SlideShare une entreprise Scribd logo
Cybersécurité et vie privée

                                      Présentation


Christophe-Alexandre PAILLARD,
Directeur des Affaires juridiques, internationales et de l’expertise technologique de la CNIL

Ecole nationale de la magistrature, formation continue des magistrats
Jeudi 3 novembre 2011, 15h30/16h30
2


Propos introductifs
3

                     La cybersécurité : une prise de conscience
                     mondiale récente
Ce n’est qu’au printemps 2007 que les Etats du monde entier ont vraiment
pris conscience de la montée en puissance de ce que l’on peut appeler la
cyberguerre :
  Le développement d’internet a en fait ouvert la voie à un nouveau type d’attaque que l’on peut
qualifier de guerre, forçant tous les pays à revoir leurs systèmes de sécurité.
  L’Estonie a subi en 2007 une attaque sans précédent. L’attaque faisait suite au transfert d’un
monument à la gloire de l’Armée rouge qui a déclenché la colère de la minorité russophone d’Estonie
et des actions de représailles de hackers russes. Des journaux, des banques ou des institutions
gouvernementales ont été pris pour cibles par des hackers, forçant ces institutions à fermer leurs sites
pour éviter le vol de données et un blocage complet de leurs serveurs.
  Cet évènement a au moins permis aux experts de l’OTAN, de l’Union européenne, des Etats-Unis,
d’Israël et des autres pays du camp occidental d’étudier les moyens mis en œuvre par les hackers
pour pénétrer les systèmes et développer des plans de réponse rapide pour contrer ces attaques.
  L’attaque présumée de la Chine contre les Etats-Unis de 2005 a aussi montré l’étendue de
cette lutte. Des internautes chinois avaient alors pénétré sur les sites du Homeland Security, du
Département de la Défense (DoD) et de celui de l’énergie. Aucune information classifiée n’aurait été
dérobée mais les Américains ne sont pas parvenus à localiser la source exacte de l’attaque.
4


                          Les attaques prennent différentes formes
Les menaces pour les systèmes informatiques sont de plus en plus réelles :
  Les pirates ne lancent jamais une attaque directe depuis leurs propres ordinateurs : ils piratent les
ordinateurs d’autrui afin d’en prendre le contrôle au moment choisi, ces ordinateurs étant des zombies. Le
temps entre le piratage d’un ordinateur et le moment ou celui-ci est utilisé pour lancer une attaque rend toute
possibilité de remonter à l’ordinateur de l’attaquant particulièrement difficile.
  La compromission d’un ordinateur peut se faire de différentes manières : en ouvrant une pièce jointe
d’un email, qu’il s’agisse d’un programme, mais plus sournoisement également s’il s’agit d’un pdf infecté, ou
encore d’un contenu multimédia (vidéo, photo, mp3), via une clé USB, depuis un site internet infecté, etc. Car
les logiciels d’un ordinateur ne sont jamais exempts de failles de sécurité, connues ou non encore
divulguées, à partir desquelles un malware pourra en prendre le contrôle.
  Parmi les modes de cyber–attaques, on peut distinguer celles utilisant les bombes logiques : le malware
ayant infecté les ordinateurs qui vont participé à l’attaque est programmé de façon à déclencher celle-ci à une
date prédéfinie à l’avance. Plus évoluées sont les attaques lancées à partir de botnet, un ensemble
d’ordinateurs compromis auxquels les pirates sont capables de transmettre des commandes depuis internet.
L’attaque dite de déni de service distribué peut faire appel à des centaines de milliers d’ordinateurs ainsi
manipulés, avec pour résultat que le site web attaqué sera injoignable car inondé par trop de demandes,
l’ensemble des visiteurs légitimes voyant alors affiché sur leur navigateur un message d’erreur.
5

                      Stuxnet : la guerre cybernétique a-t-elle
                      vraiment commencé ?
En juin 2010, un virus particulièrement sophistiqué dénommé Win32 Stuxnet s’est attaqué à des
systèmes d’automatismes équipés d’automates programmables en provenance de la société
allemande Siemens en Iran :
  Cette infection se cachait derrière deux rootkits sophistiqués signés par des certificats en apparence
valides. Un rootkit (outil de dissimulation d’activité) est un ensemble de techniques mises en œuvre par un
ou plusieurs logiciels dans le but d’obtenir un accès non autorisé à un ordinateur.
  Stuxnet est un malware complexe permettant de saboter le fonctionnement normal de systèmes
critiques. Pour approcher sa cible, Stuxnet a exploité quatre vulnérabilités 0-day (une faille 0-day est une
faille qui n’est pas encore connue ou qui n’est pas encore corrigée). Ces failles 0-day permettaient à un
pirate d’exécuter du code lors de l’ouverture d’un dossier, que celui-ci soit partagé, local ou issu d’un
périphérique de stockage de masse comme un disque dur externe ou une clef USB.
 Le malware utilise un mot de passe défini par défaut au sein des systèmes SCADA ou Supervisory
Control And Data Acquisition. Stuxnet a reprogrammé les systèmes SCADA.
  Ce malware portait en lui deux codes malveillants. L’un a permis de détruire le système de commande
des centrifugeuses présentes dans le centre d’enrichissement de Natanz. L’autre a ciblé les turbines à
vapeur fabriquées par l’industriel russe Power Machines de la centrale nucléaire de Busher, à partir des
technologies de Siemens. Les centrifugeuses iraniennes ont été gravement endommagées et le
cycle d’enrichissement d’uranium engagé par l’Iran a probablement été retardé de trois ans.
6


Les cyberguerres en bref




                           6
7




I. La cybersécurité : principaux enjeux et défis
8

                   Cybersécurité : de quoi parle-t-on
                   exactement ?
L’objet de la cybersécurité est de :
   Contribuer à préserver les forces et les moyens organisationnels, humains, financiers,
technologiques et informationnels dont se sont dotées les Institutions, les Etats, pour
réaliser leurs objectifs.
Ses enjeux sont de :
   Apporter une réponse adéquate aux dimensions humaine, juridique, économique, sociale
et technologique des besoins de sécurité des infrastructures et des populations.
  Apporter une réponse au besoin de maîtrise du patrimoine numérique, de la distribution de
biens intangibles / immatériels, du commerce électronique, etc.
   Instaurer la confiance en l’économie numérique afin de favoriser un développement socio-
économique profitable à tous les acteurs de la société.
Sa finalité est de :
   Garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’organisation ou de
l’Etat.
   Diminuer la probabilité de voir des menaces se concrétiser et limiter les atteintes ou les
disfonctionnements induits.
   Permettre le retour à un fonctionnement normal à des coûts et à des délais acceptables
en cas d’attaque.
9
Une profusion de stratégies de
cybersécurité sorties entre 2009 et
2011 à travers le monde
10

Destinées à quels publics ? Qui
est concerné par ces stratégies ?
11


Les routes de transit de l’information




                                         11
12

                                            On agrège les données et les risques à
                                            un niveau sans précédent
                                                                        5. Systèmes
                                                                         complètement intégrés
Degré de numérisation des données




                                                                         (les systèmes des
                                                                         prochaines années)

                                                             4. Intégration technique (ex :
                                                              cloud computing)


                                                    3. Systèmes d’échange (ex : peer to
                                                     peer)

                                           2. Stockage d’informations
                                            (ex : data centre d’une
                                            entreprise)
                                    1.Messages (ex : ouverture d’un
                                     système de messagerie)

                                                              Échelle des risques
13
       Nos infrastructures physiques
       dépendent de plus en plus des cyber-
       infrastructures




Source: Department of homeland security, “Securing the Nation’s Critical Cyber Infrastructure”
14


               Quelles démarches engager ?
Maîtriser la sécurité en garantissant l’efficience des mesures de sécurité dans le temps
et dans l’espace, en identifiant les acteurs et les responsabilités.
Définir une politique de sécurité précisant les exigences de sécurité envers tous les
acteurs : gouvernement, utilisateurs, prestataires de services, etc.
Elaborer et mettre en œuvre une stratégie de cybersécurité cohérente et efficace.
Développer une éthique d’utilisation et de comportement vis-à-vis des technologies.
Adapter le cadre légal et institutionnel aux nouvelles menaces.
Eduquer, former et sensibiliser l’ensemble des acteurs concernés à la cybersécurité.
Mettre en place des centres d’alerte et de gestion de crise au niveau national/européen.
Créer des systèmes de surveillance et organiser des contrôles par des évaluations
régulières des vulnérabilités et des menaces.
Faire une analyse internationale des cibles stratégique et tactique des cyber-attaques.
Développer les compétences d’une cyberpolice pouvant contribuer à une coopération
internationale en matière de poursuite et d’investigation du cybercrime.
Développer des solutions technologiques de gestion des identités, de contrôle d’accès,
de cryptographie, etc.
Elaborer et mettre en œuvre une stratégie nationale de cybersécurité, des plans
d’action et protéger les infrastructures critiques nationales.
15

              Les principales mesures concrètes à mettre
              en œuvre
Cadre légal : loi sur la cybercriminalité; loi sur la sécurité des réseaux et
systèmes informatiques; loi sur la protection des données à caractère
personnel.
Cadre organisationnel : désignation d’un responsable national chargé de la
cybersécurité; création d’une agence spécialisée chargée de la sécurité
informatique (ANSSI).
Renforcement des capacités : développer une expertise nationale en matière
de sécurité des réseaux et systèmes informatiques; former des instances de
justice et de police dans le domaine des TIC et des investigations en matière
de cybercriminalité.
Sensibilisation et éducation : sensibiliser à une cyberéthique d’utilisation et
de comportement vis- à-vis des TIC.
Coopération nationale et internationale : collaboration entre le
gouvernement et le secteur privé; coopération internationale; mise en place de
points de contact.
16




II. Quels sont les liens entre cybersécurité et vie
   privée ? En quoi la CNIL est-elle concernée ?
17
              Des menaces permanentes et de plus
              en plus sophistiquées sur vos
              données personnelles
                                                Les menaces sur vos données :

                                                  Elles arrivent.
                                                  Elles sont ciblées.
                                                  Elles sont sophistiquées.




•   NIR, identité.                      •   Mesures disciplinaires.
•   Diplômes, données universitaires.   •   Mémoires, notes, etc.
•   Données professionnelles.           •   Données médicales.
•   Données bancaires.                  •   Données autres : sexe, religion, etc.


                                                                                17
18

                    Des Etats et l’UE prennent différentes
                    mesures touchant à la vie privée
Un constat : de plus en plus d’Etats lient directement cybersécurité et protection de la
vie privée.
  Premier exemple, le 8 juillet 2011, les Pays-Bas ont annoncé, dans le cadre de leur
stratégie nationale de cybersécurité, la mise en place du Conseil de cybersécurité
néerlandais. Ce dernier aura pour mission d’informer et de conseiller les institutions
publiques et les entreprises privées des évolutions en matière de sécurité informatique. Au
delà de sa mission de coordination et de prévention, le Conseil aura également pour
finalité de défendre certains droits fondamentaux, notamment la liberté d’expression et
la vie privée.
  Autre exemple, le 25 février 2011, l'Agence européenne chargée de la cybersécurité
(ENISA) a présenté un rapport sur les utilisations abusives des nouveaux cookies Internet
capables de dresser le profil et la localisation de l'utilisateur à des fins publicitaires, cela en
toute opacité. L’ENISA explore plusieurs voies pour prémunir les internautes
européens face à une éventuelle intrusion dans leur vie privée. Parmi elles figurent la
nécessité d'obtenir le consentement de l'utilisateur ainsi que la possibilité de gérer ces
cookies aisément. La limitation ou l'interdiction du stockage de ceux-ci hors du navigateur
est prônée comme le besoin de proposer une alternative aux internautes en cas de refus de
cookies. La CNIL est représentée à l’ENISA par le service de l’expertise technologique.
19

                   Pourquoi lier cybersécurité et vie privée ? La
                   démonstration canadienne
« Chaque jour, nous accédons à Internet pour effectuer des transactions bancaires,
magasiner ou utiliser des services gouvernementaux, et nous le faisons à partir de n'importe
où. Les infrastructures numériques rendent tout cela possible et assurent le bon
fonctionnement des services essentiels en tout temps …
Les Canadiens (individus, industries et gouvernements) sont conscients des nombreux
avantages qu'offre le cyberespace pour notre économie et qualité de vie. Notre grande
dépendance aux cybertechnologies nous rend toutefois plus vulnérables aux attaques
lancées contre nos infrastructures numériques dans le but de déstabiliser notre sécurité
nationale, notre prospérité économique et nos modes de vie …
Nos systèmes sont des cibles attrayantes pour les services militaires et du renseignement
étrangers ainsi que pour les réseaux criminels et terroristes. Ces groupes (ndlr criminels)
s'emparent de nos systèmes informatiques, fouillent dans nos dossiers et
provoquent des pannes informatiques. Ils volent nos secrets de sécurité nationale et
industriels ainsi que nos identités personnelles ».


L'honorable Vic Toews, ministre de la Sécurité publique du Canada (2010), stratégie
canadienne de cybersécurité.
20


                   L’exemple canadien (suite)
« La cybersécurité concerne chacun d'entre nous, puisque même les attaquants
possédant seulement des compétences de base peuvent causer de graves dommages. Les
attaquants qui s'y connaissent vraiment peuvent troubler les contrôles électroniques des
réseaux de distribution d'électricité, des installations de traitement des eaux et des réseaux
de télécommunications. Ils nuisent à la production et à la livraison de biens et services
essentiels fournis par nos gouvernements et le secteur privé. Ils portent atteinte à notre
droit à la vie privée en volant nos renseignements personnels. Il ne suffit pas de lutter
séparément contre les différentes cybermenaces. Par l'entremise de la Stratégie, le
gouvernement continuera de travailler de manière concertée avec les provinces, les
territoires et le secteur privé pour combattre les menaces auxquelles font face le Canada et
ses citoyens ».
« La Stratégie de cybersécurité du Canada constitue notre plan pour combattre les
cybermenaces. La Stratégie repose sur trois piliers : protéger les systèmes
gouvernementaux; nouer des partenariats pour protéger les cybersystèmes
essentiels à l'extérieur du gouvernement fédéral; aider les Canadiens à se protéger en
ligne : le gouvernement aidera les citoyens canadiens à obtenir l'information dont ils
ont besoin pour se protéger et protéger leur famille en ligne et pour accroître la
capacité des organismes d'application de la loi de lutter contre les cybercrimes ».
21

                Les Etats-Unis proposent une stratégie
                internationale de coopération
Le 16 mai 2011, les Etats-Unis ont publié leur stratégie internationale de coopération en
matière de cybersécurité Intitulée « International Strategy for Cyberspace ».
Ce document développe une stratégie qui s’articule autour de sept axes, économique,
militaire, juridique et politique. L’administration américaine propose un engagement
financier destiné à encourager l’innovation et les échanges en ligne tout en préservant la
propriété intellectuelle.
Comme pour la stratégie américaine nationale de sécurité, ce texte met très clairement
en avant les notions de vie privée : « our strategy marries our obligation to protect our
citizens and interests with our commitment to privacy As citizens increasingly engage via
the Internet in their public and private lives, they have expectations for privacy:
individuals should be able to understand how their personal data may be used, and be
confident that it will be handled fairly Likewise, they expect to be protected from fraud,
theft, and threats to personal safety that lurk online—and expect law enforcement to use
all the tools at their disposal, pursuant to law, to track and prosecute those who would
use the Internet to exploit others ».
22

Une multiplication des initiatives
américaines
23


                Et la France ?

La France s'est dotée d'une stratégie pour se défendre et se protéger dans le
cyberespace pour répondre aux cybermenaces : « le cyberespace est devenu un
nouveau champ d’action dans lequel se déroulent déjà des opérations militaires, la
France devra développer une capacité de lutte dans cet espace. Des règles
d’engagement appropriées, tenant compte des considérations juridiques liées à ce
nouveau milieu, devront être élaborées » (livre Blanc de la Défense et de la Sécurité
nationale de juin 2008).
Par décret publié au Journal Officiel du 8 juillet 2009, l’ANSSI se substitue à la Direction
centrale de la sécurité des systèmes d’information (DCSSI) rattachée au Secrétariat
général de la Défense nationale (SGDN). Elle est dirigée par Patrick Pailloux.
En 2012, l’ANSSI pourrait compter 250 personnes (soit un doublement des effectifs par
rapport à 2008) et disposera d’un budget de 90 millions d’euros à la même échéance.
La guerre ne fait que commencer : à l’automne 2010, Bercy a été victime d’attaques
(rappel : vendredi de la com de la CNIL). le 29 septembre 2011, Areva a reconnu avoir
été victime d’attaques durant deux ans sur l’ensemble de ses installations informatiques.
24


                       La stratégie française en bref
     Quatre objectifs stratégiques : être une puissance mondiale de cyber-défense; garantir la
     liberté de décision de la France par la protection de l’information de souveraineté; renforcer
     la cyber-sécurité des infrastructures vitales nationales; assurer la sécurité dans le cyber-
     espace.
     Sept axes d’effort :
1.   mieux anticiper et analyser l’environnement afin de prendre les décisions adaptées;
2.   détecter les attaques et les contrer, alerter les victimes potentielles et les accompagner;
3.   accroître et pérenniser nos capacités scientifiques, techniques, industrielles et humaines
     dans l’objectif de conserver l’autonomie nécessaire;
4.   protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales pour
     une meilleure résilience nationale;
5.   adapter notre droit afin de prendre en compte les évolutions technologiques et les
     nouveaux usages;
6.   développer nos collaborations internationales en matière de sécurité des systèmes
     d’information, de lutte contre la cyber-criminalité et de cyber-défense pour mieux protéger
     les systèmes d’information nationaux;
7.   communiquer, informer et convaincre afin de permettre aux Français de prendre la mesure
     des enjeux liés à la sécurité des systèmes d’information.
25


Conclusions
26


                     Et la CNIL dans tout cela ?
La CNIL fait de la cybersécurité sans le dire. Quelques exemples concrets :
  Ne pas prendre de risque, c’est effacer ses traces sur internet : cf. Surfer sur internet,
ça laisse des traces ! Faites-en l'expérience du 16 juin 2011.
  Lutter contre le harcèlement : cf. Le harcèlement sur internet en questions du 2
novembre 2010.
  La confiance numérique : cf. délibération n°2007-391 du 20 décembre 2007 portant avis
sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique.
  Le plan numérique 2012 présenté en octobre 2008 par Eric Besson demandait à garantir la
protection des données personnelles. L'action n°80 de ce plan invitait « la CNIL à mettre en
place une campagne de sensibilisation 'informatique et libertés ».
  Patrick Pailloux (ANSSI) a rappelé début octobre 2010 qu'un nombre très important
d'attaques à des fins d'espionnage sont détectées par l'administration et les entreprises. Il a
évoqué la nécessité d'appliquer des " règles d'hygiène informatique élémentaire " avec
comme exemple : « limitation des droits d'accès, analyse des mouvements suspects sur les
systèmes d'information, sanctuarisation des éléments les plus critiques comme les dispositifs
de gestion des droits d'accès, application régulière des correctifs de sécurité ». C’est bien la
doctrine habituelle de la CNIL.
27
                  La relation entre la protection de la vie
                  privée et la sécurité, comme Janus,
                  présente deux faces distinctes
Puisque les renseignements personnels se retrouvent de plus en plus dans le
cyberespace, la protection de la vie privée dépend de plus en plus de la
cybersécurité.
Toutefois, dans certains cas, la cybersécurité, comme toute mesure de sécurité, peut
représenter une menace pour la protection de la vie privée.
Ainsi, la notion de protection de données personnelles (privacy) va devenir délicate à
traiter. En effet, si les militaires ont décidé d’investir le cyberespace, ce dernier comporte
bien plus de civils (les internautes) et d’entreprises que de militaires. Où sont alors les
intérêts des uns et des autres ? La militarisation déguisée ou avérée du cyberespace
ne doit pas se faire au détriment des enjeux économiques (le monde des affaires) et
du respect de la vie privée des internautes.
Là se situeront probablement les échecs ou la réussite des stratégies en matière de
cybersécurité dans les années qui viennent.
En clair, cette sécurité mérite-t-elle que nous lui sacrifions l’essentiel de notre vie privée ?
28


Assiste-t-on au retour des barbares ?
29


Un peu de lectures
30




Questions/réponses

Contenu connexe

Tendances

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsRomain Willmann
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 

Tendances (20)

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 

En vedette

Café technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entrepriseCafé technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entrepriseInfoteam Informatique Technique SA
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalEY
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Focus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec ArrowsoftFocus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec Arrowsoftpolenumerique33
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...SlideShare
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Sophos Mobile Control - Product Overview
Sophos Mobile Control - Product OverviewSophos Mobile Control - Product Overview
Sophos Mobile Control - Product OverviewSophos
 
智慧型行動裝置安全管控解決方案
智慧型行動裝置安全管控解決方案智慧型行動裝置安全管控解決方案
智慧型行動裝置安全管控解決方案OFMKT
 
Rich Desktop Applications
Rich Desktop ApplicationsRich Desktop Applications
Rich Desktop Applicationsgoldoraf
 
Sophos company-profile-cpna
Sophos company-profile-cpnaSophos company-profile-cpna
Sophos company-profile-cpnaaveiganeto
 
Mobile Application Development Using Java
Mobile Application Development Using JavaMobile Application Development Using Java
Mobile Application Development Using JavaNexSoftsys
 
Présentation de la plateforme MonPFE
Présentation de la plateforme MonPFEPrésentation de la plateforme MonPFE
Présentation de la plateforme MonPFEMajdi SAIBI
 
Complete Solution for JavaFX Development - NexSoftSys
Complete Solution for JavaFX Development - NexSoftSysComplete Solution for JavaFX Development - NexSoftSys
Complete Solution for JavaFX Development - NexSoftSysNexSoftsys
 
JavaFX 2 Rich Desktop Platform
JavaFX 2 Rich Desktop PlatformJavaFX 2 Rich Desktop Platform
JavaFX 2 Rich Desktop PlatformRajmahendra Hegde
 
Endpoint Security Evasion
Endpoint Security EvasionEndpoint Security Evasion
Endpoint Security EvasionInvincea, Inc.
 
Developing cross platform desktop application with Ruby
Developing cross platform desktop application with RubyDeveloping cross platform desktop application with Ruby
Developing cross platform desktop application with RubyAnis Ahmad
 
Scribing Séminaire Cybersécurité ADN Ouest
Scribing Séminaire Cybersécurité ADN OuestScribing Séminaire Cybersécurité ADN Ouest
Scribing Séminaire Cybersécurité ADN OuestMarcDUGUE
 
Top Tactics For Endpoint Security
Top Tactics For Endpoint SecurityTop Tactics For Endpoint Security
Top Tactics For Endpoint SecurityBen Rothke
 
Intelligence Economique: Mode d'Emploi
Intelligence Economique: Mode d'EmploiIntelligence Economique: Mode d'Emploi
Intelligence Economique: Mode d'EmploiTerry ZIMMER
 

En vedette (20)

Café technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entrepriseCafé technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entreprise
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Focus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec ArrowsoftFocus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec Arrowsoft
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Sophos Mobile Control - Product Overview
Sophos Mobile Control - Product OverviewSophos Mobile Control - Product Overview
Sophos Mobile Control - Product Overview
 
智慧型行動裝置安全管控解決方案
智慧型行動裝置安全管控解決方案智慧型行動裝置安全管控解決方案
智慧型行動裝置安全管控解決方案
 
Rich Desktop Applications
Rich Desktop ApplicationsRich Desktop Applications
Rich Desktop Applications
 
Sophos company-profile-cpna
Sophos company-profile-cpnaSophos company-profile-cpna
Sophos company-profile-cpna
 
Mobile Application Development Using Java
Mobile Application Development Using JavaMobile Application Development Using Java
Mobile Application Development Using Java
 
Présentation de la plateforme MonPFE
Présentation de la plateforme MonPFEPrésentation de la plateforme MonPFE
Présentation de la plateforme MonPFE
 
Complete Solution for JavaFX Development - NexSoftSys
Complete Solution for JavaFX Development - NexSoftSysComplete Solution for JavaFX Development - NexSoftSys
Complete Solution for JavaFX Development - NexSoftSys
 
JavaFX 2 Rich Desktop Platform
JavaFX 2 Rich Desktop PlatformJavaFX 2 Rich Desktop Platform
JavaFX 2 Rich Desktop Platform
 
Sophos 2010
Sophos 2010 Sophos 2010
Sophos 2010
 
Endpoint Security Evasion
Endpoint Security EvasionEndpoint Security Evasion
Endpoint Security Evasion
 
Developing cross platform desktop application with Ruby
Developing cross platform desktop application with RubyDeveloping cross platform desktop application with Ruby
Developing cross platform desktop application with Ruby
 
Scribing Séminaire Cybersécurité ADN Ouest
Scribing Séminaire Cybersécurité ADN OuestScribing Séminaire Cybersécurité ADN Ouest
Scribing Séminaire Cybersécurité ADN Ouest
 
Top Tactics For Endpoint Security
Top Tactics For Endpoint SecurityTop Tactics For Endpoint Security
Top Tactics For Endpoint Security
 
Intelligence Economique: Mode d'Emploi
Intelligence Economique: Mode d'EmploiIntelligence Economique: Mode d'Emploi
Intelligence Economique: Mode d'Emploi
 

Similaire à CyberséCurité Et Vie PrivéE

8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdfssuserbd922f
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019OPcyberland
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueOPcyberland
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteCITC-EuraRFID
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTechnologies
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane@aboukam (Abou Kamagaté)
 
Audit
AuditAudit
Auditzan
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques Manuel Cédric EBODE MBALLA
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfFootballLovers9
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 

Similaire à CyberséCurité Et Vie PrivéE (20)

8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptx
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
 
Audit
AuditAudit
Audit
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 

Plus de Christophe-Alexandre PAILLARD

Plus de Christophe-Alexandre PAILLARD (7)

French view of strategic risks London March 2015 Westminster Risks
French view of strategic risks London March 2015 Westminster RisksFrench view of strategic risks London March 2015 Westminster Risks
French view of strategic risks London March 2015 Westminster Risks
 
Rio climate change and security November 2015
Rio climate change and security November 2015Rio climate change and security November 2015
Rio climate change and security November 2015
 
Strategic Minerals IHEDN October 2015
Strategic Minerals IHEDN October 2015Strategic Minerals IHEDN October 2015
Strategic Minerals IHEDN October 2015
 
ENSEC COE NATO September 2015
ENSEC COE NATO September 2015ENSEC COE NATO September 2015
ENSEC COE NATO September 2015
 
Présentation économie brésilienne janvier 2016 Ecole de Guerre économique
Présentation économie brésilienne janvier 2016 Ecole de Guerre économiquePrésentation économie brésilienne janvier 2016 Ecole de Guerre économique
Présentation économie brésilienne janvier 2016 Ecole de Guerre économique
 
Minerais Acfci 22052012
Minerais Acfci 22052012Minerais Acfci 22052012
Minerais Acfci 22052012
 
Smart Grids IAPP
Smart Grids IAPPSmart Grids IAPP
Smart Grids IAPP
 

CyberséCurité Et Vie PrivéE

  • 1. Cybersécurité et vie privée Présentation Christophe-Alexandre PAILLARD, Directeur des Affaires juridiques, internationales et de l’expertise technologique de la CNIL Ecole nationale de la magistrature, formation continue des magistrats Jeudi 3 novembre 2011, 15h30/16h30
  • 3. 3 La cybersécurité : une prise de conscience mondiale récente Ce n’est qu’au printemps 2007 que les Etats du monde entier ont vraiment pris conscience de la montée en puissance de ce que l’on peut appeler la cyberguerre : Le développement d’internet a en fait ouvert la voie à un nouveau type d’attaque que l’on peut qualifier de guerre, forçant tous les pays à revoir leurs systèmes de sécurité. L’Estonie a subi en 2007 une attaque sans précédent. L’attaque faisait suite au transfert d’un monument à la gloire de l’Armée rouge qui a déclenché la colère de la minorité russophone d’Estonie et des actions de représailles de hackers russes. Des journaux, des banques ou des institutions gouvernementales ont été pris pour cibles par des hackers, forçant ces institutions à fermer leurs sites pour éviter le vol de données et un blocage complet de leurs serveurs. Cet évènement a au moins permis aux experts de l’OTAN, de l’Union européenne, des Etats-Unis, d’Israël et des autres pays du camp occidental d’étudier les moyens mis en œuvre par les hackers pour pénétrer les systèmes et développer des plans de réponse rapide pour contrer ces attaques. L’attaque présumée de la Chine contre les Etats-Unis de 2005 a aussi montré l’étendue de cette lutte. Des internautes chinois avaient alors pénétré sur les sites du Homeland Security, du Département de la Défense (DoD) et de celui de l’énergie. Aucune information classifiée n’aurait été dérobée mais les Américains ne sont pas parvenus à localiser la source exacte de l’attaque.
  • 4. 4 Les attaques prennent différentes formes Les menaces pour les systèmes informatiques sont de plus en plus réelles : Les pirates ne lancent jamais une attaque directe depuis leurs propres ordinateurs : ils piratent les ordinateurs d’autrui afin d’en prendre le contrôle au moment choisi, ces ordinateurs étant des zombies. Le temps entre le piratage d’un ordinateur et le moment ou celui-ci est utilisé pour lancer une attaque rend toute possibilité de remonter à l’ordinateur de l’attaquant particulièrement difficile. La compromission d’un ordinateur peut se faire de différentes manières : en ouvrant une pièce jointe d’un email, qu’il s’agisse d’un programme, mais plus sournoisement également s’il s’agit d’un pdf infecté, ou encore d’un contenu multimédia (vidéo, photo, mp3), via une clé USB, depuis un site internet infecté, etc. Car les logiciels d’un ordinateur ne sont jamais exempts de failles de sécurité, connues ou non encore divulguées, à partir desquelles un malware pourra en prendre le contrôle. Parmi les modes de cyber–attaques, on peut distinguer celles utilisant les bombes logiques : le malware ayant infecté les ordinateurs qui vont participé à l’attaque est programmé de façon à déclencher celle-ci à une date prédéfinie à l’avance. Plus évoluées sont les attaques lancées à partir de botnet, un ensemble d’ordinateurs compromis auxquels les pirates sont capables de transmettre des commandes depuis internet. L’attaque dite de déni de service distribué peut faire appel à des centaines de milliers d’ordinateurs ainsi manipulés, avec pour résultat que le site web attaqué sera injoignable car inondé par trop de demandes, l’ensemble des visiteurs légitimes voyant alors affiché sur leur navigateur un message d’erreur.
  • 5. 5 Stuxnet : la guerre cybernétique a-t-elle vraiment commencé ? En juin 2010, un virus particulièrement sophistiqué dénommé Win32 Stuxnet s’est attaqué à des systèmes d’automatismes équipés d’automates programmables en provenance de la société allemande Siemens en Iran : Cette infection se cachait derrière deux rootkits sophistiqués signés par des certificats en apparence valides. Un rootkit (outil de dissimulation d’activité) est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels dans le but d’obtenir un accès non autorisé à un ordinateur. Stuxnet est un malware complexe permettant de saboter le fonctionnement normal de systèmes critiques. Pour approcher sa cible, Stuxnet a exploité quatre vulnérabilités 0-day (une faille 0-day est une faille qui n’est pas encore connue ou qui n’est pas encore corrigée). Ces failles 0-day permettaient à un pirate d’exécuter du code lors de l’ouverture d’un dossier, que celui-ci soit partagé, local ou issu d’un périphérique de stockage de masse comme un disque dur externe ou une clef USB. Le malware utilise un mot de passe défini par défaut au sein des systèmes SCADA ou Supervisory Control And Data Acquisition. Stuxnet a reprogrammé les systèmes SCADA. Ce malware portait en lui deux codes malveillants. L’un a permis de détruire le système de commande des centrifugeuses présentes dans le centre d’enrichissement de Natanz. L’autre a ciblé les turbines à vapeur fabriquées par l’industriel russe Power Machines de la centrale nucléaire de Busher, à partir des technologies de Siemens. Les centrifugeuses iraniennes ont été gravement endommagées et le cycle d’enrichissement d’uranium engagé par l’Iran a probablement été retardé de trois ans.
  • 7. 7 I. La cybersécurité : principaux enjeux et défis
  • 8. 8 Cybersécurité : de quoi parle-t-on exactement ? L’objet de la cybersécurité est de : Contribuer à préserver les forces et les moyens organisationnels, humains, financiers, technologiques et informationnels dont se sont dotées les Institutions, les Etats, pour réaliser leurs objectifs. Ses enjeux sont de : Apporter une réponse adéquate aux dimensions humaine, juridique, économique, sociale et technologique des besoins de sécurité des infrastructures et des populations. Apporter une réponse au besoin de maîtrise du patrimoine numérique, de la distribution de biens intangibles / immatériels, du commerce électronique, etc. Instaurer la confiance en l’économie numérique afin de favoriser un développement socio- économique profitable à tous les acteurs de la société. Sa finalité est de : Garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’organisation ou de l’Etat. Diminuer la probabilité de voir des menaces se concrétiser et limiter les atteintes ou les disfonctionnements induits. Permettre le retour à un fonctionnement normal à des coûts et à des délais acceptables en cas d’attaque.
  • 9. 9 Une profusion de stratégies de cybersécurité sorties entre 2009 et 2011 à travers le monde
  • 10. 10 Destinées à quels publics ? Qui est concerné par ces stratégies ?
  • 11. 11 Les routes de transit de l’information 11
  • 12. 12 On agrège les données et les risques à un niveau sans précédent 5. Systèmes complètement intégrés Degré de numérisation des données (les systèmes des prochaines années) 4. Intégration technique (ex : cloud computing) 3. Systèmes d’échange (ex : peer to peer) 2. Stockage d’informations (ex : data centre d’une entreprise) 1.Messages (ex : ouverture d’un système de messagerie) Échelle des risques
  • 13. 13 Nos infrastructures physiques dépendent de plus en plus des cyber- infrastructures Source: Department of homeland security, “Securing the Nation’s Critical Cyber Infrastructure”
  • 14. 14 Quelles démarches engager ? Maîtriser la sécurité en garantissant l’efficience des mesures de sécurité dans le temps et dans l’espace, en identifiant les acteurs et les responsabilités. Définir une politique de sécurité précisant les exigences de sécurité envers tous les acteurs : gouvernement, utilisateurs, prestataires de services, etc. Elaborer et mettre en œuvre une stratégie de cybersécurité cohérente et efficace. Développer une éthique d’utilisation et de comportement vis-à-vis des technologies. Adapter le cadre légal et institutionnel aux nouvelles menaces. Eduquer, former et sensibiliser l’ensemble des acteurs concernés à la cybersécurité. Mettre en place des centres d’alerte et de gestion de crise au niveau national/européen. Créer des systèmes de surveillance et organiser des contrôles par des évaluations régulières des vulnérabilités et des menaces. Faire une analyse internationale des cibles stratégique et tactique des cyber-attaques. Développer les compétences d’une cyberpolice pouvant contribuer à une coopération internationale en matière de poursuite et d’investigation du cybercrime. Développer des solutions technologiques de gestion des identités, de contrôle d’accès, de cryptographie, etc. Elaborer et mettre en œuvre une stratégie nationale de cybersécurité, des plans d’action et protéger les infrastructures critiques nationales.
  • 15. 15 Les principales mesures concrètes à mettre en œuvre Cadre légal : loi sur la cybercriminalité; loi sur la sécurité des réseaux et systèmes informatiques; loi sur la protection des données à caractère personnel. Cadre organisationnel : désignation d’un responsable national chargé de la cybersécurité; création d’une agence spécialisée chargée de la sécurité informatique (ANSSI). Renforcement des capacités : développer une expertise nationale en matière de sécurité des réseaux et systèmes informatiques; former des instances de justice et de police dans le domaine des TIC et des investigations en matière de cybercriminalité. Sensibilisation et éducation : sensibiliser à une cyberéthique d’utilisation et de comportement vis- à-vis des TIC. Coopération nationale et internationale : collaboration entre le gouvernement et le secteur privé; coopération internationale; mise en place de points de contact.
  • 16. 16 II. Quels sont les liens entre cybersécurité et vie privée ? En quoi la CNIL est-elle concernée ?
  • 17. 17 Des menaces permanentes et de plus en plus sophistiquées sur vos données personnelles Les menaces sur vos données : Elles arrivent. Elles sont ciblées. Elles sont sophistiquées. • NIR, identité. • Mesures disciplinaires. • Diplômes, données universitaires. • Mémoires, notes, etc. • Données professionnelles. • Données médicales. • Données bancaires. • Données autres : sexe, religion, etc. 17
  • 18. 18 Des Etats et l’UE prennent différentes mesures touchant à la vie privée Un constat : de plus en plus d’Etats lient directement cybersécurité et protection de la vie privée. Premier exemple, le 8 juillet 2011, les Pays-Bas ont annoncé, dans le cadre de leur stratégie nationale de cybersécurité, la mise en place du Conseil de cybersécurité néerlandais. Ce dernier aura pour mission d’informer et de conseiller les institutions publiques et les entreprises privées des évolutions en matière de sécurité informatique. Au delà de sa mission de coordination et de prévention, le Conseil aura également pour finalité de défendre certains droits fondamentaux, notamment la liberté d’expression et la vie privée. Autre exemple, le 25 février 2011, l'Agence européenne chargée de la cybersécurité (ENISA) a présenté un rapport sur les utilisations abusives des nouveaux cookies Internet capables de dresser le profil et la localisation de l'utilisateur à des fins publicitaires, cela en toute opacité. L’ENISA explore plusieurs voies pour prémunir les internautes européens face à une éventuelle intrusion dans leur vie privée. Parmi elles figurent la nécessité d'obtenir le consentement de l'utilisateur ainsi que la possibilité de gérer ces cookies aisément. La limitation ou l'interdiction du stockage de ceux-ci hors du navigateur est prônée comme le besoin de proposer une alternative aux internautes en cas de refus de cookies. La CNIL est représentée à l’ENISA par le service de l’expertise technologique.
  • 19. 19 Pourquoi lier cybersécurité et vie privée ? La démonstration canadienne « Chaque jour, nous accédons à Internet pour effectuer des transactions bancaires, magasiner ou utiliser des services gouvernementaux, et nous le faisons à partir de n'importe où. Les infrastructures numériques rendent tout cela possible et assurent le bon fonctionnement des services essentiels en tout temps … Les Canadiens (individus, industries et gouvernements) sont conscients des nombreux avantages qu'offre le cyberespace pour notre économie et qualité de vie. Notre grande dépendance aux cybertechnologies nous rend toutefois plus vulnérables aux attaques lancées contre nos infrastructures numériques dans le but de déstabiliser notre sécurité nationale, notre prospérité économique et nos modes de vie … Nos systèmes sont des cibles attrayantes pour les services militaires et du renseignement étrangers ainsi que pour les réseaux criminels et terroristes. Ces groupes (ndlr criminels) s'emparent de nos systèmes informatiques, fouillent dans nos dossiers et provoquent des pannes informatiques. Ils volent nos secrets de sécurité nationale et industriels ainsi que nos identités personnelles ». L'honorable Vic Toews, ministre de la Sécurité publique du Canada (2010), stratégie canadienne de cybersécurité.
  • 20. 20 L’exemple canadien (suite) « La cybersécurité concerne chacun d'entre nous, puisque même les attaquants possédant seulement des compétences de base peuvent causer de graves dommages. Les attaquants qui s'y connaissent vraiment peuvent troubler les contrôles électroniques des réseaux de distribution d'électricité, des installations de traitement des eaux et des réseaux de télécommunications. Ils nuisent à la production et à la livraison de biens et services essentiels fournis par nos gouvernements et le secteur privé. Ils portent atteinte à notre droit à la vie privée en volant nos renseignements personnels. Il ne suffit pas de lutter séparément contre les différentes cybermenaces. Par l'entremise de la Stratégie, le gouvernement continuera de travailler de manière concertée avec les provinces, les territoires et le secteur privé pour combattre les menaces auxquelles font face le Canada et ses citoyens ». « La Stratégie de cybersécurité du Canada constitue notre plan pour combattre les cybermenaces. La Stratégie repose sur trois piliers : protéger les systèmes gouvernementaux; nouer des partenariats pour protéger les cybersystèmes essentiels à l'extérieur du gouvernement fédéral; aider les Canadiens à se protéger en ligne : le gouvernement aidera les citoyens canadiens à obtenir l'information dont ils ont besoin pour se protéger et protéger leur famille en ligne et pour accroître la capacité des organismes d'application de la loi de lutter contre les cybercrimes ».
  • 21. 21 Les Etats-Unis proposent une stratégie internationale de coopération Le 16 mai 2011, les Etats-Unis ont publié leur stratégie internationale de coopération en matière de cybersécurité Intitulée « International Strategy for Cyberspace ». Ce document développe une stratégie qui s’articule autour de sept axes, économique, militaire, juridique et politique. L’administration américaine propose un engagement financier destiné à encourager l’innovation et les échanges en ligne tout en préservant la propriété intellectuelle. Comme pour la stratégie américaine nationale de sécurité, ce texte met très clairement en avant les notions de vie privée : « our strategy marries our obligation to protect our citizens and interests with our commitment to privacy As citizens increasingly engage via the Internet in their public and private lives, they have expectations for privacy: individuals should be able to understand how their personal data may be used, and be confident that it will be handled fairly Likewise, they expect to be protected from fraud, theft, and threats to personal safety that lurk online—and expect law enforcement to use all the tools at their disposal, pursuant to law, to track and prosecute those who would use the Internet to exploit others ».
  • 22. 22 Une multiplication des initiatives américaines
  • 23. 23 Et la France ? La France s'est dotée d'une stratégie pour se défendre et se protéger dans le cyberespace pour répondre aux cybermenaces : « le cyberespace est devenu un nouveau champ d’action dans lequel se déroulent déjà des opérations militaires, la France devra développer une capacité de lutte dans cet espace. Des règles d’engagement appropriées, tenant compte des considérations juridiques liées à ce nouveau milieu, devront être élaborées » (livre Blanc de la Défense et de la Sécurité nationale de juin 2008). Par décret publié au Journal Officiel du 8 juillet 2009, l’ANSSI se substitue à la Direction centrale de la sécurité des systèmes d’information (DCSSI) rattachée au Secrétariat général de la Défense nationale (SGDN). Elle est dirigée par Patrick Pailloux. En 2012, l’ANSSI pourrait compter 250 personnes (soit un doublement des effectifs par rapport à 2008) et disposera d’un budget de 90 millions d’euros à la même échéance. La guerre ne fait que commencer : à l’automne 2010, Bercy a été victime d’attaques (rappel : vendredi de la com de la CNIL). le 29 septembre 2011, Areva a reconnu avoir été victime d’attaques durant deux ans sur l’ensemble de ses installations informatiques.
  • 24. 24 La stratégie française en bref Quatre objectifs stratégiques : être une puissance mondiale de cyber-défense; garantir la liberté de décision de la France par la protection de l’information de souveraineté; renforcer la cyber-sécurité des infrastructures vitales nationales; assurer la sécurité dans le cyber- espace. Sept axes d’effort : 1. mieux anticiper et analyser l’environnement afin de prendre les décisions adaptées; 2. détecter les attaques et les contrer, alerter les victimes potentielles et les accompagner; 3. accroître et pérenniser nos capacités scientifiques, techniques, industrielles et humaines dans l’objectif de conserver l’autonomie nécessaire; 4. protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales pour une meilleure résilience nationale; 5. adapter notre droit afin de prendre en compte les évolutions technologiques et les nouveaux usages; 6. développer nos collaborations internationales en matière de sécurité des systèmes d’information, de lutte contre la cyber-criminalité et de cyber-défense pour mieux protéger les systèmes d’information nationaux; 7. communiquer, informer et convaincre afin de permettre aux Français de prendre la mesure des enjeux liés à la sécurité des systèmes d’information.
  • 26. 26 Et la CNIL dans tout cela ? La CNIL fait de la cybersécurité sans le dire. Quelques exemples concrets : Ne pas prendre de risque, c’est effacer ses traces sur internet : cf. Surfer sur internet, ça laisse des traces ! Faites-en l'expérience du 16 juin 2011. Lutter contre le harcèlement : cf. Le harcèlement sur internet en questions du 2 novembre 2010. La confiance numérique : cf. délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. Le plan numérique 2012 présenté en octobre 2008 par Eric Besson demandait à garantir la protection des données personnelles. L'action n°80 de ce plan invitait « la CNIL à mettre en place une campagne de sensibilisation 'informatique et libertés ». Patrick Pailloux (ANSSI) a rappelé début octobre 2010 qu'un nombre très important d'attaques à des fins d'espionnage sont détectées par l'administration et les entreprises. Il a évoqué la nécessité d'appliquer des " règles d'hygiène informatique élémentaire " avec comme exemple : « limitation des droits d'accès, analyse des mouvements suspects sur les systèmes d'information, sanctuarisation des éléments les plus critiques comme les dispositifs de gestion des droits d'accès, application régulière des correctifs de sécurité ». C’est bien la doctrine habituelle de la CNIL.
  • 27. 27 La relation entre la protection de la vie privée et la sécurité, comme Janus, présente deux faces distinctes Puisque les renseignements personnels se retrouvent de plus en plus dans le cyberespace, la protection de la vie privée dépend de plus en plus de la cybersécurité. Toutefois, dans certains cas, la cybersécurité, comme toute mesure de sécurité, peut représenter une menace pour la protection de la vie privée. Ainsi, la notion de protection de données personnelles (privacy) va devenir délicate à traiter. En effet, si les militaires ont décidé d’investir le cyberespace, ce dernier comporte bien plus de civils (les internautes) et d’entreprises que de militaires. Où sont alors les intérêts des uns et des autres ? La militarisation déguisée ou avérée du cyberespace ne doit pas se faire au détriment des enjeux économiques (le monde des affaires) et du respect de la vie privée des internautes. Là se situeront probablement les échecs ou la réussite des stratégies en matière de cybersécurité dans les années qui viennent. En clair, cette sécurité mérite-t-elle que nous lui sacrifions l’essentiel de notre vie privée ?
  • 28. 28 Assiste-t-on au retour des barbares ?
  • 29. 29 Un peu de lectures