aux Etats-Unis
65
Exploitation documentaire et valorisation de l'information générale
« Etre le gendarme de ses propres données »
Yves DETRAIGNE
Sénateur de la Marne, Co-auteur du rapport “La vie privée à l'heure des mémoires numériques” et de
la proposition de loi visant à “Mieux garantir le droit à la vie privée à l'heure du numérique” – Paris
(France)
Il est essentiel de rendre l’internaute conscient des risques qu’il peut prendre face à son écran,
et en particulier lorsqu’il livre publiquement des informations personnelles. En somme, il s’agit
d’être le gendarme de ses propres données. C’est d’autant plus le cas quand des parents ne
sont pas en mesure d’alerter leurs enfants. Actuellement, le Brevet informatique et Internet
(B2I) que passent les collégiens relève plus de l’apprentissage technique que de la
sensibilisation aux éventuels risques.
Il y deux objectifs majeurs: mettre l'internaute en situation de pouvoir connaître ses droits et
le rendre conscient des risques éventuels sur internet.
Jacques HENNO
Faut-il envisager un droit à l’oubli numérique professionnel ?
Me Blandine POIDEVIN
Avocat spécialiste dans le droit des nouvelles technologies – Lille (France)
Puisque l’entreprise conserve un grand nombre de données – l’historique des connexions par
exemple – le droit à l’oubli doit aussi concerner la sphère professionnelle. Combien
d’utilisateurs utilisent leur messagerie personnelle dans un cadre professionnel ? Combien
utilisent Facebook dans le cadre de leur travail ? Aussi suis-je favorable à ce que la législation
nationale s’applique à l’utilisation des réseaux sociaux66. En somme, le droit à l’oubli impose de
définir à la fois la durée de conservation des données et la finalité des données stockées.
Jacques HENNO
En ce qui concerne ce droit à l’oubli, l’argument technique est-il recevable ?
Me Martine RICOUART-MAILLET
Avocat associé BRM Avocats, Administrateur de l'Association française des correspondants aux
données personnelles (AFCDP) – Lille (France)
Je ne crois pas que Google puisse arguer d’une difficulté technique, lui qui peut être prompt à
blacklister ou à déréférencer un site quand il le souhaite. Il faut bien savoir que les acteurs
américains de l’Internet conçoivent les contraintes légales comme autant de censures. En effet,
ils partent du principe que les internautes, pleins de bon sens et de courtoisie, doivent prendre
leurs responsabilités.
66
Pour l’heure, les utilisateurs de Facebook sont soumis à la législation californienne
Yves DETRAIGNE
Aux Etats-Unis, les failles de sécurité – qui aboutissent au vol d’informations par exemple –
doivent être déclarées et sont sévèrement punies. En France, il n’existe aucune obligation. Une
telle contrainte pousserait les gestionnaires de sites à prendre des dispositions et rassurerait la
personne dont l’entreprise utilise les données.
Il est nécessaire de développer des technologies « privacy by design »; undispositif de
notification des atteintes au traitement des données personnelles a été approuvé le 23 ami au
Sénat; c'est une bonne chose: la politique de sécurité sera pensée en amont.
Jacques HENNO
Qu’en est-il de la transparence des entreprises par rapport aux failles de sécurité ?
Il est nécessaire de considérer la gestion des incidents de sécurité de façon positive. En cas
d’incident, il faut que l’entreprise identifie les problèmes techniques qu’elle a rencontrés, les
solutions judiciaires capables de punir l’attaque et les mesures correctrices pour éviter de
nouveaux incidents. Le droit à l'oubli ne doit pas nuire à l'insécurité: quand on a commis un
délit sur internet, il faut pouvoir en identifier l'auteur.
Notre devoir est de préserver les libertés ; le droit à l’oubli en est une dans un pays où nous
pouvons bénéficier de la prescription, de la publication anonyme des sentences judiciaires…
Jacques HENNO
Le droit à l’oubli serait-il une exception française ? Comment réussir à convaincre les
Américains ?
Alex TURK
Le droit à l’oubli n’est pas une invention française. Les grands acteurs américains de l’Internet
considèrent qu’ils n’ont pas à appliquer le droit européen sur notre territoire. Aujourd’hui, une
quarantaine d’Etats – ce qui représente 10 % de la population mondiale – partage notre
conception sur le droit à l’oubli. Notre objectif est de faire adhérer la Chine, la Russie, les
Etats-Unis, les pays africains…
Malheureusement, nous aurons besoin d’une vingtaine d’années pour y parvenir et d’ici-là, la
société numérique aura encore changé.
Jacques HENNO
Y a-t-il tout de même une lueur d’espoir ?
Alex TURK
Lors du changement de la politique de confidentialité de Facebook, 100 000 utilisateurs – sur
400 millions – ont réagi négativement.
Yves DETRAIGNE
Aujourd’hui, les applications numériques sont considérées du point de vue utilitaire – elles
nous simplifient la vie –, ce qui nous éloigne des risques liés à la généralisation de la société
numérique.
Dans une loi future, un utilisateur victime de l’utilisation non désirée de ses données pourrait
saisir un juge dans le pays où est hébergé le serveur. Cette règle, qui permettrait alors de
passer outre les frontières, existe déjà dans le droit de la consommation.
Jacques HENNO
La définition de l’identité numérique est-elle la même pour nos voisins européens ?
Blandine POIDEVIN
On peut déjà se demander ce qu’est une identité numérique : est-ce un identifiant et un mot
de passe ?
Martine RICOUART-MAILLET
Le droit à l’oubli numérique n’est pas inscrit dans les textes de loi belges. En revanche, cette
notion peut devenir un argument pour certaines décisions, en lien avec les lois sur la vie
privée.
Jacques HENNO
Vos homologues étrangers vous donnent-ils facilement accès aux traces des cyberdélinquants ?
Eric FREYSSINET
Les grands groupes privés américains disposent de services de police extrêmement actifs.
Quand nous nous intéressons à un site dont le nom de domaine s’achève par .fr, ils nous
donnent accès à leurs données. Nous rencontrons certes des problèmes de délai, de traduction
ou d’incompréhension, mais nous constatons de réelles avancées.
Pour mener efficacement nos enquêtes, nous devons expliquer aux citoyens où se situent leurs
informations et pourquoi nous en avons besoin pour travailler.
Jacques HENNO
Ce droit à l’oubli numérique ne risque-t-il pas de nous faire oublier les fichiers commerciaux
classiques, au format papier ?
Alex TURK
Cette réflexion sur le droit à l’oubli numérique est une démarche complémentaire ; elle ne
remplacera pas les autres législations.
Yves DETRAIGNE
Je me réjouis de la généralisation des correspondants informatique et libertés dans les
entreprises. Nous notons tout de même qu’ils sont plus nombreux dans le secteur privé que
dans les collectivités publiques, moins sensibilisées à la sécurisation de leurs données et moins
conscientes des risques.
Eric FREYSSINET
Je tiens à rappeler la grande transparence concernant les bases de données judiciaires : elles
sont toutes connues du grand public et font l’objet de textes réglementaires. Lorsqu’un policier
ou gendarme veut accéder à ces fichiers, un suivi de sa consultation en assure la traçabilité.
En revanche, je nourris plus d’inquiétudes en ce qui concerne les grandes entreprises qui
fichent leurs salariés sans notre consentement.
De la salle
Pourquoi ne dispose-t-on pas encore d’une convention internationale ?
Alex TURK
A l’heure actuelle, la ratification d’une telle convention internationale semble très complexe.
Or, quand 45 % du commerce mondial se fait entre les Etats-Unis et l’Europe, il semble
important d’y réfléchir. Par ailleurs, pourquoi ne pas faire un Kyoto des données personnelles,
car il s’agit d’un enjeu à la fois pour nos concitoyens et pour le commerce international ?
De la salle
Il est techniquement impossible d’effacer toutes les traces d’un internaute. Plutôt que
d’intenter un procès à Facebook, je pense qu’il est préférable d’éduquer les utilisateurs.
Alex TURK
Tout d’abord, il faut répéter que les moteurs de recherche et les réseaux sociaux sont aussi
des sources de progrès, qui permettent le rapprochement des personnes et le partage de
connaissances ou de valeurs.
Concernant l’éducation, la CNIL multiplie les initiatives pour former les utilisateurs d’Internet.
Néanmoins, tout ne relève pas de la pédagogie : que faire par exemple face à une classe de
CM2 où 85 % des enfants sont inscrits sur Facebook, alors que le site est interdit aux moins de
13 ans et que l’entreprise californienne semble indifférente ?
Clôture
Pendant la durée du Forum international sur la cybercriminalité, Lille est devenue la capitale du
cybermonde.
En 2007, la Commission européenne avait demandé aux Etats de coopérer pour faire tomber
les barrières entre secteurs public et privé et abolir les frontières entre les Etats. Pour donner
du sens au cyberespace, nous devons absolument poursuivre cette aventure ensemble. En
effet, les nations ne parviendront pas, seules, à répondre aux enjeux de demain, mais
aussi d’aujourd’hui.
Comme à chaque fois que l’homme conquiert un nouvel espace (terrestre, maritime ou extra-
stratosphérique), il doit imposer un ordre public. Il s’agit d’un standard de société qui
recherche un équilibre parfait entre les libertés d’une part – de communication, de commerce,
d’industrie et d’accès à l’information… – et un ensemble de contraintes. Nous devons
construire cette espace pour qu’il soit au service de l’homme.
Nous devons par ailleurs faire face à une nouvelle menace, la cyberguerre. Il s’agit, comme
ce fut le cas en Estonie ou en Géorgie, d’anéantir l’adversaire et non plus de gagner
illégalement de l’argent. C’est la raison pour laquelle nous devons faire évoluer nos dispositifs
vers la cyberdéfense.
A l’heure actuelle, c’est aussi le droit, en particulier international qui devra évoluer. Qu’est-ce
qu’un agresseur ? L’usage de la force peut-il se définir comme le prévoyait la Convention de
Genève ? Qu’est-ce que la légitime défense ?
Pour être fort, nous devons être unis. Personne ne peut dire qu’il possède la réponse à la
problématique de la cybercriminalité. Chacun doit jouer son rôle et nous devons agir
ensemble pour un espace numérique plus sûr.
Sigles
Je suis particulièrement heureux d'ouvrir pour la seconde année, aux côtés de Monsieur le
ministre – Monsieur DE CLERK, Monsieur le préfet BERARD et de Monsieur l'adjoint de maire –
Monsieur DE SAINTIGNON, le forum international sur la cybercriminalité – un forum que son
retentissement en France et à l'étranger désigne comme un lieu fondamental d'échange sur les
mondes numériques.
A mesure que les mondes numériques croissent tant en volume qu'en densité et en intensité,
la question de leur sécurité passe du statut de question marginale au statut de question
centrale, du statut de question fermée à l'usage des spécialistes au statut de question ouverte
à l'usage de tous les citoyens.
Cette question de la sécurité des espaces numériques est fondamentalement une question de
société – c'est à dire une question qui concerne à la fois tous les individus, et chaque individu,
le corps social dans son ensemble et chaque citoyen en particulier.
Comme la menace à laquelle il se propose de faire face – une menace qui joue souplement sur
tous les tableaux et à toutes les échelles, le FIC s'applique à promouvoir la rencontre et
l'échange entre des mondes encore trop souvent cloisonnés.
Ce forum propose d'abord d'abolir les frontières qui séparent encore les différents univers
professionnels concernés par la cybercriminalité :
Ce forum propose ensuite d'abolir les frontières qui demeurent entre les différents échelons de
traitement des problèmes liés à la cybercriminalité :
Ce forum permet enfin d'empêcher que ne s'instaure dans le domaine des mondes numériques
une frontière infranchissable :
Comme la menace à laquelle nous devons faire face – une menace qui joue sur l'expansion des
mondes numériques pour introduire en permanence de l'insécurité dans les espaces encore
insuffisamment connus et stabilisés, ce forum s'applique à tisser du lien entre le monde de la
sécurité et le monde économique. Il permet ainsi de sortir de deux visions qui conduisent
chacune à la paralysie des pouvoirs publics et la vulnérabilité des citoyens :
La vision selon laquelle les territoires numériques disposent d'une sécurité et d'une justice
immanente – cette vision angélique du monde numérique comme une société universelle et
idéale capable en permanence de faire émerger et évoluer l'intérêt général a des conséquences
dramatiques : irresponsabilité des acteurs publics et privés, effacement de l'Etat, fabrique
d'une citoyenneté imaginaire dégagée de tout devoir ;
La vision selon laquelle les stratégies de sécurité classiques peuvent s'appliquer aux territoires
numériques sans subir l'influence de la révolution numérique – cette vision archaïque de la
sécurité comme une stratégie abstraite, s'appliquant verticalement sur la société sans jamais
en recevoir l'empreinte a également des conséquences dramatiques : impuissance des acteurs
publics et privés, vulnérabilité de l'Etat, vulnérabilité du citoyen.
C'est au service de cette réponse que la gendarmerie s'engage en favorisant toutes les idées,
toutes les pratiques et toutes les découvertes qui permettent à la fois de mettre l'espace
numérique en sécurité et de faire passer la sécurité à l'âge du numérique.
C'est au service de cette réponse que le Forum international qui nous réunit travaille – tissant
avec souplesse et obstination des réseaux capables de faire face aux réseaux criminels qui
cherchent à contrôler l'accès des nouveaux espaces numériques à mesure qu'ils se libèrent.
Discours de M. Brice Hortefeux prononcé par M. BERARD, Préfet
de la région Nord-Pas de Calais, Préfet du Nord, Préfet de la zone
de défense Nord
Mesdames et Messieurs,
Vous arrivez au terme de deux journées de réflexion et de travail. Les questions de sécurité, de
justice et de défense ont été évoquées, ainsi que les enjeux du développement de la société
numérique pour nos collectivités territoriales et les moyens de protéger nos entreprises face
aux risques numériques [diffusion du guide pratique du chef d’entreprise face au risque
numérique dont vous avez signé la préface].
Le réseau internet est, en effet, devenu un vecteur de communication d’une puissance jamais
atteinte. Il donne lieu au développement d’une économie, favorise les échanges et l’émergence
d’une culture, notamment au travers des blogs et des nouveaux services interactifs.
Ces aspects positifs ont cependant un revers : l'émergence et la facilitation, dans un total
anonymat, de nombreuses formes de délinquance qui se jouent des frontières et des
législations : escroqueries, usurpation d’identité, vols de numéros de cartes bancaires,
piratage, mais aussi pédopornographie, terrorisme, pénétration de réseaux ou prise de
contrôle à distance de systèmes d’informations stratégiques.
Les acteurs économiques sont des cibles de choix, tout comme les administrations publiques et
les citoyens. Il faut le dire : il existe encore, en France comme dans les pays industrialisés, de
nombreuses infrastructures extrêmement vulnérables à la criminalité informatique, susceptibles
de déstabiliser l'économie entière d'un pays. Je pense notamment à ce pirate informatique,
« hacker-croll », interpellé la semaine dernière à Clermont-Ferrand, grâce à la coopération des
autorités américaines, et qui était en mesure d’infiltrer le réseau social Twitter.
(2) Face à cette menace, il est non seulement nécessaire d’accroître la coopération
avec tous les acteurs de l’économie numérique mais aussi de renforcer l’action
internationale
Je sais que forces de l’ordre et fournisseurs d’accès ont chacun un rôle bien précis : les uns
doivent faire respecter la loi, les autres doivent offrir à leurs clients la capacité de
communiquer. Mais nous poursuivons tous le même but : rendre Internet plus sûr.
C’est tout le sens de ce forum international auquel vous participez, que vous soyez élus,
responsables des collectivités territoriales, universitaires, issus du monde de l’entreprise, ou
représentants des forces de sécurité et des pouvoirs publics.
Je tiens d’ailleurs à féliciter tous ses organisateurs, la gendarmerie, l’union européenne, les
pays partenaires, les collectivités et les grandes sociétés, qui ont permis de réunir plus de
1 500 participants, acteurs publics, fournisseurs d’accès, juristes, clients, pendant ces 2 jours
pour débattre de ce sujet et proposer de nouveaux partenariats.
Vos travaux vous ont aussi conduit à réfléchir sur la mobilisation européenne et
internationale nécessaire pour améliorer la lutte contre la cybercriminalité.
Les acteurs économiques et les utilisateurs d’Internet ont pris conscience qu’ils constituent des
cibles pour les cybercriminels.
J’ai demandé aux services du ministère de continuer d’apporter aux entreprises un soutien actif
dans l’évaluation du « cyber-risque » et dans la préparation des plans de protection de leurs
implantations.
Des plans triennaux de promotion de l’intelligence économique ont été mis en place par
chaque préfet de région. Ils ont pour objectif la promotion des mesures les plus adaptées pour
mieux sécuriser la circulation de l’information au sein des entreprises implantées dans leur
région.
Je rappelle que des observatoires zonaux de sécurité des systèmes d’information ont
également été créés, récemment, sous l’autorité des préfets de zone. Ils s’adressent
notamment aux chambres professionnelles et servent, entre autre, à sensibiliser les
responsables économiques, à les aider à mieux protéger leurs informations sensibles et à
maintenir leur activité.
C’est, d’ailleurs, l’objet du « guide du chef d’entreprise face au risque numérique » que vous
avez reçu en participant à ce forum. Fruit de la réflexion commune d’acteurs publics et privés,
il permet à l’entrepreneur de prendre connaissance des risques que court son entreprise dans
le domaine numérique et de découvrir les solutions mises à sa disposition.
(2) Outre les entrepreneurs, les fournisseurs d’accès ont un rôle majeur à jouer
pour l’information des utilisateurs.
(3) Nos forces de sécurité s’investissent également totalement dans la lutte contre
la cybercriminalité
450 enquêteurs spécialisés dans la lutte contre la cybercriminalité ont déjà été formés au sein
de la police et de la gendarmerie. J’ai fixé à 600 le nombre de personnels formés d’ici 2012.
Ces enquêteurs sont notamment chargés de la recherche et de la préservation des preuves
numériques des infractions.
Depuis l’été dernier, des policiers et gendarmes effectuent des cyber-patrouilles. Cette nouvelle
forme d’investigation, basée sur l’infiltration, favorise l’administration de la preuve pour une
plus grande efficacité des enquêtes. A ce jour, plusieurs dizaines de dossiers ont été menés à
terme avec interpellation des prédateurs qui ont été déférés devant la justice. J’ai demandé
que le nombre des personnels, habilités à effectuer ces cyber-patrouilles, soit augmenté dès
2010.
III. Aujourd'hui, une part importante de la solution passe par une législation
claire et adaptée qui définisse les responsabilités de chacun. C’est l’enjeu de la
LOPPSI.
Le Gouvernement n’a pas l’intention de bouleverser l’équilibre d’ensemble établi par la loi du
21 juin 2004 pour la confiance dans l’économie numérique, qui a établi le droit sur Internet. Il
n’est absolument pas dans ses intentions de restreindre l’accès des citoyens à Internet.
Cependant, Internet ne peut devenir un espace de non-droit.
Or, un nombre croissant d’infractions sont commises par son biais, notamment la
pédopornographie. C’est une obligation morale que d’adapter la réponse de l’Etat à cette
violence. Derrière les contenus pédopornographiques, nous le savons, il y a la prostitution
infantile, des viols et la criminalité organisée.
C’est la raison pour laquelle, à l’instar de ce qui existe dans de nombreuses démocraties
voisines, la LOPPSI crée un dispositif autorisant le blocage de l’accès aux sites et contenus à
caractère pédopornographique.
Le principe est simple : le ministère de l’Intérieur indique aux fournisseurs d’accès à Internet la
liste noire des sites et contenus à bloquer, et ce sont les fournisseurs qui empêchent l’accès à
ces sites et à ces contenus depuis un ordinateur en France.
J’entends les voix qui s’élèvent pour dire, en même temps, que la lutte contre la
pédopornographie rassemble et ne fait pas débat, et que les mesures proposées par le
Gouvernement ne sont pas efficaces et seront très vite contournées en faisant peser une
menace de blocage sur Internet.
J’entends aussi, et ce sont souvent les mêmes, ceux qui considèrent que les policiers et les
gendarmes, dont c’est le métier, ne seraient pas capables, sans porter atteinte aux libertés
fondamentales, d’identifier les sites en infraction pour en dresser la liste, alors que les
internautes le font sans difficulté.
Car il faut le constater, les internautes sont de plus en plus matures et responsables, y compris
lorsqu’ils sont mineurs, et reconnaissent de mieux en mieux les infractions. Moins de 7% des
signalements reçus en 2009 par la plate-forme PHAROS étaient infondés. C’est également le
constat que fait l’AFA, qui a reçu près de 8 000 signalements sur son site en 2009
[pointdecontact.net] et qui agit, comme d’autres acteurs privés, en parfaite complémentarité
avec la plate-forme de signalement du Gouvernement. Cette association constate, d’ailleurs,
qu’en 2009, les sites signalés par les internautes comme présentant un contenu
pédopornographique sont en augmentation de plus de 30% par rapport à 2008.
A tous, je réponds qu’il est urgent d’agir pour limiter préventivement l’accès des internautes à
de tels sites. A tous, je réponds que l’efficacité est dans le pragmatisme et qu’il ne faut pas
renoncer parce que la solution n’est pas absolument parfaite. C’est bien l’addition de plusieurs
mesures – le renforcement de la coopération internationale, avec la création de la plate-forme
européenne de signalement, et les techniques de blocage des fournisseurs d’accès - qui nous
permettra de faire reculer la pédopornographie sur Internet.
(2) Je suis aussi totalement déterminé à lutter contre l’usurpation d’identité sur les
réseaux de télécommunications
Aujourd’hui, l’usage d’éléments d’identité d’un tiers sur un réseau de télécommunications n’est
réprimé que lorsqu’il en résulte un préjudice financier.
Cela ne suffit pas. L’engouement pour les réseaux sociaux, par exemple, comme « facebook »
ou « twitter », où l’on expose sa vie privée sans toujours en maîtriser les conséquences, que
vous avez évoqué pendant ces 2 jours, nous invite à mettre en place des dispositifs de
régulation.
C’est pourquoi j’ai souhaité que le fait d’usurper l’identité d’une personne sur internet, même
s’il n’y a pas de préjudice financier, soit désormais condamnable. Il n’est plus question de nier
le préjudice moral que représente l’utilisation de l’identité d’une personne sur des forums de
toute nature ou encore son inscription, à son insu ou contre son gré, sur des réseaux sociaux.
C’est à la loi de protéger ces victimes et c’est mon rôle de faire voter ces lois.
La mission que m’a confié le Président de la République, celle de protéger tous les Français,
suppose un engagement total de ma part pour améliorer, au quotidien, le dispositif de sécurité
dans notre pays. Assurer la sécurité des Français et des acteurs économiques sur Internet
n’est pas une mission simple.
Face aux atteintes, parfois extrêmement violentes, que peuvent subir nos entreprises ou des
personnes vulnérables, vous ne m’entendrez jamais dire « nous n’y pouvons rien – on a tout
essayé ».
Ceux qui rejettent toute amélioration du dispositif actuel se trompent. C’est mon devoir de
responsable politique de rechercher et de proposer toutes les pistes d’amélioration possibles.
Loin de tout sensationnalisme, je souhaite avancer avec sérénité et conviction sur ce dossier
majeur. Et je sais que je ne suis pas seul. La collaboration entre usagers, fournisseurs d’accès
et autorités publiques, au niveau national et international, constitue la clé du succès.
Interventions d’ouverture
Monsieur le Ministre,
Monsieur le Préfet,
Messieurs les Officiers Généraux,
Et, vous tous, Mesdames, Mesdemoiselles, Messieurs,
Ce souci, cette volonté, cet impératif catégorique de protéger les données informatiques et de
lutter contre la cybercriminalité est le fondement même de ce forum.
Je voudrais ici remercier et féliciter ces initiatives en particulier le Général Déanaz et le Colonel
Régis Fohrer de la Gendarmerie Nationale et les assurer du soutien pérenne des collectivités
locales.
Et ce n’est pas à l’avocat Stephan De Clerck, que je dois de rappeler combien, dans leur
domaine de compétence, les collectivités locales sont attentives à la protection des droits des
citoyens et à l’éducation citoyenne.
En ce sens, je voudrai une fois de plus souligner l’importance de la démarche citoyenne initiée
à Lille par Martine Aubry et portée par le Général Jean-Claude Thomann, chargé de la mission
Lille Euro Métropole Défense Sécurité qui participe à ce forum par le biais d’un atelier dont
l’animation a été confiée à des étudiants.
Il y a une vieille tradition d’échanges dans cette région. Nous sommes dans une région et une
métropole marchande où sans attendre les progrès du e-commerce, nombre d’affaires se
traitent de façon immatérielle. Ce n’est pas par hasard si les leaders de la VPC restent des
acteurs économiques régionaux majeurs.
Il y a aussi une situation géostratégique où l’histoire de l’Europe s’est souvent inscrite dans
cette région où on ne compte plus les lieux de bataille qui ont marqué 2 000 ans d’histoire.
Cela se traduit encore désormais par le fait que Lille accueille quelques grands
commandements militaires, celui des Forces Terrestres, celui des Corps de Réaction Rapide,
celui de la zone de défense Nord Picardie et enfin celui de la Gendarmerie Nord-Pas-de-Calais
qui est à l’origine du FIC.
Parmi ceux-ci, il y a désormais les collectivités locales qui prennent de plus en plus
d’importance dans tous les dispositifs de prévention et de sécurité.
Le FIC a ainsi un rôle majeur en terme de sensibilisation et d’information sur les divers
dangers de l’espace numérique, en y présentant des échanges d’expériences et de savoir-faire
et en étant, aussi, désormais un moment de réflexion attendu.
Cette vocation doit aussi trouver un prolongement au quotidien, c’est pour cela que je
renouvelle ma proposition de développer à Euratechnologies, un cyber-pôle d’excellence de
lutte contre la criminalité numérique.
En Belgique et en Flandre, les Beffrois des Hôtels de Ville sont les symboles des libertés
communales, faisons ensemble, du « Beffroi d’Euratechnologies » le symbole de la lutte contre
les atteintes aux libertés qui se profilent derrière la cybercriminalité.
C’est pour cela que le Conseil Régional qui s’est doté d’une mission sur la sécurité de
l’information et la Ville de Lille ne peuvent pas passer à côté de cette occasion unique de
réunir les meilleurs experts nationaux et internationaux.
Ce rendez-vous, nous voulons qu’il devienne incontournable et notre volonté est qu’il s’inscrive
dans la durée à Lille.
1. I NTRODUCTION
C’est pour moi un grand plaisir d’être présent ici à Lille au Forum sur la cybercriminalité,
édition 2010.
C’est en 2009, que j’ai découvert cet évènement de très haut niveau à l’occasion de la
présentation du guide « Cybercriminalité – Réflexes et Bonnes Pratiques ».
Si l’élargissement du réseau de l’internet est un grand progrès pour notre société il constitue
également un nouveau terrain pour la criminalité, la dite cybercriminalité.
La criminalité n’utilise pas uniquement les moyens et voies « traditionnels ».
Elle s’accroche sur tous les circuits économiques et financiers.
Tous les acteurs doivent dès lors faire preuve d’une vigilance accrue et d’une stratégie
adaptée.
Pour une société qui dépend en grande mesure de ses systèmes de communication, il est
important que l’ordre et la justice puissent être maintenus dans ce monde virtuel.
C’est pourquoi une campagne de prévention intensive et constante doit être le premier pas
vers une société plus sécurisée sur le net.
De plus, le Législateur doit procurer un cadre légal clair à la police et à la justice afin de lutter
contre la cybercriminalité.
Il faut donc examiner les procédures pénales internes et leurs compétences territoriales.
Si un serveur web est utilisé à des fins criminelles en Belgique et en France, est-ce la justice
belge ou la justice française qui est alors compétente ?
Des fournisseurs et des gestionnaires du réseau internet peuvent-ils encore se cacher derrière
une législation étrangère afin de ne plus devoir collaborer dans une enquête judiciaire ?
Heureusement, de plus en plus d’entreprises comprennent l’importance d’une bonne
collaboration avec les autorités judiciaires dans l’intérêt de notre société.
Cependant, les méthodes de détection et d’obtention des preuves doivent faire l’objet d’une
évaluation constante, si bien que beaucoup de législations ne sont malheureusement pas
encore suffisamment adaptées aux développements actuels pour combattre ce phénomène.
C’est pour cette raison que la directive de rétention des données doit être transposée au plus
vite en droit interne.
Il va de soi qu’il faudra, dans ce cadre, tenir compte de la protection de la vie privée. Mais un
équilibre doit être trouvé pour que d’autres valeurs essentielles puissent également être
protégées, comme la vie, l’identité, l’intégrité physique et sexuelle.
Outre une plus grande attention auprès des utilisateurs et un cadre légal adapté afin
d’intervenir rapidement et efficacement, nous devons, à l’avenir, également investir dans des
formations et la recherche.
Dans ce cadre, un certain nombre d’initiatives ont été prises et une expertise certaine a été
acquise tant au niveau de la Magistrature, de la Police ou d’autres services publics que dans le
monde académique et le secteur privé.
Nous constatons cependant que l’expertise multidisciplinaire existante n’est pas suffisamment
rassemblée, échangée et utilisée dans la lutte contre la cybercriminalité.
Il faut donc d’urgence coordonner ces nouvelles initiatives afin d’améliorer la lutte contre la
cybercriminalité.
A la suite des contacts que j’ai eus à l’occasion du forum précédent, j’ai récemment visité la
ville de Dublin où un centre d’expertise en matière de cybercriminalité à été créé à l’université.
Une initiative semblable a également été entreprise ici en France, dans la ville de Troyes.
67
Une déclaration d'intention a été signée le 20 avril 2010 par des ministères, de grandes
entreprises (Microsoft, CSC belgium, Cisco systems et Atosorigin Belgium) et la fédération du
secteur financier (Febelfin). Le centre devrait être opérationnel en octobre 2010.
Ce Belgian Cybercrime Centre of Excellence for Training, Research and Education développera
les actions suivantes:
Mesdames et messieurs,
Le FIC peut déjà être considéré comme un grand succès vu le public présent aujourd’hui et la
qualité du programme.
Cependant, le succès de telles initiatives ne pourra être véritablement mesuré que par le
succès de la lutte proprement dite contre la cybercriminalité.
Je vous remercie,
Stefaan DE CLERCK
Actes du FIC 2010
Réalisation de la synthèse :