Le pentest face au droit - Cyber@Hack 2015

284 vues

Publié le

Présentation réalisée dans le cadre du Cyber@Hack 2015.

Illustrations par Randall Munroe sous licence Creative Commons Attribution-NonCommercial 2.5 (http://xkcd.com/)

Publié dans : Droit
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
284
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Le pentest face au droit - Cyber@Hack 2015

  1. 1. LEPENTEST FACEAUDROIT CYBER@HACK2015 / /Benjamin Benifei Juriste ITrust
  2. 2. DROITVS.PENTEST 1. Définitions préalables 2. Risques juridiques 3. Encadrement juridique
  3. 3. DÉFINIRLE PENTEST
  4. 4. QUID? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation des failles)
  5. 5. DUCÔTÉDUPENTESTEUR Quel système d'information cible ? / Quelles connaissances ? / Quelle méthodologie ?
  6. 6. NIVEAUDECONNAISSANCEDU PENTESTEUR Boîte noire / Boîte grise / Boîte blanche
  7. 7. MÉTHODOLOGIEDUPENTEST Logique / Physique Technique / Ingénierie sociale
  8. 8. PENTEST≠AUDIT L'audit est une étude aboutissant à un panorama complet du SI et indique sa situation par rapport à un référentiel
  9. 9. DIFFÉRENCESMAJEURES Un pentest est relativement peu cher, mais limité dans son périmètre et sa durée Un audit est plus large, mais aussi plus cher Juridiquement, le pentest est une obligation de moyens (et l'audit, de résultat)
  10. 10. QUELS RISQUES JURIDIQUES?
  11. 11. TL;DR GRAVESETNOMBREUX
  12. 12. FRAUDEINFORMATIQUE Loi Godfrain (articles 323-1 à 323-7 du Code pénal)
  13. 13. DÉLITSDELALOIGODFRAIN Notion de système de traitement automatisé de données Accès et maintien non autorisés / Entrave du fonctionnement / Introduction, modification, suppression de données Punition de la tentative / Aggravation lorsque STAD mis en œuvre par l'État
  14. 14. SANCTIONSDELALOIGODFRAIN Accès/Maintien 2 ans d'emprisonnement, 30k€ d'amende Contre un STAD étatique 3 ans d'emprisonnement, 45K€ d'amende
  15. 15. SANCTIONSDELALOIGODFRAIN Modification de données 5 ans d'emprisonnement, 75k€ d'amende Contre un STAD étatique 7 ans d'emprisonnement, 100k€ d'amende
  16. 16. COURD'APPELDEPARIS,5FÉVRIER2014 Illustration de condamnation sur le fondement de la loi Godfrain « L’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l'ANSES ; dans ces conditions l’infraction n’est pas caractérisée » « O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; [sa] culpabilité sera donc retenue des chefs de maintien frauduleux dans un STAD »
  17. 17. UNEEXTENSIONISSUEDELALPM Ajout par la Loi de programmation militaire de décembre 2013 du délit de détention de données (reproduction/extraction/détention/transmission) Article 323-3 du Code pénal
  18. 18. COURD'APPELDEPARIS,5FÉVRIER2014 « en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose »
  19. 19. UNEAMBIGUÏTÉDANSLALPM? Introduction dans le Code de la propriété intellectuelle de la possibilité de tester un logiciel pour s'assurer de sa sécurité (L. 122-6-1 III du CPI)
  20. 20. ART.25LPM→L.122-6-1IIICPI Toute personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération […] qu'elle est en droit d'effectuer.
  21. 21. ENATTENDANTLEJUGE… L'insécurité juridique règne ! Les tests sauvages de sites sont fortement déconseillés Pas l'intention du législateur / Totalement contraire à la loi Godfrain
  22. 22. ATTEINTEAUXDROITSDEPROPRIÉTÉ INTELLECTUELLE Code de la propriété intellectuelle
  23. 23. DIFFÉRENTSDROITS Propriété littéraire et artistique (écrits, logiciels, etc.) Propriété industrielle (brevets, marques, etc.) Protection sui generis des producteurs de bases de données
  24. 24. ARTICLEL.335-2-1DUCPI « Est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait d'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés »
  25. 25. PROTECTIONDESDONNÉES PERSONNELLES Loi informatique et libertés
  26. 26. EXEMPLEDESRISQUES Article 226-16 du Code pénal Extraire, consulter ou collecter des données personnelles sans respecter les formalités de la LIL Amende de 300k€ et 5 ans d'emprisonnement
  27. 27. EXEMPLEDESRISQUES Article 226-16 du Code pénal « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende »
  28. 28. LETROISIÈMEHOMME L'hébergeur ou le sous-traitant
  29. 29. HÉBERGEUR/PRESTATAIRE Le risque de perturbation des services du prestataire contrevient à la loi Godfrain… … Et souvent aux CGU de l'hébergeur
  30. 30. AMÉNAGERUNE PROTECTION JURIDIQUE
  31. 31. L'ESSENTIELCADRECONTRACTUEL
  32. 32. PROCESSUSCONTRACTUEL Contrat antérieur à l'opération de pentest Négociation permettant d'informer le client (risques) et de valider et décrire chaque étape du test Détermination des responsabilités et rôles
  33. 33. CONTENUDUCONTRAT Identité du client, du testeur, du commanditaire Obligation de moyens du testeur (+ limites) Périmètre/Modalités de l'obligation Forme du livrable Propriété intellectuelle (notamment du rapport) Confidentialité
  34. 34. AUTOURDUCONTRAT Autorisation de l'hébergeur Charte d'éthique Référentiel de l'intrusion de la Fédération des professionnels des tests d'intrusion
  35. 35. AMÉLIORERLACULTURESÉCURITÉ (JURIDIQUE) Désignation d'un CIL Sensibilisation des commerciaux et prestataires Associer les compétences juridiques et techniques
  36. 36. LEPENTEST FACEAUDROIT CYBER@HACK2015 / /Benjamin Benifei Juriste ITrust
  37. 37. ALLERPLUSLOIN ITrust, Les aspects juridiques des scans et tests intrusifs FPTI, Référentiel de l'intrusion Hackers Republic, Loi Godfrain : explications et illustrations Nmap.org, Legal issues Benjamin Benifei, La loi de programmation militaire a-t-elle vraiment rendu légale l’attaque de sites internet ?

×