cybercriminalité: menaces et parades

RÉUNION MENSUELLEMardi 17 novembre 2015

L’IFACI est affilié àThe Institute of Internal Auditors

Cybercriminalité:menaces et parades

Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2

Présentation des intervenants

• Christophe LEMILLE,Chef de mission Audit IT, MACIF

• Fabrice NAFTALSKI,Avocat associé, EY Société d’avocats

• Philippe HERVIAS,Directeur, IS Audit, SANOFI


Déroulé

• Définition des termes et notions, état de lamenace

• Les aspects juridiques et réglementaires

• Les lignes de défense et l’Audit


RÉUNION MENSUELLEMardi 17 Novembre 2015


Christophe LEMILLE,Chef de mission Audit IT,MACIF


Définition

• Définition de la cybercriminalité (1) :« Toutes infractions pénales tentées ou commises àl’encontre ou au moyen d’un système d’information etde communication, principalement Internet. »

• Spécificités d’une cyber attaque (2):– Invisible, ou difficile à identifier– Étendue difficile à évaluer– Expertises et compétences techniques multiples

Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014)(2) Rapport CIGREF-INHESJ - Cellule de crise – 2015


Exemples de cybermenaces

• Porte dérobée (backdoor)• Attaque par force brute (brute force)• Dépassement de mémoire tampon (buffer overflow)• Injection de codes indirecte (XSS) et injection SQL• Déni de service (DoS)• Attaque de l’homme du milieu (MiTM)• Hameçonnage et harponnage (phishing)• Usurpation (spoofing)• Attaque jour zéro (zero day exploit)• Menaces avancées persistantes (APT)

Source : ISACA, Cybersecurity fundamentals study guide - 2015


Les acteurs de cybermenaces

• Cyber criminels de droit commun:ØDélinquants sexuelsØCyber violentsØCyber escrocs

• Cyber criminels visant les entités étatiques et lesopérateurs d’importance vitale (OIV)

ØCyber mercenairesØCyber espionsØCyber terroristes

Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)


Les acteurs de cyber menacesAgent de Menace Motivation Compétence Technologie Expertise Utilisation

d'outils

Script Kiddies Intérêtpersonnel Faible Faible Faible Sans

Hackers Intérêtpersonnel Faible Faible Faible Sans

Employés Intérêtpersonnel Faible Faible Faible Sans

Cyber espionsd'états

Avantageconcurrentiel Forte Forte Forte Avec

Cyber espionsd'entreprises

Avantageconcurrentiel Forte Forte Forte Avec

Hacktivistes Sociale Forte Forte Forte Avec

Cyber terroristes Idéologique Forte Forte Forte Avec

Cyber criminels Profit Forte Forte Forte Avec

Cyber guerriers Identitaire Forte Forte Forte AvecSource : ISACA : Cybersecurity Fundamentals Study Guide 2015


Evolutions des cybermenaces

• Augmentation mondiale 2014 / 2013 (1) :– En nombre : + 120%– En coût pour les entreprises : + 10%

• Evénements marquants de 2014 (2)– Des attaques plus fréquentes– Des attaques plus sophistiquées– Des attaques visant la cryptographie– Cyber espionnage– Des escroqueries plus nombreuses

• Un risque de cyber intrusions en hausse– Deep Web et Darknets

Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015(2) CERT-IST Bilan 2014 des failles et attaques – mars 2015


Evolutions des cybermenaces

Source : ISACA, Cybersecurity fundamentals study guide - 2015

Ris

que

Ressources / sophistication

Scrip

tKi

ddie

sH

acke

rsH

acke

rsC

yber

crim

inel

s

Attaquesd’Etats

Attaquesd’entreprises

Attaquessophistiquées

Attaquessimples

Argent

Intérêtpersonnel

EspionnageCyber guerre

AmusementNuisance

1980/1990 2012

Menaces avancées persistantes (APT)




Fabrice NAFTALSKI,Avocat associé,EY Société d’avocats


I – Cadre légal de la cybercriminalité


Cadre légal de lacybercriminalité

• Un cadre légal relativement riche en termes d’infractions de cybercriminalité

• Les principaux textes* sont :– Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et

Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loiprotégeant les données à caractère personnel (cf. partie 3)

– Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loisanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitementautomatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015-912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition desinfractions et qui aggrave les peines d’amende

– Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmationmilitaire » :

• Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France parune loi du 19 mai 2005.

– 3 objectifs :• Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique,

atteinte à l’intégrité du système…)• Adaptation des législations nationales au niveau de la procédure pénale appliquée à la

cybercriminalité• Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire

• * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, ledispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …


II – Les obligations applicables àtoutes les entreprises


La protection dusavoir-faire

• Protection du savoir faire– Définition du savoir-faire:

► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est :► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il

remplit les conditions de secret et de substantialité. »Règlement Européen no 316/2014 du 21 mars 2014

– Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiquescontractuelles, techniques et organisationnelles

– Savoir-faire et droit de la concurrence :• Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des

informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligationsréciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commissioneuropéenne COMP/M.2830 du 25 octobre 2002 GF-X)

– Secret de fabrique• L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du

travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’unsecret de fabrique.

• La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénalen’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractèreindustriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabriquedemeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprisetitulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considéréescomme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule unepersonne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle


Sécurité des traitements &Notification des failles de sécurité

• Protection des données personnelles et Loi Informatiqueet Libertés :

– Obligation légale pénalement sanctionnée par la loiInformatique et Libertés s’agissant des donnéespersonnelles, le niveau de sécurité requis étantproportionnellement plus exigeant en fonction de lasensibilité du traitement (entendu comme atteinte à lavie privée) ou de règles sectorielles (secret médical,secret bancaire)

– Cette obligation va être renforcée par le futur règlementsur la protection des données (infra)


Sécurité des traitements &Notification des failles de sécuritéCadre légal actuel Projet de règlement

► Obligation de sécurité incombant au responsable detraitement:

► Mettre en place des mesures appropriées desécurité et de confidentialité contre:

► L’accès et la communication non autorisés

► La destruction et la perte accidentelles ouillicites

► L’altération des données

► Toute autre forme de traitement irrégulier

► Mettre en place des mesures de sécuritéphysique et logique par exemple:

► Accès réservés aux personnes ayant vocationà y avoir accès au regard des missionsconfiées

► Accès aux données via login/mot de passe

► Mesures de cryptage

► Accord de confidentialité

► Etc.

► Obligation de sécurité incombant à la fois auresponsable de traitement et au sous-traitant:

► Le responsable de traitement et le soustraitant doivent prendre de mesurestechniques et organisationnelles appropriées:

► A la suite d’une évaluation des risques

► En fonction des techniques les plus récentes

► En fonction des coûts liés à leur mise en œuvre;

► Au regard des risques présentés par le traitement

► En fonction de la nature des données à protéger

► Obligation de sécurité renforcée en cas traitement dedonnées sensibles

► Possibilité pour l’autorité locale de contrôler si un soustraitant respecte bien les obligations de sécurité qui luiincombent


Sécurité des traitements &Notification des failles de sécurité

Cadre légal actuel Projet de règlement► Obligation de notifier les failles de sécurité à la

CNIL limitée aux fournisseurs d’accès responsablede traitement;

Le fournisseur d’accès responsable de traitement estdispensée de cette obligation si il prouve qu’il a mis en œuvredes mesures appropriées pour rendre inintelligible lesdonnées personnelles concernées par la faille.

Ø Obligations de notification des failles de sécurité *des donnéesexposant les personnes concernées à un risque élevé au regardde leur droits et libertés, étendue à tous les responsables detraitement; la notification contiendra:

► Les catégories de données concernées

► Les conséquences de la violation de données

► Les mesures prises pour y remédier

► Obligation pour les sous-traitants d’alerter et d’informer leresponsable de traitement de l’existence d’une faille desécurité;

► Obligation pour le responsable de traitement d’alerter lapersonne concernée de l’existence d’une faille de sécurité, sicette faille porte atteinte :

► A La protection des données à caractère personnel;

► A La vie privée;

► Aux droits et aux intérêts légitimes de la personne concernée.

Cette communication n’est pas obligatoire: Si le responsable detraitement prouve qu’il a bien mis en œuvre des mesures deprotection appropriées alors *Si elle risque d’entrainer desmesures disproportionnées Si elle risque de porter atteinte à unintérêt public important»

*Modificationsdu Conseil del’unioneuropéenne


III – Les obligations des OIV


Notion d’OIV

• Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 etsuivants du Code de la défense

• Notion d’Opérateurs d’Importance Vitale (OIV) :– Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont

l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécuritéou la capacité de survie de la nation (Article L. 1332-1 Code de la défense)

– Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installationnucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie decertaines installations de ces établissements peut présenter un danger grave pour la population (Article L.1332-2 Code de la défense)

• Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de ladéfense)

• Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui– Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des

besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement del'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sontdifficilement substituables ou remplaçables;

– Ou peuvent présenter un danger grave pour la population.


Obligations des OIV (articles R 1332-1 etsuivants du Code de la défense)

• Le Premier ministre fixe les règles de sécurité nécessaires à la protection dessystèmes d’information de ces entités

• Coopération avec les institutions gouvernementales :– Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant

la politique générale de protection des établissements, ouvrages ou installations, notammentceux organisés en réseau

– Obligation de conclure une convention avec le service de l’Etat ou le prestataire de servicechargé d’exploiter les systèmes de détection

– Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmesd’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ontconnaissance, et de répondre aux demandes d’information de l’ANSSI

– Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et sesoumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier leniveau de sécurité et le respect des règles de sécurité


La proposition de directive européenne etles obligations des opérateursd’infrastructures essentielles

• Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées àassurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union,amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’unniveau de sécurité minimum

• Opérateurs concernés :– Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales

dans une liste de secteurs déterminés– Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux

sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont étésupprimés de la version amendée

– Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2millions d’euros) → définition plus restreinte que celle française

• Secteurs considérés comme « essentiels » :– Energie,– Transports,– Services bancaires– Infrastructures de marché financiers– Soins de santé


La proposition de directive européenne etles obligations des opérateursd’infrastructures essentielles

• Obligations similaires à la Loi de programmation militaire française :– Obligation de fournir à l’autorité compétente les informations nécessaires à

l’évaluation de la mise en œuvre effective des politiques de sécurité, notammentpar un audit de sécurité

– Obligation de prendre les mesures techniques et organisationnelles nécessaireset proportionnées pour détecter et gérer efficacement les risques qui menacentla sécurité des réseaux et systèmes informatiques

– Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un« impact significatif » sur la sécurité des services essentiels. Possibilitéd’informer le public s’il est dans l’intérêt général de divulguer les informationsrelatives à l’incident

• Actuellement, discussions en trilogue :– Un accord entre le Parlement et le Conseil a été trouvé sur les principes

essentiels du projet de directive le 29 juin 2015, au cours de la quatrièmeréunion du trilogue

– Les négociations continuent au second semestre 2015


Quelques mots deconclusion

• Le droit comparé ?• La cybersurveillance au regard des

libertés fondamentales ?• Quelques mots sur la loi relative au

renseignement de Juillet 2015



Philippe HERVIAS,Directeur, IS AuditSANOFI


AGENDA

1. Un modèle de chaine de gestion des risquesa. Vue d’ensembleb. Rôles et responsabilités des opérationnels SIc. Les leviers d’action de l’Audit Interne

2. Les contrôles classiques de sécurité SI3. Les contrôles spécifiques à la cyber sécurité4. La couverture du cyber risque5. Conclusion


Un modèle de chaine de gestiondes risques - vue d’ensemble

As defined by the European Confederation of Institutes of Internal Auditing

*

*


Un modèle de chaine de gestiondes risques – Opérationnels SI

• Première ligne de maîtrise– Mise en œuvre et exploitation des dispositifs

techniques (de protection, de détection,paramétrage systèmes, documentation…)

• Deuxième ligne de maîtrise– Politiques d’usage et de mise en œuvre (prise

en compte des lois et réglementations,référentiel de contrôle interne…)

– Suivi de la mise en œuvre et du maintien despréconisations par les opérationnels


Un modèle de chaine de gestiondes risques – l’Audit Interne

• Analyse et hiérarchisation des risques• Analyse de la pertinence et du niveau de

maturité des premières lignes• Contrôle du design et de la mise en œuvre

des processus et des solutions– Cadre de contrôle interne + référentiel Audit– Tests substantifs de robustesse

• Evaluation des schémas organisationnels


Les contrôles classiquesde sécurité SI

• Fondamentaux TI– durcissement, correctifs, journaux d’activité…– antivirus, chiffrement…

• Gestion des accès au SI– gestion des comptes, habilitation, droits

d’accès, authentification…

• Protection périmétrique et réseau– firewalls– IDS


Les contrôles spécifiquesà la cyber sécurité

• Moyens de détection (SIEM…)

– exploitation des journaux d’activité système– exploitation des évènements révélés par les

équipements de protection (FW/ IDS)

– mise en corrélation des événements collectés

• Moyens de réaction– organisation– procédures


La couverture du cyberrisque

• Limites de ces contrôles– ressources affectées aux moyens de protection

sous contrainte (limites budgetaires)

– capacité incertaine de contention d’une cyberattaque ciblée et déterminée menée par desacteurs puissants (organisations terroriste ou d’état)

• Moyens complémentaires– souscrire une assurance en couverture du

risque financier de perte potentielle d’actifsmatériels et immatériels


Pour conclure

• Niveau d’assurance limité pour lesdirections générales

• Nécessité d’une première ligneopérationnelle sécurité SI efficace

• Besoin d’une deuxième ligne pertinente etrobuste en sécurité des SI

• Une organisation Audit Interne adaptée etplurielle (experts sécurité SI, généralistes,spécialistes du SI ou de la Fraude)

Questions / Réponses



cybercriminalité: menaces et parades

Technology