Cybercriminalité: menaces et parades

1 200 vues

Publié le

Cybercriminalité: menaces et parades

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 200
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
97
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cybercriminalité: menaces et parades

  1. 1. RÉUNION MENSUELLE Mardi 17 novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Cybercriminalité: menaces et parades
  2. 2. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2 Présentation des intervenants • Christophe LEMILLE, Chef de mission Audit IT, MACIF • Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats • Philippe HERVIAS, Directeur, IS Audit, SANOFI
  3. 3. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°3 Déroulé • Définition des termes et notions, état de la menace • Les aspects juridiques et réglementaires • Les lignes de défense et l’Audit
  4. 4. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°4 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Christophe LEMILLE, Chef de mission Audit IT, MACIF
  5. 5. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°5 Définition • Définition de la cybercriminalité (1) : « Toutes infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet. » • Spécificités d’une cyber attaque (2): – Invisible, ou difficile à identifier – Étendue difficile à évaluer – Expertises et compétences techniques multiples Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014) (2) Rapport CIGREF-INHESJ - Cellule de crise – 2015
  6. 6. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°6 Exemples de cyber menaces • Porte dérobée (backdoor) • Attaque par force brute (brute force) • Dépassement de mémoire tampon (buffer overflow) • Injection de codes indirecte (XSS) et injection SQL • Déni de service (DoS) • Attaque de l’homme du milieu (MiTM) • Hameçonnage et harponnage (phishing) • Usurpation (spoofing) • Attaque jour zéro (zero day exploit) • Menaces avancées persistantes (APT) Source : ISACA, Cybersecurity fundamentals study guide - 2015
  7. 7. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°7 Les acteurs de cyber menaces • Cyber criminels de droit commun: ØDélinquants sexuels ØCyber violents ØCyber escrocs • Cyber criminels visant les entités étatiques et les opérateurs d’importance vitale (OIV) ØCyber mercenaires ØCyber espions ØCyber terroristes Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)
  8. 8. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°8 Les acteurs de cyber menaces Agent de Menace Motivation Compétence Technologie Expertise Utilisation d'outils Script Kiddies Intérêt personnel Faible Faible Faible Sans Hackers Intérêt personnel Faible Faible Faible Sans Employés Intérêt personnel Faible Faible Faible Sans Cyber espions d'états Avantage concurrentiel Forte Forte Forte Avec Cyber espions d'entreprises Avantage concurrentiel Forte Forte Forte Avec Hacktivistes Sociale Forte Forte Forte Avec Cyber terroristes Idéologique Forte Forte Forte Avec Cyber criminels Profit Forte Forte Forte Avec Cyber guerriers Identitaire Forte Forte Forte Avec Source : ISACA : Cybersecurity Fundamentals Study Guide 2015
  9. 9. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°9 Evolutions des cyber menaces • Augmentation mondiale 2014 / 2013 (1) : – En nombre : + 120% – En coût pour les entreprises : + 10% • Evénements marquants de 2014 (2) – Des attaques plus fréquentes – Des attaques plus sophistiquées – Des attaques visant la cryptographie – Cyber espionnage – Des escroqueries plus nombreuses • Un risque de cyber intrusions en hausse – Deep Web et Darknets Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015 (2) CERT-IST Bilan 2014 des failles et attaques – mars 2015
  10. 10. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°10 Evolutions des cyber menaces Source : ISACA, Cybersecurity fundamentals study guide - 2015 Risque Ressources / sophistication Script KiddiesHackersHackersCybercriminels Attaques d’Etats Attaques d’entreprises Attaques sophistiquées Attaques simples Argent Intérêt personnel Espionnage Cyber guerre Amusement Nuisance 1980/1990 2012 Menaces avancées persistantes (APT)
  11. 11. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°11 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats
  12. 12. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°12 I – Cadre légal de la cybercriminalité
  13. 13. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°13 Cadre légal de la cybercriminalité • Un cadre légal relativement riche en termes d’infractions de cybercriminalité • Les principaux textes* sont : – Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loi protégeant les données à caractère personnel (cf. partie 3) – Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loi sanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitement automatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015- 912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition des infractions et qui aggrave les peines d’amende – Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmation militaire » : • Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001 sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France par une loi du 19 mai 2005. – 3 objectifs : • Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique, atteinte à l’intégrité du système…) • Adaptation des législations nationales au niveau de la procédure pénale appliquée à la cybercriminalité • Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire • * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, le dispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …
  14. 14. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°14 II – Les obligations applicables à toutes les entreprises
  15. 15. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°15 La protection du savoir-faire • Protection du savoir faire – Définition du savoir-faire: ► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est : ► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible ► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et ► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il remplit les conditions de secret et de substantialité. » Règlement Européen no 316/2014 du 21 mars 2014 – Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiques contractuelles, techniques et organisationnelles – Savoir-faire et droit de la concurrence : • Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligations réciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commission européenne COMP/M.2830 du 25 octobre 2002 GF-X) – Secret de fabrique • L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’un secret de fabrique. • La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénale n’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractère industriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabrique demeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprise titulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considérées comme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule une personne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle
  16. 16. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°16 Sécurité des traitements & Notification des failles de sécurité • Protection des données personnelles et Loi Informatique et Libertés : – Obligation légale pénalement sanctionnée par la loi Informatique et Libertés s’agissant des données personnelles, le niveau de sécurité requis étant proportionnellement plus exigeant en fonction de la sensibilité du traitement (entendu comme atteinte à la vie privée) ou de règles sectorielles (secret médical, secret bancaire) – Cette obligation va être renforcée par le futur règlement sur la protection des données (infra)
  17. 17. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°17 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de sécurité incombant au responsable de traitement: ► Mettre en place des mesures appropriées de sécurité et de confidentialité contre: ► L’accès et la communication non autorisés ► La destructionet la perte accidentellesou illicites ► L’altération des données ► Toute autre forme de traitement irrégulier ► Mettre en place des mesures de sécurité physique et logique par exemple: ► Accès réservés aux personnes ayant vocation à y avoir accès au regard des missions confiées ► Accès aux données via login/mot de passe ► Mesures de cryptage ► Accord de confidentialité ► Etc. ► Obligation de sécurité incombant à la fois au responsable de traitement et au sous-traitant: ► Le responsable de traitement et le sous traitant doivent prendre de mesures techniques et organisationnelles appropriées: ► A la suite d’une évaluation des risques ► En fonction des techniquesles plus récentes ► En fonction des coûts liés à leur mise en œuvre; ► Au regard des risques présentéspar le traitement ► En fonction de la nature des données à protéger ► Obligation de sécurité renforcée en cas traitement de données sensibles ► Possibilité pour l’autorité locale de contrôler si un sous traitant respecte bien les obligations de sécurité qui lui incombent
  18. 18. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°18 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de notifier les failles de sécurité à la CNIL limitée aux fournisseurs d’accès responsable de traitement; Le fournisseur d’accès responsable de traitement est dispensée de cette obligation si il prouve qu’il a mis en œuvre des mesures appropriées pour rendre inintelligibleles données personnelles concernées par la faille. Ø Obligations de notification des failles de sécurité *des données exposant les personnes concernées à un risque élevé au regard de leur droits et libertés, étendue à tous les responsables de traitement; la notification contiendra: ► Les catégories de données concernées ► Les conséquences de la violationde données ► Les mesures prises pour y remédier ► Obligation pour les sous-traitants d’alerter et d’informer le responsable de traitement de l’existence d’une faille de sécurité; ► Obligation pour le responsable de traitement d’alerter la personne concernée de l’existence d’une faille de sécurité, si cette faille porte atteinte : ► A La protection des données à caractère personnel; ► A La vie privée; ► Aux droits et aux intérêts légitimes de la personne concernée. Cette communication n’est pas obligatoire:Si le responsable de traitement prouve qu’il a bien mis en œuvre des mesures de protection appropriées alors *Si elle risque d’entrainer des mesures disproportionnéesSi elle risque de porter atteinte à un intérêt public important» *Modifications du Conseil de l’union européenne
  19. 19. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°19 III – Les obligations des OIV
  20. 20. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°20 Notion d’OIV • Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 et suivants du Code de la défense • Notion d’Opérateurs d’Importance Vitale (OIV) : – Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (Article L. 1332-1 Code de la défense) – Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installation nucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population (Article L. 1332-2 Code de la défense) • Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de la défense) • Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui – Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables; – Ou peuvent présenter un danger grave pour la population.
  21. 21. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°21 Obligations des OIV (articles R 1332-1 et suivants du Code de la défense) • Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information de ces entités • Coopération avec les institutions gouvernementales : – Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant la politique générale de protection des établissements, ouvrages ou installations, notamment ceux organisés en réseau – Obligation de conclure une convention avec le service de l’Etat ou le prestataire de service chargé d’exploiter les systèmes de détection – Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ont connaissance, et de répondre aux demandes d’information de l’ANSSI – Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et se soumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier le niveau de sécurité et le respect des règles de sécurité
  22. 22. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°22 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union, amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’un niveau de sécurité minimum • Opérateurs concernés : – Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales dans une liste de secteurs déterminés – Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont été supprimés de la version amendée – Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2 millions d’euros) → définition plus restreinte que celle française • Secteurs considérés comme « essentiels » : – Energie, – Transports, – Services bancaires – Infrastructures de marché financiers – Soins de santé
  23. 23. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°23 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Obligations similaires à la Loi de programmation militaire française : – Obligation de fournir à l’autorité compétente les informations nécessaires à l’évaluation de la mise en œuvre effective des politiques de sécurité, notamment par un audit de sécurité – Obligation de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques – Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un « impact significatif » sur la sécurité des services essentiels. Possibilité d’informer le public s’il est dans l’intérêt général de divulguer les informations relatives à l’incident • Actuellement, discussions en trilogue : – Un accord entre le Parlement et le Conseil a été trouvé sur les principes essentiels du projet de directive le 29 juin 2015, au cours de la quatrième réunion du trilogue – Les négociations continuent au second semestre 2015
  24. 24. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°24 Quelques mots de conclusion • Le droit comparé ? • La cybersurveillance au regard des libertés fondamentales ? • Quelques mots sur la loi relative au renseignement de Juillet 2015
  25. 25. RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Philippe HERVIAS, Directeur, IS Audit SANOFI
  26. 26. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°26 AGENDA 1. Un modèle de chaine de gestion des risques a. Vue d’ensemble b. Rôles et responsabilités des opérationnels SI c. Les leviers d’action de l’Audit Interne 2. Les contrôles classiques de sécurité SI 3. Les contrôles spécifiques à la cyber sécurité 4. La couverture du cyber risque 5. Conclusion
  27. 27. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°27 Un modèle de chaine de gestion des risques - vue d’ensemble As defined by the European Confederation of Institutes of Internal Auditing * *
  28. 28. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°28 Un modèle de chaine de gestion des risques – Opérationnels SI • Première ligne de maîtrise – Mise en œuvre et exploitation des dispositifs techniques (de protection, de détection, paramétrage systèmes, documentation…) • Deuxième ligne de maîtrise – Politiques d’usage et de mise en œuvre (prise en compte des lois et réglementations, référentiel de contrôle interne…) – Suivi de la mise en œuvre et du maintien des préconisations par les opérationnels
  29. 29. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°29 Un modèle de chaine de gestion des risques – l’Audit Interne • Analyse et hiérarchisation des risques • Analyse de la pertinence et du niveau de maturité des premières lignes • Contrôle du design et de la mise en œuvre des processus et des solutions – Cadre de contrôle interne + référentiel Audit – Tests substantifs de robustesse • Evaluation des schémas organisationnels
  30. 30. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°30 Les contrôles classiques de sécurité SI • Fondamentaux TI – durcissement, correctifs, journaux d’activité… – antivirus, chiffrement… • Gestion des accès au SI – gestion des comptes, habilitation, droits d’accès, authentification… • Protection périmétrique et réseau – firewalls – IDS
  31. 31. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°31 Les contrôles spécifiques à la cyber sécurité • Moyens de détection (SIEM…) – exploitation des journaux d’activité système – exploitation des évènements révélés par les équipements de protection (FW/ IDS) – mise en corrélation des événements collectés • Moyens de réaction – organisation – procédures
  32. 32. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°32 La couverture du cyber risque • Limites de ces contrôles – ressources affectées aux moyens de protection sous contrainte (limites budgetaires) – capacité incertaine de contention d’une cyber attaque ciblée et déterminée menée par des acteurs puissants (organisations terroriste ou d’état) • Moyens complémentaires – souscrire une assurance en couverture du risque financier de perte potentielle d’actifs matériels et immatériels
  33. 33. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°33 Pour conclure • Niveau d’assurance limité pour les directions générales • Nécessité d’une première ligne opérationnelle sécurité SI efficace • Besoin d’une deuxième ligne pertinente et robuste en sécurité des SI • Une organisation Audit Interne adaptée et plurielle (experts sécurité SI, généralistes, spécialistes du SI ou de la Fraude)
  34. 34. Questions / Réponses RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors

×