Matinée 01 Sécurité

download Matinée 01 Sécurité

of 73

  • date post

    26-Dec-2014
  • Category

    Documents

  • view

    654
  • download

    1

Embed Size (px)

description

 

Transcript of Matinée 01 Sécurité

  • 1. le Mardi 03 avril, 2012Matine 01 ScuritJusquici tout va bien
  • 2. 9h00 09h20 - OUVERTUREAu nom de la loi : responsabilit juridique etconformit du SIparOlivier Itanu, Avocat la cour
  • 3. Au nom de la LoiResponsabilit juridique et conformit du SI Paris, Mardi 3 Avril 2012 Matine 01 Scurit Par Matre Olivier Iteanu, Avocat
  • 4. Lentreprise entre le marteau et lenclumeOuverture des systmesdinformation Respect de lintimit Flux entrant et sortant de la vie prive des (pratiques nouvelles chartes et cybersurveillance) collaborateurs enNomadisme entreprise Chartes rglementation de lusage en entreprise Respect desDonnes externalises (Cloud, dispositions de la Loirseau social) Le choix du prestataire informatique et Le contrat (localisation des liberts donnes, SLA, rversiblit etc. ) Les contingences du droit de la preuve
  • 5. Illustration des volutionsDeux exemples Exemple 1 - Victime mais responsable Lobligation de notification dune faille de scurit Exemple 2 - Les services de renseignement sintressent galement vos donnes Le cas de lUSA Patriot Act
  • 6. Lordonnance du 24 aot 2011 A valeur de Loi Transposition du 2nd Paquet Tlcom de 2008 Directive 2002/58 du 12 Juillet 2002 vie prive et communications lectroniques Lorsquil existe un risque particulier de violation de la scurit du rseau, le fournisseur () informe les abonns de ce risque Directive 2009/136/EC du 25 Novembre 2009 du Parlement europeen Introduit la notion de violation de donnes caractre personnel (art. 2 c) 3) et violations intervenant dans le secteur des communications lectroniques ( considrant 59) Existe aux USA depuis 2002 [California Security Breach Notification Act dsormais dans 40 Etats] Matine 01 Scurit ITEANU AVOCATS 6
  • 7. La mise en uvre, qui, quoi ? traitements mis en uvre Limit aux oprateurs ou dans le cadre de la fourniture au tous ? public de services de Le terme oprateur dfini larticle communications lectroniques L 32 15(Chap. Ier Dfinitions) On entend par oprateur toute personne () exploitant un sur les rseaux rseau de communications lectroniques ouvert au public ou fournissant au public un service de communications lectroniques Communiqu CNIL Seuls les fournisseurs () cest--dire essentiellement les oprateurs dclars lARCEP Directive 2009 les violations intervenant dans le secteur des CE (considrant 59) Cration de lart. 34 Bis dans la Loi Informatique et Liberts de 1978 Le sens de lhistoire Toute violation de la scurit entranant accidentellement ou Violation et pas simple risque ni tentative de manire illicite une violation des donnes caractre Plus que la faille ? personnel Matine 01 Scurit ITEANU AVOCATS
  • 8. Comment ? le fournisseur avertit, sans Avertir ou notifier (Lettre recommande) ?dlai, la CNIL Sans dlai [ds connaissance] Lorsque cette violation peut Quen pense la Police ?porter atteinte aux donnes Contenu de la notification() dun abonn ou dune Description de la faille ?autre personne physique , le Moyens dy remdier OUIfournisseur avertit galement, Notification aux Clients et aux autressans dlai, lintress Exception la notification: art. 34 Bis IITenir un registre des violations avant dernier les donnes incomprhensibles - promotion de la() notamment de leurs modalits, cryptologiede leur effet et des mesures prisespour y remdier et le conserve ladisposition de la CNIL Matine 01 Scurit ITEANU AVOCATS
  • 9. Les sanctions la double peine Ne pas procder la notification 5 ans demprisonnement et 300K damende (art. 226-17-1 du Code Pnal) Mise en demeure de la Cnil et les sanctions associes (article 34Bis II dernier ) Sanctions pcuniaires (jusqu 150K ou 300K) Publicit Matine 01 Scurit ITEANU AVOCATS
  • 10. LUSA Patriot Act (Oct. 2001) en actionsPermet au directeur du FBI ou un de ses dlgus, de solliciter dunjuge lautorisation (order)De demander laccs any tangible things (including books, records,papers, documents, and other items Dfinition trs large : en pratique TOUT Dans le cadre dune enqute relative des activits de terrorisme international, ou des activits despionnage Le juge tenu ? Concernant toute personne trangre, ou tout citoyen amricain sauf si ce dernier exerce une activit protge par le 1er amendement de la constitution des USA (donc une activit lie lexercice de la libert de religion et dexpression, la libert de la presse ou le droit s assembler pacifiquement ) Dans le secret Lautorisation dlivre (order) ne divulgue pas lobjet de lenqute, et simpose tout dtenteur des informations recherches Il est interdit au dtenteur des informations de divulguer quiconque quil a t sollicit Le dtenteur des informations est lgalement protg par la loi amricaine et nest pas responsable lgard des tiers des consquences de cette divulgation Pas de recours aux US contre la personne divulguant ces informations au FBI, quelles que soient ses obligations envers la personne qui les lui a confies
  • 11. Merci ! Olivier ITEANUAvocat la Cour d Appel de Paris contact@iteanu.com - www.iteanu.com blog.iteanu.com
  • 12. 09h20 10h00 - TABLE RONDELe SI de votre entreprise est-il vraiment bienprotg ?avecLonard Dahan, DG France Bnlux, StonesoftFabrice Pizzi, RSSI, Eiffage
  • 13. 10h00 10h20 - Parole dexpertEt si votre SI tait expos votre insu ?ParLaurent Boutet, CISSP, Expert Avant-Vente, Stonesoft
  • 14. Advanced EvasionTechniques (AET)ET SI VOTRE SI TAIT EXPOS VOTRE INSU
  • 15. Advanced Evasion Techniques (AET) Quest-ce que cest? Toute technique dattaque rseau qui vise contourner les dispositifs de scurit et de dtection. Pourquoi avances? Combinaisons de contournements oprant en mme temps sur de multiples couches de protocole Combinaisons qui peuvent changer pendant une attaque Conue pour chapper la dtection Typiquement, les AET sont utilises dans lexcution des Advanced Persistent Threats (APT) APT = motivation
  • 16. LA VERITEUNE DECOUVERTE AU GOUT AMER Les chercheurs europens de Stonesoft ont dcouvert des millions de mthodes pour contourner les solutions les plus volues de scurit rseau sans laisser ni traces ni alertes s