LEPENTEST
FACEAUDROIT
CYBER@HACK2015
/ /Benjamin Benifei Juriste ITrust
DROITVS.PENTEST
1. Définitions préalables
2. Risques juridiques
3. Encadrement juridique
DÉFINIRLE
PENTEST
QUID?
Pentest/Test d'intrusion
Tentative de pénétration d'un système (mise en situation
d'une attaque, exploitation des fa...
DUCÔTÉDUPENTESTEUR
Quel système d'information cible ? / Quelles
connaissances ? / Quelle méthodologie ?
NIVEAUDECONNAISSANCEDU
PENTESTEUR
Boîte noire / Boîte grise / Boîte blanche
MÉTHODOLOGIEDUPENTEST
Logique / Physique
Technique / Ingénierie sociale
PENTEST≠AUDIT
L'audit est une étude aboutissant à un panorama
complet du SI et indique sa situation par rapport à un
référ...
DIFFÉRENCESMAJEURES
Un pentest est relativement peu cher, mais limité dans
son périmètre et sa durée
Un audit est plus lar...
QUELS
RISQUES
JURIDIQUES?
TL;DR
GRAVESETNOMBREUX
FRAUDEINFORMATIQUE
Loi Godfrain (articles 323-1 à 323-7 du Code pénal)
DÉLITSDELALOIGODFRAIN
Notion de système de traitement automatisé de données
Accès et maintien non autorisés / Entrave du
f...
SANCTIONSDELALOIGODFRAIN
Accès/Maintien
2 ans d'emprisonnement, 30k€ d'amende
Contre un STAD étatique
3 ans d'emprisonneme...
SANCTIONSDELALOIGODFRAIN
Modification de données
5 ans d'emprisonnement, 75k€ d'amende
Contre un STAD étatique
7 ans d'emp...
COURD'APPELDEPARIS,5FÉVRIER2014
Illustration de condamnation sur le fondement de la loi Godfrain
« L’accès, qu’il ne conte...
UNEEXTENSIONISSUEDELALPM
Ajout par la Loi de programmation militaire de décembre
2013 du délit de détention de données
(re...
COURD'APPELDEPARIS,5FÉVRIER2014
« en l’absence de toute soustraction matérielle de
documents appartenant à l’Anses, le sim...
UNEAMBIGUÏTÉDANSLALPM?
Introduction dans le Code de la propriété intellectuelle
de la possibilité de tester un logiciel po...
ART.25LPM→L.122-6-1IIICPI
Toute personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observ...
ENATTENDANTLEJUGE…
L'insécurité juridique règne !
Les tests sauvages de sites sont fortement déconseillés
Pas l'intention ...
ATTEINTEAUXDROITSDEPROPRIÉTÉ
INTELLECTUELLE
Code de la propriété intellectuelle
DIFFÉRENTSDROITS
Propriété littéraire et artistique (écrits, logiciels, etc.)
Propriété industrielle (brevets, marques, et...
ARTICLEL.335-2-1DUCPI
« Est puni de trois ans d'emprisonnement et de 300 000
euros d'amende le fait d'éditer, de mettre à ...
PROTECTIONDESDONNÉES
PERSONNELLES
Loi informatique et libertés
EXEMPLEDESRISQUES
Article 226-16 du Code pénal
Extraire, consulter ou collecter des données personnelles
sans respecter le...
EXEMPLEDESRISQUES
Article 226-16 du Code pénal
« Le fait, y compris par négligence, de procéder ou de faire
procéder à des...
LETROISIÈMEHOMME
L'hébergeur ou le sous-traitant
HÉBERGEUR/PRESTATAIRE
Le risque de perturbation des services du prestataire
contrevient à la loi Godfrain…
… Et souvent au...
AMÉNAGERUNE
PROTECTION
JURIDIQUE
L'ESSENTIELCADRECONTRACTUEL
PROCESSUSCONTRACTUEL
Contrat antérieur à l'opération de pentest
Négociation permettant d'informer le client (risques) et
d...
CONTENUDUCONTRAT
Identité du client, du testeur, du commanditaire
Obligation de moyens du testeur (+ limites)
Périmètre/Mo...
AUTOURDUCONTRAT
Autorisation de l'hébergeur
Charte d'éthique
Référentiel de l'intrusion de la Fédération des
professionnel...
AMÉLIORERLACULTURESÉCURITÉ
(JURIDIQUE)
Désignation d'un CIL
Sensibilisation des commerciaux et prestataires
Associer les c...
LEPENTEST
FACEAUDROIT
CYBER@HACK2015
/ /Benjamin Benifei Juriste ITrust
ALLERPLUSLOIN
ITrust, Les aspects juridiques des scans et tests intrusifs
FPTI, Référentiel de l'intrusion
Hackers Republi...
Prochain SlideShare
Chargement dans…5
×

Le pentest face au droit - Cyber@Hack 2015

215 vues

Publié le

Présentation réalisée dans le cadre du Cyber@Hack 2015.

Illustrations par Randall Munroe sous licence Creative Commons Attribution-NonCommercial 2.5 (http://xkcd.com/)

Publié dans : Droit
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
215
Sur SlideShare
0
Issues des intégrations
0
Intégrations
14
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Le pentest face au droit - Cyber@Hack 2015

  1. 1. LEPENTEST FACEAUDROIT CYBER@HACK2015 / /Benjamin Benifei Juriste ITrust
  2. 2. DROITVS.PENTEST 1. Définitions préalables 2. Risques juridiques 3. Encadrement juridique
  3. 3. DÉFINIRLE PENTEST
  4. 4. QUID? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation des failles)
  5. 5. DUCÔTÉDUPENTESTEUR Quel système d'information cible ? / Quelles connaissances ? / Quelle méthodologie ?
  6. 6. NIVEAUDECONNAISSANCEDU PENTESTEUR Boîte noire / Boîte grise / Boîte blanche
  7. 7. MÉTHODOLOGIEDUPENTEST Logique / Physique Technique / Ingénierie sociale
  8. 8. PENTEST≠AUDIT L'audit est une étude aboutissant à un panorama complet du SI et indique sa situation par rapport à un référentiel
  9. 9. DIFFÉRENCESMAJEURES Un pentest est relativement peu cher, mais limité dans son périmètre et sa durée Un audit est plus large, mais aussi plus cher Juridiquement, le pentest est une obligation de moyens (et l'audit, de résultat)
  10. 10. QUELS RISQUES JURIDIQUES?
  11. 11. TL;DR GRAVESETNOMBREUX
  12. 12. FRAUDEINFORMATIQUE Loi Godfrain (articles 323-1 à 323-7 du Code pénal)
  13. 13. DÉLITSDELALOIGODFRAIN Notion de système de traitement automatisé de données Accès et maintien non autorisés / Entrave du fonctionnement / Introduction, modification, suppression de données Punition de la tentative / Aggravation lorsque STAD mis en œuvre par l'État
  14. 14. SANCTIONSDELALOIGODFRAIN Accès/Maintien 2 ans d'emprisonnement, 30k€ d'amende Contre un STAD étatique 3 ans d'emprisonnement, 45K€ d'amende
  15. 15. SANCTIONSDELALOIGODFRAIN Modification de données 5 ans d'emprisonnement, 75k€ d'amende Contre un STAD étatique 7 ans d'emprisonnement, 100k€ d'amende
  16. 16. COURD'APPELDEPARIS,5FÉVRIER2014 Illustration de condamnation sur le fondement de la loi Godfrain « L’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l'ANSES ; dans ces conditions l’infraction n’est pas caractérisée » « O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; [sa] culpabilité sera donc retenue des chefs de maintien frauduleux dans un STAD »
  17. 17. UNEEXTENSIONISSUEDELALPM Ajout par la Loi de programmation militaire de décembre 2013 du délit de détention de données (reproduction/extraction/détention/transmission) Article 323-3 du Code pénal
  18. 18. COURD'APPELDEPARIS,5FÉVRIER2014 « en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose »
  19. 19. UNEAMBIGUÏTÉDANSLALPM? Introduction dans le Code de la propriété intellectuelle de la possibilité de tester un logiciel pour s'assurer de sa sécurité (L. 122-6-1 III du CPI)
  20. 20. ART.25LPM→L.122-6-1IIICPI Toute personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération […] qu'elle est en droit d'effectuer.
  21. 21. ENATTENDANTLEJUGE… L'insécurité juridique règne ! Les tests sauvages de sites sont fortement déconseillés Pas l'intention du législateur / Totalement contraire à la loi Godfrain
  22. 22. ATTEINTEAUXDROITSDEPROPRIÉTÉ INTELLECTUELLE Code de la propriété intellectuelle
  23. 23. DIFFÉRENTSDROITS Propriété littéraire et artistique (écrits, logiciels, etc.) Propriété industrielle (brevets, marques, etc.) Protection sui generis des producteurs de bases de données
  24. 24. ARTICLEL.335-2-1DUCPI « Est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait d'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés »
  25. 25. PROTECTIONDESDONNÉES PERSONNELLES Loi informatique et libertés
  26. 26. EXEMPLEDESRISQUES Article 226-16 du Code pénal Extraire, consulter ou collecter des données personnelles sans respecter les formalités de la LIL Amende de 300k€ et 5 ans d'emprisonnement
  27. 27. EXEMPLEDESRISQUES Article 226-16 du Code pénal « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende »
  28. 28. LETROISIÈMEHOMME L'hébergeur ou le sous-traitant
  29. 29. HÉBERGEUR/PRESTATAIRE Le risque de perturbation des services du prestataire contrevient à la loi Godfrain… … Et souvent aux CGU de l'hébergeur
  30. 30. AMÉNAGERUNE PROTECTION JURIDIQUE
  31. 31. L'ESSENTIELCADRECONTRACTUEL
  32. 32. PROCESSUSCONTRACTUEL Contrat antérieur à l'opération de pentest Négociation permettant d'informer le client (risques) et de valider et décrire chaque étape du test Détermination des responsabilités et rôles
  33. 33. CONTENUDUCONTRAT Identité du client, du testeur, du commanditaire Obligation de moyens du testeur (+ limites) Périmètre/Modalités de l'obligation Forme du livrable Propriété intellectuelle (notamment du rapport) Confidentialité
  34. 34. AUTOURDUCONTRAT Autorisation de l'hébergeur Charte d'éthique Référentiel de l'intrusion de la Fédération des professionnels des tests d'intrusion
  35. 35. AMÉLIORERLACULTURESÉCURITÉ (JURIDIQUE) Désignation d'un CIL Sensibilisation des commerciaux et prestataires Associer les compétences juridiques et techniques
  36. 36. LEPENTEST FACEAUDROIT CYBER@HACK2015 / /Benjamin Benifei Juriste ITrust
  37. 37. ALLERPLUSLOIN ITrust, Les aspects juridiques des scans et tests intrusifs FPTI, Référentiel de l'intrusion Hackers Republic, Loi Godfrain : explications et illustrations Nmap.org, Legal issues Benjamin Benifei, La loi de programmation militaire a-t-elle vraiment rendu légale l’attaque de sites internet ?

×