Cybersécurité et rgpd

http://www.personalinteractor.eu
Sécurité des
données, sécurité des
systèmes
Les règles de base de l’hygiène informatique
Dominique VERDEJO
Personal Interactor
1

L’OBJECTIF :
TOUJOURS PRÉCÉDER
LA PROGRESSION DE
LA MENACE
“No battle was ever won according to plan, but
no battle was ever won without one.”
–Dwight D. Eisenhower (1890-1969)
● Président des Etats Unis (1953 - 1961)
● Chef d’Etat Major des Armées (1945 - 1948)
● Planificateur de l’opération OVERLORD
6/6/44
● Chef de l’OTAN en 1950
● Compagnon de la libération
■ Plus le 6 juin 2044* à Colleville sur
mer 2

Sommaire
La sécurité, un état d’esprit
La menace
La réponse
Le RGPD et le CLOUD ACT
Références bibliographiques
Biographie
Page 3

La sécurité: un état d’esprit
Page 4
Disponibiité
pour les autresIntégrité
pour soi
Confidentialité
pour tous

Sécurité Globale
• Définition de l’INHESJ en 2003 :
– Capacité d’assurer à une collectivité donnée et à ses
membres un niveau suffisant de prévention et de
protection contre les risques et les menaces de toutes
natures et de tous impacts, d’où qu’ils viennent, dans
des conditions qui favorisent le développement sans
rupture de la vie et des activités collectives et
individuelles
• Cette définition recouvre de fait :
– sécurité économique,
– sécurité sanitaire,
– sécurité informatique et numérique (données,
réseaux…),
– sécurité du territoire, aérienne et maritime,
– sécurité civile…
Page 5

LA MENACE
Au fur et à mesure que l’Internet s’immisce dans notre quotidien,
les impacts sur le monde physique “traditionnel” apparaissent plus
clairement, atteintes à la réputation, extorsions de fond, altération
de l’intégrité des personnes et des biens.
Cybernétique, du grec ancien κυβερνητικός, kybernêtikós («
relatif au pilotage, au gouvernement »)
Page 6

Etat des menaces en France
• Le Livre blanc sur la défense et la sécurité
nationale a défini en 2013 les nouvelles
vulnérabilités qui pèsent sur le territoire national
et sur la population.
• La France et par extension l’Europe doivent ainsi
se préparer à faire face :
– au terrorisme
– aux attaques majeures contre les systèmes
d’information
– à l’espionnage et aux stratégies d’influence
– aux grands trafics criminels
– aux nouveaux risques sanitaires et naturels
– à des risques technologiques accrus
– à la menace de missiles balistiques
Page 7

Le terrorisme
Le terrorisme est la guerre qui s’invite dans les
frontières des pays en paix sous deux formes
essentielles :
• Les menaces physiques
– Trans-nationales, mobiles, organisées
• Les menaces logiques, la cybercriminalité
– Atteinte aux systèmes d’information (Ministère des
Finances, MINAR, Estonie 2007)
– Atteinte aux systèmes d’exploitation (Centrales
Iraniennes, StuXnet)
– Atteinte aux systèmes de sécurité physique
informatisés, contrôle d’accès, vidéo,etc.(Dahua 2017)
– Utilisation des objets connectés (Mirai 2016)
Page 8

Nous sommes en Cyberguerre
Les attaques sur les systèmes d’information
relèvent de la préparation du conflit
Le directeur de l'Anssi, le gendarme français de la
sécurité informatique, Guillaume Poupard,
redoute une "succession d'attaques massives
surprises", estimant que tous les éléments
techniques sont réunis pour un "cyber-Pearl
Harbor"
La France se dote de capacités offensives
dans le domaine Cyber
« Fin 2017, des connexions anormales sur le
serveur de la messagerie internet du ministrère
des Armées ont été constatées. Ces connexions ont
révélé qu’un attaquant cherchait à accéder
directement au contenu de boites mails de 19
cadres du ministrère parmi elles, celles de
quelques personnalités sensibles. Sans notre
vigilance, c’est toute notre chaî ne d’alimentation
en carburant de la Marine nationale qui aurait été
exposée. Cette tentative d’attaque a duré jusqu’en
avril 2018.”
Page 9

Les croyances
• L’univers “Cyber” est dématérialisé
– En tant que moyen de contrôle à distance, l’Internet permet
d’actionner des objets physiques ou de les rendre
inopérants.
• Une attaque est toujours isolée et ponctuelle
– En tant que moyen de renseignement, l’Internet permet de
s’informer sur les personnes, les biens, les organisations.
Les attaques les plus dangeureuses passent inaperçues et
sont persistantes (Advanced Persistant Threats, APT)
• Les attaques cyber sont très techniques
– En tant que moyen de communication, l’Internet est devenu
le principal media d’influence pour véhiculer vrais et fausses
nouvelles et attaquer la réputation des personnes et des
institutions
• La protection des données ne concerne que les données
informatiques
– Le support des fichiers est multiple: papier, informatique,
microfilms, photos, vidéo
Page 10

Menaces sur les particuliers
• Cibles
– PC
– Smartphone
– Objets de proximité (Personal Area Network, PAN)
– Les objets connectés (IoT)
• Source de menaces
– pirates, malveillance commune
• Menaces
– vol de données personnelles et/ou sensibles
– Usurpation de moyens de paiement
– chantage et extorsion de fonds (email)
– destruction de données
– usurpation d’identité
– attaque en réputation
– dommages physiques (pace maker) et utilisation
abusive Page 11

Menaces sur l‘Entreprise
• Détournement de fonds (Président)
• Extorsion de fonds (Wannacry, Petya)
– 220 millions d’€ de pertes de CA pour St Gobain
• Vols de brevets
• Atteinte aux moyens de production
• Destruction des données (Not Petya)
• Vols des données clients et fournisseurs
– Brèches sur très grands collecteurs de données
• Amendes de non conformité*
• Atteinte aux systèmes d’information (DDoS)
• Exploitation abusive des serveurs (Minage)
50% des entreprises françaises touchées en
2017! Page 12

Impacts financiers des
cyberattaques sur les entreprises
Page 13
Source : Download the Allianz Risk Barometer 2019 report

Menaces sur les Opérateurs
d’Infrastructure Vitale (OIV)
• Les cibles
– Administrations, Armées, Justice, Recherche &
Espace
– Santé, gestion de l’eau et de l’alimentation
– Energie, communications, transports, finance,
industrie
• Les menaces
– Atteinte au potentiel de guerre économique, de
sécurité ou de survie de la nation
– Atteinte à la santé ou à la survie de la population
Page 14

LA REPONSE
Anticiper, réagir
Page 15
Protection des systèmes
Protection des données
Protection des
données à caractère
personnel

Protection des systèmes

L’Agence Européenne pour la
sécurité des réseaux et de
l’information (ENISA,2004-)
Promouvoir la culture NIS (Network & Information
Security) en Europe
Page 17
https://etl.enisa.europa.eu/#
/

L’Agence Nationale pour la
Sécurité des Systèmes
d’Information (ANSSI, 2009-)
– Défense du secret national, des infrastructures
d’importance vitale, du potentiel scientifique et
technique de la nation (LPM)
– Opérateurs de Services Essentiels et Fournisseurs de
Services Numériques (Directive NIS)
Page 18
source images : wavestone

Sensibilisation par la formation
L’ANSSI propose aussi des quiz de formation aux
concepts de la sécurité des sytèmes d’information
Page 19
https://secnumacademie.gouv.fr/

La loi de programmation militaire
2019-2025
• Moyens accrus pour le renseignement et la lutte
dans le Cyberespace
– 1,6 milliard d’euros consacrés à la lutte dans le
cyberespace
– 1 000 cyber combattants supplémentaires d’ici 2025
(4000 en tout)
– renforce les capacités des armées en matière de
prévention, de détection et d’attribution des
cyberattaques
– instaure un système de détection recourant à des
marqueurs techniques à seules fins de détecter des
événements susceptibles d’affecter la sécurité des
systèmes d’information
Page 20

Le centre des opérations cyber
• La tour de contrôle Cyber est le CSIRT
(Computer Security Incident Response Team)
– Prévenir les attaques (surveillance réseau) et
communication
– Centraliser les demandes d’assistance et les analyses
– Réagir, corréler, traiter
– Coordonner les échanges avec les autres CSIRT
• Le CSIRT de l’ANSSI est le CERTA
• Le réseau EU des CSIRT est géré par l’ENISA
Page 21
https://www.cert.ssi.gouv.fr

Protection des particuliers,
entreprises et collectivités
• Cybermalveillance : pour ceux qui n'ont pas
accès à l’ ANSSI
• Création le 30 mai 2017
Page 22

Cybermalveillance.gouv.fr
Page 23
https://stopransomware.fr/ https://internet-signalement.gouv.fr

Réponses individuelles: en résumé
• Maintenir ses logiciels et OS à jour
• Etre attentifs aux liens que l’on suit avant de
cliquer dans le corps d’un email
• Soigner le choix et la protection de ses
identifiants et mots de passe
• Utiliser l’authentification à deux facteurs
• Vérifier régulièrement si l’on n’est pas victime
d’une brèche (https://haveibeenpawned.com)
Page 24

Protection des données
personnelles
« L’anonymat au sein de l’espace public dans l’avenir tendra à disparaitre si l’individu est
confronté à la fois à la biométrie banalisée, fonctionnant à la volée, à la vidéosurveillance
et à la géolocalisation. »
Pierre Piazza, Maître de conférences en sciences politiques à l’université de Cergy-Pontoise, Cahiers
Innovation et Prospective N°1, Vie privée à l’horizon 2020, CNIL

Le RGPD
• Paru au journal officiel de l’UE le 27 avril 2016
• Entré en action le 25 mai 2018, à l’échelle EU
• Prolonge la loi Informatique et Liberté de 1978
sans la remplacer
• Il inverse la logique de “déclaration des fichiers”
en obligation de protection des fichiers et de
mise en conformité
• Responsabilise le propriétaire des données et
ses sous-traitants (fini la directive 95/46/CE)
Donne de nouveaux droits aux personnes
• Consacre l’entrée dans l’age de la “République
numérique”
Page 26

Les deux piliers du RGPD
Page 27
Principes sur les
traitements
Licéité, Loyauté,
transparence, finalité,
proportionnalité des
données, conservation
Sécurité des données
Responsabilité
Droits des personnes
Information/Communication
Accès
Rectification/Effacement
Opposition
Limitation du traitement
Portabilité
Principes de
confidentialité
Privacy by design
Privacy by default
Privacy Impact
Assessment
MESURES DE SECURITE
Protection des données à caractère personnel contre
Accès illégitime,
Modification non désirée,
Perte temporaire ou définitive
JURIDIQUE
TECHNIQUE

Le RGPD
Page 28

Le RGPD en pratique
• Constituez le registre de vos traitements de
données
– cartographie des traitements de toutes natures
• Cartographiez et triez vos données
– cartographie des données personnelles de toutes
natures
• Respectez les droits des personnes (nouveaux et
anciens)
– Information, accès, rectification/effacement,
– opposition,Limitation, portabilité
• Sécurisez vos données
Page 29

Le RGPD pour les collectivités
locales
• Plus de dématérialisation, plus de données à
caractère personnel
– gestion interne des services
– fichiers de personnels
– fichiers d’administrés (aides, élections, associations,
téléservices)
• Des données parfois sensibles
– caractère ethnique, religieux,philosophique, syndical,
social
“nul administré ne pourrait concevoir que la puissance
publique protège moins ses droits que telle ou telle entreprise
privée”
Page 30

Le RGPD et les documents papier
• Les données à caractère personnel sur papier
doivent être traitées comme les DCP numériques
– cartographiées soigneusement
– conservées pendant un temps limité
– obtenues avec un consentement démontrable
– proportionnées au traitement
– protégées (sécurité physique)
– tracées (quand et comment les DCP onté été
recueillies)
– accessibles (délai d’un mois pour les produire)
– détruites si elles sont obsolètes
• Elles font l’objet des mêmes obligations de
déclaration à la CNIL en cas de vol ou de perte
– 72H
Page 31

CLOUD Act US vs RGPD, un
échange de politesses
• Clarifying Lawful Overseas Use of Data (Clarifier
l’utilisation légale des données à l’étranger)
• Voté par le congrés US 2 mois avant l’entrée en
vigueur du RGPD
• Fait suite au PATRIOT ACT de GW Bush, post
2001
• Accès aux données personnelles de tout citoyen
quelquesoit sa nationalité, du moment qu’elles
sont stockées sur un serveur appartenant à une
société US
– En particulier, les GAFAM
Conseil : trouvez un hébergeur EU pour vos DCP
Page 32

Conclusion
• Le bon sens prévaut en matière de sécurité
• Deux précautions valent mieux qu’une pour
protéger vos données (authentification à deux
facteurs, vérifier avant de payer)
• L’humain est le maillon faible et doit être
sensibilisé
• La sécurité est globale où elle n’est pas
• Les objets connectés sont des sources de
menaces
• Les entreprises et collectivités doivent se
responsabiliser et se protéger
– cyber aujourd’hui, physique demain
– Sur Internet tout se corrèle
Page 33

Références
• Livres
– La Cyberguerre (Vuibert)
– RGPD, le comprendre et le mettre en oeuvre (Datapro)
• Standards
– ISO 27001
– ISO 31000
• Lois
– Informatique et libertés de 78
– Règlement Général pour la Protection des Données
– Loi de Programmation Militaire (LPM)
– Directive Européenne NIS
– Loi pour la Confiance dans l’Economie Numérique
Page 34

Bibliographie
• ANSSI, 42 règles d’hygiène informatique
• AFNOR, Guide de protection des données personnelles
• Guide pratique RGPD PME CNIL & BPI
• http://www.anssi.gouv.fr
• http://www.cybermalveillance.gouv.fr
• http://enisa.europa.eu
• La loi n° 2018-133 du 26 février 2018 qui présente les mesures de
transposition de la directive NIS dans la législation nationale
• La loi pour la confiance dans l’économie numérique (LCEN) du 21
juin 2004
• La lois de programmation militaire 2014-2019
• Kit de sensibilisation Cybermalveillance
• https://stopransomware.fr
• https://internet-signalement.gouv.fr
Page 35

Biographie
• Titulaire d’un DEA en Intelligence Artificielle de l’Université
d’Orsay, début de carrière dans le développement logiciel au sein
de la division simulateurs de THALES en 1985.
• Depuis 2000 spécialisé dans l’architecture et l’intégration de
systèmes de sécurité et de vidéosurveillance.
• Architecte du premier système de vidéosurveillance urbaine sur
IP/sDSL à Epinay sur Seine en 2004.
• Auditeur de la 21ème Session Nationale de l’INHESJ (2010)
• membre du Syndicat du Conseil en Sûreté
• Membre du réseau Cybermalveillance
• Etude, audit, homologations sur tous les projets de systèmes
d’information pour la sécurité globale
• Contact:
– +33 6 08 57 92 20
– dominique.verdejo@personalinteractor.eu
Page 36

Cybersécurité et rgpd

Contenu connexe

Tendances

Similaire à Cybersécurité et rgpd

Plus de Personal Interactor

Cybersécurité et rgpd