SlideShare une entreprise Scribd logo
19 novembre 2009
SECURITE DES SYSTEMES
D’INFORMATION
Cybercriminalité et
traitements des incidents
Master G.P.I. -2- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Finalité de la présentation
Introduction
Aborder la cybercriminalité avec pragmatisme
Connaître la nature des phénomènes
Anticiper les éventuelles implications
En déduire les bonnes pratiques
Master G.P.I. -3- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Membre de l’AFSIN / CLUSIR
Présentation de l’intervenant
Introduction
Intervenant UTT, US, EISIEA, ENM
Enquêteur N-TECH à la CIC de la BDRIJ 67
Adjudant JACQUOT Thierry
DU A.R.M.C. et MASTER S.S.I.
Master G.P.I. -4- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusion
Présentation de l’intervention
Introduction
Traitement des incidents
……
Introduction
Cybercriminalité
Master G.P.I. -5- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Créer des bases stables pour des pratiques durables
Importance de la S.S.I
Introduction
Nécessaire à l’appropriation du cyber espace
Développement de la confiance en l’économie numérique
Aspect financier
Image de l’entreprise
Master G.P.I. -6- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusions
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
Master G.P.I. -7- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusion
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
Master G.P.I. -8- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Dispositif de lutte
Historique
Techniques rencontrées
Master G.P.I. -9- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Dispositif de lutte
Historique
Techniques rencontrées
Master G.P.I. -10- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Années 1960 : Phreaking
Blue Box fabriquées par Steve Wozniak
Le sifflet utilisé par John Draper ( 2600 Hz )
Historique
Cybercriminalité
Master G.P.I. -11- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
1969: Naissance d’ARPANET 1972: 1er message électronique
1978: 1er SPAM (NEC): 400courriers
1990 : ARPANET -> Internet
Historique
Cybercriminalité
L’arrivée de la criminalité liée aux réseaux informatiques
Homme
Master G.P.I. -12- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Machine
Réseau
Historique
Cybercriminalité
Convergence des technologies et de la criminalité
Virus : Brain en 1986
Virus Ver : Morris 1988
+ Réseau
+ intrusions
PC zombie: Back Orifice + Réseau
Botnets
+ Social engineering : Mitnik
+ chevaux de Troie
Propagation
Social
engineering
Exploit – 0 day – etc ..
Master G.P.I. -13- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Dispositif de lutte
Historique
Techniques rencontrées
Master G.P.I. -14- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Dispositif de lutte
Historique
Techniques rencontrées
Master G.P.I. -15- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Attaques internes
Auteur bénéficie de la connaissance du système
Connaît les bugs rencontrés dans le quotidien
Dispose d’un accès permanent et de niveaux de droits
Possibilités accrues pour le social engineering
Aura un jour ou l’autre des motivations
La
cybercriminalité
Techniques rencontrées
Master G.P.I. -16- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Injection de code
Une liberté inutile laissée est une porte ouverte à une attaque.
Le programmateur pense à faire fonctionner.
Le hacker pense à usurper des droits
Le cyber-criminel pense à en tirer un bénéfice financier.
Techniques rencontrées
La
cybercriminalité
Master G.P.I. -17- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Brute force
Possible si pas de limitation.
Possible si limitation contournable.
Possible si pas d’alerte
Possible si alerte mais pas de réaction
Techniques rencontrées
La
cybercriminalité
Exemple : Security box, Intellitamper
Master G.P.I. -18- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Social engineering
Exploitation de la plus importante faille : l’homme
Utilisation de ses travers :
Soumission à l’autorité / envie de plaire
Paresse / Cupidité / Crédulité
Techniques rencontrées
La
cybercriminalité
Curiosité / animosité
Master G.P.I. -19- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Social engineering
Techniques rencontrées
La
cybercriminalité
Les choses telles
qu’elles devraient
être
Point A
Point B
Master G.P.I. -20- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Social engineering
Techniques rencontrées
La
cybercriminalité
Les choses telles
qu’elles sont
Point A
Point B
Master G.P.I. -21- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Social engineering
Techniques rencontrées
La
cybercriminalité
La solution
Point A
Point B
Master G.P.I. -22- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Social engineering
Techniques rencontrées
La
cybercriminalité
La solution
idéale
Faille de sécurité
Plus de faille de
sécurité
Master G.P.I. -23- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Dispositif de lutte
Historique
Techniques rencontrées
Master G.P.I. -24- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Dispositif de lutte
Historique
Techniques rencontrées
Master G.P.I. -25- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
National
IRCGN
OCLCTIC
STRJD Experts privés
ANSSI
Master G.P.I. -26- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
National
IRCGN
OCLCTIC
STRJD Experts privés
ANSSI
IRCGN : Institut de Recherches Criminelles de la Gendarmerie Nationale
Département INL ( informatique / électronique )
et SIP ( Son Image Parole )
Master G.P.I. -27- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
National
IRCGN
OCLCTIC
STRJD Experts privés
ANSSI
IRCGN : Institut de Recherches Criminelles de la Gendarmerie Nationale
Département INL ( informatique / électronique )
et SIP ( Son Image Parole )
STRJD: Service technique de Recherches Judiciaires et de Documentation
Département de surveillance Internet ( DSI ) et Centre National
d’analyse des images Pédopornographiques ( CNAIP )
Master G.P.I. -28- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Local
Section de recherche, région alsace, 1 enquêteur N-TECH
BDRIJ 67 - CIC, département du Bas-Rhin, 1 technicien N-TECH
Brigade de recherche, Compagnie STRBG, 1 technicien N-TECH
Unités du département, 18 correspondants N-TECH
Toutes les unités du département , des enquêteurs généraliste
National
IRCGN
OCLCTIC
STRJD Experts privés
ANSSI
Master G.P.I. -29- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
La cybercriminalité
La
cybercriminalité
Actes d’enquête simples
Actes techniques basiques
Enquêteurs
généralistes
Actes techniques simples
Acte d’enquête moyen
C-NTECH
NTECH
Actes techniques et enquêtes
de niveau complexe
Experts
Actes
d’expertises
N-TECH
Surveillance
Internet nationale
Enquêteurs et techniciens
Investigations internationales ou
phénomènes de grande ampleur
Master G.P.I. -30- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusion
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
Master G.P.I. -31- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusion
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
PAUSE
Master G.P.I. -32- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusions
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
Master G.P.I. -33- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Une fois l’incident terminé
Le traitement préventif
Le traitement post-incident
Le traitement des incidents
Le
traitement
des
incidents
Master G.P.I. -34- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Le traitement préventif des incidents
Le
traitement
des
incidents
d ) PDCA – Roue de Deming : Travail constant
a ) Prévoir les comportements probables et improbables ( Qui ? Quoi ? Comment )
b ) Intégrer la sécurité dès le cahier des charges ( Impossibilités techniques )
c ) Faire de la veille sur les menaces spécifiques ( Quel langage, quels périmètres ? )
e ) Déploiement sur plateforme de test avant mise en production ( Gestion de
l’imprévisible)
Master G.P.I. -35- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Prévoir les comportements probables et improbables ( Qui ? Quoi ? Comment )
Qui va se servir du système sur lequel je travaille
Quelles sont les taches que les utilisateurs ont à accomplir ?
Quelles sont leurs qualifications, quelles sont leurs connaissances ?
Quelles sont leurs motivations ?
Le traitement préventif des incidents
Le
traitement
des
incidents
Master G.P.I. -36- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Intégrer la sécurité dès le cahier des charges ( Impossibilités techniques )
Définir un niveau d’autorisation pour chaque action, en fonction des utilisateurs
Permettre toutes les actions nécessaires, Interdire les actions inutiles
Vérifier les possibilités techniques de configuration fine des droits
Qu’est ce qui est techniquement prévu en cas de problèmes pour répondre aux incidents ?
Le traitement préventif des incidents
Le
traitement
des
incidents
Master G.P.I. -37- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
c ) Faire de la veille sur les menaces spécifiques ( Quel langage, quels périmètres ? )
Périmètre d’accès aux applications : Machine / réseau local / extranet / Internet
Criticité des informations accessibles / modifiables
Choix du langage de programmation et des logiciels déployés
Développement d’une veille sur les menaces identifiées. ( exemple failles PHP, forum Bb,
Iphone jailbreakés …. )
Le traitement préventif des incidents
Le
traitement
des
incidents
Master G.P.I. -38- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
d ) PDCA – Roue de Deming : Travail constant
Prévoir : Des la conception d’un système il y a lieu d’y intégrer la sécurité
Plan -Prévoir
Do - Faire
Check – Evaluer
Act - Améliorer
Lors du développement ne pas omettre les dispositifs prévus
Lors du déploiement: Procéder aux tests de sécurité pour toutes les situations classiques
Si les tests révèlent des failles de sécurité, faire des prévisions d’amélioration
Une fois le système achevé, prévoir les modifications liées à l’évolution de l’état de l’art
Le traitement préventif des incidents
Le
traitement
des
incidents
Master G.P.I. -39- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
e ) Déploiement sur plateforme de test avant mise en production ( Gestion imprévisible)
Si dans la phase conception on ne peut que réfléchir aux points qu’on pense, la phase
d’implémentation sur une plateforme de test permet de découvrir les soucis dans les
domaines qu’on a occulté.
Attention à la résolution des bugs par abaissement des niveaux de sécurité : FBI
Il vaut mieux corriger les bugs de sécurité avant qu’ils n’aient engendré un préjudice
Demander a des novices, représentatifs des futurs utilisateurs, de tester et « s’amuser »
Le traitement préventif des incidents
Le
traitement
des
incidents
Master G.P.I. -40- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Une fois l’incident terminé
Le traitement préventif
Le traitement post-incident
Le traitement des incidents
Le
traitement
des
incidents
Master G.P.I. -41- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Une fois l’incident terminé
Le traitement préventif
Le traitement post-incident
Le traitement des incidents
Le
traitement
des
incidents
Master G.P.I. -42- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Etablir les priorités :
b ) Participation aux investigations
Conservation de la preuve
Reprise de l’activité
Déroulement d’une enquête judiciaire
Déroulement d’une enquête judiciaire
Importance de la traçabilité dans le DICT
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -43- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Etablir les priorités : Trouver le juste équilibre
Conservation de la preuve
Reprise de l’activité
Perte de chiffre d’affaire
Atteinte à l’image de l’entreprise
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -44- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Etablir les priorités : Trouver le juste équilibre
Conservation de la preuve
Reprise de l’activité
Limiter les dégâts
Articles 434-4 du code pénal
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -45- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Etablir les priorités : Trouver le juste équilibre
Conservation de la preuve
Reprise de l’activité
Perte de chiffre d’affaire
Atteinte à l’image de l’entreprise
Limiter les dégâts
Articles 434-4 du code pénal
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -46- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Etablir les priorités : Article 434-4 du code pénal
Est puni de trois ans d'emprisonnement et de 45000 euros d'amende le fait, en
vue de faire obstacle à la manifestation de la vérité :
1° De modifier l'état des lieux d'un crime ou d'un délit soit par l'altération, la
falsification ou l'effacement des traces ou indices, soit par l'apport, le
déplacement ou la suppression d'objets quelconques ;
2° De détruire, soustraire, receler ou altérer un document public ou privé ou un
objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche
des preuves ou la condamnation des coupables.
Lorsque les faits prévus au présent article sont commis par une personne qui,
par ses fonctions, est appelée à concourir à la manifestation de la vérité, la peine
est portée à cinq ans d'emprisonnement et à 75000 euros d'amende.
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -47- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Etablir les priorités : Une solution au cas par cas
- Remplacer les serveurs atteints
- Lancer la procédure de
basculement
- Restaurer les fichiers de dernière
sauvegarde
- Gérer l’information vitale
- Gérer la communication
- Prévoir la reprise des attaques
- Passer en mode dégradé si
nécessaire
- Isoler et préserver les machines
atteintes
- Faire une copie des bases de données
- Consigner les manipulations effectuées
- Extraire les logs disponibles
- Déterminer les actes malveillants
- Limiter les interventions sur le
dispositif
- Ne garder que les modules nécessaires
- Faire un état des lieux grâce aux
tableaux de bords
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -48- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Pouvoirs coercitifs
réduits
-Enquête
préliminaire
Enquête de flagrance
- Pouvoirs coercitifs
importants dans un
temps court
Commission rogatoire
- Pouvoirs coercitifs
importants,
formalisme
Contraventions
Délits punis P.E.
Crimes
Pouvoirs
Oui Non Très rare
Oui
Oui
Oui
Oui
Oui Obligatoire
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -49- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Identification des auteurs
-Investigations
-Recueil de la plainte
-Investigations complémentaires
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -50- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
- Constatation de l’infraction
- Etablir la réalité des faits
Accès au logiciel / au système
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -51- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Extraction des données
-Prévoir un accès aux bases
-Programmer un visualisateur
-Prévoir un moyen de sauvegarde
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -52- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Extraction des données
-Prévoir un accès aux bases
-Programmer un visualisateur
-Prévoir un moyen de sauvegarde
-Possibilité de réquisition à personne qualifiée
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -53- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Article 60 du code de procédure pénale
S'il y a lieu de procéder à des constatations ou à des examens techniques ou scientifiques,
l'officier de police judiciaire a recours à toutes personnes qualifiées.
Sauf si elles sont inscrites sur une des listes prévues à l'article 157, les personnes ainsi
appelées prêtent, par écrit, serment d'apporter leur concours à la justice en leur honneur et
en leur conscience.
Les personnes désignées pour procéder aux examens techniques ou scientifiques peuvent
procéder à l'ouverture des scellés. Elles en dressent inventaire et en font mention dans un
rapport établi conformément aux dispositions des articles 163 et 166. Elles peuvent
communiquer oralement leurs conclusions aux enquêteurs en cas d'urgence.
Sur instructions du procureur de la République, l'officier de police judiciaire donne
connaissance des résultats des examens techniques et scientifiques aux personnes à
l'encontre desquelles il existe des indices faisant présumer qu'elles ont commis ou tenté de
commettre une infraction, ainsi qu'aux victimes.
Réquisition à personne qualifiée
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -54- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Article 60-1 du code de procédure pénale
Le procureur de la République ou l'officier de police judiciaire peut, par tout moyen, requérir
de toute personne, de tout établissement ou organisme privé ou public ou de toute
administration publique qui sont susceptibles de détenir des documents intéressant
l'enquête, y compris ceux issus d'un système informatique ou d'un traitement de données
nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que
puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les
réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3, la remise des
documents ne peut intervenir qu'avec leur accord.
A l'exception des personnes mentionnées aux articles 56-1 à 56-3, le fait de s'abstenir de
répondre dans les meilleurs délais à cette réquisition est puni d'une amende de 3 750 euros.
Le traitement post - incidents
Le
traitement
des
incidents
Réquisition à personne qualifiée
Master G.P.I. -55- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Article 77-1 du code de procédure pénale
S'il y a lieu de procéder à des constatations ou à des examens techniques ou scientifiques, le
procureur de la République ou, sur autorisation de celui-ci, l'officier de police judiciaire, a
recours à toutes personnes qualifiées.
Les dispositions des deuxième, troisième et quatrième alinéas de l'article 60 sont applicables
Le traitement post - incidents
Le
traitement
des
incidents
Réquisition à personne qualifiée
Master G.P.I. -56- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Article 77-1-1 du code de procédure pénale
Le procureur de la République ou, sur autorisation de celui-ci, l'officier de police judiciaire,
peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé
ou public ou de toute administration publique qui sont susceptibles de détenir des
documents intéressant l'enquête, y compris ceux issus d'un système informatique ou d'un
traitement de données nominatives, de lui remettre ces documents, notamment sous forme
numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret
professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles
56-1 à 56-3, la remise des documents ne peut intervenir qu'avec leur accord.
En cas d'absence de réponse de la personne aux réquisitions, les dispositions du second
alinéa de l'article 60-1 sont applicables.
Le traitement post - incidents
Le
traitement
des
incidents
Réquisition à personne qualifiée
Master G.P.I. -57- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Recueil de la plainte
-Attention aux délégations de pouvoir
Elles entrainent également des responsabilité
Les moyens doivent y être attachés
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -58- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Investigations
-Recueil de la plainte
-Auditions, réquisitions, constatations, perquisitions etc …..
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -59- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Identification des auteurs
-Investigations
-Recueil de la plainte
-Garde à vue, perquisitions, confrontations
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -60- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Identification des auteurs
-Investigations
-Recueil de la plainte
-Investigations complémentaires
-Défaut de
protection données
nominatives
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -61- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
-Commission
de l’infraction
- Procès pénal
-Intervention des forces de police
-Recueil des indices
-Identification des auteurs
-Investigations
-Recueil de la plainte
-Investigations complémentaires
-Témoignage devant la
juridiction de jugement
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -62- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
- Qui a fait quoi, comment, en avait-il le droit , et de quelle façon le prouver
L’apport nécessaire : l’information
Les précautions pour que l’information soit une preuve : Sa recevabilité
D I C T
ISPONIBILITE NTEGRITE ONFIDENTILATE RACABILITE
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -63- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
I : Les logs ont-ils été modifiés, tronqués ?
Infraction : Intrusion
D : Les logs du serveur APACHE sont-ils présents ? – Y a-t-il des sauvegardes ?
Information : Adresse IP auteur intrusion
C : Les informations accédées était-elles protégées ou facilement accessibles ?
T : Les logs permettent-ils de tracer tous les accès aux informations ?
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -64- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
Il prévient l’enseigne qui ne réagit pas. Il publie un article avec les données en parties
floutées et la faille dans le système.
Infraction : Intrusion
Un journaliste découvre les informations bancaires de clients d’une enseigne de commerce
sur leur site Internet
Information : Adresse IP auteur
Identifié, il passe devant le tribunal, mais il est relaxé : Il a accédé aux informations avec un
simple navigateur finement configuré : NETSCAPE : pas de manœuvres frauduleuses
C’est l’enseigne qui est condamnable : Défaut de protection de données nominatives
Affaire KITETOI
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -65- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
Cette UC se connecte à un serveur mais ne doit pas conserver de trace.
Infraction : Vol données
Une entité avec un niveau de secret élevé trouve un disque dur débranché dans une UC
Information : Données accédées
Les investigations excluent le vol de données ( vol de composants ) mais mettent en
exergue une mauvaise configuration des procédures prévues, et la présence sur le disque
dur de données sensibles.
Il faut faire des tests lors du déploiements.
Affaire …..
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -66- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
b ) Déroulement de l’enquête judiciaire
L’étude des connexions indique des pics de connexion anormaux
La prise de contrôle du serveur s’est faite par Brute Force
Infraction : Phishing
L’accès Internet d’une entreprise est suspendu parce qu’elle héberge un serveur de
PHISHING
Information : Logs de connexion
Aucun outil de détection n’a été installé sur le serveur.
Le serveur ne disposait pas d’un OS a jour.
Le serveur apache n’était pas à jour.
Le serveur a été saisi : possibilité de travailler sur les données effacées.
Affaire PAYPAL
Le traitement post - incidents
Le
traitement
des
incidents
Master G.P.I. -67- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Une fois l’incident terminé
Le traitement préventif
Le traitement post-incident
Le traitement des incidents
Le
traitement
des
incidents
Master G.P.I. -68- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Une fois l’incident terminé
Le traitement préventif
Le traitement post-incident
Le traitement des incidents
Le
traitement
des
incidents
Master G.P.I. -69- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
a ) Mise à jour des documentations :
b ) Mise à jour des programmes
P.S.S.I. de l’entreprise
PCA, PRA en se basant sur l’expérience vécue.
Déterminer, s’il y a lieu les failles dans les applications
Procéder aux changements adéquats
Faire un nouvel effort de formation et de sensibilisation.
Une fois l’incident terminé
Le
traitement
des
incidents
Master G.P.I. -70- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusion
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
Master G.P.I. -71- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Conclusion
Plan
de
l’intervention
Le traitement des incidents
La cybercriminalité
Introduction
Master G.P.I. -72- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Prise en compte de la SSI dès l’élaboration d’un concept.
Travail en bonne intelligence avec les parties prenantes
Gain de temps pour la conception
Si l’incident ne peut être évité, ses effets seront minimisés.
Services informatiques
Utilisateur LAMBDA
Services connexes ( gestions des autres bases interconnectées )
Projet plus abouti, plus facile à défendre, et ne laissant aucune
part au hasard. Gain pour le chef de projet et l’entreprise.
Réaction facilité à la survenance d’un incident
La sécurité des systèmes d’Information
Conclusion
Master G.P.I. -73- jeudi 19 octobre 2023
Cybercriminalité et traitements des incidents
Questions / Réponses
Remise de documents

Contenu connexe

Plus de OlyvierNzighou1

1- Exercices de révision sur les listes.pptx
1- Exercices de révision sur les listes.pptx1- Exercices de révision sur les listes.pptx
1- Exercices de révision sur les listes.pptx
OlyvierNzighou1
 
Codage_Information.pptx
Codage_Information.pptxCodage_Information.pptx
Codage_Information.pptx
OlyvierNzighou1
 
Algebre_Boole-1.pptx
Algebre_Boole-1.pptxAlgebre_Boole-1.pptx
Algebre_Boole-1.pptx
OlyvierNzighou1
 
Présentation_IBOGA_Commission_des_Lois_AN.pptx
Présentation_IBOGA_Commission_des_Lois_AN.pptxPrésentation_IBOGA_Commission_des_Lois_AN.pptx
Présentation_IBOGA_Commission_des_Lois_AN.pptx
OlyvierNzighou1
 
AG-15-12-2023.ppt
AG-15-12-2023.pptAG-15-12-2023.ppt
AG-15-12-2023.ppt
OlyvierNzighou1
 
Gestion_de_projetOK.pptx
Gestion_de_projetOK.pptxGestion_de_projetOK.pptx
Gestion_de_projetOK.pptx
OlyvierNzighou1
 

Plus de OlyvierNzighou1 (6)

1- Exercices de révision sur les listes.pptx
1- Exercices de révision sur les listes.pptx1- Exercices de révision sur les listes.pptx
1- Exercices de révision sur les listes.pptx
 
Codage_Information.pptx
Codage_Information.pptxCodage_Information.pptx
Codage_Information.pptx
 
Algebre_Boole-1.pptx
Algebre_Boole-1.pptxAlgebre_Boole-1.pptx
Algebre_Boole-1.pptx
 
Présentation_IBOGA_Commission_des_Lois_AN.pptx
Présentation_IBOGA_Commission_des_Lois_AN.pptxPrésentation_IBOGA_Commission_des_Lois_AN.pptx
Présentation_IBOGA_Commission_des_Lois_AN.pptx
 
AG-15-12-2023.ppt
AG-15-12-2023.pptAG-15-12-2023.ppt
AG-15-12-2023.ppt
 
Gestion_de_projetOK.pptx
Gestion_de_projetOK.pptxGestion_de_projetOK.pptx
Gestion_de_projetOK.pptx
 

Cybercriminalité et traitement des incidents.pptx

  • 1. 19 novembre 2009 SECURITE DES SYSTEMES D’INFORMATION Cybercriminalité et traitements des incidents
  • 2. Master G.P.I. -2- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Finalité de la présentation Introduction Aborder la cybercriminalité avec pragmatisme Connaître la nature des phénomènes Anticiper les éventuelles implications En déduire les bonnes pratiques
  • 3. Master G.P.I. -3- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Membre de l’AFSIN / CLUSIR Présentation de l’intervenant Introduction Intervenant UTT, US, EISIEA, ENM Enquêteur N-TECH à la CIC de la BDRIJ 67 Adjudant JACQUOT Thierry DU A.R.M.C. et MASTER S.S.I.
  • 4. Master G.P.I. -4- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusion Présentation de l’intervention Introduction Traitement des incidents …… Introduction Cybercriminalité
  • 5. Master G.P.I. -5- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Créer des bases stables pour des pratiques durables Importance de la S.S.I Introduction Nécessaire à l’appropriation du cyber espace Développement de la confiance en l’économie numérique Aspect financier Image de l’entreprise
  • 6. Master G.P.I. -6- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusions Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction
  • 7. Master G.P.I. -7- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusion Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction
  • 8. Master G.P.I. -8- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Dispositif de lutte Historique Techniques rencontrées
  • 9. Master G.P.I. -9- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Dispositif de lutte Historique Techniques rencontrées
  • 10. Master G.P.I. -10- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Années 1960 : Phreaking Blue Box fabriquées par Steve Wozniak Le sifflet utilisé par John Draper ( 2600 Hz ) Historique Cybercriminalité
  • 11. Master G.P.I. -11- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents 1969: Naissance d’ARPANET 1972: 1er message électronique 1978: 1er SPAM (NEC): 400courriers 1990 : ARPANET -> Internet Historique Cybercriminalité L’arrivée de la criminalité liée aux réseaux informatiques
  • 12. Homme Master G.P.I. -12- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Machine Réseau Historique Cybercriminalité Convergence des technologies et de la criminalité Virus : Brain en 1986 Virus Ver : Morris 1988 + Réseau + intrusions PC zombie: Back Orifice + Réseau Botnets + Social engineering : Mitnik + chevaux de Troie Propagation Social engineering Exploit – 0 day – etc ..
  • 13. Master G.P.I. -13- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Dispositif de lutte Historique Techniques rencontrées
  • 14. Master G.P.I. -14- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Dispositif de lutte Historique Techniques rencontrées
  • 15. Master G.P.I. -15- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Attaques internes Auteur bénéficie de la connaissance du système Connaît les bugs rencontrés dans le quotidien Dispose d’un accès permanent et de niveaux de droits Possibilités accrues pour le social engineering Aura un jour ou l’autre des motivations La cybercriminalité Techniques rencontrées
  • 16. Master G.P.I. -16- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Injection de code Une liberté inutile laissée est une porte ouverte à une attaque. Le programmateur pense à faire fonctionner. Le hacker pense à usurper des droits Le cyber-criminel pense à en tirer un bénéfice financier. Techniques rencontrées La cybercriminalité
  • 17. Master G.P.I. -17- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Brute force Possible si pas de limitation. Possible si limitation contournable. Possible si pas d’alerte Possible si alerte mais pas de réaction Techniques rencontrées La cybercriminalité Exemple : Security box, Intellitamper
  • 18. Master G.P.I. -18- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Social engineering Exploitation de la plus importante faille : l’homme Utilisation de ses travers : Soumission à l’autorité / envie de plaire Paresse / Cupidité / Crédulité Techniques rencontrées La cybercriminalité Curiosité / animosité
  • 19. Master G.P.I. -19- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Social engineering Techniques rencontrées La cybercriminalité Les choses telles qu’elles devraient être Point A Point B
  • 20. Master G.P.I. -20- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Social engineering Techniques rencontrées La cybercriminalité Les choses telles qu’elles sont Point A Point B
  • 21. Master G.P.I. -21- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Social engineering Techniques rencontrées La cybercriminalité La solution Point A Point B
  • 22. Master G.P.I. -22- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Social engineering Techniques rencontrées La cybercriminalité La solution idéale Faille de sécurité Plus de faille de sécurité
  • 23. Master G.P.I. -23- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Dispositif de lutte Historique Techniques rencontrées
  • 24. Master G.P.I. -24- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Dispositif de lutte Historique Techniques rencontrées
  • 25. Master G.P.I. -25- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité National IRCGN OCLCTIC STRJD Experts privés ANSSI
  • 26. Master G.P.I. -26- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité National IRCGN OCLCTIC STRJD Experts privés ANSSI IRCGN : Institut de Recherches Criminelles de la Gendarmerie Nationale Département INL ( informatique / électronique ) et SIP ( Son Image Parole )
  • 27. Master G.P.I. -27- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité National IRCGN OCLCTIC STRJD Experts privés ANSSI IRCGN : Institut de Recherches Criminelles de la Gendarmerie Nationale Département INL ( informatique / électronique ) et SIP ( Son Image Parole ) STRJD: Service technique de Recherches Judiciaires et de Documentation Département de surveillance Internet ( DSI ) et Centre National d’analyse des images Pédopornographiques ( CNAIP )
  • 28. Master G.P.I. -28- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Local Section de recherche, région alsace, 1 enquêteur N-TECH BDRIJ 67 - CIC, département du Bas-Rhin, 1 technicien N-TECH Brigade de recherche, Compagnie STRBG, 1 technicien N-TECH Unités du département, 18 correspondants N-TECH Toutes les unités du département , des enquêteurs généraliste National IRCGN OCLCTIC STRJD Experts privés ANSSI
  • 29. Master G.P.I. -29- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents La cybercriminalité La cybercriminalité Actes d’enquête simples Actes techniques basiques Enquêteurs généralistes Actes techniques simples Acte d’enquête moyen C-NTECH NTECH Actes techniques et enquêtes de niveau complexe Experts Actes d’expertises N-TECH Surveillance Internet nationale Enquêteurs et techniciens Investigations internationales ou phénomènes de grande ampleur
  • 30. Master G.P.I. -30- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusion Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction
  • 31. Master G.P.I. -31- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusion Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction PAUSE
  • 32. Master G.P.I. -32- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusions Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction
  • 33. Master G.P.I. -33- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Une fois l’incident terminé Le traitement préventif Le traitement post-incident Le traitement des incidents Le traitement des incidents
  • 34. Master G.P.I. -34- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Le traitement préventif des incidents Le traitement des incidents d ) PDCA – Roue de Deming : Travail constant a ) Prévoir les comportements probables et improbables ( Qui ? Quoi ? Comment ) b ) Intégrer la sécurité dès le cahier des charges ( Impossibilités techniques ) c ) Faire de la veille sur les menaces spécifiques ( Quel langage, quels périmètres ? ) e ) Déploiement sur plateforme de test avant mise en production ( Gestion de l’imprévisible)
  • 35. Master G.P.I. -35- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Prévoir les comportements probables et improbables ( Qui ? Quoi ? Comment ) Qui va se servir du système sur lequel je travaille Quelles sont les taches que les utilisateurs ont à accomplir ? Quelles sont leurs qualifications, quelles sont leurs connaissances ? Quelles sont leurs motivations ? Le traitement préventif des incidents Le traitement des incidents
  • 36. Master G.P.I. -36- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Intégrer la sécurité dès le cahier des charges ( Impossibilités techniques ) Définir un niveau d’autorisation pour chaque action, en fonction des utilisateurs Permettre toutes les actions nécessaires, Interdire les actions inutiles Vérifier les possibilités techniques de configuration fine des droits Qu’est ce qui est techniquement prévu en cas de problèmes pour répondre aux incidents ? Le traitement préventif des incidents Le traitement des incidents
  • 37. Master G.P.I. -37- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents c ) Faire de la veille sur les menaces spécifiques ( Quel langage, quels périmètres ? ) Périmètre d’accès aux applications : Machine / réseau local / extranet / Internet Criticité des informations accessibles / modifiables Choix du langage de programmation et des logiciels déployés Développement d’une veille sur les menaces identifiées. ( exemple failles PHP, forum Bb, Iphone jailbreakés …. ) Le traitement préventif des incidents Le traitement des incidents
  • 38. Master G.P.I. -38- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents d ) PDCA – Roue de Deming : Travail constant Prévoir : Des la conception d’un système il y a lieu d’y intégrer la sécurité Plan -Prévoir Do - Faire Check – Evaluer Act - Améliorer Lors du développement ne pas omettre les dispositifs prévus Lors du déploiement: Procéder aux tests de sécurité pour toutes les situations classiques Si les tests révèlent des failles de sécurité, faire des prévisions d’amélioration Une fois le système achevé, prévoir les modifications liées à l’évolution de l’état de l’art Le traitement préventif des incidents Le traitement des incidents
  • 39. Master G.P.I. -39- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents e ) Déploiement sur plateforme de test avant mise en production ( Gestion imprévisible) Si dans la phase conception on ne peut que réfléchir aux points qu’on pense, la phase d’implémentation sur une plateforme de test permet de découvrir les soucis dans les domaines qu’on a occulté. Attention à la résolution des bugs par abaissement des niveaux de sécurité : FBI Il vaut mieux corriger les bugs de sécurité avant qu’ils n’aient engendré un préjudice Demander a des novices, représentatifs des futurs utilisateurs, de tester et « s’amuser » Le traitement préventif des incidents Le traitement des incidents
  • 40. Master G.P.I. -40- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Une fois l’incident terminé Le traitement préventif Le traitement post-incident Le traitement des incidents Le traitement des incidents
  • 41. Master G.P.I. -41- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Une fois l’incident terminé Le traitement préventif Le traitement post-incident Le traitement des incidents Le traitement des incidents
  • 42. Master G.P.I. -42- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Etablir les priorités : b ) Participation aux investigations Conservation de la preuve Reprise de l’activité Déroulement d’une enquête judiciaire Déroulement d’une enquête judiciaire Importance de la traçabilité dans le DICT Le traitement post - incidents Le traitement des incidents
  • 43. Master G.P.I. -43- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Etablir les priorités : Trouver le juste équilibre Conservation de la preuve Reprise de l’activité Perte de chiffre d’affaire Atteinte à l’image de l’entreprise Le traitement post - incidents Le traitement des incidents
  • 44. Master G.P.I. -44- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Etablir les priorités : Trouver le juste équilibre Conservation de la preuve Reprise de l’activité Limiter les dégâts Articles 434-4 du code pénal Le traitement post - incidents Le traitement des incidents
  • 45. Master G.P.I. -45- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Etablir les priorités : Trouver le juste équilibre Conservation de la preuve Reprise de l’activité Perte de chiffre d’affaire Atteinte à l’image de l’entreprise Limiter les dégâts Articles 434-4 du code pénal Le traitement post - incidents Le traitement des incidents
  • 46. Master G.P.I. -46- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Etablir les priorités : Article 434-4 du code pénal Est puni de trois ans d'emprisonnement et de 45000 euros d'amende le fait, en vue de faire obstacle à la manifestation de la vérité : 1° De modifier l'état des lieux d'un crime ou d'un délit soit par l'altération, la falsification ou l'effacement des traces ou indices, soit par l'apport, le déplacement ou la suppression d'objets quelconques ; 2° De détruire, soustraire, receler ou altérer un document public ou privé ou un objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche des preuves ou la condamnation des coupables. Lorsque les faits prévus au présent article sont commis par une personne qui, par ses fonctions, est appelée à concourir à la manifestation de la vérité, la peine est portée à cinq ans d'emprisonnement et à 75000 euros d'amende. Le traitement post - incidents Le traitement des incidents
  • 47. Master G.P.I. -47- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Etablir les priorités : Une solution au cas par cas - Remplacer les serveurs atteints - Lancer la procédure de basculement - Restaurer les fichiers de dernière sauvegarde - Gérer l’information vitale - Gérer la communication - Prévoir la reprise des attaques - Passer en mode dégradé si nécessaire - Isoler et préserver les machines atteintes - Faire une copie des bases de données - Consigner les manipulations effectuées - Extraire les logs disponibles - Déterminer les actes malveillants - Limiter les interventions sur le dispositif - Ne garder que les modules nécessaires - Faire un état des lieux grâce aux tableaux de bords Le traitement post - incidents Le traitement des incidents
  • 48. Master G.P.I. -48- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Pouvoirs coercitifs réduits -Enquête préliminaire Enquête de flagrance - Pouvoirs coercitifs importants dans un temps court Commission rogatoire - Pouvoirs coercitifs importants, formalisme Contraventions Délits punis P.E. Crimes Pouvoirs Oui Non Très rare Oui Oui Oui Oui Oui Obligatoire Le traitement post - incidents Le traitement des incidents
  • 49. Master G.P.I. -49- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Identification des auteurs -Investigations -Recueil de la plainte -Investigations complémentaires Le traitement post - incidents Le traitement des incidents
  • 50. Master G.P.I. -50- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police - Constatation de l’infraction - Etablir la réalité des faits Accès au logiciel / au système Le traitement post - incidents Le traitement des incidents
  • 51. Master G.P.I. -51- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Extraction des données -Prévoir un accès aux bases -Programmer un visualisateur -Prévoir un moyen de sauvegarde Le traitement post - incidents Le traitement des incidents
  • 52. Master G.P.I. -52- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Extraction des données -Prévoir un accès aux bases -Programmer un visualisateur -Prévoir un moyen de sauvegarde -Possibilité de réquisition à personne qualifiée Le traitement post - incidents Le traitement des incidents
  • 53. Master G.P.I. -53- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Article 60 du code de procédure pénale S'il y a lieu de procéder à des constatations ou à des examens techniques ou scientifiques, l'officier de police judiciaire a recours à toutes personnes qualifiées. Sauf si elles sont inscrites sur une des listes prévues à l'article 157, les personnes ainsi appelées prêtent, par écrit, serment d'apporter leur concours à la justice en leur honneur et en leur conscience. Les personnes désignées pour procéder aux examens techniques ou scientifiques peuvent procéder à l'ouverture des scellés. Elles en dressent inventaire et en font mention dans un rapport établi conformément aux dispositions des articles 163 et 166. Elles peuvent communiquer oralement leurs conclusions aux enquêteurs en cas d'urgence. Sur instructions du procureur de la République, l'officier de police judiciaire donne connaissance des résultats des examens techniques et scientifiques aux personnes à l'encontre desquelles il existe des indices faisant présumer qu'elles ont commis ou tenté de commettre une infraction, ainsi qu'aux victimes. Réquisition à personne qualifiée Le traitement post - incidents Le traitement des incidents
  • 54. Master G.P.I. -54- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Article 60-1 du code de procédure pénale Le procureur de la République ou l'officier de police judiciaire peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l'enquête, y compris ceux issus d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3, la remise des documents ne peut intervenir qu'avec leur accord. A l'exception des personnes mentionnées aux articles 56-1 à 56-3, le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende de 3 750 euros. Le traitement post - incidents Le traitement des incidents Réquisition à personne qualifiée
  • 55. Master G.P.I. -55- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Article 77-1 du code de procédure pénale S'il y a lieu de procéder à des constatations ou à des examens techniques ou scientifiques, le procureur de la République ou, sur autorisation de celui-ci, l'officier de police judiciaire, a recours à toutes personnes qualifiées. Les dispositions des deuxième, troisième et quatrième alinéas de l'article 60 sont applicables Le traitement post - incidents Le traitement des incidents Réquisition à personne qualifiée
  • 56. Master G.P.I. -56- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Article 77-1-1 du code de procédure pénale Le procureur de la République ou, sur autorisation de celui-ci, l'officier de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l'enquête, y compris ceux issus d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3, la remise des documents ne peut intervenir qu'avec leur accord. En cas d'absence de réponse de la personne aux réquisitions, les dispositions du second alinéa de l'article 60-1 sont applicables. Le traitement post - incidents Le traitement des incidents Réquisition à personne qualifiée
  • 57. Master G.P.I. -57- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Recueil de la plainte -Attention aux délégations de pouvoir Elles entrainent également des responsabilité Les moyens doivent y être attachés Le traitement post - incidents Le traitement des incidents
  • 58. Master G.P.I. -58- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Investigations -Recueil de la plainte -Auditions, réquisitions, constatations, perquisitions etc ….. Le traitement post - incidents Le traitement des incidents
  • 59. Master G.P.I. -59- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Identification des auteurs -Investigations -Recueil de la plainte -Garde à vue, perquisitions, confrontations Le traitement post - incidents Le traitement des incidents
  • 60. Master G.P.I. -60- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Identification des auteurs -Investigations -Recueil de la plainte -Investigations complémentaires -Défaut de protection données nominatives Le traitement post - incidents Le traitement des incidents
  • 61. Master G.P.I. -61- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire -Commission de l’infraction - Procès pénal -Intervention des forces de police -Recueil des indices -Identification des auteurs -Investigations -Recueil de la plainte -Investigations complémentaires -Témoignage devant la juridiction de jugement Le traitement post - incidents Le traitement des incidents
  • 62. Master G.P.I. -62- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire - Qui a fait quoi, comment, en avait-il le droit , et de quelle façon le prouver L’apport nécessaire : l’information Les précautions pour que l’information soit une preuve : Sa recevabilité D I C T ISPONIBILITE NTEGRITE ONFIDENTILATE RACABILITE Le traitement post - incidents Le traitement des incidents
  • 63. Master G.P.I. -63- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire I : Les logs ont-ils été modifiés, tronqués ? Infraction : Intrusion D : Les logs du serveur APACHE sont-ils présents ? – Y a-t-il des sauvegardes ? Information : Adresse IP auteur intrusion C : Les informations accédées était-elles protégées ou facilement accessibles ? T : Les logs permettent-ils de tracer tous les accès aux informations ? Le traitement post - incidents Le traitement des incidents
  • 64. Master G.P.I. -64- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire Il prévient l’enseigne qui ne réagit pas. Il publie un article avec les données en parties floutées et la faille dans le système. Infraction : Intrusion Un journaliste découvre les informations bancaires de clients d’une enseigne de commerce sur leur site Internet Information : Adresse IP auteur Identifié, il passe devant le tribunal, mais il est relaxé : Il a accédé aux informations avec un simple navigateur finement configuré : NETSCAPE : pas de manœuvres frauduleuses C’est l’enseigne qui est condamnable : Défaut de protection de données nominatives Affaire KITETOI Le traitement post - incidents Le traitement des incidents
  • 65. Master G.P.I. -65- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire Cette UC se connecte à un serveur mais ne doit pas conserver de trace. Infraction : Vol données Une entité avec un niveau de secret élevé trouve un disque dur débranché dans une UC Information : Données accédées Les investigations excluent le vol de données ( vol de composants ) mais mettent en exergue une mauvaise configuration des procédures prévues, et la présence sur le disque dur de données sensibles. Il faut faire des tests lors du déploiements. Affaire ….. Le traitement post - incidents Le traitement des incidents
  • 66. Master G.P.I. -66- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents b ) Déroulement de l’enquête judiciaire L’étude des connexions indique des pics de connexion anormaux La prise de contrôle du serveur s’est faite par Brute Force Infraction : Phishing L’accès Internet d’une entreprise est suspendu parce qu’elle héberge un serveur de PHISHING Information : Logs de connexion Aucun outil de détection n’a été installé sur le serveur. Le serveur ne disposait pas d’un OS a jour. Le serveur apache n’était pas à jour. Le serveur a été saisi : possibilité de travailler sur les données effacées. Affaire PAYPAL Le traitement post - incidents Le traitement des incidents
  • 67. Master G.P.I. -67- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Une fois l’incident terminé Le traitement préventif Le traitement post-incident Le traitement des incidents Le traitement des incidents
  • 68. Master G.P.I. -68- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Une fois l’incident terminé Le traitement préventif Le traitement post-incident Le traitement des incidents Le traitement des incidents
  • 69. Master G.P.I. -69- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents a ) Mise à jour des documentations : b ) Mise à jour des programmes P.S.S.I. de l’entreprise PCA, PRA en se basant sur l’expérience vécue. Déterminer, s’il y a lieu les failles dans les applications Procéder aux changements adéquats Faire un nouvel effort de formation et de sensibilisation. Une fois l’incident terminé Le traitement des incidents
  • 70. Master G.P.I. -70- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusion Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction
  • 71. Master G.P.I. -71- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Conclusion Plan de l’intervention Le traitement des incidents La cybercriminalité Introduction
  • 72. Master G.P.I. -72- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Prise en compte de la SSI dès l’élaboration d’un concept. Travail en bonne intelligence avec les parties prenantes Gain de temps pour la conception Si l’incident ne peut être évité, ses effets seront minimisés. Services informatiques Utilisateur LAMBDA Services connexes ( gestions des autres bases interconnectées ) Projet plus abouti, plus facile à défendre, et ne laissant aucune part au hasard. Gain pour le chef de projet et l’entreprise. Réaction facilité à la survenance d’un incident La sécurité des systèmes d’Information Conclusion
  • 73. Master G.P.I. -73- jeudi 19 octobre 2023 Cybercriminalité et traitements des incidents Questions / Réponses Remise de documents