RESTITUTION D’EVENEMENT...et les questions clés posées par les cyber-menaces : Le cyberespace...

Co-organisé avec En partenariat avec

1 Évènement sponsorisé par

RESTITUTION D’EVENEMENT

Carrefours des professionnels du numérique

Des cyber-menaces à la Cyber-sécurité : État des lieux en Nouvelle-Calédonie

Jeudi 28 mai 2015, de 8h00 à 12h00, à la Maison du Livre

L’ACTIC et l’Observatoire Numérique NC ont organisé, le jeudi 28 mai 2015, à la Maison du Livre, la

septième édition des ateliers-débats intitulés « Les Carrefours des professionnels du numérique ». Ce

rendez-vous a pour objectif de favoriser les échanges autour d’axes de travail communs afin d’initier

des dynamiques dans les domaines des technologies de l’information et de la communication et du

multimédia. Cette septième édition a réuni à nouveau plus d’une soixantaine de professionnels : d’un

côté, les usagers (professionnels informatiques jusqu’au grand public), de l’autre, les experts et

représentants des organismes de cyber sécurité du territoire.

Ce cycle de rendez-vous, destiné aux professionnels du numérique, a pour objectif de favoriser les

échanges autour d’axes de travail communs dans les domaines des technologies de l’information et de la

communication mais aussi du multimédia



Mot d’ouverture du 7ème

carrefour des professionnels du

numérique

Marie-Noelle LOPEZ - Présidente de

l’Observatoire Numérique NC

Bonjour et bienvenue à tous, Je suis heureuse d’introduire ce 7ème Carrefour des professionnels du numérique organisé par l’Observatoire Numérique NC en partenariat avec l’ACTIC et la maison du livre. Cette édition a pour thème « Des cyber-menaces à la Cyber-sécurité : état des lieux en Nouvelle-Calédonie » avec 3 Objectifs clés :

En partant de l’idée des cyber-menaces, il s’agit ici de comprendre les risques liés aux télécommunications, à l’informatique et aux communications internet qui touchent directement les usagers (états, entreprises, individus) et qui évoluent sur des dimensions spatiotemporelles inédites.

L’objectif consiste ensuite à concevoir des pistes de solution en termes de

cyber-sécurité pour se prémunir des dangers.

Dernier objectif, il est important de comprendre où se situe la Nouvelle-Calédonie pour mesurer les menaces déjà existantes, celles à venir et pour mieux définir des solutions à mettre en place qui soient solides et non obsolètes.

Revenons rapidement sur la problématique et les questions clés posées par les cyber-menaces : Le cyberespace est un nouveau territoire, tout droit sorti de l’imagination de l’homme. Sans frontière, sans foi ni loi, ce territoire est aujourd’hui moteur à la fois de nouvelles innovation mais aussi de nouvelles menaces. Quelles sont ces nouvelles menaces et lesquelles touchent déjà la Nouvelle-Calédonie et ses usagers ? Quels sont les niveaux de risques pour les pays, les organisations, les entreprises ? Les nouvelles technologies sont aujourd’hui au cœur des enjeux géopolitiques, géostratégiques à la fois des nations, mais aussi des entreprises. Elles permettent aussi de donner davantage d’influence au grand public. Comment s’organise aujourd’hui les réseaux de télécommunications (câbles sous-marins, satellite, réseaux de transport terrestre fixe ou mobile) et quels sont les acteurs qui contrôlent ces réseaux, désormais stratégiques ? Quels sont les moyens de cyberdéfense/cyberattaque mis en place ? Quels sont les types de plans de prévention, d’action et de réparation définis par les organisations publiques et privés ? Est-ce que les institutions et les entreprises calédoniennes mettent en place des dispositifs de cyber-prévention, cyber-intervention, cyber-réparation ? Répondre à ces questions semble aujourd’hui incontournable pour mieux anticiper les risques et réduire les nuisances. Nous avons réuni ce matin 9 intervenants qui devraient répondre en partie à ces questions, avec trois fils directeurs :

Définir un panorama des cyber-menaces : enjeux et risques



Comprendre les mesures d’anticipation, de sensibilisation, de protection pour les grandes organisations

Comprendre les mesures de protection pour de plus petites organisations et les sanctions possibles

Bonne matinée à tous !

Denis LOCHE - Président de l’ACTIC

Bonjour et bienvenue à tous,

Nous voici réuni pour le septième carrefour des

professionnels du numérique, mais aussi le

premier d’une nouvelle formule.

Les carrefours professionnels organisés en 2013

et 2014 avaient pour double objectif la réalisation

et la transmission d’un livre blanc, et d’amorcer

la structuration d’une filière économique des

entreprises numériques.

A ce jour, ces deux objectifs ont bien été atteints

par l’ACTIC et L’Observatoire Numérique NC.

Le Livre Blanc 2.0 a été construit et remis

officiellement entre les mains de Mr

Thierry Cornaille à l’occasion de la clôture

du 4ème séminaire de l’Observatoire

Numérique NC, tenu le 19 novembre

2014.

La grappe des entreprises numériques

du territoire Think IT est à ce jour en

pleine constitution.

En 2015, la programmation de ces carrefours

répond à deux besoins :

Une attente forte de la part des

professionnels, comme l’atteste la

fréquentation en croissance continue à

ces évènements.

La nécessité d’ouvrir les sujets prégnants

sur l’environnement numérique local en

proposant un temps d’échanges

collaboratif et constructif.

Avec les présentations proposées aujourd’hui,

nous allons pouvoir poser un cadre commun sur

les cyber-menaces et leur impact local.

Cela nous permettra, comme à l’accoutumé en

sortie de ces carrefours, de voir éclore des

solutions et des actions concrètes ou a minima

des propositions de pistes en ce sens.

Merci de votre présence et bons échanges à

tous !

http://www.observatoire-numerique.nc/sites/default/files/pdf/publications/livre_blanc_2.0.pdf

https://www.youtube.com/watch?v=8kS5SW4Pv3o&index=15&list=PL3ppgAVhECf72dG8nmGD3z_-igxlYcAgK





ENJEUX & RISQUES DES CYBER-

MENACES ****************************************

Eric OLIVIER - Observatoire Numérique NC Indicateurs repères, et référentiels ****************************************

Il n’existe pas à ce jour d’étude officielle sur les cyber-menaces en Nouvelle-Calédonie. Pour mieux cerner les enjeux et les moyens à mettre en œuvre pour se préparer et se protéger, il est indispensable de disposer de définitions communes et réaliser un tour d’horizon des cyber-menaces recensées à ce jour sur et hors territoire.

Des cyber-menaces à la cyber-sécurité, premiers points de repères Allant de l’erreur à la malveillance volontaire, en termes de gravité, les cyber-menaces représentent l’ensemble des risques auxquels des cibles (individus, organisations privées ou publique, états) sont exposés dans le cyberespace. L’anticipation des cyber-menaces passe par la

cyber-sécurité, définie comme étant l’ensemble des outils (politiques, concepts de sécurité, mécanismes de sécurité, lignes directrices, méthodes de gestion des risques, actions,

formations, bonnes pratiques, garanties et technologies) mis en œuvre pour protéger et défendre les actifs des utilisateurs, les systèmes d’information et les données personnelles.

Quelle matrice des cyber-menaces pour la Nouvelle-Calédonie L’Observatoire Numérique NC propose de réfléchir à l’élaboration d’une matrice de risques des cyber-menaces en Nouvelle-Calédonie. Cette matrice :

liste les types de cyber-menaces,

distingue 3 niveaux de gravité : faible, moyen, fort,

selon 3 cibles différentes : individus, entreprises, états.

Certains risques peuvent concerner plusieurs cibles à la fois, et cumuler plusieurs niveaux de gravité.

« Cette matrice à vocation à être enrichie, complétée et actualisée par les professionnels,

investis sur le sujet des cyber-menaces en Nouvelle-Calédonie »

La matrice de risques des individus

La matrice de risques des entreprises



La matrice de risques des institutions

Sur le nouveau territoire du 21ème siècle, le cyberespace, les cyber-menaces ont des répercussions tout autant politiques, économiques, sociales et environnementales. La dangerosité des attaques se mesure par l’intention et le niveau technologique du cybercriminel. Un acteur bienveillant disposant d’un niveau technologique bas ne représente a priori pas un danger. A l’opposé, un usager malveillant, disposant de ressources technologiques élevées représente une menace forte.

Une question d’actualité Qu’il s’agisse d’arnaques en ligne, de piratage informatique, de cyber-harcèlement voir de cyber-terrorisme, l’actualité du début de l’année 2015 est fortement concernée par la cyber sécurité, à l’échelle des individus, des entreprises, et des pays du monde entier.

Un zoom sur la revue de presse du mois de mai 2015 raconte comment de nouvelles stratégies géopolitiques se mettent en place. De nouvelles exigences réglementaires européennes et françaises ont été définies en matière de cyber-

sécurité pour les Organismes d’Importance Vitale (OIV). Au même moment, la Chine et la Russie font pacte de cyber-sécurité. D’autres pays mal préparés, comme le Liban, sont désarmés face aux cyber-menaces. Les services d’espionnage canadiens sont débordés par les cyber-attaques.

« La prise de conscience des cyber-menaces est poussée par les envolées médiatiques. »

En Nouvelle-Calédonie, les cyber-menaces sont également visibles dans la presse : les fausses annonces en ligne, les attaques contre les serveurs des FAI. Début 2015, le caillou a constaté l’attaque des serveurs de France TV piratant le site de NC 1ère.

La CCI a organisé un rendez-vous de l’économie, le 23 avril 2015 sur le thème de « l’intelligence économique : entreprises, comment protéger vous vos informations ? », avec l’intervention remarquée d’un agent de la Direction Générale de la Sécurité Intérieure.

Cyber-attaques à l’échelle du monde Quelques chiffres En termes de cybercriminalité, les chiffres recensés par Kaspersky précisent que 6,2 milliards d’attaques malveillantes ont été bloquées par leurs solutions en 2013.



D’après PwC, 42,8 millions d’incidents ont été recensés en 2014, soit 120 000 par jour. D’après la même source, le budget moyen de la cyber sécurité à l’échelle mondiale est estimé à 4,1 millions $, représentant 3,8% du budget IT moyen. On observe cependant une diminution globale des investissements dans ce domaine de -4%, dans les secteurs suivants : aéronautique et défense (-25 %), technologies (-21%), automobile (-16 %), distribution & biens consommation (-15 %).

Les cyber-menaces sont en progression de +48% (Europe +41% ; Amérique du Nord +11% ; Asie-Pacifique +5%) induisant des coûts d’investissements annuels, évalués en moyenne, à 2,7 millions$ et 20 millions$ de pertes associées. D’après le rapport “2015 data breach investigations report” de Verizon, il y a eu 79 790 incidents de sécurité en 2014 parmi lesquels sont comptabilisés 2 122 piratages. Les données corrompues sont aussi une source de pertes financières. D’après le même rapport, 700 millions de données compromises qui ont été recensées sur 2014. La perte financière associée est estimée à 400 millions $.

Cartes en main ! Si l’on observe la carte des pays à l’origine des tentatives d’arnaques via Internet on note que 36% viennent des pays d’Asie. La Chine représente à elle seul 29%. Un autre tiers des tentatives (31%) proviennent du continent Africain. Le tiers restant vient des Etats-Unis (14%), de la Russie (7%) et du reste du monde pour les 10 derniers pourcents.

La comparaison des cartographies montre les pays à l’origine des cyber-attaques (carte bleue, 2012) et les pays victimes de cyber-espionnage

(carte rouge, 2013)

La carte « Opération Red October » représente les pays victimes de cyber espionnage et amène un éclairage sur les types de structures visées. On constate une prédominance forte de l’espionnage porté sur les structures diplomatiques. Si l’Australie, pays-continent isolé, recense uniquement l’espionnage de victimes inconnues, la Russie est, elle, victime d’espionnages plus lourds visant les organisations militaires, diplomatiques, nucléaires et de recherche.



A l’origine des actes malveillants et des cyber-attaques, on trouve les Etats-Unis en première place avec 23%. La Chine est en seconde position 9%. En Europe, les 2 pays les plus actifs sont l’Allemagne (6%) et le Royaume-Uni (5%). Enfin, pour le continent Sud-Américain, 4% de ces actes sont issu des terres brésiliennes. Les cyber attaques menées par les états sont en augmentation (+86%) sur des sujets concernant l’énergie, l’aéronautique, la défense. Les entreprises concurrentes sont également à l’origine des cyber-attaques (+ 64%).

Côté des entreprises, les cyber-attaques menées par des sociétés concurrentes ont augmentées de 64% en 2014.

Source : Verizon's 2013 RISK Data Breach Investigations Report

La typologie des victimes dépend du cœur de métier des organisations privées ou publiques qui un impact sur la sensibilité des données collectées, et la fréquence des risques encourus. En 2013 les grandes entreprises ont été les victimes les plus touchées avec 38% d’actes malveillants recensés. La seconde place de ce palmarès est occupée par les établissements financiers (37%).

Le marché de la cyber sécurité en France (source Pwc & Gartner)

Face à l’ampleur des risques encourus, et des pertes financières associées, les organisations mettent en œuvre des moyens de protections internes et/ou externes. En 2014, le budget moyen alloué par un organisme est de 4,1 millions $, soit une baisse de 4%, principalement causée par la diminution des enveloppes dédiées à l’aéronautique et la défense (-25%) ; les technologies (-21%) ; l’automobile (-16%) ou encore la distribution et les biens de consommation (-15%) Si ce budget moyen alloué ne représente que 3,8% du budget IT moyen, en 2012 le marché de la cyber-protection est estimé à 60 milliards $, avec un taux positif de croissance annuelle de 8 ,4%. Cela reste une exception dans le contexte économique actuel. En France, d’après l’ANSSI (2013) et MEITO (dec 2014), le marché de la cyber-sécurité implique 700 acteurs et représente 40 000 emplois.



Source Pierre Audoin Consultants (PAC) spécialiste des questions de cybersécurité

En Nouvelle-Calédonie

En l’absence d’étude spécifique, et de financement prévu à cet effet, l’Observatoire Numérique NC ne dispose que d’une seule source extérieure avec l’étude sur la confiance numérique menée par la Cellule EcoNum du gouvernement en 2012.

Source : Etude sur la confiance numérique 2012

Pour 75% des personnes interrogées lors de cette étude sur la confiance numérique menée par la Cellule EcoNum du gouvernement, il ressort un fort besoin d’informations, d’aide et d’accompagnement sur les moyens de se protéger sur Internet. L’Observatoire Numérique NC a extrait quelques indicateurs issus de ses propres études, menées entre 2011 et 2014 :

le baromètre numérique de 2011

l’étude jeune restituée en 2014

les tableaux de bord « Faits & Chiffres » produites avec le concours de l’OPT et la participation des FAI.

le journal des « demandes CNIL » tenu par l’association depuis 2014.

Le baromètre numérique permet de dresser un panorama des mesures de cyber-sécurité prises par les entreprises et administrations calédoniennes en 2011. Si la quasi-totalité des administrations dispose d’un logiciel de sécurité, il ressort, au niveau des entreprises, une faible part de moyens investis dans leur cyber-protection. Les patentés restent les plus fortement exposés aux cyber-menaces.

L’étude jeune (15-29 ans) permet de mettre en avant une prise de conscience forte des cyber-risques de la part des « digital natives ». Une grande partie d’entre eux ont déjà été victime

Marché de la cyber-sécurité dans le CA d’entreprises françaises en 2013

• Orangecyberdéfense: 66 M €

• Capgémini : 45 M€

• Bull : 25 M€

• SFR: 34 M€

• Thalès : 23 M€

• Atos : 20 M€



d’actes malveillants (surtout des virus). Plus inquiétant, 15% déclarent avoir été victime d’un détournement d’identité, 8% d’harcèlement et 7% d’arnaques en ligne. Lors de l’étude, tous les jeunes présents dans les groupes de discussion ont insisté sur la nécessité de protéger « les petits frères » des menaces du cyber-espace.

Source Etude Jeune 2014

Grâce aux indicateurs fournis par les Fournisseurs d’Accès à Internet (FAI) calédoniens, force est de constaté qu’au moins 1 mail sur 2 est malveillant. Près de 40 millions de mails sont acheminés chaque mois et autant sont bloqués par les FAI.

Source Fait & Chiffres N°3 Dans le journal « des demandes CNIL » tenu par l’Observatoire Numérique NC depuis 2014, les professionnels calédoniens sont préoccupés par de plus en plus de sujets tels que :

Source Observatoire Numérique NC 2014-2015 C’est le signe fort d’un besoin d’informations sur les réglementations applicables en Nouvelle-Calédonie pour assurer la protection des données personnelles. L’Observatoire Numérique NC redirige les demandes locales soit vers des juristes locaux compétents, soit directement vers la CNIL en France, car l’organisme nous a fait le privilège de désigner un référent. C’est le chef de service des affaires économiques de la direction de la conformité de la CNIL qui répond à toutes les demandes calédoniennes.

Pour aller plus loin... Mener des études pour savoir quels sont

les indicateurs et la cartographie des dangers et risques identifiés et supposés liés aux cyber-menaces/cybercriminalités en Nouvelle-Calédonie? Quels sont les enjeux géopolitiques, socioéconomiques?

Travailler avec les professionnels pour définir la matrice de risques et ses degrés de gravité à l’échelle de la Nouvelle-Calédonie.

Définir des mesures de précautions et de protection à mettre en place, en fonction des objectifs de cyber-sécurité nationale

Prévoir des plans de réponses et les actions concrètes pour anticiper, prévenir, intervenir et guérir ....

Impliquer les professionnels numériques dans les réflexions et les dispositifs de cyber-sécurité à l’échelle de la Nouvelle-Calédonie.



****************************************

Charles BIONDI - Association régionale des auditeurs de l’IHEDN* Panorama des cyber-menaces pour les états, les entreprises, les particuliers *IHEDN : Institut des Hautes Etudes de la Défense Nationale

****************************************

« Un beau matin les hommes découvriront avec surprise que des objets aimables et pacifiques ont acquis des propriétés offensives et meurtrières », source : Qiao Liang et Wang Xiangsui, La guerre hors limites Si l’accroche peut paraître brutale, elle reflète l’accélération incontrôlable du développement des technologiques numériques que nous vivons tous. Individus, entreprises et états : le monde moderne est désormais confronté à la réalité des cyber-menaces. Cette situation est liée à la conjugaison de l’explosion numérique et des enjeux géopolitiques.

Les usages numériques explosent depuis seulement 20 ans (1995-2015). L’informatisation des organisations, les équipements de plus en plus mobiles et personnels, la révolution des objets connectés, ou encore le cloud computing… Autant d’outils désormais intégrés dans la vie quotidienne et professionnelle, qui témoignent d’une course technologique effrénée.

Comment en 20 ans est-on passé du simple piratage informatique à des questions de cyber-

menaces géopolitiques à l’échelle internationale?

Les actualités récentes du piratage de TV5 monde ou du site internet du Bundestag allemand renforcent encore les inquiétudes. En Nouvelle-Calédonie, les derniers exemples en date sont le piratage (via du phishing) des sites internet de France télévision, dont Nouvelle-Calédonie 1ère, ou le site web des Nouvelles Calédoniennes attaqué par des activistes pro-palestiniens en 2014.

« Nous sommes en plein dans une guerre de l’information » précise Charles Biondi.

Un monde moderne préoccupé par des cyber-menaces La remise en cause d’un modèle mondial et de la domination occidentale a sonné. Au lendemain de la deuxième guerre mondiale et de la guerre froide, les règles du jeu géopolitique se définissaient par deux grands pôles est-ouest (bloc occidental/bloc soviétique). Les accords de Yalta répartissaient l’influence des deux grands blocs sur le reste du monde. Lla création d’institutions mondiales (Banque mondiale, FMI par exemple) donnaient la part belle au camp occidental, et tout particulièrement aux Etats-Unis. La vision stratégique occidentale, à la fois politique et économique, s’imposait alors de cette façon dans leur sphère d’influence. Après l’effondrement du mur de Berlin, en 1990, des organisations internationales (ex : OMC) imposant des règles uniques ont été mises en place notamment pour favoriser les échanges commerciaux, toujours sous domination occidentale et avec des prétentions d’hégémonie désormais mondiale. Un mouvement de contestation des pays en développement s’est alors fait ressentir, en commençant dans les BRIC, (Brésil, Russie, Inde, Chine). Ces pays ont cherché à casser les codes commerciaux, en définissant leurs propres règles. Dès lors, aucune règle économique unique n’a pu réellement s’appliquer.



Le monde est désormais régi par des forces multipolaires, effaçant le modèle mondial connu jusqu’ici sous influence occidentale. On assiste à la résurgence d’anciennes puissance comme la: Russie et à l’émergence de nouvelles forces en comme le Brésil, la Chine, l’Inde et l’Asie du sud-est notamment. Ce contexte géopolitique est étroitement lié aux stratégies des grandes entreprises. Pour rattraper leur retard, de nombreuses entreprises ont « copié » les savoir-faire et les technologies des occidentaux. Sans avoir à supporter les coûts de recherche et développement, et bénéficiant d’une main d’œuvre moins chère, les entreprises de ces pays deviennent ainsi plus compétitives et commencent par s’étendre dans leur sphère géographique d’influence, avant de partir à la conquête de nouveaux marchés avec de solides assises régionales et des couts cassés, en concurrence directe avec les produits des sociétés occidentales. On voit ainsi s’opérer une véritable guerre économique qui préoccupe fortement les nations. Les états agissent alors en support de leurs entreprises nationales, pour préserver leurs emplois et leur croissance.

Evolution des cyber-menaces 2000-2015

A partir du moment où Internet a permis de faire des transactions financières, la cybercriminalité s’est développée. Au départ, c’était l’apanage de quelques pirates chevronnés ou d’étudiants. Aujourd’hui, on a à faire à de réels experts du cyber-espionnage et des cyber-attaques. Selon les études, la première cyber-menace qui pèse sur les organisations est le vol d’informations (84%). Ensuite, ce sont les attaques virales. Les erreurs humaines sont toujours présentes et se rangent à la troisième position des cyber-menaces.

Le marché de la cyber-sécurité est un marché florissant. De nombreuses entreprises se professionnalisent dans le domaine, par exemple, pour vendre des systèmes d’écoute téléphonique, de piratage de compte Facebook...pour des services de police, de renseignement ou pour des sociétés privées.

Quelques chiffres •42,8 millions de cyber-attaques dans le monde en 2014 soit 1,35 attaque par seconde (PwC) •200% d’augmentation des actes de cyber-espionnage en 2014 (Rapport Verizon 2014) •25 % des entreprises européennes ont signalé un vol de données confidentielles en 2013 contre 18% en 2012 (CA Technologies) •78% des entreprises ont connu des coupures des applications critiques. 63% d’entre elles estiment que les pertes engendrées vont de quelques centaines de dollars à plus de 5 millions. (Unitrends) •Cybercriminalité : 7,6 millions de dollars par an et par entreprise en moyenne (Ponemon Institute) •190 milliards d’euros : valeur économique pillée par la cybercriminalité en 2013 (Conseil des Industries de Confiance et de Sécurité). •315 milliards d’euros : marché des données personnelles européennes (2012), 1 000 milliards en 2020 (Boston Consulting Group)

Quelles conséquences pour les Etats ? Devant l’ampleur du phénomène et des dangers associés, les états eux-mêmes se sont engagés dans des démarches de « cyberdéfense », afin de se protéger. Les états se sont également lancés dans des démarches de « cyber-renseignement », mettant en place à la fois des outils de lutte défensive et offensive. Les déclarations d’Edouard Snowden ont révélé que les Etats-Unis écoutent le reste du monde en permanence. Les entreprises américaines, Géants du web, sont effectivement liées par le Patriot Act ou le Cyber Act.



« Le cyberespace est désormais dénommé le

5ème champ de bataille. » Les états sont contraints de dédier davantage de ressources pour lutter contre les cyber-menaces. En France, on peut citer l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), les services institutionnels de la DGSI (Direction Générale de la Sécurité Intérieure), etc.

Des cyber-armes aux cyber-armées Les premières attaques observées ont permis d’identifier les premières « cyber-armes » (StuxNet, DuQu, Flame…), autre facteur déclenchant la prise de conscience des états, car touchant directement aux questions de défense et de sécurité nationale. Le virus StuxNet, considéré comme la première cyber-arme, visait à attaquer les centrales d’enrichissement d’uranium de l’Iran. Ce virus a été développé conjointement par les services américains et israéliens. DuQu, très proche de StuxNet dans sa structure de programmation, exploite une faille zero-day de MS.Word. Son objectif consiste à voler des informations. Dernier exemple : celui de Flame, lui aussi destiné à voler des données (dessins autocad, fichiers PDF, textes) à faire des écoutes (activation de micro à distance). Son objectif consistait à récupérer des données du programme nucléaire Iranien, ainsi que des données financières des pays arabes. Dès lors que la société Kaspersky l’a repéré, le programme a été autodétruit après 4 ans d’activité.

L’exemple français En France, les cyber-menaces deviennent un sujet de plus en plus géopolitique, en témoignent les rapports institutionnels sur le sujet. Voici une sélection de rapports qui illustrent les nouvelles préoccupations françaises depuis 2006.

•Le Rapport du député Pierre Lasbordes, « La Sécurité des Systèmes d’Information : un enjeu majeur pour la France », 2006

•Le cas STUXNET (2010) qui alerte les états sur la portée des cyber-menaces •Le Rapport du sénateur Jean-Marie Bockel, « La cyberdéfense : un enjeu mondial, une priorité nationale », 2012) •Le Livre Blanc sur la Défense et la Sécurité Nationale (2012) •Rapport APT1 de la société de sécurité Mandiant (2013) qui raconte comment une société chinoise a perpétré de nombreuses actions de piratage informatique. •Révélations d’Edward Snowden sur le programme PRISM (2013) •Loi de programmation militaire (2013) qui a introduit de nombreuses mesures de cyber-sécurité, telles que l’obligation pour les Organisations d’Importance Vitale (OIV) de déclarer les incidents auprès de l’ANSSI. •Rapport du député Jean-Jacques URVOAS, Evaluation du cadre juridique applicable aux services de renseignement, 2013 •Projet de loi sur le renseignement (2014, 2015)

L’exemple de la Nouvelle-Calédonie L’insularité calédonienne ne compte plus dans le cyberespace. La cartographie mondiale des câbles sous-marins montre cependant la vulnérabilité de la connectivité de la Nouvelle-Calédonie puisqu’un seul câble « Gondwana », posé depuis 2008, relie le pays à l’Internet mondial. Le territoire ne dispose pas d’autorité compétente dans le domaine des cyber-menaces. L’ANSSI n’a pas vocation à agir sur le territoire calédonien. Seules quelques ressources nationales, comme la gendarmerie (1 seul « cyber-gendarme ») ou la DGSI peuvent agir localement sur ces sujets.

« Au total, on compte encore trop peu de compétences locales avec peu de ressources pour

pallier aux cyber-menaces en Nouvelle-Calédonie. »

Des efforts doivent être consentis dans l’évaluation de risques (matrice de gravité), la mise en place d’indicateurs et la remontée des incidents centralisée. La Nouvelle-Calédonie, compétente en matière d’économie, est l’institution la plus légitime aujourd’hui pour avancer sur l’anticipation, la gestion des cyber-menaces et la stratégie de cyber-sécurité. Le Plan Stratégique pour



l’Economie Numérique (PSEN) validé par le Congrès en Octobre 2013, comporte d’ailleurs un volet sur la confiance numérique, corollaire de la prise en compte et de la maitrise des cyber-menaces et de la cyber-sécurité.

A l’image de ce qui se développe dans les préfectures de région en France, il serait possible que le gouvernement calédonien propose la mise en place d’un schéma d’intelligence économique qui comporte un volet défensif. Une réflexion plus large, à l’échelle des pays de la zone pacifique pourrait également être menée en lien avec les réunions annuelles des ministres en charge des technologies de l’information et de la communication et d’un CERT (Central Emergency Response Team) qui intègrerait la question des cyber-menaces à l’échelle du pacifique.

Quelles conséquences pour les individus ? Le monde de Georges Orwell dans 1984 est-il devenu réalité ? Comment trouver un juste milieu entre sécurité et espionnage à l’échelle de l’individu. L’illusion de l’Internet Libre, vu comme un espace de totale liberté voire d’anarchie, a vécu. On voit augmenter les risques d’atteinte sur les données personnelles. Les malwares concernent de plus en plus les téléphones mobiles. L’individu ressent davantage de contrôle, de « flicage » sur ses actions et ses déplacements (traçabilité des cartes bancaires, GPS dans les smartphone...). Cette surveillance renforcée est une réalité encore plus forte dans les lieux urbains, (vidéosurveillance), dans les lieux de transit (gares, aéroports), etc. Quelle confiance l’homme peut-il donner aux réseaux, aux services dématérialisés proposés par les entreprises et les Etats ? Quelle probabilité a t-il de devenir victime d’un cyber-attaque ? Les exemples récents ne manquent pas. A titre d’exemple, le 18 Aout 2014, un groupe de hackers chinois subtilise 4,5 millions de données médicales au Community Health Centre (CHS), le deuxième réseau hospitalier américain. Le 18 avril 2014, 1,3 millions de données de clients et prospects étaient dérobées à l’opérateur

ORANGE. En janvier 2014, de nombreux identifiants et mots de passes de la messagerie Yahoo sont piratés. Plus que jamais, la méfiance est de mise quant à l’utilisation que nous faisons de nos outils. Nos entreprises doivent pouvoir proposer des solutions de confiance, respectant notre législation notamment sur la vie privée, comme nos administrations doivent s’engager à encourager les moyens de mieux la protéger : clouds souverains, produits nationaux ou agréés nationalement, moteurs de recherche français… Dans ce cadre, la filière numérique, qu’elle soit locale ou nationale, à un rôle éminent à jouer. Plus que jamais, il faut garder à l’esprit, dès lors que nous jouons dans un cadre international, que :

« Nous n’avons pas d’amis, nous n’avons pas d’ennemis. Nous n’avons que des partenaires aux

intérêts changeants »



COMMENT LES UTILISATEURS SE

PROTEGENT-ILS DES CYBER-

MENACES ? ****************************************

Mathieu DURET - SLN La cyber-sécurité interne et externe des échanges de données pour une entreprise internationale ****************************************

La place du système d’information dans la sécurité industrielle d’une multinationale En Nouvelle-Calédonie, la Société Le Nickel - SLN représente 5 grands sites miniers, avec 85,5 milliards XPF de CA en 2014, comptant 2 200 salariés et 135 ans de données historiques stockées. La Société Le Nickel (SLN) est la première société du groupe ERAMET, créée en 1880 pour l’exploitation de mines de nickel en Nouvelle-Calédonie.

Implantation des sites miniers de la SLN en

Nouvelle-Calédonie

ERAMET compte actuellement près de 14 000 salariés, 370 milliards XPF de chiffres d’affaires en 2014, est implanté dans 20 pays, et répartis sur 63 sites. ERAMET est un des principaux producteurs mondiaux de : métaux d’alliages, notamment le nickel et

le manganèse, utilisés pour améliorer les propriétés des aciers ;

alliages et aciers spéciaux à hautes performances utilisés par des industries telles que l’aéronautique, la production d’énergie et les outillages.

Implantations des sites miniers du groupe

ERAMET, rapport d’activité 2014

Les risques liés au système d’informations d’une entreprise

http://fr.wikipedia.org/wiki/Soci%C3%A9t%C3%A9_Le_Nickel

http://fr.wikipedia.org/wiki/Nickel

http://fr.wikipedia.org/wiki/Nouvelle-Cal%C3%A9donie

http://fr.wikipedia.org/wiki/Nouvelle-Cal%C3%A9donie



En plus des risques industriels, la société minière doit intégrer de nouveaux risques, allant de l’erreur humaine aux enjeux géopolitiques. L’erreur humaine, volontaire ou non, peut impacter le système d’information dans son ensemble, voire pénaliser l’activité du groupe entier. Même des personnes de confiance peuvent volontairement ou non être à l’origine d’incidents. L’espionnage industriel, les attaques ciblées sont des réalités dans un contexte fortement concurrentiel propre aux multinationales. Par exemple, à l’échelle géopolitique, la Chine a un fort intérêt à suivre l’évolution mondiale de la production de nickel pour sa propre économie.

Les nuisances, plus ou moins fortes, telles que la modification des données, les pannes ou coupures informatiques, font parties des nouveaux risques impactant la performance de l’entreprise. Le vol ou la perte de données stratégiques, voire de secrets industriels, peuvent véritablement mettre la société en péril. Dans le domaine minier, on investit énormément dans la R&D, dans l’identification des filons miniers, dans l’acquisition de nouveaux titres miniers. En cas de défaillance ou de mauvaise programmation d’un système d’informatique, les risques peuvent aller jusqu’à des pertes humaines, puisque les agents sont exposés physiquement à des situations dangereuses (métal en fusion, produits chimiques...). Il faut gérer précisément les procédés miniers, les températures, les mélanges chimiques et toutes les étapes industrielles de production. Lorsqu’il y a une indisponibilité des systèmes, cela représente une perte économique de plusieurs millions de francs Cfp. Lorsque la panne est de longue durée, au-delà de 48h, on peut perdre l’usage d’un four.

« Le système d’information (SI) est au cœur des

échanges de données et des flux d’information de l’entreprise et de ses filiales, et au cœur de la

performance de l’entreprise elle-même. » L’informatique se propage à tous les niveaux de l’activité minière, ce qui augmente les risques informatiques. Les engins miniers ont désormais besoin d’informatique. Le conducteur, muni de

tablettes, va savoir où creuser. L’emplacement des camions et des bennes va également pouvoir être géolocalisé. Les fours, les cuves sont également gérés informatiquement. Les points de vigilance se situent à la fois sur les attaques externes et les pratiques internes. La surveillance permanente du système d’informations de l’entreprise est indispensable pour garantir la sécurité des équipes, des équipements et la bonne image de l’entreprise. Des personnes ressources du groupe ERAMET sont chargées de faire de l’intelligence économique et d’informer les filiales. Au sein de la SLN, une équipe de 5 personnes est dédiée à la sécurisation des systèmes d’informations et à la sensibilisation des usagers. La SLN est en cours de nomination d’un Responsable de la Sécurité des Systèmes d'Information (RSSI) qui soit hors de la Direction des Systèmes d’Information (DSI), et qui puisse avoir un vrai rôle stratégique. La SLN a récemment modernisé son système d’information. Ce qui explique, en 2014, qu’environ 20% du budget informatique ait été dédiée à la sécurité.

Vademecum de la cyber-sécurité pour une organisation en quatre points clés Personnaliser et optimiser sa sécurité passe par 4 points clés : la maîtrise du SI, la limitation des risques et des pertes et enfin la communication interne et externe.

1) Maîtriser son système d’informations

Cartographier tous les systèmes

d’informations : serveurs, réseau,

équipements, postes, interfaces,...

Analyser et qualifier tous les risques pour

les intégrer dans la matrice des risques

industriels

Standardiser et assurer la maintenance des

équipements

2) Sécuriser tous les niveaux pour limiter les

risques

Réseaux et équipements fixes et mobiles

Logiciels : antivirus et mises à jour

Stockage et échanges de données :

chiffrement, whitelists, pare-feu, …



Gestion des accès : comptes et droits à jour,

politique sécurité,…

3) Limiter les pertes

Limiter la propagation des attaques :

cloisonnement des systèmes

Assurer une redondance des équipements

et des usages en mode dégradé.

Assurer des sauvegardes de données :

fréquentes, fiables, isolées

Améliorer la réactivité : supervision, alertes,

contrôles de cohérence, logs, etc.

4) Sensibiliser en interne, communiquer

Sensibiliser ses utilisateurs

Répondre raisonnablement aux besoins

Contrôler les flux de communication

« Aujourd’hui, la SLN doit sécuriser entre 20.000

et 50.000 équipements. Le périmètre de la sécurisation informatique augmente chaque

année. Une centaine de millions d’investissements a été investie par le groupe

ERAMET pour sécuriser tous les environnements administrateurs. »

La sécurité : une histoire d’équilibre A l’ère de la transformation numérique, le périmètre à couvrir continue de s’étendre, de se complexifier, faisant exploser les enjeux associés. Le risque zéro n’existe pas.

L’évolution technologique ou naturelle des éléments à sécuriser complexifie les mesures d’information et de protection à mettre en œuvre sur : Les équipements et les usages (travail à

distance, outils déportés, objets connectés, …)

Des éléments critiques du process qui s’inscrivent dans le numérique (machines automatisées, gestion par GPS…)

Des serveurs puissants, plus nombreux et complexes (virtualisation, clusterisation, cloud)

La couche réseau de plus en diversifiée, rapide, étendue et critique!

Si les risques sont bien réels et les enjeux majeurs, il ne faut pas négliger le coût d’une sécurité qui ne va pas toujours dans le sens des utilisateurs en termes de fonctionnalités, de souplesse et de rentabilité. Avec un périmètre en croissance permanente, la notion de sécurité globale parfaite est irréaliste.

Une approche pragmatique et donc indispensable pour assurer une sécurité raisonnable et surtout homogène sur l’ensemble du périmètre concerné, la force maximale d’une chaîne résidant dans son maillon le plus faible.

« Le plus compliqué aujourd’hui est de déjouer ce qu’on ne voit pas encore » conclut Mathieu Duret ****************************************

Marc PINEL – Expert SSI Mesures et menaces sur les données ****************************************

Qui sont les acteurs de la Sécurité des Systèmes d’Informations (SSI) ? Parmi les experts des Systèmes d’Information (SI), il existe plusieurs rôles et fonctions qu’il est important de distinguer. Le Responsable de la Sécurité des Systèmes d’Informations (RSSI) est le véritable pilote, l’interface de la sécurité des SI avec les services



techniques, et juridique notamment. Son environnement et ses préoccupations sont différents de ceux de la Direction des Systèmes d’Information (DSI) et des équipes de sécurité opérationnelle qui vont être responsables de la Maîtrise d’Ouvrage de la SSI. Les correspondants SSI ont la charge d’assurer la sécurisation de tous les systèmes d’informations en support de tous les métiers d’une entreprise, et dans toutes les filiales d’une multinationale. Les mêmes règles d’usages doivent être connues et appliquées par tous les usagers d’une même organisation. En cas de problèmes, les équipes dites CSIRT / CERT (Computer Security Incident Response Team/ Computer Emergency Response Team) sont à la fois la tour de contrôle et les pompiers de la SSI, puisqu’ils sont en mesure d'identifier et de corriger les failles du système d'exploitation, de développer et diffuser des mécanismes d'éradication.

« Il n’y a pas « Une sécurité » des systèmes d’informations, chacun à sa version suivant son

métier, son environnement, et ses usages » précise Marc PINEL

A la différence, un Correspondant Informatique et Liberté (CIL) doit garantir la bonne application des règlements de la Commission Nationale de l'Informatique et des Libertés (CNIL), notamment la protection des données personnelles. On les dénomme aussi Data Protection Officer (DPO) chargé de la protection générales des données d’une organisation, publique ou privée.

Ce schéma du cabinet Deloitte illustre les risques technologiques et les intérêts malveillants menaçant une organisation.

Le besoin de sécurisation s’est accru avec l’ouverture des systèmes d’information Dans l’histoire des réseaux, les écosystèmes étaient d’abord majoritairement fermés (mainframe, middlerange, réseaux fermés, technologies propriétaires) et disposaient de ressources comptées. Les écosystèmes se sont ouverts de plus en plus ( TCP/IP, web service, …) avec des équipements et des intervenants plus nombreux ; a ceci s’ajoute la plus grande disponibilité des ressources (virtualisation, partitions, bande passante, mémoire, disque, CPU…).

« On a déjà avancé en passant du concept de sécurité, qui correspond à protéger les dispositifs,

à celui de cyber-sécurité, qui impose de se projeter dans une situation d’attaque subit »

Même si les nouveaux systèmes permettent de fluidifier les échanges d’informations, ils exigent cependant des moyens de protections plus performants et une connaissance plus approfondie.

Les données sont au cœur de l’activité d’une organisation Les données constituent le patrimoine d’une entreprise. On trouve à la fois des données utiles relatives aux personnes (données personnelles, médicales…) à l’entreprise (métier,



bancaires, financières…) ou des informations plus techniques (journaux systèmes, applicatifs, connections…) Toutes ces données connaissent des mouvements : elles sont stockées, échangées, modifiées et sauvegardées. Pour répondre aux exigences, elles doivent à tout moment rester disponibles, intègres voir confidentielles.

La cybercriminalité est une nouvelle menace La cybercriminalité est de mieux en mieux organisée ; le crime organisé dispose de ses propres équipes. Les fraudes dématérialisées sont bien réelles (Cryptolockers, Faux Ordres de Virements dits FOVI, SPAM/Phishing….). La cybercriminalité fait partie du Top10 des risques identifiés par les assureurs.

Source : Swiss Re

Autre conséquence, la cybercriminalité est une menace inédite pour la souveraineté des états … et le maintien de l’activité des entreprises La cartographie réalisée par l’entreprise Mc Afee dresse une typologie des pays en fonction d’un indice de confiance liée au cyber-crime.

Les pays en bleu ont l’indice de confiance le plus fort, suivent

ensuite les pays en vert. Les couleurs rouge et violette concernent les pays dont l’indice de confiance est le plus bas.

La cybercriminalité impose de nouvelles contraintes Toute organisation peut définir ses objectifs de sécurité et réaliser sa propre matrice de risque en listant les types de cyber-risques et en qualifiant leur gravité et leur probabilité.

On peut citer trois types de nouvelles contraintes, par exemple, pour les organisations : 1) Les contraintes de gestion territoriale et

administrative imposent la mise en place de réglementations (ex : Référentiel Général de Sécurité) ou donne le statut d’Opérateur d’Importance Vitale (OIV) à des organisations sensibles. Les OIV sont alors soumis à des règles spécifiques, notamment en termes de transmission, de conservation d’information, voire de signalement. Ces évolutions ne modifie pas le fond de la réglementation en vigueur (la Loi pour la Confiance dans l’Economie Numérique (LCEN) ou la loi Gofrain par exemple) qui doit être appliquée, elles ajoutent juste une disposition de contrôle (audit, qualification, certification).

2) Les contraintes technologiques s’expliquent par des systèmes d’information de plus en plus complexes et une interconnexion croissante.

3) Les contraintes dites de gestion économique obligent les organisations à s’adapter aux cycles de vie de plus en plus courts des produits et à intégrer de nouveaux concepts tels que le Big data (à l’opposé de la notion de protection des données).

Ces contraintes doivent aussi être perçues comme une opportunité de les traduire directement en mesures de protection à mettre en place.

… quelles réponses apporter?



Toute organisation a intérêt à évaluer le niveau de risques qu’elle encourt à partir de la démarche suivante : 1) Identifier les données à protéger, connaître

les contraintes opérationnelles et légales, et repérer les menaces associées

2) Faire une étude de risques … et la mettre à jour

3) Mettre en place des mesures de sécurité : techniques, organisationnelles, humaines, contractuelles,…

4) Contrôler leur application : la confiance n’excluant pas le contrôle

Source : securitepublique.gouv

Mesures et politique de sécurité L’étude « Verizon’s DBIR report » met justement en lumière la non application des mesures élémentaires de sécurité que sont : L’identification et l’analyse des risques, afin de repérer les menaces externes (virus, attaques, les tiers, les sous-traitants, les partenaires - interconnections,...) et les menaces internes (les employés, actions intentionnelles ou accidentelles, support, maintenance...) La surveillance via la gestion opérationnelle, la gestion des incidents (tickets) et les analyses post mortem. Les procédures d’intervention pour répondre aux incidents, prendre des mesures d'isolement, et assurer la récupération des logs.

A la suite de l’étude des risques, toute organisation peut alors proposer un cadre de référence avec une Politique de Sécurité des Systèmes d’Informations (PSSI) en fonction des objectifs de sécurité, afin de mettre en place une bonne organisation du SI et des services.

Les bonnes pratiques Pour les professionnels de la sécurité informatique elles consistent à :

Connaître son Système d’Information avec un SI cartographié où les rôles et responsabilités sont clairs, en place et suivis

Adopter des principes d’architectures physiques et applicatives cohérents ; utiliser le principe de défense en profondeur (les divers composants d'un système d'information ne font pas confiance aux autres composants avec lesquels ils interagissent)

Réaliser des contrôles interne et externe avec des revues de configuration, des audits…

Mettre en place les mesures techniques essentielles puis les tester afin de se prémunir face à des menaces connues



Assurer une métrologie régulière, idéalement journalière.

Former les acteurs internes et partenaires (fournisseurs, clients, filière locale…) sur les techniques et les informer sur les enjeux et les risques.

Connaître les responsabilités de chacun et le mode de gestion de l’assignation des droits pour savoir qui fait quoi et proposer une organisation, une charte interne, des Conditions Générales d’Utilisation (CGU)

Développer une nouvelle culture au sein d’une organisation qui demande de former, d’informer et développer les outils mis en place, sans oublier de les actualiser.

DE LA PROTECTION A LA SANCTION

****************************************

Iohan GUIGUET – Gendarmerie

Actions de la Gendarmerie au niveau

national et local ****************************************

De l’épiphénomène à la réalité En France la lutte contre la cybercriminalité au

niveau de la gendarmerie est apparue il y a une

vingtaine d’années, soit en même temps que

l’internet grand public. La démarche s’est

appuyée au démarrage sur un pôle de 3

gendarmes disposant de compétences

informatiques supérieures à la moyenne. Les

premières enquêtes sur les délits liés à la

pédopornographie ont nécessité de retrouver et

d’identifier les auteurs en remontant les adresses

IP. La première brigade de lutte contre la

cybercriminalité était née.



Le dispositif opérationnel de la

Gendarmerie Nationale Le Centre de lutte Contre les Criminalités

Numériques, dit C³N, fait partie intégrante du

Pôle Judiciaire de la Gendarmerie Nationale

(PJGN), et appartient plus précisément au Service

Central de Renseignement Criminel (SCRC). Il

coopère avec les services généraux ou spécialisés

de la Gendarmerie Nationale.

Articulation du dispositif de lutte contre la délinquance

liée aux nouvelles technologies

Commandement et positionnement

du C3N Le Centre de lutte Contre les Criminalités

Numériques dépend hiérarchiquement du

« préfet cyber-menaces » rattaché au ministère

de l’intérieur. Dans son fonctionnement et son

positionnement, il est principalement en lien avec

les organismes judiciaires, et les organisations de

règlementations telles que la CNIL, ou de

coordination à l’échelle internationale avec, par

exemple, Europol.

Le rôle du NTECH Enquêteur spécialisé dans la cybercriminalité et

chargé des nouvelles technologies, le « cyber

gendarme » est officiellement appelé « NTECH ».

Ses missions principales sont de procéder aux

analyses informatiques ; d’être l’interface entre

les unités et services C3N ; d’assister les unités,

les Correspondants NTECH (C-NTECH) et de les

former.

L’analyse des supports numériques et

l’écart technologique Utilisant soit des dispositifs matériels et logiciels

distribués par des fournisseurs spécialisés et

acquis sous licence, soit des outils développés

en interne aux services, le « cyber gendarme »

doit savoir manipuler et décrypter tous les outils,

matériels, équipements et supports numériques

qui évoluent en permanence, au gré des

évolutions technologiques.

La tendance des objets connectés (montres,

google glass…) va encore complexifier la tâche

d’analyse par les unités de la cybercriminalité.



A l’inverse, l’obsolescence des supports utilisés

par les cyber-criminels tels que les bandes

magnétiques (disquette, K7 vidéo VHS…) exige de

disposer de matériel de lecture

technologiquement dépassé. Lors des saisies, les

gendarmes doivent donc s’assurer de bien

récupérer les lecteurs.

Les données incriminées peuvent être extraites

de ces supports. Les preuves se matérialisent par

des coordonnées, des adresses, des points de

visites mémorisés dans un GPS, des répertoires

de contacts, des messages (sms, mms), des

journaux d’appels, etc. S’il s’agit d’un

smartphone, les photos, les e-mails, les pages

Internet consultées peuvent aussi être

retrouvées.

Internet est en effet une source première et

secondaire d’informations. Les enquêteurs sont

amenés à explorer les réseaux sociaux (Facebook

ou Skyblog) récupérant ainsi des images, vidéos,

des pages web consultées, diffusées ou stockées.

Les correspondances permettent également de

remonter les adresses IP pour localiser

géographiquement les complices ou d’autres

victimes.

Les preuves numériques sont désormais

reconnues comme des preuves à part entière.

La formation des NTECH et C-NTECH Les connaissances scientifiques, technologiques,

juridiques et linguistiques des enquêteurs doivent

s’adapter à l’évolution rapide des formes de

cybercriminalité. L’informatique est un nouvel

outil au service des délits existants dans la vie

réelle, tels que la pédophilie, les détournements

de moyens de paiement…etc.

Le NTECH est un gendarme avant tout, dont la

priorité reste le renseignement. Il est formé

après son intégration à la gendarmerie nationale.

Une formation spécifique est dispensée par le

Centre National de Formation de la Police

Judiciaire (CNFPJ) depuis 2001. A compter de

2005, l’Université Technologique de Troyes (UTT)

propose une licence professionnelle s’adressant

uniquement aux forces de l’ordre spécialisées

dans la lutte contre une cybercriminalité en

perpétuelle évolution.

Certains diplômés NTECH sont également choisis

après quelques années d’expérience pour suivre

le master "sécurité des systèmes d’information"

qui ouvre vers d’autres compétences pour

intervenir dans des enquêtes plus complexes

(réseau d’entreprise, international…).

Une formation continue est également réalisée

en interne, pour les NTECH, comme pour les

Correspondants dits « C-NTECH ».

Le signalement, première étape d’une

enquête Suite à une cyber-menace, tout usager est en

droit de déposer une plainte auprès des services

de police ou de gendarmerie.

Le ministère de l’intérieur, propose un outil de

signalement en ligne (internet-

signalement.gouv.fr) utilisable par tous les

habitants de Nouvelle-Calédonie.



Le site propose également des conseils pour naviguer en

sécurité et être plus vigilant dans les pratiques web. Une

page est notamment dédiée « aux plus jeunes ».

Les enquêtes en Nouvelle-Calédonie En France métropolitaine, les enquêtes de la

gendarmerie portent sur tous les pans de la

cybercriminalité. En Nouvelle-Calédonie, un seul

cyber-gendarme est en fonction depuis 2013.

« Localement, les recherches restent fortement

liées à des délits allant des fausses annonces, les

escroqueries à l’amour, et à la

pédopornographie. »

Si vous vous retrouvez devant un cas avéré de

cybercriminalité, vous pouvez vous rapprocher

des services de police, de gendarmeries voire

contacter directement l’Adjudant Iohann

GUIGUET (voir contact)

Contact :

Adjudant Iohann GUIGUET - [email protected]

BRIJ 988 - Caserne Meunier - BPR3 – 98851

NOUMEA CEDEX

Lexique BPJ : Bureau de la Police Judiciaire BAC : Bureau des Affaires Criminelles BDRIJ : Brigade Départementale de Renseignements et d'Investigations Judiciaires BLAT : Bureau de la Lutte Anti-Terroriste CALID : Centre d’Analyse de Lutte Informatique Défensive CNAIP : Centre National d'Images Pédopornographiques CNFPJ : Centre National de Formation de la Police Judiciaire C-NTECH : Correspondants NTECH D2AJ : Division Administration des Applications Judiciaires DA2I : Département de Lutte contre les Activités Illicites sur Internet DAIC : Division Analyse et Investigations Criminelles DCBG : Division Criminelle Biologie Génétique DCIH : Division Criminalistique Identification Humaine DCIN : Division Criminalistique Ingénierie et Numérique DCPC : Division Criminalistique Physique et Chimie DOAS : Division Opérations et Appuis Spécialisés DPAT : Département de la Prospective et de l'Animation Territoriale DSTAD : Division Système de Traitement Automatisé de Données GUTI : Guichet Unique Téléphonie et Internet INL : Département Informatique-Electronique (Le département Informatique-Electronique (INL) traite de la preuve numérique sur tous types de supports, en particulier sur les disques durs et les téléphones portables) IRCGN : Institut de Recherche Criminelle de la Gendarmerie Nationale JIRS : Juridiction Inter-Régionale Spécialisées MINDEF : Ministère de la Défense NTECH : Enquêteur spécialisé dans la cybercriminalité, chargé des nouvelles technologies PJGN : Pôle Judiciaire de la Gendarmerie Nationale PSPI : Prévention et Suivi des Phénomènes sur Internet SAMVP : Section des Atteintes aux Mineurs et Violence aux Personnes SAB : Section des Atteintes aux Biens SCRC : Service Central de Renseignement Criminel SDAO : Sous-Direction de l'Anticipation Opérationnelle SDPJ : Sous-Direction de la Police Judiciaire SR : Sections de Recherches

mailto:[email protected]



****************************************

Romain PETITJEAN – Novatech

Panorama des solutions de sécurité

informatique pour les PME-PMI ****************************************

Quel niveau de sécurité informatique pour une PME-PMI? Pour optimiser leur niveau de sécurité informatique, les PME-PMI peuvent accéder à un large panel d’outils et services. Avant de choisir entre une solution « prête à l’emploi » ou personnalisée il est indispensable de définir son besoin et de bien cerner l’utilité des différentes protections proposées.

Les enjeux de sécurité informatique pour une PME-PMI Comprendre les enjeux de cyber-sécurité propres à une entreprise exige l’identification des menaces auxquelles elle est exposée. D’après les études, les dangers les plus fréquents sont la perte de données informatiques ; la divulgation de données stratégiques, souvent liée à de la malveillance interne.

« Selon Isocesure, 50% des entrepreneurs jugent que leur PME est convenablement protégée mais autant d’entre eux (51% des PME) ont déjà subi

au moins une attaque informatique » précise Romain Petitjean.

Une autre étude réalisée par la société de sécurité informatique BitDefender, montre que la méconnaissance des risques informatiques reste forte aussi bien au niveau de la direction que des employés de PME. Si 80% des dirigeants avouent ne pas protéger leurs données, 35% des employés stockent des données professionnelles sur leur ordinateur portable personnel. Près de 91% des directeurs n’utilisant pas de logiciels de protection de données sur leur tablette ou leur smartphone. Plus inquiétant encore, 83% des patrons d’entreprises déclarent ne pas avoir de plan de sécurisation informatique.

« Les accès au réseau de l’entreprise sont actuellement trop ouverts aux extérieurs

notamment via le Wifi de la boîte »



Pourtant, les risques informatiques sont de réelles menaces pour les organisations allant de la perte financière à la vie humaine, en passant par la réputation de l’entreprise.

Une réalité locale Un exemple local, sans être exhaustif, permet d’illustrer et de mesurer les difficultés auxquelles font face les victimes. Dans une entreprise non ou mal protégée, et suite à une attaque par cryptolockage (cryptage des données, les rendant inaccessible pour le propriétaire), la question de la récupération des données s’est imposée. L’entreprise n’ayant pas anticipé sa protection, les seules récupérations possibles ont portées sur les sauvegarde de messageries (fichiers Pst) non atteints par l’attaque. Et encore, seuls les messages envoyés ont pu être récupérés…

Quels moyens mettre en œuvre? Chaque structure peut, à hauteur de ses moyens, mettre en œuvre les 4 moyens préventifs suivants : 1 Maintenir ses logiciels de protection à jour,

qu’il s’agisse de pare-feu ou d’antivirus, de façon homogène sur le parc d’équipements. La mise à jour des autres logiciels et de son système d’exploitation est également importante (compatibilités optimisées)

2 Mettre en place des procédures de sauvegardes, locales et externalisées, et idéalement automatisées. Un Plan de Reprise d’Activité (PRA) permettra en cas d’incident de comprendre les actions à accomplir pour limiter les dégâts et permettre un retour à une activité normale dans les meilleurs délais.

3 Gérer les droits utilisateurs par le cloisonnement des accès aux ressources, l’application d’une politique avancée de

gestion des mots de passe, voire des doubles authentifications

4 Gérer et adapter les réseaux et équipements en mettant en place des Réseau Privé Virtuels (VPN), un cloisonnement des réseaux wifi « Entreprise » et « Invité » et mettre en place une protection physique de l'accès aux serveurs

« Les moyens « systèmes D » peuvent accroître le risque. La prévention via des sauvegardes doublée interne-externe est le 1er principe de précaution » Finalement, l’entreprise peut protéger à la fois ses équipements, des outils logiciels, ses données et ses échanges.

L’accompagnement primordial des salariés Toutes nouvelles pratiques ou nouvel équipement au sein de l’entreprise doit intégrer des solutions de sécurité, pour éviter de mettre l’organisation en risque. La sensibilisation du personnel aux mesures de cyber-protection est une étape indispensable pour obtenir l’adhésion des agents. D’autre part, les salariés peuvent amener eux-mêmes de nouveaux usages au sein de l’entreprise.

« Si les protocoles en place ne tiennent pas compte des souhaits des usagers, l’usager-salarié

va créer des biais pour répondre à son besoin personnel dans son environnement

professionnel »



Les nouveaux usages dans les PME PMI Les PME sont concernées par 3 évolutions technologiques dans leurs usages. 1) Le cloud personnel, permet l’automatisation

de sauvegardes de données et des environnements de travail personnalisés.

2) Les applications de Gestion de Terminaux Mobiles, dites MDM (Mobile Device Management) permettent la gestion d'une flotte d'appareils mobiles (tablettes, smartphones, voire d'ordinateurs hybrides au format tablette…)

3) Les solutions collaboratives en ligne offrent des capacités de travail à distance optimisées pour plusieurs personnes impliquées sur un même projet

« Il s’agit de maitriser le changement plutôt qu’interdire de nouveaux usages »

Comment répondre à ces évolutions technologiques et d’usages ? Pour maintenir un niveau de sécurité optimisé, il faut proposer des solutions outils aux salariées parmi lesquelles on retrouve :

Chiffrage du contenu de l’entreprise

Partage de données avec mots de passe

Whitelist (correspondants autorisés)

Traçabilité des historiques d’usages Et spécifiquement pour les terminaux mobiles :

Mot de passe pour l’accès au smartphones, tablettes (…) contenant des informations professionnelles

Prévoir l’activation-désactivation à distance des contenus voire la possibilité d’effacement complet des terminaux mobiles.

Idéalement, ces solutions seront intégrées à la politique de sécurité de l’entreprise.

Comment définir ma politique de sécurité ? La mise en place ou l’optimisation d’une politique de sécurité informatique demande :

L’écoute raisonnable des besoins utilisateurs, pour affiner l’équilibre entre niveau de sécurité et capacité de production.

La rédaction et la diffusion interne d’une charte informatique, qui pourra être signée en même temps que le contrat de travail pour les futurs entrants.

Permettre la responsabilisation de chacun en s’appuyant sur la prévention et l’information

Se faire accompagner et conseiller via des prestataires extérieurs, pour les structures ne disposant pas de compétences suffisantes en interne

Pour aller plus loin...en NC En Nouvelle-Calédonie, la sensibilisation des chefs d’entreprises, et notamment des PME apparait être une priorité. On sait par exemple que le phénomène de crypto-ransomware* est présent localement depuis un an environ, aucun enregistrement de plainte n’est cependant recensé à ce jour. Un travail de communication peut être fait par les chambres consulaires et les prestataires locaux de la sécurité informatique. Dans un second temps, il serait utile d’imaginer un dispositif d’alertes sur abonnements pour informer immédiatement les entreprises locales d’une cyber-menaces, et leur permettre ainsi de réagir rapidement. *Crypto-ransomware : Principe d’arnaque basa sur le cryptage des données d’une entreprise par un tiers. Ce tiers sollicite un concours financier pour restituer l’accès aux données. Même en cas de paiement, la récupération des données est plus qu’incertaine. Si vous y êtes confronté, signalez la situation !



****************************************

Alain COCCONI – Can’l

Rôle des FAI et des Datacenters dans

les dispositifs de cyber-sécurité ****************************************

FAI et Data Center : réseaux différents, mêmes problématiques Les Fournisseurs d’Accès à Internet (FAI) et les Data Center (services d’hébergement, de sauvegarde de données…) ont un rôle indispensable dans le fonctionnement des réseaux numériques de transport, de distribution et de stockage de données. Ces opérateurs de services, au même titre que les opérateurs de réseaux, sont en première ligne pour tenter de rendre l’Internet plus sûr. Ces opérateurs sont confrontés aux mêmes problématiques : d’une part, assurer la sécurité des réseaux privés de télécommunications, dans lesquels tout ne doit pas être visible par tous, et offrir des connexions à l’Internet, qui est par définition, le plus grand réseau publique et ouvert à l’échelle planétaire. Les opérateurs doivent adapter leurs dispositifs de sécurité aussi bien pour les données privées

(courriels cryptés, mots de passe…) que les données publiques (sites web, courriels en clair…). Les opérateurs endossent une responsabilité de sécurisation très forte, alors que leurs clients restent hélas encore trop peu sensibles à la cyber-sécurité de leurs appareils ou de leurs pratiques.

Quels types de cyber-attaques, les FAI et les data centers doivent-ils gérer ?

Types d’attaques

Objet-Impacts

DDOS Attaques massives afin de faire « tomber » des sites en le noyant sous le nombre de requêtes qui peut remplir facilement des liaisons de tailles importantes (plusieurs giga) et empêcher tout trafic

Phishing Récupération des informations confidentielles en se faisant passer pour un organisme de confiance (banques, fournisseurs d’accès etc.)

Scan Recherche et découverte de failles de sécurité sur un groupe d’équipements

SPAM Envoi de courriels non sollicités (incluant les Publicités)

Spoofing Usurpation d’identité afin de tromper les mécanismes de sécurité. Permet une attaque à l’intérieur du réseau en opérant depuis l’extérieur, en faisant croire aux systèmes que l’on est habilité, de confiance

Virus Dans la majorité des cas, dépôt de chevaux de Troyes dans les ordinateurs afin de collecter des informations ou bien de les faire participer à des attaques DDOS

VoIP Compromission de votre système téléphonique, entraînant une facture téléphonique aberrante (anormalement élevée)

Comment contrer ces attaques ? Savoir ce qui transite dans les réseaux permet d’agir en conséquence. De nombreuses structures ont déjà réfléchi aux problèmes de sécurité et documenté les bases de la sécurité à appliquer, sous l’appellation « Best Practice ».



Les opérateurs doivent être en mesure de repérer systématiquement les intrusions dans le système (Intrusion Detection Systems, IDS). La base de toute politique de sécurité passe par la mise à jour permanente des équipements comme pour n’importe quel poste de travail. Pour les courriels entrants, avec ou sans pièce-jointe, la mise en place de solutions anti Spam et anti Virales sont préconisées. Si l’espace est public il n’est pas pour autant en libre-service, les filtrages et pare-feu (Firewall), permettent de le réglementer et de contrôler ce qu’il s’y passe.

Pour garantir la confidentialité des données, les Réseaux Privés Virtuels, dits VPN (Virtual Private Network) assurent l’authenticité et la confidentialité des échanges. Pour un niveau de confidentialité supérieur, des moyens de cryptage de mails sont possibles.

Mutualiser la sécurité Les FAI sont, par définition, un point d’entrée vers le monde Internet. Les opérateurs ont désormais l’habitude d’être attaqués en permanence, ils ont donc développé des architectures résistantes. Les data center sont bâtis autour de principes et de normes de sécurité. L’objectif consiste à contrer toutes tentatives d’intrusions via Internet ou même sur les biens physiques, tout en palliant aux questions de sécurisation des équipements (refroidissement…) et des réseaux électriques (duplication, générateurs de secours…).

L’architecture est adaptée aux besoins multiples des entreprises. La mutualisation des moyens au sein d’un Data Center permet d’assurer un haut niveau de sécurité tout en conservant un coût acceptable et maitrisé.

Pour aller plus loin... Quelques pistes d’action se dégagent pour améliorer les pratiques des usagers et renforcer le niveau de sécurité global à l’échelle de la Nouvelle-Calédonie. Apprendre à utiliser le courriel et changer les mauvaises habitudes des utilisateurs. Les utilisateurs doivent apprendre à s’assurer de l’authenticité de leurs correspondants. Apprendre à utiliser le web et développer des réflexes de contrôle de la fiabilité des sites web visités et utilisés. Cela permettra par exemple de donner confiance aux sites de e-commerce locaux. Communiquer sur les bons usages et organiser des campagnes de sensibilisation. Tous les utilisateurs du web ont presque tous déjà eu des problèmes de virus, de spam… Former les élèves dès le collège, avec des rappels au lycée, permettrait de sensibiliser les générations digitales aux bonnes pratiques en matière de cyber-sécurité. Les jeunes sont d’autant plus sensibles s’ils comprennent qu’ils ne pourront plus communiquer, naviguer et jouer correctement si leurs ordinateurs, tablettes ou téléphones sont infectés.



****************************************

Christel CHAUVEAU-SIMIOL –

ACTECIL-NC

Cadre réglementaire : obligations et

limites ****************************************

L’aspect juridique des cyber-menaces peut être abordé de multiples façons : au regard des dommages, des causes, des auteurs ou des victimes, etc.

Sous l’angle des dommages, la cybercriminalité se distingue par 2 types de préjudices : les atteintes aux biens et celles portées aux personnes.

DOMMAGES EXEMPLES

Atteintes aux biens

Téléchargement illégal, allant à l’encontre des droits d’auteur

Intrusion & piratage des données

Contrefaçon

Cybersquatting pour s’emparer d’un nom de domaine ou détourner une marque sur

Internet

Phishing pour usurper l’identité d’un tiers de confiance (ex : une banque) et obtenir des informations confidentielles

Atteintes aux personnes

Pédopornographie

Diffusion de photos

Diffamation

Injures

Usurpation d’identité

La cyber-sécurité dans l’entreprise Problématiques « L’anticipation des cyber-menaces est désormais nécessaire autant pour les professionnels et les individus » précise Isabelle Falque-Pierrotin, conseillère d'État et présidente de la CNIL, début 2015 lors des attentats liés à l’affaire Charlie Hebdo.

Comment répondre aux

besoins accrus de sécurisation des

systèmes informatiques pour l’entreprise et

prévoir davantage de garanties pour les

personnes et les biens? Comment les professionnels peuvent-ils prévoir les gardes fous juridiques pour prémunir leur entreprise et leurs employés des cyber-menaces ? 3 points importants peuvent être précisés ici :

1. Il s’agit de trouver un équilibre entre la protection des données (personnelles, innovation) et le niveau de surveillance toléré par les individus via des dispositifs ciblés (et non massifs).

2. Il faut ensuite prévenir les risques en amont par des mesures de :

sensibilisation, d’information et de formation;

d’identification et de protection des données sensibles

conservation des données, respectant des durées précises (Cf.

éthique des Entreprises Numériques, dites ENR – lire ci-dessous)

3. Contrôler en aval les dispositifs mis en place en se basant sur le référentiel CNIL (Commission Nationale de l’Informatique



et des Liberté) et l’expertise des correspondants CNIL, appelés CIL (personnes internes à l’entreprise ou prestataire externe).

« Une entreprise peut choisir de devenir une

« ENR », une entreprise numérique qui intègre volontairement des préoccupations éthiques,

sociales et environnementales dans ses activités commerciales et dans ses relations avec toutes les

parties prenantes internes et externes. »

Cadres réglementaires applicables en Nouvelle-Calédonie

Le cadre réglementaire applicable en Nouvelle-Calédonie reprend majoritairement les notions de droit applicables en France métropolitaine, et en Europe.

Même si dans l’univers numérique le droit est riche et souvent novateur, le législateur, plutôt que de créer des articles de loi dédiés au numérique, souhaite s’appuyer sur les règles de droit commun, rendant l’évolution des réglementations plus simple, plus rapide et plus pragmatique. Ainsi, la loi informatique et libertés de 1978, a été modifiée en 2004, le code pénal et ses nouveaux délits donne désormais de nouveaux moyens d’investigation pour combattre la cybercriminalité. Loi 78-17 relative à l’informatique, aux fichiers et aux libertés Il est utile de connaître les articles principaux de la loi relative à l’informatique, aux fichiers et aux

libertés, pour comprendre l’esprit dans lequel les règlementations s’appliquent.

Cadres réglementaires applicables en NC Loi CNIL (applicable depuis 2004 en NC)

LCEN du 21/06/2004 (Loi sur la Confiance dans l'Economie Numérique, version NC)

Adaptation du droit pénal o Loi LOPSI 2 o Projet de loi Renseignement (adoption par

AN le 5 mai 2015)

Adaptation du Code de la propriété intellectuelle o DADVSI o HADOPI 1 et 2

Loi 1881 sur les délits de presse

Définition « données à caractère personnelle » «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ".

Art. 2 de la loi "Informatique et libertés »

Article 1

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Article 2

La présente loi s'applique aux traitements automatisés de données à caractère personnel*, ainsi qu'aux traitements non automatisés ou appelées à figurer dans des fichiers, à l'exception des traitements mis en œuvre pour l'exercice d'activités exclusivement personnelles…

Article 6

Un traitement ne peut porter que sur des données à caractère personnel* qui satisfont les conditions suivantes • Les données sont collectées et traitées de manière

loyale et licite • Elles sont collectées pour des finalités déterminées. (..) • Elles sont conservées sous une forme permettant

l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.



Pénalisation des comportements liés à la

Pénalisation des comportements liés à la cybercriminalité

Tout criminel agissant dans le cyberespace s’expose à des sanctions répressives équivalentes, en montants d’amendes et en durées d’emprisonnement. Le droit pénal français permet de saisir l’ensemble des agissements répréhensibles relevant de la cybercriminalité, soit par le biais d’incriminations spécifiques, soit en ayant recours à des incriminations plus générales. Pour les entreprises, qui font souvent l’objet d’atteintes graves avec des enjeux importants, la possibilité de déposer plainte ne suffit pas ; il faut encore savoir auprès de qui et sous quelles formes, tout en étant assuré d’une certaine confidentialité, car c’est souvent la crainte de voir l’affaire évoquée dans la presse dès le lendemain de ce dépôt qui justifie les fortes réticences d’une partie des chefs d’entreprise à faire la démarche. Police et justice sont souvent perçues comme connaissant mal le monde de l’entreprise, mais l’inverse est aussi vrai. A cet égard, il est préconisé de créer, sur l’ensemble du territoire, un réseau de référents pour les entreprises, grandes ou petites, victimes de cybercriminalité, pris parmi les policiers ou gendarmes.

L’usurpation d’identité en ligne

L’usurpation d’identité concerne plus de 300.000 personnes chaque année (source : CREDOC) et elle est, le plus souvent, commise en ligne. Elle est incriminée soit lorsqu’elle est l’occasion de commettre une infraction (art. 434-23 du code pénal), soit, depuis mars 2011, lorsqu’il en est fait usage, notamment sur un réseau de communication au public en ligne, dans le but de nuire à la tranquillité d’une personne ou de porter atteinte à son honneur (art. 226-4-1 du code pénal).

Article 7

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire des conditions particulières (...)

Article 8

Atteinte à l’intimité et à la vie privée

Usurpation d’identité

Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 1,8 million CFP d’amende.

Art 226-4-1 Code pénal

Est puni d’un an d’emprisonnement et de 5,4 millions de CFP d’amende le fait, au moyen d’un procédé quelconque de porter volontairement atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé

Art 226-1 Code pénal

Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d’un tiers ou d’utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l’aide de l’un des actes prévus par l’article 226-1

Art 226-2 Code pénal

Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000023709201&cidTexte=LEGITEXT000006070719

http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417929&cidTexte=LEGITEXT000006070719

http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417930&dateTexte=20131001



Le code de la propriété intellectuelle Le code de la propriété intellectuelle régit à la fois les droits d’auteur, les droits voisins et les droits des producteurs de bases de données. Ce code permet de considérer les risques de violation des secrets professionnels ou industriels.

Le code la propriété intellectuelle a fait l’objet ces dernières années de mises à jour successives loi DADVSI, loi « création & Internet » ou encore celle sur la protection pénale de la propriété littéraire et artistique sur Internet.

« Le 1er vecteur d’infraction au titre des droits d’auteur est le téléchargement en peer-to-peer ».

L’adaptation de la loi de 1881 sur les délits de presse à la cybercriminalité Lorsque l’on publie ou diffuse du contenu sur un site web ou un blog, les auteurs de ces supports ne doivent pas enfreindre les infractions dites « infractions presse » (Loi du 29 juillet 1881 modifiée

en 2004).

De ce fait, les contenus publiés ne doivent pas reposer sur les principes suivants : la diffamation ; l’injure ; la diffamation et l’injure à raison du sexe, l’orientation sexuelle ou le handicap ; la provocation à la discrimination et à

la haine raciale ; l’apologie de crimes ou la contestation des crimes contre l’humanité ; les propos discriminatoires à caractère sexiste ou homophobe ; l’offense au Président de la République ; le délit de fausses nouvelles ; les interdictions d’images…etc.

Les actions préalables impliquées par la règlementation Dans le cadre des entreprises, le contrôle interne de l’utilisation d’internet et des messageries a été peitit à petit défini par la jurisprudence. Il reste qu’il est fortement conseillé aux entreprises de recourir à une charte informatique. La charte informatique est amenée à évoluer pour considérer par exemple de nouvelles pratiques telles que l’utilisation d’équipements personnels (BYOD, Bring Your Own Device) dans un contexte professionnel. Tout dispositif de contrôle implique une information obligatoire des salariés et des déclarations utiles auprès de la CNIL. Par ailleurs, l’accès à la messagerie d’un salarié ne peut se faire que dans un cadre juridique très spécifique.

L’obligation de collecte licite et loyale des données personnelles stockées Le traitement de données, qui impose une déclaration préalable auprès de la CNIL, doit être loyal et licite. Cette obligation de licéité entraîne le respect des 6 démarches suivantes :

1. La finalité doit être déterminée, proportionnée, explicite et légitime. La finalité déterminée se concrétise par la raison et les objectifs du traitement (art.

6, 1°et 2°). La CNIL se réfère au critère de finalité du traitement pour apprécier la justification et vérifier la proportionnalité des opérations effectuées. Quelques exceptions sont possibles, pour l’utilisation des données à des fins

Loi «DADVSI» n°2006-961 du 1er

août 2006 relative • aux droits d’auteur et droits voisins dans la

société de l’information • à la commission copie privée …

Loi « Création & Internet » du n°2009-669 du 12 juin 2009

• protège les créations sur internet • crée la Haute Autorité pour la Diffusion des

Œuvres et la Protection des droits Internet (HADOPI)

Loi « Protection pénale de la propriété littéraire et artistique sur internet » du n°2009-1311 du 12 juin 2009

• HADOPI est autorisée à surveiller les réseaux et à mettre en œuvre les procédures de sanctions prévues par la loi



statistiques, de recherche scientifiques ou historiques. Une sanction pénale est prévue en cas de détournement de finalité. Les sanctions font appel à la mention des «délits de détournement de finalité » (L. 226-21 du C. pénal)

2. Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées (art. 6-3°)

3. Les données doivent être mises à jour tout au long du traitement (art. 6-4)

4. Les données doivent être conservées dans une durée limitée, qui ne peut excéder la durée nécessaire à la finalité du traitement (art. 6 – 5)

5. L’accord préalable, valable et probant de la personne dont on collecte les données (art. 7, al. 1

er).

6. L’information préalable est indispensable, avec 7 éléments d’information à diffuser. L’article 32 prévoit des modalités différentes selon que la collecte est directe ou indirecte.

Principes applicables aux systèmes d’information et données de l’entreprise L’entreprise doit mettre en œuvre un système de protection adéquat pour assurer la sécurité et la confidentialité des données personnelles (article

34 LIL). Pour cela plusieurs vigilances chez les DSI :

S’assurer qu’elle met en œuvre des moyens suffisants au regard des risques qu’elle a préalablement identifiés

une attention redoublée pour les données sensibles

Suivre les évolutions des jurisprudences nationales et locales

S’appuyer sur les référentiels CNIL (www.cnil.fr / Guide Sécurité : la méthode et Guide catalogue de mesures)

En cas de violation, quelle procédure, quelles sanctions? Au-delà de la possibilité de porter plainte (en commissariat, gendarmerie…), d’après les procédures CNIL en vigueur (art.34-II LIL), il faut signaler la violation auprès de la CNIL immédiatement, informer les personnes concernées, mener un audit et disposer d’un plan d’actions pour endiguer le phénomène. Ce plan est contrôlable par la CNIL. Des sanctions administratives et pénales peuvent alors être appliquées. La CNIL peut les prononcer envers le responsable de traitement comme ce fût le cas récemment avec le Crédit Mutuel, le Crédit Agricole et Orange. Des sanctions judiciaires ou pénales peuvent être parallèlement prononcées. Mesure est faite entre responsabilité du délinquant et faute de la victime (l’entreprise avait-elle mis en œuvre un système suffisamment sécurisé ?).

Sanctions L’information des personnes

Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive. Art.131-13 du code pénal Décret n° 2005-1309 du 20 octobre 2005

La sécurité des fichiers Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende. Article 226-17 du code pénal

http://www.cnil.fr/



La confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal

La durée de conservation des informations Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende. Article 226-20 du code pénal

Responsabilités des intermédiaires techniques : OPT, FAI, hébergeurs Les opérateurs jouent un rôle dans l’accès le cheminement, la transmission et le transfert des données vers les utilisateurs finaux. Ils doivent respecter le principe de neutralité. C’est la loi dite LCEN qui prévoit en grande partie leur cadre de responsabilité.

« Les opérateurs, restent des intermédiaires

techniques qui n’ont pas vocation à intervention à quelque stade que ce soit sur les contenus. Les

opérateurs ont un rôle majeur dans la neutralité du net, la crédibilité de l’Internet, la confiance numérique » précise Christel Chauveau-Simiol

L’intermédiation se conçoit par les intervenants qui mettent à disposition différents moyens numériques. Leurs relations ne sont pas seulement techniques mais aussi juridiques. L’activité de fourniture de contenu n’a pas de définition légale. Une définition doctrinale, émise par FERAL-SCHUHL permet de dire qu’il s’agit de «toute personne physique ou morale qui, à titre professionnel ou non, édite et met en ligne de l’information, au sens le plus large du terme, à destination des internautes, en la publiant sur son site internet »

Il faut également considérer l’auteur d’un contenu ou encore celui qui agrège différentes informations, tel l’éditeur d’un site web. Pour une victime, il est alors possible de se retourner contre l’un ou l’autre. L’éditeur du site est généralement mieux identifié et plus solvable. La condamnation in solidum est possible. Il n’y a pas non plus de définition légale précisant l’activité de tiers de confiance. Cette activité permet de sécuriser les systèmes d'information, par une action de certification. La définition courante précise que « les organismes sont habilités à mettre en œuvre des signatures électroniques reposant sur des architectures d'infrastructures à Clés Publiques ».

Irresponsabilité de principe des prestataires En Nouvelle-Calédonie, l’OPT est opérateur de réseaux fixe et mobile. Il n’est pas fournisseur d’accès sur le réseau fixe, mais est considéré en tant que tel sur le réseau mobil.

Activité de transmission : l’opérateur OPT « Toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communication électronique » n’est pas tenue à une obligation générale de surveillance des contenus transportés

L'autorisation de la CNIL

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l'autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende



Activité de fournisseur d’accès : les FAI Les FAI dont « l’activité est d’offrir un accès à des services de communication en ligne». (art.6.I1 LCEN) sont tenus à une obligation de surveillance ciblée (et non générale) afin de concourir à la lutte contre l’apologie des crimes contre l’humanité, l’incitation à la haine raciale, l’apologie des crimes et délais et diffusion d’images pédophiles Ils sont également tenus à une obligation de signalement afin de :

1. Mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données

2. Informer promptement les autorités publiques compétentes de toutes activités illicites qui leur seraient signalées

3. Rendre public les moyens consacrés à la lutte contre cette activité

Activité d’hébergeur : data centers « Personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toutes natures fournis par des destinataires de ces services » (art. 6.I.2.1 LCEN).

Activité de caching : les opérateurs ayant une activité de caching peuvent voir leur responsabilité engagée.

Mais les prestataires techniques sont loin d’être les seuls professionnels concernés, comme l’illustrent, par exemple, les réticences des e-commerçants à sécuriser davantage les modes de paiement destinés à prévenir les fraudes à la carte bancaire malgré l’intérêt que présente ce dispositif, ou encore les réticences de nombre d’organismes bancaires à faire de la publicité concernant ce dernier. Les limites à leur irresponsabilité

Les opérateurs de réseaux sont considérés comme irresponsables à la condition qu’ils ne soient pas à l’origine de la transmission, ne sélectionnent pas le destinataire de la transmission, ni ne modifient les

informations faisant l’objet de la transmission.

Les FAI sont considérés comme irresponsables à la condition qu’ils ne modifient pas l’information et qu’ils se conforment aux conditions d’accès à l’information et aux règles de mise à jour.

Les hébergeurs de données sont considérés comme irresponsables à la condition qu’ils n’aient pas connaissance de leur caractère illicite ou de faits ou circonstances faisant apparaître ce caractère. Dès l’instant où ils en ont connaissance, ils doivent agir promptement pour retirer ces données ou en rendre l’accès impossible.

Ce que nous révèle l’expérience…10 ans après

Le rôle ‘passif’ des intermédiaires est mis en doute, compte tenu des capacités de filtrage à des fins économiques.

Ils peuvent aisément manipuler les données personnelles, allant au-delà de la réglementation relative à la protection de la vie privée

Ils participent, favorisent, l’accessibilité des contenus contraires aux lois.

Les institutions (légales, pénales et judicaires), se mobilisent de plus en plus pour soutenir la prévention ou réprimer les infractions commises via Internet.

« La voie à prendre pour éviter toute dérive est la

coopération publique/privée sur une base partenariale » précise la juriste.

Pour aller plus loin ... Les « 10 commandements » de gestion des cyber-menaces pour une organisation

1. Anticiper la gestion des cyber-risques par des plans, des audits, des formations

2. Identifier les traitements de données personnelles (avec les organisations informatiques, juridiques et opérationnelles) et les manquements à la loi informatique et libertés

3. Présenter son plan d’actions à la DG/Présidence qui hiérarchise les mesures à mettre en place (et s’implique…)



4. Déclarer les traitements à la CNIL (de manière centralisée ou non) ou sur le registre si CIL

5. Conserver et centraliser la trace de toutes les déclarations et les classer en un seul endroit

6. Proposer des méthodes de collecte de données et d’information praticables par les collaborateurs, formaliser les pratiques retenues (fiches pratiques, note d’information, clause-type, contrat de sous-traitance, partenariat, support de formation)

7. Informer les personnes « fichées » 8. Rendre effectif le droit d’accès aux

personnes « fichées » (définir une procédure de gestion des courriers CNIL garantissant une réponse satisfaisante et rapide aux demandes formulées par la CNIL)

9. Respecter les principes et engagements définis

10. Participer à des relais publics/privés officiels basés sur un partenariat

Lien légifrance : http://www.legifrance.gouv.fr/

***************************

***************************

www.observatoire–numerique.nc

***************************

Liens présentations (Pdf) :

ENJEUX & RISQUES DES CYBER-MENACES

>Eric OLIVIER : Indicateurs repères, et référentiels >Charles BIONDI : Panorama des cyber-menaces pour les états, les entreprises, les particuliers

COMMENT LES UTILISATEURS SE

PROTEGENT-ILS DES CYBER-MENACES ?

>Mathieu DURET : La cyber-sécurité interne et externe des échanges de données pour une entreprise internationale >Marc PINEL : Mesures et menaces sur les données

DE LA PROTECTION A LA SANCTION

>Iohann GUIGUET : Actions de la Gendarmerie au niveau national et local >Romain PETITIJEAN : Panorama des solutions de sécurité informatique pour les PME-PMI >Alain COCCONI : Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité

>Christel CHAUVEAU-SIMIOL : Cadre réglementaire : obligations et limites

http://www.legifrance.gouv.fr/

http://www.observatoire–numerique.nc/

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation2-e_olivier.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation1-ch.biondi.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation1-ch.biondi.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation3-m_duret.pdf



http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation5-pm_pinel.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation5-pm_pinel.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation6-i_guiguet.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation6-i_guiguet.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation7-r_petitjean.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation7-r_petitjean.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation8-a_cocconi.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation8-a_cocconi.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation9-ch_chauveau-simiol.pdf

http://www.observatoire-numerique.nc/sites/default/files/pdf/echanger/cybermenaces-presentation9-ch_chauveau-simiol.pdf

RESTITUTION D’EVENEMENT...et les questions clés posées par les cyber-menaces : Le cyberespace...

Documents

Transcript of RESTITUTION D’EVENEMENT...et les questions clés posées par les cyber-menaces : Le cyberespace...