SlideShare une entreprise Scribd logo
1  sur  37
LEPENTEST
FACEAUDROIT
CYBER@HACK2015
/ /Benjamin Benifei Juriste ITrust
DROITVS.PENTEST
1. Définitions préalables
2. Risques juridiques
3. Encadrement juridique
DÉFINIRLE
PENTEST
QUID?
Pentest/Test d'intrusion
Tentative de pénétration d'un système (mise en situation
d'une attaque, exploitation des failles)
DUCÔTÉDUPENTESTEUR
Quel système d'information cible ? / Quelles
connaissances ? / Quelle méthodologie ?
NIVEAUDECONNAISSANCEDU
PENTESTEUR
Boîte noire / Boîte grise / Boîte blanche
MÉTHODOLOGIEDUPENTEST
Logique / Physique
Technique / Ingénierie sociale
PENTEST≠AUDIT
L'audit est une étude aboutissant à un panorama
complet du SI et indique sa situation par rapport à un
référentiel
DIFFÉRENCESMAJEURES
Un pentest est relativement peu cher, mais limité dans
son périmètre et sa durée
Un audit est plus large, mais aussi plus cher
Juridiquement, le pentest est une obligation de moyens
(et l'audit, de résultat)
QUELS
RISQUES
JURIDIQUES?
TL;DR
GRAVESETNOMBREUX
FRAUDEINFORMATIQUE
Loi Godfrain (articles 323-1 à 323-7 du Code pénal)
DÉLITSDELALOIGODFRAIN
Notion de système de traitement automatisé de données
Accès et maintien non autorisés / Entrave du
fonctionnement / Introduction, modification,
suppression de données
Punition de la tentative / Aggravation lorsque STAD mis
en œuvre par l'État
SANCTIONSDELALOIGODFRAIN
Accès/Maintien
2 ans d'emprisonnement, 30k€ d'amende
Contre un STAD étatique
3 ans d'emprisonnement, 45K€ d'amende
SANCTIONSDELALOIGODFRAIN
Modification de données
5 ans d'emprisonnement, 75k€ d'amende
Contre un STAD étatique
7 ans d'emprisonnement, 100k€ d'amende
COURD'APPELDEPARIS,5FÉVRIER2014
Illustration de condamnation sur le fondement de la loi Godfrain
« L’accès, qu’il ne conteste pas, lui a en fait été permis en
raison d’une défaillance technique concernant
l’identification existant dans le système, défaillance que
reconnaît l'ANSES ; dans ces conditions l’infraction n’est
pas caractérisée »
« O.L. a fait des copies de fichiers informatiques
inaccessibles au public à des fins personnelles à l’insu et
contre le gré de leur propriétaire ; [sa] culpabilité sera
donc retenue des chefs de maintien frauduleux dans un
STAD »
UNEEXTENSIONISSUEDELALPM
Ajout par la Loi de programmation militaire de décembre
2013 du délit de détention de données
(reproduction/extraction/détention/transmission)
Article 323-3 du Code pénal
COURD'APPELDEPARIS,5FÉVRIER2014
« en l’absence de toute soustraction matérielle de
documents appartenant à l’Anses, le simple fait d’avoir
téléchargé et enregistré sur plusieurs supports des fichiers
informatiques de l’Anses qui n’en a jamais été dépossédée,
puisque ces données, élément immatériel, demeuraient
disponibles et accessibles à tous sur le serveur, ne peut
constituer l’élément matériel du vol, la soustraction
frauduleuse de la chose d’autrui, délit supposant, pour
être constitué, l’appréhension d’une chose »
UNEAMBIGUÏTÉDANSLALPM?
Introduction dans le Code de la propriété intellectuelle
de la possibilité de tester un logiciel pour s'assurer de sa
sécurité (L. 122-6-1 III du CPI)
ART.25LPM→L.122-6-1IIICPI
Toute personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester le
fonctionnement ou la sécurité de ce logiciel afin de
déterminer les idées et principes qui sont à la base de
n'importe quel élément du logiciel lorsqu'elle effectue toute
opération […] qu'elle est en droit d'effectuer.
ENATTENDANTLEJUGE…
L'insécurité juridique règne !
Les tests sauvages de sites sont fortement déconseillés
Pas l'intention du législateur / Totalement contraire à la
loi Godfrain
ATTEINTEAUXDROITSDEPROPRIÉTÉ
INTELLECTUELLE
Code de la propriété intellectuelle
DIFFÉRENTSDROITS
Propriété littéraire et artistique (écrits, logiciels, etc.)
Propriété industrielle (brevets, marques, etc.)
Protection sui generis des producteurs de bases de
données
ARTICLEL.335-2-1DUCPI
« Est puni de trois ans d'emprisonnement et de 300 000
euros d'amende le fait d'éditer, de mettre à la disposition
du public ou de communiquer au public, sciemment et sous
quelque forme que ce soit, un logiciel manifestement destiné
à la mise à disposition du public non autorisée d'oeuvres ou
d'objets protégés »
PROTECTIONDESDONNÉES
PERSONNELLES
Loi informatique et libertés
EXEMPLEDESRISQUES
Article 226-16 du Code pénal
Extraire, consulter ou collecter des données personnelles
sans respecter les formalités de la LIL
Amende de 300k€ et 5 ans d'emprisonnement
EXEMPLEDESRISQUES
Article 226-16 du Code pénal
« Le fait, y compris par négligence, de procéder ou de faire
procéder à des traitements de données à caractère
personnel sans qu’aient été respectées les formalités
préalables à leur mise en oeuvre prévues par la loi est puni
de cinq ans d’emprisonnement et de 300 000 € d’amende »
LETROISIÈMEHOMME
L'hébergeur ou le sous-traitant
HÉBERGEUR/PRESTATAIRE
Le risque de perturbation des services du prestataire
contrevient à la loi Godfrain…
… Et souvent aux CGU de l'hébergeur
AMÉNAGERUNE
PROTECTION
JURIDIQUE
L'ESSENTIELCADRECONTRACTUEL
PROCESSUSCONTRACTUEL
Contrat antérieur à l'opération de pentest
Négociation permettant d'informer le client (risques) et
de valider et décrire chaque étape du test
Détermination des responsabilités et rôles
CONTENUDUCONTRAT
Identité du client, du testeur, du commanditaire
Obligation de moyens du testeur (+ limites)
Périmètre/Modalités de l'obligation
Forme du livrable
Propriété intellectuelle (notamment du rapport)
Confidentialité
AUTOURDUCONTRAT
Autorisation de l'hébergeur
Charte d'éthique
Référentiel de l'intrusion de la Fédération des
professionnels des tests d'intrusion
AMÉLIORERLACULTURESÉCURITÉ
(JURIDIQUE)
Désignation d'un CIL
Sensibilisation des commerciaux et prestataires
Associer les compétences juridiques et techniques
LEPENTEST
FACEAUDROIT
CYBER@HACK2015
/ /Benjamin Benifei Juriste ITrust
ALLERPLUSLOIN
ITrust, Les aspects juridiques des scans et tests intrusifs
FPTI, Référentiel de l'intrusion
Hackers Republic, Loi Godfrain : explications et illustrations
Nmap.org, Legal issues
Benjamin Benifei, La loi de programmation militaire a-t-elle
vraiment rendu légale l’attaque de sites internet ?

Contenu connexe

En vedette

Vulnerability Scanning or Penetration Testing?
Vulnerability Scanning or Penetration Testing?Vulnerability Scanning or Penetration Testing?
Vulnerability Scanning or Penetration Testing?amiable_indian
 
Network Security and Analysis with Python
Network Security and Analysis with PythonNetwork Security and Analysis with Python
Network Security and Analysis with Pythonpycontw
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing ExplainedRand W. Hirt
 
Penetration Testing Basics
Penetration Testing BasicsPenetration Testing Basics
Penetration Testing BasicsRick Wanner
 
Introduction to Python for Security Professionals
Introduction to Python for Security ProfessionalsIntroduction to Python for Security Professionals
Introduction to Python for Security ProfessionalsAndrew McNicol
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware AnalysisAndrew McNicol
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGEr Vivek Rana
 
Echecs et hack
Echecs et hackEchecs et hack
Echecs et hackKyos
 

En vedette (13)

What is pentest
What is pentestWhat is pentest
What is pentest
 
Python for Penetration testers
Python for Penetration testersPython for Penetration testers
Python for Penetration testers
 
Python build your security tools.pdf
Python build your security tools.pdfPython build your security tools.pdf
Python build your security tools.pdf
 
Vulnerability Scanning or Penetration Testing?
Vulnerability Scanning or Penetration Testing?Vulnerability Scanning or Penetration Testing?
Vulnerability Scanning or Penetration Testing?
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
 
Network Security and Analysis with Python
Network Security and Analysis with PythonNetwork Security and Analysis with Python
Network Security and Analysis with Python
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing Explained
 
Penetration Testing Basics
Penetration Testing BasicsPenetration Testing Basics
Penetration Testing Basics
 
Introduction to Python for Security Professionals
Introduction to Python for Security ProfessionalsIntroduction to Python for Security Professionals
Introduction to Python for Security Professionals
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware Analysis
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTING
 
Enumeration et Exploitation
Enumeration et Exploitation Enumeration et Exploitation
Enumeration et Exploitation
 
Echecs et hack
Echecs et hackEchecs et hack
Echecs et hack
 

Similaire à Le pentest face au droit - Cyber@Hack 2015

Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesBenjamin Benifei
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3PRONETIS
 
Nouvelles reglementations et tendances dans l'immatériel
Nouvelles reglementations et tendances dans l'immatérielNouvelles reglementations et tendances dans l'immatériel
Nouvelles reglementations et tendances dans l'immatérielFrédéric Mouillère
 
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminaliteLoi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminaliteAndry Rakotoniaina Andriatahiana
 
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéAndry Rakotoniaina Andriatahiana
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Hadopi - Brefs rappels
Hadopi - Brefs rappelsHadopi - Brefs rappels
Hadopi - Brefs rappelsanne.wiener
 
La lutte contre la cybercriminalité
La lutte contre la cybercriminalitéLa lutte contre la cybercriminalité
La lutte contre la cybercriminalitéIheb Ben Salem
 
Les 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSILes 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSIThiebaut Devergranne
 
Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueBenjamin Benifei
 
Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestRadouane Mrabet
 
Projet de loi renseignement étude impact
Projet de loi renseignement étude impactProjet de loi renseignement étude impact
Projet de loi renseignement étude impactFactaMedia
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012vgautrais
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14silvere cauffi assoua
 

Similaire à Le pentest face au droit - Cyber@Hack 2015 (20)

Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de données
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatique
 
Loppsi 2 synthèse
Loppsi 2 synthèseLoppsi 2 synthèse
Loppsi 2 synthèse
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
Nouvelles reglementations et tendances dans l'immatériel
Nouvelles reglementations et tendances dans l'immatérielNouvelles reglementations et tendances dans l'immatériel
Nouvelles reglementations et tendances dans l'immatériel
 
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminaliteLoi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
 
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Hadopi - Brefs rappels
Hadopi - Brefs rappelsHadopi - Brefs rappels
Hadopi - Brefs rappels
 
La lutte contre la cybercriminalité
La lutte contre la cybercriminalitéLa lutte contre la cybercriminalité
La lutte contre la cybercriminalité
 
Les 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSILes 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSI
 
Binder1
Binder1Binder1
Binder1
 
Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatique
 
Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapest
 
Projet de loi renseignement étude impact
Projet de loi renseignement étude impactProjet de loi renseignement étude impact
Projet de loi renseignement étude impact
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
 

Le pentest face au droit - Cyber@Hack 2015