Académique Documents
Professionnel Documents
Culture Documents
Cybersécurité
3
1. Les enjeux de la sécurité des S.I.
1. Préambule
2. Les enjeux
3. Pourquoi les pirates s’intéressent aux S.I. ?
4. La nouvelle économie de la cybercriminalité
5. Les impacts sur la vie privée
6. Les infrastructures critiques
7. Quelques exemples d’attaques
4
1. Les enjeux de la sécurité des S.I.
a. Préambule
5
1. Les enjeux de la sécurité des S.I.
a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux
processus métiers
et informations
actifs supports
ISO/IEC 27005:2008
6
1. Les enjeux de la sécurité des S.I.
b. Les enjeux
7
1. Les enjeux de la sécurité des S.I.
b. Les enjeux
8
1. Les enjeux de la sécurité des S.I.
• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …
9
1. Les enjeux de la sécurité des S.I.
• Chantage
– Déni de service
– Modifications des données
• Espionnage
– Industriel / concurrentiel
– Étatique
• …
10
1. Les enjeux de la sécurité des S.I.
• Une majorité des actes de délinquance réalisés sur Internet sont commis par des
groupes criminels organisés, professionnels et impliquant de nombreux acteurs
11
1. Les enjeux de la sécurité des S.I.
12
1. Les enjeux de la sécurité des S.I.
13
1. Les enjeux de la sécurité des S.I.
14
1. Les enjeux de la sécurité des S.I.
15
1. Les enjeux de la sécurité des S.I.
16
1. Les enjeux de la sécurité des S.I.
18
1. Les enjeux de la sécurité des S.I.
Défacement de site
Vol de données
personnelles
19
1. Les enjeux de la sécurité des S.I.
Vol de données
professionnelles
20
1. Les enjeux de la sécurité des S.I.
Cyberattaques sur la
voiture connectée
envisagées à l’horizon 2020
Exemple : Prise de contrôle
du système de frein
21
2. Les besoins de sécurité
22
2. Les besoins de sécurité
• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien
est correctement sécurisé ?
• 3 critères sont retenus pour répondre à cette problématique, connus sous le nom de
D.I.C.
Disponibilité
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien
doit être disponible durant les plages d’utilisation prévues)
Bien à
protéger
Intégrité
Propriété d'exactitude et de complétude des biens
et informations (i.e. une modification illégitime
d’un bien doit pouvoir être détectée et corrigée)
Confidentialité
Propriété des biens de n'être accessibles
qu'aux personnes autorisées
23
2. Les besoins de sécurité
Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
Bien à lesquelles ce bien évolue. Cette propriété englobe
protéger Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée
2. Les besoins de sécurité
Sûreté Sécurité
Protection contre les Protection contre les actions malveillantes
dysfonctionnements et accidents volontaires
involontaires
Exemple de risque : blocage d’un service,
Exemple de risque : saturation d’un modification d’informations, vol
point d’accès, panne d’un disque, d’information
erreur d’exécution, etc.
Non quantifiable statistiquement, mais il
Quantifiable statistiquement (ex. : la est possible d’évaluer en amont le niveau
durée de vie moyenne d’un disque est du risque et les impacts
de X milliers d’heures)
Parades : contrôle d’accès, veille sécurité,
Parades : sauvegarde, correctifs, configuration renforcée,
dimensionnement, redondance des filtrage…*
équipements…
* Certaines de ces parades seront présentées dans ce cours
2. Les besoins de sécurité
Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une
échelle permet de déterminer si ce bien est correctement sécurisé.
Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très
fort) :
• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de
garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de
sécurité participant à cette garantie :
D I C P
Mécanisme technique permettant de détecter toute attaque
Anti-virus virale qui a déjà été identifiée par la communauté sécurité
D I C P
Mécanismes organisationnels destinés à s’assurer de l’efficacité
Capacité d’audit et de la pertinence des mesures mises en œuvre. Participe à
l’amélioration continue de la sécurité du S.I.
a. Notion de « Vulnérabilité »
• Vulnérabilité
• Faiblesse au niveau d’un bien (au niveau de la conception, de la
réalisation, de l’installation, de la configuration ou de l’utilisation du
bien).
Vulnérabilités
3. Notions de vulnérabilité, menace, attaque
b. Notion de « Menace »
• Menace
• Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
un bien si cette menace se concrétisait.
Perte de service
Menaces
Code malveillant
3. Notions de vulnérabilité, menace, attaque
• Attaque
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une
attaque représente la concrétisation d’une menace, et nécessite
l’exploitation d’une vulnérabilité.
Attaques
3. Notions de vulnérabilité, menace, attaque
• Attaque
• Une attaque ne peut donc avoir lieu (et réussir)
que si le bien est affecté par une vulnérabilité.
Référence : CVE-2006-2369
3. Notions de vulnérabilité, menace, attaque
La vulnérabilité se situe ici : le serveur ne vérifie pas que le type d’authentification retourné par le client correspond à celui demandé. A la
place, il vérifie simplement que l’authentification est correcte (et « authent = NON » est effectivement une authentification qui est toujours
correcte)
4. Panorama de quelques menaces
Etat
tiers
Groupe de Capacité
cybercriminels degré d’expertise et ressources
de la source de menaces
Concurrents
Exposition
opportunités et intérêts de la
Personnel
source de menaces
interne
Cyber-
délinquant
exposition
Exemple d’une cartographie des principales sources de menaces
qui pèsent sur un S.I.
Attention : cette cartographie doit être individualisée à chaque organisation car toutes les
organisations ne font pas face aux mêmes menaces.
Exemple : le S.I. d’une administration d’état ne fait pas face aux mêmes menaces que le S.I. d’un e-commerce ou d’une université
4. Panorama de quelques menaces
Déni de service
Virus informatique
distribué
4. Panorama de quelques menaces
les scénarios d’ingénierie sociale sont illimités, avec pour seules limites
l’imagination des attaquants et la naïveté des victimes…
4. Panorama de quelques menaces
http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803
4. Panorama de quelques menaces
e. Fraude interne
Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme
« ! » ou « _ » et des chiffres) permettent – entre autre – à des attaquants de mener les
actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe
couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très
efficaces dans le cadre de mots de passe simples, et sont beaucoup moins efficaces
dans le cas de mots de passe longs et complexes.
Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse
significative pour la cybersécurité. En effet, les êtres humains n’ont pas la capacité de
mémoriser de nombreux mots de passe, complexes, différents pour chaque
application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les
individus des problématiques des mots de passe. Quelques exemples : la biométrie,
les tokens USB, les matrices papier, la vérification via un code SMS, les « one time
password », etc.
4. Panorama de quelques menaces
Les intrusions informatiques constituent des « attaques ciblées » qui exploitent une ou des
vulnérabilité(s) technique(s) pour dérober des informations confidentielles (ex. : mots de passe, carte
bancaire…) ou prendre le contrôle des serveurs ou postes de travail
Depuis le réseau Internet sur les ressources exposées : sites institutionnels, services de e-commerce, services
d’accès distant, service de messagerie, etc.
Depuis le réseau interne sur l’Active Directory ou les applications sensibles internes
Active Directory : est un système d’annuaire sous Windows répertoriant les ressources du réseau notamment les sites, les
machines, les utilisateurs.
4. Panorama de quelques menaces
g. Virus informatique
Les virus informatiques constituent des « attaques massives » qui tendent…
• à devenir de plus en plus ciblés sur un secteur d’activité (télécommunication, banque, défense, énergie, etc.)
• à devenir de plus en plus sophistiqués et furtifs
La déni de service distribué (DDoS) constituent une « attaque ciblée » qui consiste à saturer un site
Web de requêtes pour le mettre « hors-service » à l’aide de « botnets », réseaux d’ordinateurs
infectés et contrôlés par les attaquants
34,5 heures
durée moyenne d’une attaque
48,25 Gbps
bande passante moyenne d’une attaque
Milliers ou millions
d’ordinateurs infectés,
prêts à attaquer une cible
sur ordre de l’attaquant
Serveurs de
commande
(relais)
Un botnet est un ensemble de systèmes
contrôlables par un attaquant via des serveurs
de commande. Les propriétaires de ces
systèmes ne savent pas que leur PC participe à
un botnet (leur PC a été compromis au préalable
et à leur insu via l’exploitation d’une vulnérabilité)
Attaquant contrôlant le botnet
5. Le droit des T.I.C. et l’organisation
de la cybersécurité en France
1. L’organisation de la sécurité en France
2. Le contexte juridique
3. Le droits des T.I.C.
4. La lutte contre la cybercriminalité en France
5. Le rôle de la CNIL : La protection des données à caractère
personnel
5. Le droit des T.I.C. et l’organisation de la
cybersécurité en France
a. L’organisation de la sécurité en France
« Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort d’hommes,
n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès aujourd’hui, et plus
encore à l’horizon du Livre blanc, elles constituent une menace majeure, à forte
probabilité et à fort impact potentiel » (Chapitre 4, Les priorités stratégiques, livre blanc
2013)
Premier Ministre
Ministères
Pilotage de la politique nationale en Secrétaire général de la
matière de sécurité des systèmes défense et de la sécurité
d’information nationale (SGDSN) Défense
Intérieur
Affaires étrangères
Agence nationale de la Economie
sécurité des systèmes Budget
d’information (ANSSI) Industrie
…
Proposition des règles à appliquer pour la protection des S.I. de l’État.
Vérification de l’application des mesures adoptées
Conseil/soutien Sécurité aux administrations Hauts fonctionnaires de
Information du public défense et de sécurité
Contribution au développement de Services de confiance (HFDS)
…
Coordination de la préparation des mesures de
défense (Vigipirate) et chargés de la sécurité
des systèmes d'information
5. Le droit des T.I.C. et l’organisation de la
cybersécurité en France
a. L’organisation de la sécurité en France
58
5. Le droit des T.I.C. et l’organisation de la
cybersécurité en France
b. Le contexte juridique
Cybercriminalité
… et bien d’autres…
5. Le droit des T.I.C. et l’organisation de la
cybersécurité en France
c. Le droit des T.I.C.
Code de la défense
Code civil
(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui
donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.
5. Le droit des T.I.C. et l’organisation de la
cybersécurité en France
d. La lutte contre la cybercriminalité en France
Définition de la cybercriminalité :
Ensemble des actes contrevenants aux traités internationaux ou aux
lois nationales utilisant les réseaux ou les systèmes d’information
comme moyens de réalisation d’un délit ou d’un crime, ou les ayant
pour cible.
La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans
tout ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al.
1 du CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.
– Élément matériel de l’infraction : la notion d’accès ou maintien
– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de
cause »
– Éléments indifférents :
• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)
• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)
• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;
affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)
• Des sanctions pénales (articles 226-16 et suivants du Code pénal) : Douze délits punis de 3 à 5
ans d’emprisonnement et jusqu’à 300.000 euros d’amende
– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de
données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi
n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros
d'amende » (art. 226-17)
• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en fonction
du préjudice causé aux personnes concernées
– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions
6. Intégrer de la sécurité au sein
d’une organisation
1. Préambule
2. Panorama des normes ISO 2700x
3. Système de Management de la Sécurité de l’Information (27001)
4. Code de bonnes pratiques pour le management de la sécurité de
l’information (27002)
5. Gestion des risques (27005)
6. Classification des informations
7. Gestion des ressources humaines
69
6. Intégrer la sécurité au sein d’une organisation
a. Préambule
70
6. Intégrer la sécurité au sein d’une organisation
… •…
71
6. Intégrer la sécurité au sein d’une organisation
72
6. Intégrer la sécurité au sein d’une organisation
73
6. Intégrer la sécurité au sein d’une organisation
• Phase Check : mesurer les résultats issus des actions mises en œuvre
– Audits internes de conformité et d’efficacité du SMSI (ponctuels et
planifiés) ;
– Réexaminer l’adéquation de la politique SSI avec son environnement ;
– Suivre l'efficacité des mesures et la conformité du système ;
– Suivre les risques résiduels.
• Phase Act :
– Planifier et suivre les actions correctrices et préventives.
74
6. Intégrer la sécurité au sein d’une organisation
75
6. Intégrer la sécurité au sein d’une organisation
d. Code de bonnes pratiques pour le management de la sécurité de
l’information (27002) Organisationnel
Politique de sécurité de
l’information
• La norme ISO/IEC 27002:2013
Organisation de la sécurité de
constitue un code de bonnes l’information
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
Sécurité liée aux
domaines organisationnels et Gestion des actifs
ressources humaines
techniques ci-contre.
Conformité
• C’est en adressant l’ensemble de Gestion de la continuité de
ces domaines que l’on peut avoir l’activité
Relations avec les
une approche globale de la fournisseurs
sécurité des S.I. Contrôle d'accès
Acquisition, dévpt. et maint.
des SI
Gestion de incidents liés à la
sécurité de l’information Sécurité des
communications
Cryptographie Sécurité
opérationnelle
77
6. Intégrer la sécurité au sein d’une organisation
Avantages
• Définit une démarche rationnelle qui a donné lieu à des méthodes qui fonctionnent ;
• Grande souplesse : utilisée en toutes circonstances, surtout lors des changements ;
• Pragmatique et utilisable seule, elle peut aussi bien convenir aux petites organisations.
Limites
• L'organisation doit définir sa propre approche ;
• Méthodes nécessitant souvent de la formation et non adaptables à toutes les situations ;
• Dépendance vis-à-vis de la cartographie du SI : profondeur, étendue etc. ;
• Tendance à l'exhaustivité ;
• Accumulation de mesures techniques sans cohérence d'ensemble.
78
6. Intégrer la sécurité au sein d’une organisation
79
6. Intégrer la sécurité au sein d’une organisation
80
6. Intégrer la sécurité au sein d’une organisation
• Avant embauche :
– Sélection des candidats et interviews ;
– Vérification du CV (contacter les anciens employeurs, vérifier les diplômes,
certifications…) du candidat ;
– En fonction de la sensibilité du poste, un extrait de casier judiciaire peut être
demandé.
• Pendant l’embauche :
– Fourniture des accès logiques (création de comptes utilisateurs, accès aux
répertoires nécessaires…) et physiques (badges) adaptés à la fonction ;
– Sensibilisation aux politiques et procédures internes de l’organisation ;
– Sensibilisation régulière à la sécurité adaptée aux fonctions ;
– Processus disciplinaire en cas de non respect.
81
6. Intégrer la sécurité au sein d’une organisation
Conclusion
82
7. Intégrer la sécurité dans les projets
1. Préambule
2. Sécurité dans l’ensemble du cycle de vie d’un projet
3. Sécurité prise en compte en fin de développement
4. Approche par l’analyse et le traitement du risque
5. Plan d’action SSI
83
7. Intégrer la sécurité dans les projets
a. Préambule
– isoler les traitements de données sensibles au sein de projet pour avoir une
meilleure maîtrise des risques et des mesures de sécurité à mettre en œuvre
pour réduire ces risques.
84
7. Intégrer la sécurité dans les projets
a. Préambule
• La sécurité doit être prise en compte dans toutes les étapes d’un projet :
– Application de la démarche d’amélioration continue ;
– Respect des impératifs et des contraintes notamment juridiques et réglementaires ;
– Responsabilisation des acteurs, documentations, gestion du temps.
85
7. Intégrer la sécurité dans les projets
ressources
• Expression des • Étude de marché • Construction de production • Fin du projet
besoins • Étude de faisabilité prototype • Test de performance
• Création d’un projet • Analyse de coût • Tests utilisateurs • Maintien en Condition
• Planification • Documentation Opérationnelle
• Identification des • Exploitation
entrée/sortie
86
7. Intégrer la sécurité dans les projets
88
7. Intégrer la sécurité dans les projets
• L’analyse de risques doit être effectuée en amont du projet mais doit aussi
évoluer au fur et à mesure de l’exploitation du système (analyse de risque
dynamique dans la supervision du système (SOC)) et fonction de l’évolution
des risques (évolution des vulnérabilités, des menaces, du système
d'information).
89
7. Intégrer la sécurité dans les projets
Niveau de risque
Gravité
Risque 3
Seuil de prise en
Menaces
compte du risque
Probabilité Risque 4
d’occurrence
Risque 5
90
7. Intégrer la sécurité dans les projets
• Pour les risques dont le niveau est supérieur au seuil de prise en compte :
– Définir les objectifs de sécurité ;
– Définir les mesures techniques et organisationnelles qui vont permettre d’atteindre
ces objectifs.
• Pour les risques dont le niveau est inférieur au seuil de prise en compte :
– un risque résiduel est le risque subsistant après le traitement de risque (car – par
exemple – le coût pour compenser ce risque est trop élevé par rapport au risque
encouru).
Définition objectifs Contre-mesure(s)
Plan d’actions de SSI
Risque 1 sécurité technique(s) que l’entreprise va
devoir mettre en œuvre
Niveau de risque
Risque 4
Risque 5
91
7. Intégrer la sécurité dans les projets
92
7. Intégrer la sécurité dans les projets
93
7. Intégrer la sécurité dans les projets
DMZ
Pare-feu, VPN, Zone démilitarisée…
Réseau
Interne
Sous-réseau, NIDS, VLAN…
Machine
Antivirus, Correctifs de sécurité, HIDS, Authentification
Conclusion
95
8. Difficultés liées à la prise en
compte de la sécurité
1. Compréhension insuffisante des enjeux
2. Implication nécessaire de la direction
3. Difficulté pour faire des choix en toute confiance
4. Délicat arbitrage entre commodité et sécurité
5. Suivre l’évolution des technologies
6. Frontières floues entre sphères professionnelle, publique, et privée
96
8. Difficultés liées à la prise en compte de la
sécurité
a. Une compréhension insuffisante des enjeux…
97
8. Difficultés liées à la prise en compte de la sécurité
98
8. Difficultés liées à la prise en compte de la sécurité
99
8. Difficultés liées à la prise en compte de la sécurité
Le chef d’entreprise doit être conscient des enjeux de sécurité pour l’avenir
de son entreprise :
• Être proactif plutôt que réactif. La PSSI est une réflexion stratégique :
Elle permet de prévoir l’avenir de l’organisation ;
• La sécurité :
– va au-delà de la technique. L’humain joue un rôle central ;
– ne doit pas rester un domaine d’experts. La sécurité est l’affaire de tous
et une préoccupation de tous les responsables ;
– n’est pas seulement une contrainte coûteuse mais elle est aussi un
investissement, un atout supplémentaire pour l’organisation.
100
8. Difficultés liées à la prise en compte de la sécurité
Investir dans la sécurité ne suffit pas. Il faut être conscient des enjeux vis-
à-vis de l’organisation. La dynamique sécurité viendra de la direction.
101
8. Difficultés liées à la prise en compte de la
sécurité
c. Difficulté pour faire des choix en toute confiance
103
8. Difficultés liées à la prise en compte de la sécurité
104
8. Difficultés liées à la prise en compte de la sécurité
D’où l’importance :
• De la pédagogie : expliquer à quoi servent les procédures, leurs
bienfondés, leur intérêt pour l’organisation ;
• De l’implication des dirigeants : qui viendront renforcer ces convictions ;
• De la prise en compte des remarques et éventuelles oppositions des
utilisateurs : ergonomie, pratique, simplicité de mise en œuvre etc. ;
• La mise en place d’une charte informatique signée et connue de tous ;
• De régulièrement rappeler les règles : changer les mots de passe,
rejouer les procédures, créer une check-list etc. ;
• De sensibiliser en évoquant les incidents réels qui se produisent et
peuvent se produire dans l’organisation.
105
8. Difficultés liées à la prise en compte de la sécurité
106
8. Difficultés liées à la prise en compte de la sécurité
• Les utilisateurs finaux souscrivent aujourd’hui à des services SaaS sans l’aval
de la direction informatique et en dépit des règles de sécurité. Ils accèdent au
SaaS à travers divers terminaux souvent non contrôlés par l’entreprise. On parle
alors de « Shadow IT » :
– Dans une entreprise du CAC, le DSI estimait à près de 100 le nombre total
d’applications. Un audit de découverte du Cloud à révéler près de 2500 usages SaaS.
107
8. Difficultés liées à la prise en compte de la sécurité
108
8. Difficultés liées à la prise en compte de la sécurité
• Les guides suivants peuvent être utiles pour choisir un fournisseur SAAS :
– Guide Contractuel SAAS : http://www.syntec-numerique.fr/content/publication-du-guide-
contractuel-saas
– Recommandations CNIL pour la souscription au SAAS :
http://www.cnil.fr/linstitution/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-
pour-les-entreprises-qui-utilisent-ces-nouveaux-services/
– Guide de l’ANSSI : « Sécurité de l’externalisation » :
http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/externalisation/
• Les Cloud Access Security Brokers (CASB) ou les Cloud Security Gateway
(CSG) sont des composants logiciels ou matériels qui se situent entre les
utilisateurs et le fournisseur SaaS et permettent :
– de protéger les données des utilisateurs de l’entreprise de manière à ce que
l’éditeur SaaS ne puisse les lire ;
– de gérer les accès et de l’authentification unique (SSO) ;
– de conserver les données en local via de la tokenisation ou de les chiffrer avant
de les envoyer vers le fournisseurs SaaS…
109
8. Difficultés liées à la prise en compte de la sécurité
110
8. Difficultés liées à la prise en compte de la sécurité
111
8. Difficultés liées à la prise en compte de la sécurité
112
8. Difficultés liées à la prise en compte de la sécurité
113
8. Difficultés liées à la prise en compte de la sécurité
• Nos données nous échappent dès l’instant où nous les publions : Dans le
meilleur des cas, on pourra effacer notre propre publication, mais on ne
pourra pas effacer les multiples copies que l’on ne contrôle pas (droit à
l’oubli illusoire par manque de maîtrise de l’information) ;
114
8. Difficultés liées à la prise en compte de la sécurité
115
8. Difficultés liées à la prise en compte de la sécurité
Conclusion
116
9. Règlement Général
sur la Protection des Données
(RGPD)
117
Qu’est ce que le RGPD ?
Consulté préalablement à la mise en œuvre de Associé, d’une manière appropriée et en temps utile,
nouveaux traitements (art. 49 décret 2005) à toute question sur la protection des données
2 - Cartographier
• Recenser les traitements de données personnelles (Registre)
les traitements
• Compléter les informations liées aux nouvelles exigences du
de données RGPD
personnelles
3 - Prioriser les • Au regard des risques que font peser les traitements sur les
libertés des personnes concernées (types de données
actions à mener sensibles, sous-traitance, données transférées, …)
Règlement européen : se préparer en 6 étapes
Relations avec les éditeurs et hébergeurs (clauses dans les marchés et contrats)
133
Missions et responsabilités du DSI
Attention : Le chef d'entreprise reste responsable, lorsqu’il - prend personnellement part à l'infraction
- s'immisce dans les affaires du délégué
DSI, responsabilité civile et responsabilité
pénale
Responsabilité civile Responsabilité pénale
Responsabilité
Responsabilité Pour les fautes commises personnellement
Pour les fautes commises personnellement Pour les fautes commises par un préposé, si le DSI
bénéficie d’une délégation de pouvoir
Pour les fautes commises par un préposé, si le DSI
bénéficie d’une délégation de pouvoir Complicité par fourniture de moyens (sanctions
pénales identiques à celles de l’auteur - art. 121-7 C. pén.)
L’entreprise est responsable des infractions pénales commises par son salarié qui a utilisé le
matériel professionnel pour réaliser un site web en absence d’interdiction expresse
( CA Aix en Provence, 13 mars 2006 confirmant TGI Marseille, 11 juin 2003)
DSI, données personnelles et propriété
intellectuelle
Dans le cadre de sa mission de surveillance des systèmes Le DSI devra veiller à ce que les réseaux dont il est en charge
d'information, le DSI peut-être amené à procéder au et les applications qui y sont installées soient en conformité
traitement automatisé des données personnelles des salariés avec le droit de la Propriété Intellectuelle.
de l'entreprise.
Ex : contrôle individuel des durées de connexions et des Si le DSI installe un logiciel sans licence (versions piratées) ou
sites visités. un logiciel sur un nombre de postes supérieur à ce que la
licence d'utilisation autorise, il se rend coupable de
Il doit en conséquence se mettre en conformité avec la loi contrefaçon (T. com. de Cusset, 12 avril 1996)
« Informatique et Libertés » du 6 janvier 1978, telle que
modifiée par la loi du 6 août 2004 : La contrefaçon est pénalement sanctionnée par 2 ans
d’emprisonnement et 150.000 € d'amende (art. 335-2 C. pénal).
Déclaration à la CNIL du traitement automatisé des
données personnelles (art. 226-16 C. pén.) Il doit également veiller à informer les salariés de l’interdiction
(CA Lyon, 25 février 2004) de procéder au téléchargement de tout fichier en infraction au
Durée de conservation de ces données limitée droit d’auteur.
(une durée de 6 mois est recommandée par la CNIL)
Information préalable du salarié de l’installation de tout
dispositif tendant à collecter des informations le
concernant personnellement (art. L.121-8 C.du travail).
Le contrôle du DSI
Le nombre de messages émis et reçus L'origine et le destinataire de ces Le volume et le type de fichiers
par le salarié (flux) messages attachés à ces messages
Ce premier niveau de contrôle peut, à lui seul, aboutir au licenciement pour faute grave du salarié.
Ex : Licenciement d'un salarié dont la fréquence et le nombre de messages, identifiés comme personnels grâce à leur
titre, étaient nettement disproportionnés par rapport à ce qu'il pouvait être dans les boîtes électroniques de ses
collègues de travail ayant les mêmes fonctions (CA Rennes, 4 juillet 2000).
N.B. : Un e-mail envoyé ou reçu depuis le poste de travail est présumé être à caractère professionnel sauf indication
manifeste dans l’objet du message ou dans le nom du répertoire où le message est archivé (Rapport CNIL, 5 février
2002).
« Les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur
pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un
caractère professionnel, de sorte que l’employeur peut y avoir accès hors sa présence » (Cass. Soc. 18 octobre
2006 « Techni-Soft »)
N.B. : L’employeur ou le DSI peuvent également utiliser un « mailsweeper » , logiciel qui, sans révéler le contenu du
message, en analyse le contenu pour en diagnostiquer la dangerosité pour l'entreprise.
Contrôle du contenu du courrier électronique des
salariés
Contrôle possible
Contrôle possible dans
uniquement sur requête
le respect du principe
auprès du tribunal
du contradictoire
compétent
La preuve est loyale (art. 9 NCPC., CA Bordeaux, 10 juin 2002, TGI Paris, 4
mars 2003)
N.B. Les même conditions s’appliquent pour toute autre moyen de
preuve (ex : saisie du disque dur)
Contrôles de connexion
La CNIL considère qu’un dispositif de surveillance globale et a posteriori des données de connexion, ou encore un contrôle
statistique des sites les plus visités, devrait suffire à répondre à l’impératif de proportionnalité, sans qu’il soit nécessaire de
procéder à un contrôle nominatif individualisé des sites accédés.
Un tel dispositif de contrôle non-individualisé doit faire l’objet d’une information des salariés faire l’objet d’une consultation du
comité d’entreprise.
Un dispositif de contrôle individualisé doit en revanche faire l’objet d’une déclaration à la CNIL et devra donc être justifié par
une finalité spécifique, et par la proportionnalité de la mesure. Les données de connexion doivent être conservées pendant un
temps raisonnable au regard de la finalité poursuivie.
« Le salarié a droit, même en temps et au lieu de travail, à une part irréductible de vie personnelle et privée qui doit être respectée ; sauf
interdiction ou restriction expresse de son employeur, le salarié peut donc se connecter, par le biais de l’ordinateur mis à sa
disposition, sur le réseau Internet à titre non professionnel, tout comme il peut passer un coup de téléphone, faire une photocopie ou
converser avec un collègue à titre personnel ; pour déclarer Jean-François X... coupable des faits reprochés, l’usage par lui de son
ordinateur professionnel pour consulter ou animer certains sites pornographiques, dont la consultation n’est pas en elle-même illicite, ne
rentrait pas dans le cadre de l’intimité de sa vie privée au respect de laquelle il avait droit, la cour d’appel a violé les textes susvisés »
(Cass. crim. 19 mai 2004)
La « sphère privée » est ici relativisée au regard des impératifs de sécurité et de fonctionnement du système, mais le contrôle doit
toujours répondre à l’impératif de proportionnalité aux finalités poursuivies.
141
141
Contrôle d’accès et vidéosurveillance
- L’article L.122-39 du Code du travail permet également d’en informer Le dispositif doit respecter le principe de proportionnalité,
les salariés par des notes de service. (surveillance adéquate, pertinente, non-excessive et strictement
nécessaire au but poursuivi).
- L’article L.424-3 du Code du travail dispose que les représentant du
personnel ne peuvent se voir opposés les limitations de circulation Le dispositif fait l’objet d’une autorisation préfectorale (Loi no 95-73
au sein de l’entreprise. du 21 janvier 1995) et d’une déclaration auprès de la CNIL
Le contrôle d’accès au poste du salarié est inopposable à Assimilation des locaux professionnels n’accueillant pas le public au
l’employeur : « lieu privé » : article 226-1 Code pénal punit d’un an
d’emprisonnement et de 45.000 € d’amende le fait de fixer,
« attendu, cependant, que si le salarié n’est pas tenu de poursuivre une enregistrer ou transmettre, sans le consentement de celle-ci, l’image
collaboration avec l’employeur durant la suspension de l’exécution du contrat d’une personne se trouvant dans un lieu privé.
de travail provoqué par la maladie ou l’accident, l’obligation de loyauté
subsiste durant cette période et le salarié n’est pas dispensé de
communiquer à l’employeur, qui en fait la demande, les informations qui sont -- Respect de la vie privée (position et nombre des caméras)
détenues par lui et qui sont nécessaires à la poursuite de l’activité de -- Information préalable des salariés
l’entreprise ; d’où il suit qu’en statuant comme elle l’a fait, sans rechercher si
l’employeur avait effectivement la possibilité, sans recourir à la salariée, -- Consultation préalable des représentant du personnel
d’avoir communication du mot de passe informatique et si de ce fait, comme -- Durée de conservation des images limitée
le soutenait l’employeur en demandant la confirmation du jugement, la
-- Destinataires des images identifiés et limités
salariée n’a pas eu une volonté de bloquer le fonctionnement de l’entreprise,
la Cour d’appel a violé les textes susvisés. » (Cass. Soc. 18 mars 2003)
La biométrie, en ce qu’elle collecte des données à caractère personnel, doit « en statuant ainsi, alors qu'elle avait constaté que le système de vidéo
nécessairement faire l’objet d’une déclaration à la CNIL + impératif de surveillance de la clientèle mis en place par l'employeur était également
proportionnalité aux finalités poursuivies très fort) utilisé par celui-ci pour contrôler ses salariés sans information et consultation
préalables du comité d'entreprise, en sorte que les enregistrements du
« l’empreinte digitale constitue une donnée biométrique morphologique qui salarié constituaient un moyen de preuve illicite, la cour d'appel a violé le
permet d’identifier les traits physiques spécifiques qui sont uniques et texte susvisé ». (Cass. Soc. 7 juin 2006)
permanents pour chaque individu » et « son utilisation porte ainsi atteinte
aux libertés individuelles » , un système biométrique utilisé pour la gestion
de l’activité des salariés n’est « ni adaptée ni proportionnée » (TGI Paris, 19
avril 2005)
142
142
Le Correspondant Informatique & Libertés
Innovation issue de la modification de la loi du 6 janvier 1978 (2004), art. 22-III), aux fins de gestion des problématiques I&L au sein
de l’entreprise
Désignation : elle reste facultative mais permet d’alléger les obligations déclaratives de l’entreprise vis-à-vis de la CNIL, sauf
lorsqu'un transfert de données à caractère personnel à destination d'un état non-membre de la Communauté européenne est envisagé (L.
no 78-17, 6 janv. 1978, art. 22-III).
Missions :
- tenir la liste des traitements automatisés et veiller à l’actualité de son contenu (finalités, responsables, description des données
collectées ou traitées, destinataires, conservation)
- répondre aux demandes émanant des personnes concernées (droit d’accès, de rectification, d’opposition…)
- accomplir une mission de médiation et d’alerte dans l’utilisation du système d’information, en cas de contestation, ou de
détection d’une non-conformité à la loi Informatique & Libertés.
Information :
Elle doit être précédée de l’information des représentants du personnel par LRAR, et notifiée à la CNIL par LRAR selon un formulaire
spécifique. La désignation du CIL prend effet un mois après cette notification à la CNIL. La même procédure est observée en cas de
changement de CIL, qui prend alors effet 8 jours après la notification de modification.
143
143
Charte informatique : les clauses à prévoir
Thèmes Clauses
Les logiciels Installation, téléchargement, respect de la propriété intellectuelle, anti-virus, anti-spam, firewall
Règles générales, disquettes et autres supports de données, configuration du poste, mobilité du matériel
Les matériels informatiques informatique, responsabilité
La sécurité et la déontologie Analyse et contrôle de l'utilisation des ressources, respect de la confidentialité des informations,
informatique protection des données personnelles, protection des fichiers, règles générales de sécurité, respect de la
personne
Les règles particulières pour certaines Institutions représentatives du personnel, informaticiens et personnel du service informatique
catégories de salariés
Sanctions Sanctions disciplinaires, licenciement
- l’impératif de modération, préférable à une interdiction absolue et de principe faite aux salariés de naviguer sur le Web (peu réaliste selon la
CNIL)
- l’existence de solutions du filtrage de certains sites (pornographiques, racistes, révisionnistes, pédophiles, de jeu, de convivialité…)
- les modalités du contrôle, qui peut être global (temps de connexion ou sites les plus visités à l’échelle de l’entreprise) ou individualisé (sous
réserve de proportionnalité et de déclaration CNIL), les salariés devant en tout état de cause en être informés
- l’impératif de modération, préférable à une interdiction absolue qui resterait sans effet compte tenu de la jurisprudence
- l’éventualité d’un contrôle des mails reçus et envoyés, mais seulement contrôle externe (secret des correspondances et vie privée)
- s'agissant des messages « entrants », toute indication portée dans l'objet du message et conférant indubitablement à ce dernier un caractère
privé
- lorsqu'un pare-feu est mis en place, la signification des informations enregistrées et leur durée de conservation
- lorsqu'une copie de sauvegarde des messages est effectuée, la durée pendant laquelle les messages sont conservés sur la copie de
sauvegarde
- l'interdiction faite aux salariés de disposer d'une messagerie personnelle sur un serveur de messagerie gratuite (qui peut constituer une mesure
de sécurité légitime compte tenu des risques (contamination de virus, intrusion, etc.)
- l'interdiction faite aux salariés de laisser leur mail professionnel dans des forums de discussion ou d’y participer
- les systèmes de journalisation des connexions destinés à sécuriser l'accès à des fichiers informatiques, et tout particulièrement à ceux qui
comportent des données à caractère personnel.
Les administrateurs de systèmes habilités à avoir accès aux données de connexion doivent être identifiés
145
145
La Charte informatique -
quelle opposabilité aux salariés ?
Le droit positif autorise l'employeur à mettre en place des systèmes de surveillance et de contrôle des
salariés dans l'entreprise
- - lien de subordination inhérent au contrat de travail
- - contrôle de l’activité du personnel
- - contrôle de la confidentialité des biens de l’entreprise
- - contrôle de la sécurité
- - exécution de bonne foi de ses missions par le salarié
Si le droit de surveillance de l'employeur est reconnu, il est alors borné par des limites
Exigence de transparence
- - le dispositif de contrôle doit faire l'objet d'une information des salariés, d'une consultation du comité d'entreprise (Art. L.432-2-1 Code du
travail), et le cas échéant d'une déclaration à la CNIL (dans les cas de contrôle des connexions portant sur les sites visités et les
messages envoyés, dans les cas d’écoutes téléphoniques ou de vidéosurveillance des postes de travail, et tout dispositif relevant les
données relatives aux salariés de façon individuelle.
- - à défaut l’employeur s’expose à une peine d’emprisonnement de 5 ans et à une amende de 300 000 €)
Exigence de proportionnalité
- - le contrôle doit être justifié par un intérêt légitime qui s’exprime dans la finalité poursuivie, pertinent, non-excessif
- à des sanctions pénales (délits d'entrave au comité d'entreprise, d'atteinte à la vie privée, de non-déclaration à la Cnil, etc.) ;
- à un risque civil (dommages et intérêts), si un préjudice a été subi ;
- au risque, au cas où une sanction a été prise par l'employeur sur la base d'agissements fautifs du salarié établis par le dispositif de
surveillance, que la preuve soit considérée comme illicite devant les juridictions civiles et écartée des débats.
147
147
PCI-DSS
• Gratuite.
• 135 pages
• 12 conditions à respecter
– La moitié en technique
– La moitié en organisationnel
148
148
Les organismes pour vous aider
– le CLUSIF https://www.clusif.fr
– le SANS https://www.sans.org
– techniques de sécurisation
– CAIDA https://www.caida.org
– l’OWASP https://www.owasp.org
149
149
11. PCI DSS
150
Sommaire
151
Qu’est-ce que c’est la standard PCI DSS (Payment
Card Industry Data Security Standard)?
152
Pourquoi le standard PCI DDS est-il requis?
153
PCI Data Security Standard v1.1 (1/3)
154
PCI Data Security Standard v1.1 (2/3)
2. N’utilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut
4. Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics
7. Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'")
10. Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement
12. Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs
Qu’est-ce que c’est « les données de titulaire
de carte »?
157
Stockage de données de titulaire de carte
Internet
Payment Gateway
$ 0.00
Customer
purchase
LaLe
banque
La
Un
négociant
passerelle
client
garante
emploie
soumet
de consulte
paiement
une
la transaction
carte
laeffectue
centrale
de crédit
de
lad’échange
carte
transaction
pour de
payer
crédit
de par
les
cartes
à
del'intermédiaire
crédit ‘Credit
marchandises
Card
d'une
la passerelle
Interchange’
connexion
achetéesde chez
paiement
sécurisée
pourunobtenir
négociant
versl’autorisation
la banque
garante
de la transaction
du négociant Credit Card Interchange
159
Qui doit se conformer au standard PCI DSS?
160
Les négociants
161
Niveaux de conformité des négociants
NIVEAUX DE NEGOCIANTS
Niveau 1
Les négociants dont des données de titulaire de carte ont été compromises
• Exemples de services
– Passerelles de paiement (par exemple PayPal)
– Services de traitement de paiements
– Fournisseurs de service d’e-commerce
– Fournisseurs de service de contrôle
– Agences de contrôle de solvabilité
– Entreprises de gestion d’enregistrements de secours
– Entreprises de destruction de documents
163
Niveaux de conformité des fournisseurs de
services
Niveau 1
Niveau 2
Tout fournisseur de services qui n’est pas de Niveau 1 avec plus de 1 million
de transactions de comptes de cartes de crédit par an
Niveau 3
Fournisseur de service
• Financières
– Peut mener à des amendes pouvant atteindre $500.000
USD et des coûts élevés des procès
• Réputation
– Un mauvais incident peut avoir un grand impact sur l’image
de marque d’un produit et d’une entreprise
– Implication d’agences d’application de la loi
• Opérationnelles
– Niveaux 2, 3 ou 4 + compromise = Niveau 1
– Pourrait mener à une perte éventuelle de privilèges de
traitement de données de carte
167
Préparation à la conformité au standard PCI DSS
168
Frais de conformité au standard PCI DSS
Fournisseur de service