Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Cybercriminalité: menaces et parades
1. RÉUNION MENSUELLE
Mardi 17 novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Cybercriminalité:
menaces et parades
2. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2
Présentation des intervenants
• Christophe LEMILLE,
Chef de mission Audit IT, MACIF
• Fabrice NAFTALSKI,
Avocat associé, EY Société d’avocats
• Philippe HERVIAS,
Directeur, IS Audit, SANOFI
3. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°3
Déroulé
• Définition des termes et notions, état de la
menace
• Les aspects juridiques et réglementaires
• Les lignes de défense et l’Audit
4. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°4
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Christophe LEMILLE,
Chef de mission Audit IT,
MACIF
5. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°5
Définition
• Définition de la cybercriminalité (1) :
« Toutes infractions pénales tentées ou commises à
l’encontre ou au moyen d’un système d’information et
de communication, principalement Internet. »
• Spécificités d’une cyber attaque (2):
– Invisible, ou difficile à identifier
– Étendue difficile à évaluer
– Expertises et compétences techniques multiples
Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014)
(2) Rapport CIGREF-INHESJ - Cellule de crise – 2015
6. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°6
Exemples de cyber
menaces
• Porte dérobée (backdoor)
• Attaque par force brute (brute force)
• Dépassement de mémoire tampon (buffer overflow)
• Injection de codes indirecte (XSS) et injection SQL
• Déni de service (DoS)
• Attaque de l’homme du milieu (MiTM)
• Hameçonnage et harponnage (phishing)
• Usurpation (spoofing)
• Attaque jour zéro (zero day exploit)
• Menaces avancées persistantes (APT)
Source : ISACA, Cybersecurity fundamentals study guide - 2015
7. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°7
Les acteurs de cyber
menaces
• Cyber criminels de droit commun:
ØDélinquants sexuels
ØCyber violents
ØCyber escrocs
• Cyber criminels visant les entités étatiques et les
opérateurs d’importance vitale (OIV)
ØCyber mercenaires
ØCyber espions
ØCyber terroristes
Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)
8. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°8
Les acteurs de cyber menaces
Agent de Menace Motivation Compétence Technologie Expertise
Utilisation
d'outils
Script Kiddies
Intérêt
personnel
Faible Faible Faible Sans
Hackers
Intérêt
personnel
Faible Faible Faible Sans
Employés
Intérêt
personnel
Faible Faible Faible Sans
Cyber espions
d'états
Avantage
concurrentiel
Forte Forte Forte Avec
Cyber espions
d'entreprises
Avantage
concurrentiel
Forte Forte Forte Avec
Hacktivistes Sociale Forte Forte Forte Avec
Cyber terroristes Idéologique Forte Forte Forte Avec
Cyber criminels Profit Forte Forte Forte Avec
Cyber guerriers Identitaire Forte Forte Forte Avec
Source : ISACA : Cybersecurity Fundamentals Study Guide 2015
9. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°9
Evolutions des cyber
menaces
• Augmentation mondiale 2014 / 2013 (1) :
– En nombre : + 120%
– En coût pour les entreprises : + 10%
• Evénements marquants de 2014 (2)
– Des attaques plus fréquentes
– Des attaques plus sophistiquées
– Des attaques visant la cryptographie
– Cyber espionnage
– Des escroqueries plus nombreuses
• Un risque de cyber intrusions en hausse
– Deep Web et Darknets
Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015
(2) CERT-IST Bilan 2014 des failles et attaques – mars 2015
11. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°11
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Fabrice NAFTALSKI,
Avocat associé,
EY Société d’avocats
13. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°13
Cadre légal de la
cybercriminalité
• Un cadre légal relativement riche en termes d’infractions de cybercriminalité
• Les principaux textes* sont :
– Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et
Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loi
protégeant les données à caractère personnel (cf. partie 3)
– Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loi
sanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitement
automatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015-
912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition des
infractions et qui aggrave les peines d’amende
– Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019
et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmation
militaire » :
• Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001
sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France par
une loi du 19 mai 2005.
– 3 objectifs :
• Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique,
atteinte à l’intégrité du système…)
• Adaptation des législations nationales au niveau de la procédure pénale appliquée à la
cybercriminalité
• Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire
• * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, le
dispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …
14. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°14
II – Les obligations applicables à
toutes les entreprises
15. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°15
La protection du
savoir-faire
• Protection du savoir faire
– Définition du savoir-faire:
► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est :
► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible
► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et
► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il
remplit les conditions de secret et de substantialité. »
Règlement Européen no 316/2014 du 21 mars 2014
– Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiques
contractuelles, techniques et organisationnelles
– Savoir-faire et droit de la concurrence :
• Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des
informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligations
réciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commission
européenne COMP/M.2830 du 25 octobre 2002 GF-X)
– Secret de fabrique
• L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du
travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’un
secret de fabrique.
• La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénale
n’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractère
industriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabrique
demeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprise
titulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considérées
comme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule une
personne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle
16. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°16
Sécurité des traitements &
Notification des failles de sécurité
• Protection des données personnelles et Loi Informatique
et Libertés :
– Obligation légale pénalement sanctionnée par la loi
Informatique et Libertés s’agissant des données
personnelles, le niveau de sécurité requis étant
proportionnellement plus exigeant en fonction de la
sensibilité du traitement (entendu comme atteinte à la
vie privée) ou de règles sectorielles (secret médical,
secret bancaire)
– Cette obligation va être renforcée par le futur règlement
sur la protection des données (infra)
17. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°17
Sécurité des traitements &
Notification des failles de sécurité
Cadre légal actuel Projet de règlement
► Obligation de sécurité incombant au responsable de
traitement:
► Mettre en place des mesures appropriées de
sécurité et de confidentialité contre:
► L’accès et la communication non autorisés
► La destructionet la perte accidentellesou
illicites
► L’altération des données
► Toute autre forme de traitement irrégulier
► Mettre en place des mesures de sécurité
physique et logique par exemple:
► Accès réservés aux personnes ayant vocation
à y avoir accès au regard des missions
confiées
► Accès aux données via login/mot de passe
► Mesures de cryptage
► Accord de confidentialité
► Etc.
► Obligation de sécurité incombant à la fois au
responsable de traitement et au sous-traitant:
► Le responsable de traitement et le sous
traitant doivent prendre de mesures
techniques et organisationnelles appropriées:
► A la suite d’une évaluation des risques
► En fonction des techniquesles plus récentes
► En fonction des coûts liés à leur mise en œuvre;
► Au regard des risques présentéspar le traitement
► En fonction de la nature des données à protéger
► Obligation de sécurité renforcée en cas traitement de
données sensibles
► Possibilité pour l’autorité locale de contrôler si un sous
traitant respecte bien les obligations de sécurité qui lui
incombent
18. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°18
Sécurité des traitements &
Notification des failles de sécurité
Cadre légal actuel Projet de règlement
► Obligation de notifier les failles de sécurité à la
CNIL limitée aux fournisseurs d’accès responsable
de traitement;
Le fournisseur d’accès responsable de traitement est
dispensée de cette obligation si il prouve qu’il a mis en œuvre
des mesures appropriées pour rendre inintelligibleles
données personnelles concernées par la faille.
Ø Obligations de notification des failles de sécurité *des données
exposant les personnes concernées à un risque élevé au regard
de leur droits et libertés, étendue à tous les responsables de
traitement; la notification contiendra:
► Les catégories de données concernées
► Les conséquences de la violationde données
► Les mesures prises pour y remédier
► Obligation pour les sous-traitants d’alerter et d’informer le
responsable de traitement de l’existence d’une faille de
sécurité;
► Obligation pour le responsable de traitement d’alerter la
personne concernée de l’existence d’une faille de sécurité, si
cette faille porte atteinte :
► A La protection des données à caractère personnel;
► A La vie privée;
► Aux droits et aux intérêts légitimes de la personne concernée.
Cette communication n’est pas obligatoire:Si le responsable de
traitement prouve qu’il a bien mis en œuvre des mesures de
protection appropriées alors *Si elle risque d’entrainer des
mesures disproportionnéesSi elle risque de porter atteinte à un
intérêt public important»
*Modifications
du Conseil de
l’union
européenne
20. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°20
Notion d’OIV
• Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 et
suivants du Code de la défense
• Notion d’Opérateurs d’Importance Vitale (OIV) :
– Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont
l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité
ou la capacité de survie de la nation (Article L. 1332-1 Code de la défense)
– Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installation
nucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie de
certaines installations de ces établissements peut présenter un danger grave pour la population (Article L.
1332-2 Code de la défense)
• Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de la
défense)
• Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui
– Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des
besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement de
l'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sont
difficilement substituables ou remplaçables;
– Ou peuvent présenter un danger grave pour la population.
21. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°21
Obligations des OIV (articles R 1332-1 et
suivants du Code de la défense)
• Le Premier ministre fixe les règles de sécurité nécessaires à la protection des
systèmes d’information de ces entités
• Coopération avec les institutions gouvernementales :
– Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant
la politique générale de protection des établissements, ouvrages ou installations, notamment
ceux organisés en réseau
– Obligation de conclure une convention avec le service de l’Etat ou le prestataire de service
chargé d’exploiter les systèmes de détection
– Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmes
d’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ont
connaissance, et de répondre aux demandes d’information de l’ANSSI
– Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et se
soumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier le
niveau de sécurité et le respect des règles de sécurité
22. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°22
La proposition de directive européenne et
les obligations des opérateurs
d’infrastructures essentielles
• Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union,
amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’un
niveau de sécurité minimum
• Opérateurs concernés :
– Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales
dans une liste de secteurs déterminés
– Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux
sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont été
supprimés de la version amendée
– Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2
millions d’euros) → définition plus restreinte que celle française
• Secteurs considérés comme « essentiels » :
– Energie,
– Transports,
– Services bancaires
– Infrastructures de marché financiers
– Soins de santé
23. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°23
La proposition de directive européenne et
les obligations des opérateurs
d’infrastructures essentielles
• Obligations similaires à la Loi de programmation militaire française :
– Obligation de fournir à l’autorité compétente les informations nécessaires à
l’évaluation de la mise en œuvre effective des politiques de sécurité, notamment
par un audit de sécurité
– Obligation de prendre les mesures techniques et organisationnelles nécessaires
et proportionnées pour détecter et gérer efficacement les risques qui menacent
la sécurité des réseaux et systèmes informatiques
– Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un
« impact significatif » sur la sécurité des services essentiels. Possibilité
d’informer le public s’il est dans l’intérêt général de divulguer les informations
relatives à l’incident
• Actuellement, discussions en trilogue :
– Un accord entre le Parlement et le Conseil a été trouvé sur les principes
essentiels du projet de directive le 29 juin 2015, au cours de la quatrième
réunion du trilogue
– Les négociations continuent au second semestre 2015
24. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°24
Quelques mots de
conclusion
• Le droit comparé ?
• La cybersurveillance au regard des
libertés fondamentales ?
• Quelques mots sur la loi relative au
renseignement de Juillet 2015
25. RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Philippe HERVIAS,
Directeur, IS Audit
SANOFI
26. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°26
AGENDA
1. Un modèle de chaine de gestion des risques
a. Vue d’ensemble
b. Rôles et responsabilités des opérationnels SI
c. Les leviers d’action de l’Audit Interne
2. Les contrôles classiques de sécurité SI
3. Les contrôles spécifiques à la cyber sécurité
4. La couverture du cyber risque
5. Conclusion
27. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°27
Un modèle de chaine de gestion
des risques - vue d’ensemble
As defined by the European Confederation of Institutes of Internal Auditing
*
*
28. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°28
Un modèle de chaine de gestion
des risques – Opérationnels SI
• Première ligne de maîtrise
– Mise en œuvre et exploitation des dispositifs
techniques (de protection, de détection,
paramétrage systèmes, documentation…)
• Deuxième ligne de maîtrise
– Politiques d’usage et de mise en œuvre (prise
en compte des lois et réglementations,
référentiel de contrôle interne…)
– Suivi de la mise en œuvre et du maintien des
préconisations par les opérationnels
29. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°29
Un modèle de chaine de gestion
des risques – l’Audit Interne
• Analyse et hiérarchisation des risques
• Analyse de la pertinence et du niveau de
maturité des premières lignes
• Contrôle du design et de la mise en œuvre
des processus et des solutions
– Cadre de contrôle interne + référentiel Audit
– Tests substantifs de robustesse
• Evaluation des schémas organisationnels
30. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°30
Les contrôles classiques
de sécurité SI
• Fondamentaux TI
– durcissement, correctifs, journaux d’activité…
– antivirus, chiffrement…
• Gestion des accès au SI
– gestion des comptes, habilitation, droits
d’accès, authentification…
• Protection périmétrique et réseau
– firewalls
– IDS
31. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°31
Les contrôles spécifiques
à la cyber sécurité
• Moyens de détection (SIEM…)
– exploitation des journaux d’activité système
– exploitation des évènements révélés par les
équipements de protection (FW/ IDS)
– mise en corrélation des événements collectés
• Moyens de réaction
– organisation
– procédures
32. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°32
La couverture du cyber
risque
• Limites de ces contrôles
– ressources affectées aux moyens de protection
sous contrainte (limites budgetaires)
– capacité incertaine de contention d’une cyber
attaque ciblée et déterminée menée par des
acteurs puissants (organisations terroriste ou d’état)
• Moyens complémentaires
– souscrire une assurance en couverture du
risque financier de perte potentielle d’actifs
matériels et immatériels
33. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°33
Pour conclure
• Niveau d’assurance limité pour les
directions générales
• Nécessité d’une première ligne
opérationnelle sécurité SI efficace
• Besoin d’une deuxième ligne pertinente et
robuste en sécurité des SI
• Une organisation Audit Interne adaptée et
plurielle (experts sécurité SI, généralistes,
spécialistes du SI ou de la Fraude)
34. Questions / Réponses
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors