Paysage de la sécurité de l'information

455 vues

Publié le

Dispositions légales
Institutions (belges)
Stratégie (belge) de cybersécurité

Publié dans : Droit
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
455
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Paysage de la sécurité de l'information

  1. 1. 1 Quel est le paysage de la sécurité de l'information ? 9 décembre 2014 Alain Huet Consulting huet.alain@skynet.be + 32 (0) 495 34.71.01 http://be.linkedin.com/in/AlainHuetConsulting © 2014. Alain Huet. All rights reserved. Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 2
  2. 2. 2 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 3 Dispositions légales Belgique / Union Européenne Protection des biens vitaux Vie privée Propriété intellectuelle Criminalité Signature électronique Organisation de l'Autorité fédérale Hors Union Européenne © 2014. Alain Huet. All rights reserved. 4
  3. 3. 3 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées Infrastructures critiques © 2014. Alain Huet. All rights reserved. 5 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées (1) Décision 2001/264 (19/3/2001) : Règlement de sécurité Loi (11/12/1998) : classification, habilitations, … AR (24/3/2000)  6 Vie privée © 2014. Alain Huet. All rights reserved. BE UE atteinte très grave TRES SECRET TRES SECRET UE atteinte grave SECRET SECRET UE atteinte CONFIDENTIEL CONFIDENTIEL UE effet défavorable (diffusion restreinte) RESTREINT UE  défense sûreté intérieure relations internationales potentiel économique ... intérêts de l'UE et des Etats membres
  4. 4. 4 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées (2) Personnes Conditions d'accès Habilitation (security clearance) > Degré de classification Need to know Procédure d'habilitation Enquête de sécurité (vie privée) par service de renseignement Sûreté de l'Etat Service Général de Renseignement et de Sécurité (Défense) Systèmes Règlement EU (2001/264) : 3 étapes Evaluation (evaluation) laboratoires de contrôle agréés Ǝ? BELAC Certification (certification) autorité de certification Ǝ? Homologation (EN accreditation) autorité d'homologation : Autorité Nationale de Sécurité © 2014. Alain Huet. All rights reserved. 7 Dispositions légales BE / UE – Protection des biens vitaux Infrastructures critiques Directive 2008/114 (8/12/2008) : infrastructures critiques européennes Loi (1/7/2011) : infrastructures critiques belges AR (27/5/2014) Infractructures critiques UE : énergie, tansport BE : + finance, communications électroniques Fonctions vitales, santé, sécurité, bien-être économique / social Autorité sectorielle télécom : IBPT Exploitant d'infrastructure critique  plan de sécurité © 2014. Alain Huet. All rights reserved. 8
  5. 5. 5 Dispositions légales BE / UE – Vie privée Traitement de données à caractère personnel Communications électroniques CCT 81 © 2014. Alain Huet. All rights reserved. 9 Dispositions légales BE / UE – Vie privée Traitement de données à caractère personnel Directive 95/46 (24/10/1995) : traitement de données personnelles Loi (8/12/1992) : traitement de données personnelles Loi (30/6/1994) : écoutes et enregistrement des communications Finalités déterminées, explicites, légitimes Proportionnalité : données pertinentes, non excessives Transparence Durée de conservation : non excessive Données sensibles (santé, …) Niveau de protection adéquat : mesures techniques / organisationnelles Préposé à la protection des données Commission de Protection de la Vie Privée (CPVP), comités sectoriels Déclaration à la CPVP Sanctions © 2014. Alain Huet. All rights reserved. 10
  6. 6. 6 Dispositions légales BE / UE – Vie privée Communications électroniques Loi (13/6/2005) : communications électroniques Opérateurs Mesures de sécurité (techniques / organisationnelles) Services de sécurité gratuits Notification des incidents de sécurité  IBPT, CPVP, abonné Audit possible par l'IBPT ou organisme indépendant Conservation des données de trafic / géolocalisation IBPT Sécurité des télécommunications Coordination Supervision de la détection des problèmes Contrôle, recommandations, instructions  opérateurs © 2014. Alain Huet. All rights reserved. 11 Dispositions légales BE / UE – Vie privée CCT 81 CCT (26/4/2002) : contrôle des données de communication au travail Finalités 1 prévention de faits illicites (piratage, pédophilie, racisme, …) 2 protection des intérêts de l'employeur 3 sécurité technique des systèmes 4 respect des règles internes Proportionnalité : ingérence minimale dans la vie privée anomalie finalités 1-2-3  individualisation anomalie finalité 4  avertissement collectif  ...  individualisation Transparence information collective / individuelle Filtrage  Journalisation + contrôle © 2014. Alain Huet. All rights reserved. 12
  7. 7. 7 Dispositions légales BE / UE – Propriété intellectuelle Directive 91/250 (14/5/1991) : programmes d'ordinateur Directive 96/9 (11/3/1996) : bases de données Directive 2001/29 (22/5/2001) : droits d'auteur - société de l'information Loi (10/4/2014) : propriété intellectuelle Droit d’auteur et propriété intellectuelle en questions Guide pour les communicateurs fédéraux - J. Folon SPF Personnel et Organisation, Décembre 2010 www.fedweb.belgium.be/fr/binaries/Brochure%20COMM%2020%20F_tcm119-112822.pdf © 2014. Alain Huet. All rights reserved. 13 Dispositions légales BE / UE – Criminalité Directive 2013/40 (12/8/2013) : attaques contre les systèmes d'information Loi (28/11/2000) : criminalité informatique Code pénal : art. 116-118 Directive 2006/24 (15/3/2006) : conservation des données de trafic Loi (30/7/2013) : conservation des données de trafic / géolocalisation Décision CJUE (8/4/2014) : annulation de la directive 2006/24 Faux informatique Intrusion Abus de droits d'accès Sabotage Distribution de données acquises illégalement Distribution de données nuisibles Défense / sûreté de l'Etat : communication à une puissance étrangère Conservation des données de trafic / géolocalisation © 2014. Alain Huet. All rights reserved. 14
  8. 8. 8 Dispositions légales BE / UE – Signature électronique Directive 1999/93 (13/12/1999) Loi (9/7/2001) : signatures électroniques et services de certification Signature électronique : ne peut être refusée en justice Signature électronique avancée Certificat ... qualifié Signature électr. avancée + certificat qualifié ≈ signature manuscrite Prestataire de service de certification Contrôle : SPF Economie © 2014. Alain Huet. All rights reserved. 15 Dispositions légales BE / UE – Organisation de l'Autorité fédérale Loi (8/8/1983) : registre national des personnes physiques AR (12/8/1993) : sécurité de l'information  sécurité sociale AR (4/2/1997) : communication entre institutions de sécurité sociale Loi (15/8/2012) : intégrateur de service fédéral AR (17/3/2013) : conseillers en sécurité AR (10/10/2014): Centre pour la Cybersécurité Belgique Conseillers / services en sécurité de l'information : Direction Comités sectoriels Centre pour la Cybersécurité Belgique 16
  9. 9. 9 Dispositions légales Hors Union Européenne US Safe Harbor Directive 95/46 : interdiction de transférer des données personnelles hors EEE sauf niveau de protection équivalent 2001 : accord Commission européenne / US Dept of Commerce Certification des entreprises US Principes Notification et libre choix des personnes Sécurité Traitement compatible avec le but déclaré Droit d'accès et de rectification US Patriot Act (2001) Mandat de perquisition numérique Données hébergées : US / hors US Sociétés : US et non US (si intérêts aux USA) © 2014. Alain Huet. All rights reserved. 17 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 18
  10. 10. 10 Institutions • Autorité Nationale de Sécurité (ANS) • Commission de Protection de la Vie Privée (CPVP) • Computer Crime Unit • Institut belge des services postaux et des télécommunications (IBPT) • Sûreté de l'Etat • Service Général de Renseignement et de Sécurité (SGRS) • Centre de Crise • Computer Emergency Response Team (CERT.be) • Plate-forme de concertation sur la sécurité de l'information (BELNIS) • Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCentre) • Centre pour la Cybersécurité Belgique (CCB) © 2014. Alain Huet. All rights reserved. 19 Institutions Autorité Nationale de Sécurité (ANS-NVO) diplomatie.belgium.be/fr/sur_lorganisation/organigramme_et_structure/ans Affaires Etrangères ( OTAN, UE) Habilitation des personnes (infos classifiées) Homologation des systèmes (infos classifiées) © 2014. Alain Huet. All rights reserved. 20
  11. 11. 11 Institutions Commission de Protection de la Vie Privée (CPVP) www.privacycommission.be Parlement fédéral Assistance sur la législation Autorisation, contrôle et inspection Information Traitement des plaintes Avis sur les règlements et normes © 2014. Alain Huet. All rights reserved. 21 Institutions Computer Crime Unit www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php Police judiciaire Federal Computer Crime Unit (FCCU) CCU régionaux (RCCU) © 2014. Alain Huet. All rights reserved. 22
  12. 12. 12 Institutions Institut belge des services postaux et des télécommunications (IBPT) www.ibpt.be Sécurité des réseaux publics de télécommunication Centralisation et suivi des incidents de sécurité © 2014. Alain Huet. All rights reserved. 23 Institutions Sûreté de l'Etat justice.belgium.be/fr/service_public_federal_justice/organisation/services_e t_commissions_independants/surete_de_l_Etat Renseignement civil Habilitations © 2014. Alain Huet. All rights reserved. 24
  13. 13. 13 Institutions Service Général de Renseignement et de Sécurité (SGRS) Renseignement militaire Protection des systèmes d'information militaires © 2014. Alain Huet. All rights reserved. 25 Institutions Centre de Crise www.ibz.be/code/fr/loc/crise.shtml SPF Intérieur Plans d'urgence Protection des infrastructures critiques Assistance aux autorités sectorielles © 2014. Alain Huet. All rights reserved. 26
  14. 14. 14 Institutions Computer Emergency Response Team (CERT.be) www.cert.be Collecte d'informations sur les incidents de sécurité Assistance aux incidents Coordination du traitement des incidents majeurs Information et sensibilisation © 2014. Alain Huet. All rights reserved. 27 Institutions Plate-forme de concertation sur la sécurité de l'information (BELNIS) Concertation entre les institutions (fédérales) 2007 - Livre blanc sur la sécurité de l'information 2012 - Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 28
  15. 15. 15 Institutions Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCentre) www.b-ccentre.be Initiative de la KUL Sensibilisation et formation Cyber Security Coalition : lien public / privé / académique www.cybersecuritycoalition.be © 2014. Alain Huet. All rights reserved. 29 Institutions Centre pour la Cybersécurité Belgique (CCB) Service du Premier Ministre Supervision de la stratégie infosec Coordination des autorités publiques Coordination public / privé / académique Adaptation du cadre légal Gestion de crise  CERT.be Standards et directives Evaluation et certification des systèmes (avec BELAC) Sensibilisation des utilisateurs (publics, privés, citoyens) © 2014. Alain Huet. All rights reserved. 30
  16. 16. 16 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 31 Stratégie nationale de cybersécurité www.b-ccentre.be/wp-content/uploads/2013/03/cybersecustra_fr.pdf Objectifs stratégiques Cyberespace sûr, respectant les valeurs et droits fondamentaux Protection des infrastructures critiques contre la cybermenace Développement de capacités propres Approche Intégration + collaboration public / privé / académique Cadre légal Suivi de la cybermenace Amélioration de la protection Capacité de réaction Cybercriminalité Expertise et connaissance Développement technologique © 2014. Alain Huet. All rights reserved. 32
  17. 17. 17 Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 33

×