Cybersécurité et vie privée                                      PrésentationChristophe-Alexandre PAILLARD,Directeur des A...
2Propos introductifs
3                     La cybersécurité : une prise de conscience                     mondiale récenteCe n’est qu’au printe...
4                          Les attaques prennent différentes formesLes menaces pour les systèmes informatiques sont de plu...
5                      Stuxnet : la guerre cybernétique a-t-elle                      vraiment commencé ?En juin 2010, un ...
6Les cyberguerres en bref                           6
7I. La cybersécurité : principaux enjeux et défis
8                   Cybersécurité : de quoi parle-t-on                   exactement ?L’objet de la cybersécurité est de : ...
9Une profusion de stratégies decybersécurité sorties entre 2009 et2011 à travers le monde
10Destinées à quels publics ? Quiest concerné par ces stratégies ?
11Les routes de transit de l’information                                         11
12                                            On agrège les données et les risques à                                      ...
13       Nos infrastructures physiques       dépendent de plus en plus des cyber-       infrastructuresSource: Department ...
14               Quelles démarches engager ?Maîtriser la sécurité en garantissant l’efficience des mesures de sécurité dan...
15              Les principales mesures concrètes à mettre              en œuvreCadre légal : loi sur la cybercriminalité;...
16II. Quels sont les liens entre cybersécurité et vie   privée ? En quoi la CNIL est-elle concernée ?
17              Des menaces permanentes et de plus              en plus sophistiquées sur vos              données personn...
18                    Des Etats et l’UE prennent différentes                    mesures touchant à la vie privéeUn constat...
19                   Pourquoi lier cybersécurité et vie privée ? La                   démonstration canadienne« Chaque jou...
20                   L’exemple canadien (suite)« La cybersécurité concerne chacun dentre nous, puisque même les attaquants...
21                Les Etats-Unis proposent une stratégie                internationale de coopérationLe 16 mai 2011, les E...
22Une multiplication des initiativesaméricaines
23                Et la France ?La France sest dotée dune stratégie pour se défendre et se protéger dans lecyberespace pou...
24                       La stratégie française en bref     Quatre objectifs stratégiques : être une puissance mondiale de...
25Conclusions
26                     Et la CNIL dans tout cela ?La CNIL fait de la cybersécurité sans le dire. Quelques exemples concret...
27                  La relation entre la protection de la vie                  privée et la sécurité, comme Janus,        ...
28Assiste-t-on au retour des barbares ?
29Un peu de lectures
30Questions/réponses
Prochain SlideShare
Chargement dans…5
×

CyberséCurité Et Vie PrivéE

1 727 vues

Publié le

Conférence donnée à l\'Ecole nationale de la magistrature.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 727
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
92
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

CyberséCurité Et Vie PrivéE

  1. 1. Cybersécurité et vie privée PrésentationChristophe-Alexandre PAILLARD,Directeur des Affaires juridiques, internationales et de l’expertise technologique de la CNILEcole nationale de la magistrature, formation continue des magistratsJeudi 3 novembre 2011, 15h30/16h30
  2. 2. 2Propos introductifs
  3. 3. 3 La cybersécurité : une prise de conscience mondiale récenteCe n’est qu’au printemps 2007 que les Etats du monde entier ont vraimentpris conscience de la montée en puissance de ce que l’on peut appeler lacyberguerre : Le développement d’internet a en fait ouvert la voie à un nouveau type d’attaque que l’on peutqualifier de guerre, forçant tous les pays à revoir leurs systèmes de sécurité. L’Estonie a subi en 2007 une attaque sans précédent. L’attaque faisait suite au transfert d’unmonument à la gloire de l’Armée rouge qui a déclenché la colère de la minorité russophone d’Estonieet des actions de représailles de hackers russes. Des journaux, des banques ou des institutionsgouvernementales ont été pris pour cibles par des hackers, forçant ces institutions à fermer leurs sitespour éviter le vol de données et un blocage complet de leurs serveurs. Cet évènement a au moins permis aux experts de l’OTAN, de l’Union européenne, des Etats-Unis,d’Israël et des autres pays du camp occidental d’étudier les moyens mis en œuvre par les hackerspour pénétrer les systèmes et développer des plans de réponse rapide pour contrer ces attaques. L’attaque présumée de la Chine contre les Etats-Unis de 2005 a aussi montré l’étendue decette lutte. Des internautes chinois avaient alors pénétré sur les sites du Homeland Security, duDépartement de la Défense (DoD) et de celui de l’énergie. Aucune information classifiée n’aurait étédérobée mais les Américains ne sont pas parvenus à localiser la source exacte de l’attaque.
  4. 4. 4 Les attaques prennent différentes formesLes menaces pour les systèmes informatiques sont de plus en plus réelles : Les pirates ne lancent jamais une attaque directe depuis leurs propres ordinateurs : ils piratent lesordinateurs d’autrui afin d’en prendre le contrôle au moment choisi, ces ordinateurs étant des zombies. Letemps entre le piratage d’un ordinateur et le moment ou celui-ci est utilisé pour lancer une attaque rend toutepossibilité de remonter à l’ordinateur de l’attaquant particulièrement difficile. La compromission d’un ordinateur peut se faire de différentes manières : en ouvrant une pièce jointed’un email, qu’il s’agisse d’un programme, mais plus sournoisement également s’il s’agit d’un pdf infecté, ouencore d’un contenu multimédia (vidéo, photo, mp3), via une clé USB, depuis un site internet infecté, etc. Carles logiciels d’un ordinateur ne sont jamais exempts de failles de sécurité, connues ou non encoredivulguées, à partir desquelles un malware pourra en prendre le contrôle. Parmi les modes de cyber–attaques, on peut distinguer celles utilisant les bombes logiques : le malwareayant infecté les ordinateurs qui vont participé à l’attaque est programmé de façon à déclencher celle-ci à unedate prédéfinie à l’avance. Plus évoluées sont les attaques lancées à partir de botnet, un ensembled’ordinateurs compromis auxquels les pirates sont capables de transmettre des commandes depuis internet.L’attaque dite de déni de service distribué peut faire appel à des centaines de milliers d’ordinateurs ainsimanipulés, avec pour résultat que le site web attaqué sera injoignable car inondé par trop de demandes,l’ensemble des visiteurs légitimes voyant alors affiché sur leur navigateur un message d’erreur.
  5. 5. 5 Stuxnet : la guerre cybernétique a-t-elle vraiment commencé ?En juin 2010, un virus particulièrement sophistiqué dénommé Win32 Stuxnet s’est attaqué à dessystèmes d’automatismes équipés d’automates programmables en provenance de la sociétéallemande Siemens en Iran : Cette infection se cachait derrière deux rootkits sophistiqués signés par des certificats en apparencevalides. Un rootkit (outil de dissimulation d’activité) est un ensemble de techniques mises en œuvre par unou plusieurs logiciels dans le but d’obtenir un accès non autorisé à un ordinateur. Stuxnet est un malware complexe permettant de saboter le fonctionnement normal de systèmescritiques. Pour approcher sa cible, Stuxnet a exploité quatre vulnérabilités 0-day (une faille 0-day est unefaille qui n’est pas encore connue ou qui n’est pas encore corrigée). Ces failles 0-day permettaient à unpirate d’exécuter du code lors de l’ouverture d’un dossier, que celui-ci soit partagé, local ou issu d’unpériphérique de stockage de masse comme un disque dur externe ou une clef USB. Le malware utilise un mot de passe défini par défaut au sein des systèmes SCADA ou SupervisoryControl And Data Acquisition. Stuxnet a reprogrammé les systèmes SCADA. Ce malware portait en lui deux codes malveillants. L’un a permis de détruire le système de commandedes centrifugeuses présentes dans le centre d’enrichissement de Natanz. L’autre a ciblé les turbines àvapeur fabriquées par l’industriel russe Power Machines de la centrale nucléaire de Busher, à partir destechnologies de Siemens. Les centrifugeuses iraniennes ont été gravement endommagées et lecycle d’enrichissement d’uranium engagé par l’Iran a probablement été retardé de trois ans.
  6. 6. 6Les cyberguerres en bref 6
  7. 7. 7I. La cybersécurité : principaux enjeux et défis
  8. 8. 8 Cybersécurité : de quoi parle-t-on exactement ?L’objet de la cybersécurité est de : Contribuer à préserver les forces et les moyens organisationnels, humains, financiers,technologiques et informationnels dont se sont dotées les Institutions, les Etats, pourréaliser leurs objectifs.Ses enjeux sont de : Apporter une réponse adéquate aux dimensions humaine, juridique, économique, socialeet technologique des besoins de sécurité des infrastructures et des populations. Apporter une réponse au besoin de maîtrise du patrimoine numérique, de la distribution debiens intangibles / immatériels, du commerce électronique, etc. Instaurer la confiance en l’économie numérique afin de favoriser un développement socio-économique profitable à tous les acteurs de la société.Sa finalité est de : Garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’organisation ou del’Etat. Diminuer la probabilité de voir des menaces se concrétiser et limiter les atteintes ou lesdisfonctionnements induits. Permettre le retour à un fonctionnement normal à des coûts et à des délais acceptablesen cas d’attaque.
  9. 9. 9Une profusion de stratégies decybersécurité sorties entre 2009 et2011 à travers le monde
  10. 10. 10Destinées à quels publics ? Quiest concerné par ces stratégies ?
  11. 11. 11Les routes de transit de l’information 11
  12. 12. 12 On agrège les données et les risques à un niveau sans précédent 5. Systèmes complètement intégrésDegré de numérisation des données (les systèmes des prochaines années) 4. Intégration technique (ex : cloud computing) 3. Systèmes d’échange (ex : peer to peer) 2. Stockage d’informations (ex : data centre d’une entreprise) 1.Messages (ex : ouverture d’un système de messagerie) Échelle des risques
  13. 13. 13 Nos infrastructures physiques dépendent de plus en plus des cyber- infrastructuresSource: Department of homeland security, “Securing the Nation’s Critical Cyber Infrastructure”
  14. 14. 14 Quelles démarches engager ?Maîtriser la sécurité en garantissant l’efficience des mesures de sécurité dans le tempset dans l’espace, en identifiant les acteurs et les responsabilités.Définir une politique de sécurité précisant les exigences de sécurité envers tous lesacteurs : gouvernement, utilisateurs, prestataires de services, etc.Elaborer et mettre en œuvre une stratégie de cybersécurité cohérente et efficace.Développer une éthique d’utilisation et de comportement vis-à-vis des technologies.Adapter le cadre légal et institutionnel aux nouvelles menaces.Eduquer, former et sensibiliser l’ensemble des acteurs concernés à la cybersécurité.Mettre en place des centres d’alerte et de gestion de crise au niveau national/européen.Créer des systèmes de surveillance et organiser des contrôles par des évaluationsrégulières des vulnérabilités et des menaces.Faire une analyse internationale des cibles stratégique et tactique des cyber-attaques.Développer les compétences d’une cyberpolice pouvant contribuer à une coopérationinternationale en matière de poursuite et d’investigation du cybercrime.Développer des solutions technologiques de gestion des identités, de contrôle d’accès,de cryptographie, etc.Elaborer et mettre en œuvre une stratégie nationale de cybersécurité, des plansd’action et protéger les infrastructures critiques nationales.
  15. 15. 15 Les principales mesures concrètes à mettre en œuvreCadre légal : loi sur la cybercriminalité; loi sur la sécurité des réseaux etsystèmes informatiques; loi sur la protection des données à caractèrepersonnel.Cadre organisationnel : désignation d’un responsable national chargé de lacybersécurité; création d’une agence spécialisée chargée de la sécuritéinformatique (ANSSI).Renforcement des capacités : développer une expertise nationale en matièrede sécurité des réseaux et systèmes informatiques; former des instances dejustice et de police dans le domaine des TIC et des investigations en matièrede cybercriminalité.Sensibilisation et éducation : sensibiliser à une cyberéthique d’utilisation etde comportement vis- à-vis des TIC.Coopération nationale et internationale : collaboration entre legouvernement et le secteur privé; coopération internationale; mise en place depoints de contact.
  16. 16. 16II. Quels sont les liens entre cybersécurité et vie privée ? En quoi la CNIL est-elle concernée ?
  17. 17. 17 Des menaces permanentes et de plus en plus sophistiquées sur vos données personnelles Les menaces sur vos données : Elles arrivent. Elles sont ciblées. Elles sont sophistiquées.• NIR, identité. • Mesures disciplinaires.• Diplômes, données universitaires. • Mémoires, notes, etc.• Données professionnelles. • Données médicales.• Données bancaires. • Données autres : sexe, religion, etc. 17
  18. 18. 18 Des Etats et l’UE prennent différentes mesures touchant à la vie privéeUn constat : de plus en plus d’Etats lient directement cybersécurité et protection de lavie privée. Premier exemple, le 8 juillet 2011, les Pays-Bas ont annoncé, dans le cadre de leurstratégie nationale de cybersécurité, la mise en place du Conseil de cybersécuriténéerlandais. Ce dernier aura pour mission d’informer et de conseiller les institutionspubliques et les entreprises privées des évolutions en matière de sécurité informatique. Audelà de sa mission de coordination et de prévention, le Conseil aura également pourfinalité de défendre certains droits fondamentaux, notamment la liberté d’expression etla vie privée. Autre exemple, le 25 février 2011, lAgence européenne chargée de la cybersécurité(ENISA) a présenté un rapport sur les utilisations abusives des nouveaux cookies Internetcapables de dresser le profil et la localisation de lutilisateur à des fins publicitaires, cela entoute opacité. L’ENISA explore plusieurs voies pour prémunir les internauteseuropéens face à une éventuelle intrusion dans leur vie privée. Parmi elles figurent lanécessité dobtenir le consentement de lutilisateur ainsi que la possibilité de gérer cescookies aisément. La limitation ou linterdiction du stockage de ceux-ci hors du navigateurest prônée comme le besoin de proposer une alternative aux internautes en cas de refus decookies. La CNIL est représentée à l’ENISA par le service de l’expertise technologique.
  19. 19. 19 Pourquoi lier cybersécurité et vie privée ? La démonstration canadienne« Chaque jour, nous accédons à Internet pour effectuer des transactions bancaires,magasiner ou utiliser des services gouvernementaux, et nous le faisons à partir de nimporteoù. Les infrastructures numériques rendent tout cela possible et assurent le bonfonctionnement des services essentiels en tout temps …Les Canadiens (individus, industries et gouvernements) sont conscients des nombreuxavantages quoffre le cyberespace pour notre économie et qualité de vie. Notre grandedépendance aux cybertechnologies nous rend toutefois plus vulnérables aux attaqueslancées contre nos infrastructures numériques dans le but de déstabiliser notre sécuriténationale, notre prospérité économique et nos modes de vie …Nos systèmes sont des cibles attrayantes pour les services militaires et du renseignementétrangers ainsi que pour les réseaux criminels et terroristes. Ces groupes (ndlr criminels)semparent de nos systèmes informatiques, fouillent dans nos dossiers etprovoquent des pannes informatiques. Ils volent nos secrets de sécurité nationale etindustriels ainsi que nos identités personnelles ».Lhonorable Vic Toews, ministre de la Sécurité publique du Canada (2010), stratégiecanadienne de cybersécurité.
  20. 20. 20 L’exemple canadien (suite)« La cybersécurité concerne chacun dentre nous, puisque même les attaquantspossédant seulement des compétences de base peuvent causer de graves dommages. Lesattaquants qui sy connaissent vraiment peuvent troubler les contrôles électroniques desréseaux de distribution délectricité, des installations de traitement des eaux et des réseauxde télécommunications. Ils nuisent à la production et à la livraison de biens et servicesessentiels fournis par nos gouvernements et le secteur privé. Ils portent atteinte à notredroit à la vie privée en volant nos renseignements personnels. Il ne suffit pas de lutterséparément contre les différentes cybermenaces. Par lentremise de la Stratégie, legouvernement continuera de travailler de manière concertée avec les provinces, lesterritoires et le secteur privé pour combattre les menaces auxquelles font face le Canada etses citoyens ».« La Stratégie de cybersécurité du Canada constitue notre plan pour combattre lescybermenaces. La Stratégie repose sur trois piliers : protéger les systèmesgouvernementaux; nouer des partenariats pour protéger les cybersystèmesessentiels à lextérieur du gouvernement fédéral; aider les Canadiens à se protéger enligne : le gouvernement aidera les citoyens canadiens à obtenir linformation dont ilsont besoin pour se protéger et protéger leur famille en ligne et pour accroître lacapacité des organismes dapplication de la loi de lutter contre les cybercrimes ».
  21. 21. 21 Les Etats-Unis proposent une stratégie internationale de coopérationLe 16 mai 2011, les Etats-Unis ont publié leur stratégie internationale de coopération enmatière de cybersécurité Intitulée « International Strategy for Cyberspace ».Ce document développe une stratégie qui s’articule autour de sept axes, économique,militaire, juridique et politique. L’administration américaine propose un engagementfinancier destiné à encourager l’innovation et les échanges en ligne tout en préservant lapropriété intellectuelle.Comme pour la stratégie américaine nationale de sécurité, ce texte met très clairementen avant les notions de vie privée : « our strategy marries our obligation to protect ourcitizens and interests with our commitment to privacy As citizens increasingly engage viathe Internet in their public and private lives, they have expectations for privacy:individuals should be able to understand how their personal data may be used, and beconfident that it will be handled fairly Likewise, they expect to be protected from fraud,theft, and threats to personal safety that lurk online—and expect law enforcement to useall the tools at their disposal, pursuant to law, to track and prosecute those who woulduse the Internet to exploit others ».
  22. 22. 22Une multiplication des initiativesaméricaines
  23. 23. 23 Et la France ?La France sest dotée dune stratégie pour se défendre et se protéger dans lecyberespace pour répondre aux cybermenaces : « le cyberespace est devenu unnouveau champ d’action dans lequel se déroulent déjà des opérations militaires, laFrance devra développer une capacité de lutte dans cet espace. Des règlesd’engagement appropriées, tenant compte des considérations juridiques liées à cenouveau milieu, devront être élaborées » (livre Blanc de la Défense et de la Sécuriténationale de juin 2008).Par décret publié au Journal Officiel du 8 juillet 2009, l’ANSSI se substitue à la Directioncentrale de la sécurité des systèmes d’information (DCSSI) rattachée au Secrétariatgénéral de la Défense nationale (SGDN). Elle est dirigée par Patrick Pailloux.En 2012, l’ANSSI pourrait compter 250 personnes (soit un doublement des effectifs parrapport à 2008) et disposera d’un budget de 90 millions d’euros à la même échéance.La guerre ne fait que commencer : à l’automne 2010, Bercy a été victime d’attaques(rappel : vendredi de la com de la CNIL). le 29 septembre 2011, Areva a reconnu avoirété victime d’attaques durant deux ans sur l’ensemble de ses installations informatiques.
  24. 24. 24 La stratégie française en bref Quatre objectifs stratégiques : être une puissance mondiale de cyber-défense; garantir la liberté de décision de la France par la protection de l’information de souveraineté; renforcer la cyber-sécurité des infrastructures vitales nationales; assurer la sécurité dans le cyber- espace. Sept axes d’effort :1. mieux anticiper et analyser l’environnement afin de prendre les décisions adaptées;2. détecter les attaques et les contrer, alerter les victimes potentielles et les accompagner;3. accroître et pérenniser nos capacités scientifiques, techniques, industrielles et humaines dans l’objectif de conserver l’autonomie nécessaire;4. protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales pour une meilleure résilience nationale;5. adapter notre droit afin de prendre en compte les évolutions technologiques et les nouveaux usages;6. développer nos collaborations internationales en matière de sécurité des systèmes d’information, de lutte contre la cyber-criminalité et de cyber-défense pour mieux protéger les systèmes d’information nationaux;7. communiquer, informer et convaincre afin de permettre aux Français de prendre la mesure des enjeux liés à la sécurité des systèmes d’information.
  25. 25. 25Conclusions
  26. 26. 26 Et la CNIL dans tout cela ?La CNIL fait de la cybersécurité sans le dire. Quelques exemples concrets : Ne pas prendre de risque, c’est effacer ses traces sur internet : cf. Surfer sur internet,ça laisse des traces ! Faites-en lexpérience du 16 juin 2011. Lutter contre le harcèlement : cf. Le harcèlement sur internet en questions du 2novembre 2010. La confiance numérique : cf. délibération n°2007-391 du 20 décembre 2007 portant avissur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004pour la confiance dans l’économie numérique. Le plan numérique 2012 présenté en octobre 2008 par Eric Besson demandait à garantir laprotection des données personnelles. Laction n°80 de ce plan invitait « la CNIL à mettre enplace une campagne de sensibilisation informatique et libertés ». Patrick Pailloux (ANSSI) a rappelé début octobre 2010 quun nombre très importantdattaques à des fins despionnage sont détectées par ladministration et les entreprises. Il aévoqué la nécessité dappliquer des " règles dhygiène informatique élémentaire " aveccomme exemple : « limitation des droits daccès, analyse des mouvements suspects sur lessystèmes dinformation, sanctuarisation des éléments les plus critiques comme les dispositifsde gestion des droits daccès, application régulière des correctifs de sécurité ». C’est bien ladoctrine habituelle de la CNIL.
  27. 27. 27 La relation entre la protection de la vie privée et la sécurité, comme Janus, présente deux faces distinctesPuisque les renseignements personnels se retrouvent de plus en plus dans lecyberespace, la protection de la vie privée dépend de plus en plus de lacybersécurité.Toutefois, dans certains cas, la cybersécurité, comme toute mesure de sécurité, peutreprésenter une menace pour la protection de la vie privée.Ainsi, la notion de protection de données personnelles (privacy) va devenir délicate àtraiter. En effet, si les militaires ont décidé d’investir le cyberespace, ce dernier comportebien plus de civils (les internautes) et d’entreprises que de militaires. Où sont alors lesintérêts des uns et des autres ? La militarisation déguisée ou avérée du cyberespacene doit pas se faire au détriment des enjeux économiques (le monde des affaires) etdu respect de la vie privée des internautes.Là se situeront probablement les échecs ou la réussite des stratégies en matière decybersécurité dans les années qui viennent.En clair, cette sécurité mérite-t-elle que nous lui sacrifions l’essentiel de notre vie privée ?
  28. 28. 28Assiste-t-on au retour des barbares ?
  29. 29. 29Un peu de lectures
  30. 30. 30Questions/réponses

×