SlideShare une entreprise Scribd logo

Cybercriminalité: menaces et parades

Antoine Vigneron
Antoine Vigneron

Cybercriminalité: menaces et parades

Technologie
1  sur  34
Télécharger pour lire hors ligne
RÉUNION MENSUELLE Mardi 17 novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2 Présentation des intervenants • Christophe LEMILLE, Chef de mission Audit IT, MACIF • Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats • Philippe HERVIAS, Directeur, IS Audit, SANOFI
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°3 Déroulé • Définition des termes et notions, état de la menace • Les aspects juridiques et réglementaires • Les lignes de défense et l’Audit
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°4 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Christophe LEMILLE, Chef de mission Audit IT, MACIF
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°5 Définition • Définition de la cybercriminalité (1) : « Toutes infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet. » • Spécificités d’une cyber attaque (2): – Invisible, ou difficile à identifier – Étendue difficile à évaluer – Expertises et compétences techniques multiples Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014) (2) Rapport CIGREF-INHESJ - Cellule de crise – 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°6 Exemples de cyber menaces • Porte dérobée (backdoor) • Attaque par force brute (brute force) • Dépassement de mémoire tampon (buffer overflow) • Injection de codes indirecte (XSS) et injection SQL • Déni de service (DoS) • Attaque de l’homme du milieu (MiTM) • Hameçonnage et harponnage (phishing) • Usurpation (spoofing) • Attaque jour zéro (zero day exploit) • Menaces avancées persistantes (APT) Source : ISACA, Cybersecurity fundamentals study guide - 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°7 Les acteurs de cyber menaces • Cyber criminels de droit commun: ØDélinquants sexuels ØCyber violents ØCyber escrocs • Cyber criminels visant les entités étatiques et les opérateurs d’importance vitale (OIV) ØCyber mercenaires ØCyber espions ØCyber terroristes Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°8 Les acteurs de cyber menaces Agent de Menace Motivation Compétence Technologie Expertise Utilisation d'outils Script Kiddies Intérêt personnel Faible Faible Faible Sans Hackers Intérêt personnel Faible Faible Faible Sans Employés Intérêt personnel Faible Faible Faible Sans Cyber espions d'états Avantage concurrentiel Forte Forte Forte Avec Cyber espions d'entreprises Avantage concurrentiel Forte Forte Forte Avec Hacktivistes Sociale Forte Forte Forte Avec Cyber terroristes Idéologique Forte Forte Forte Avec Cyber criminels Profit Forte Forte Forte Avec Cyber guerriers Identitaire Forte Forte Forte Avec Source : ISACA : Cybersecurity Fundamentals Study Guide 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°9 Evolutions des cyber menaces • Augmentation mondiale 2014 / 2013 (1) : – En nombre : + 120% – En coût pour les entreprises : + 10% • Evénements marquants de 2014 (2) – Des attaques plus fréquentes – Des attaques plus sophistiquées – Des attaques visant la cryptographie – Cyber espionnage – Des escroqueries plus nombreuses • Un risque de cyber intrusions en hausse – Deep Web et Darknets Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015 (2) CERT-IST Bilan 2014 des failles et attaques – mars 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°10 Evolutions des cyber menaces Source : ISACA, Cybersecurity fundamentals study guide - 2015 Risque Ressources / sophistication Script KiddiesHackersHackersCybercriminels Attaques d’Etats Attaques d’entreprises Attaques sophistiquées Attaques simples Argent Intérêt personnel Espionnage Cyber guerre Amusement Nuisance 1980/1990 2012 Menaces avancées persistantes (APT)
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°11 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°12 I – Cadre légal de la cybercriminalité
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°13 Cadre légal de la cybercriminalité • Un cadre légal relativement riche en termes d’infractions de cybercriminalité • Les principaux textes* sont : – Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loi protégeant les données à caractère personnel (cf. partie 3) – Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loi sanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitement automatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015- 912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition des infractions et qui aggrave les peines d’amende – Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmation militaire » : • Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001 sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France par une loi du 19 mai 2005. – 3 objectifs : • Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique, atteinte à l’intégrité du système…) • Adaptation des législations nationales au niveau de la procédure pénale appliquée à la cybercriminalité • Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire • * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, le dispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°14 II – Les obligations applicables à toutes les entreprises
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°15 La protection du savoir-faire • Protection du savoir faire – Définition du savoir-faire: ► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est : ► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible ► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et ► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il remplit les conditions de secret et de substantialité. » Règlement Européen no 316/2014 du 21 mars 2014 – Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiques contractuelles, techniques et organisationnelles – Savoir-faire et droit de la concurrence : • Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligations réciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commission européenne COMP/M.2830 du 25 octobre 2002 GF-X) – Secret de fabrique • L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’un secret de fabrique. • La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénale n’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractère industriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabrique demeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprise titulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considérées comme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule une personne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°16 Sécurité des traitements & Notification des failles de sécurité • Protection des données personnelles et Loi Informatique et Libertés : – Obligation légale pénalement sanctionnée par la loi Informatique et Libertés s’agissant des données personnelles, le niveau de sécurité requis étant proportionnellement plus exigeant en fonction de la sensibilité du traitement (entendu comme atteinte à la vie privée) ou de règles sectorielles (secret médical, secret bancaire) – Cette obligation va être renforcée par le futur règlement sur la protection des données (infra)
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°17 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de sécurité incombant au responsable de traitement: ► Mettre en place des mesures appropriées de sécurité et de confidentialité contre: ► L’accès et la communication non autorisés ► La destructionet la perte accidentellesou illicites ► L’altération des données ► Toute autre forme de traitement irrégulier ► Mettre en place des mesures de sécurité physique et logique par exemple: ► Accès réservés aux personnes ayant vocation à y avoir accès au regard des missions confiées ► Accès aux données via login/mot de passe ► Mesures de cryptage ► Accord de confidentialité ► Etc. ► Obligation de sécurité incombant à la fois au responsable de traitement et au sous-traitant: ► Le responsable de traitement et le sous traitant doivent prendre de mesures techniques et organisationnelles appropriées: ► A la suite d’une évaluation des risques ► En fonction des techniquesles plus récentes ► En fonction des coûts liés à leur mise en œuvre; ► Au regard des risques présentéspar le traitement ► En fonction de la nature des données à protéger ► Obligation de sécurité renforcée en cas traitement de données sensibles ► Possibilité pour l’autorité locale de contrôler si un sous traitant respecte bien les obligations de sécurité qui lui incombent
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°18 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de notifier les failles de sécurité à la CNIL limitée aux fournisseurs d’accès responsable de traitement; Le fournisseur d’accès responsable de traitement est dispensée de cette obligation si il prouve qu’il a mis en œuvre des mesures appropriées pour rendre inintelligibleles données personnelles concernées par la faille. Ø Obligations de notification des failles de sécurité *des données exposant les personnes concernées à un risque élevé au regard de leur droits et libertés, étendue à tous les responsables de traitement; la notification contiendra: ► Les catégories de données concernées ► Les conséquences de la violationde données ► Les mesures prises pour y remédier ► Obligation pour les sous-traitants d’alerter et d’informer le responsable de traitement de l’existence d’une faille de sécurité; ► Obligation pour le responsable de traitement d’alerter la personne concernée de l’existence d’une faille de sécurité, si cette faille porte atteinte : ► A La protection des données à caractère personnel; ► A La vie privée; ► Aux droits et aux intérêts légitimes de la personne concernée. Cette communication n’est pas obligatoire:Si le responsable de traitement prouve qu’il a bien mis en œuvre des mesures de protection appropriées alors *Si elle risque d’entrainer des mesures disproportionnéesSi elle risque de porter atteinte à un intérêt public important» *Modifications du Conseil de l’union européenne
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°19 III – Les obligations des OIV
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°20 Notion d’OIV • Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 et suivants du Code de la défense • Notion d’Opérateurs d’Importance Vitale (OIV) : – Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (Article L. 1332-1 Code de la défense) – Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installation nucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population (Article L. 1332-2 Code de la défense) • Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de la défense) • Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui – Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables; – Ou peuvent présenter un danger grave pour la population.
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°21 Obligations des OIV (articles R 1332-1 et suivants du Code de la défense) • Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information de ces entités • Coopération avec les institutions gouvernementales : – Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant la politique générale de protection des établissements, ouvrages ou installations, notamment ceux organisés en réseau – Obligation de conclure une convention avec le service de l’Etat ou le prestataire de service chargé d’exploiter les systèmes de détection – Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ont connaissance, et de répondre aux demandes d’information de l’ANSSI – Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et se soumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier le niveau de sécurité et le respect des règles de sécurité
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°22 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union, amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’un niveau de sécurité minimum • Opérateurs concernés : – Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales dans une liste de secteurs déterminés – Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont été supprimés de la version amendée – Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2 millions d’euros) → définition plus restreinte que celle française • Secteurs considérés comme « essentiels » : – Energie, – Transports, – Services bancaires – Infrastructures de marché financiers – Soins de santé
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°23 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Obligations similaires à la Loi de programmation militaire française : – Obligation de fournir à l’autorité compétente les informations nécessaires à l’évaluation de la mise en œuvre effective des politiques de sécurité, notamment par un audit de sécurité – Obligation de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques – Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un « impact significatif » sur la sécurité des services essentiels. Possibilité d’informer le public s’il est dans l’intérêt général de divulguer les informations relatives à l’incident • Actuellement, discussions en trilogue : – Un accord entre le Parlement et le Conseil a été trouvé sur les principes essentiels du projet de directive le 29 juin 2015, au cours de la quatrième réunion du trilogue – Les négociations continuent au second semestre 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°24 Quelques mots de conclusion • Le droit comparé ? • La cybersurveillance au regard des libertés fondamentales ? • Quelques mots sur la loi relative au renseignement de Juillet 2015
RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Philippe HERVIAS, Directeur, IS Audit SANOFI
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°26 AGENDA 1. Un modèle de chaine de gestion des risques a. Vue d’ensemble b. Rôles et responsabilités des opérationnels SI c. Les leviers d’action de l’Audit Interne 2. Les contrôles classiques de sécurité SI 3. Les contrôles spécifiques à la cyber sécurité 4. La couverture du cyber risque 5. Conclusion
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°27 Un modèle de chaine de gestion des risques - vue d’ensemble As defined by the European Confederation of Institutes of Internal Auditing * *
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°28 Un modèle de chaine de gestion des risques – Opérationnels SI • Première ligne de maîtrise – Mise en œuvre et exploitation des dispositifs techniques (de protection, de détection, paramétrage systèmes, documentation…) • Deuxième ligne de maîtrise – Politiques d’usage et de mise en œuvre (prise en compte des lois et réglementations, référentiel de contrôle interne…) – Suivi de la mise en œuvre et du maintien des préconisations par les opérationnels
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°29 Un modèle de chaine de gestion des risques – l’Audit Interne • Analyse et hiérarchisation des risques • Analyse de la pertinence et du niveau de maturité des premières lignes • Contrôle du design et de la mise en œuvre des processus et des solutions – Cadre de contrôle interne + référentiel Audit – Tests substantifs de robustesse • Evaluation des schémas organisationnels
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°30 Les contrôles classiques de sécurité SI • Fondamentaux TI – durcissement, correctifs, journaux d’activité… – antivirus, chiffrement… • Gestion des accès au SI – gestion des comptes, habilitation, droits d’accès, authentification… • Protection périmétrique et réseau – firewalls – IDS
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°31 Les contrôles spécifiques à la cyber sécurité • Moyens de détection (SIEM…) – exploitation des journaux d’activité système – exploitation des évènements révélés par les équipements de protection (FW/ IDS) – mise en corrélation des événements collectés • Moyens de réaction – organisation – procédures
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°32 La couverture du cyber risque • Limites de ces contrôles – ressources affectées aux moyens de protection sous contrainte (limites budgetaires) – capacité incertaine de contention d’une cyber attaque ciblée et déterminée menée par des acteurs puissants (organisations terroriste ou d’état) • Moyens complémentaires – souscrire une assurance en couverture du risque financier de perte potentielle d’actifs matériels et immatériels
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°33 Pour conclure • Niveau d’assurance limité pour les directions générales • Nécessité d’une première ligne opérationnelle sécurité SI efficace • Besoin d’une deuxième ligne pertinente et robuste en sécurité des SI • Une organisation Audit Interne adaptée et plurielle (experts sécurité SI, généralistes, spécialistes du SI ou de la Fraude)
Questions / Réponses RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors

Recommandé

Zoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéZoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéGerard Haas
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Omc201409
Omc201409Omc201409
Omc201409tfares1
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCommonwealth Telecommunications Organisation
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012François Sopin, CISSP
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 

Recommandé

Zoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéZoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéGerard Haas
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Omc201409
Omc201409Omc201409
Omc201409tfares1
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCommonwealth Telecommunications Organisation
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012François Sopin, CISSP
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciRadouane Mrabet
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéColloqueRISQ
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueFrancois-Xavier DJIMGOU
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectésAntoine Vigneron
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTechnologies
 
La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectiveswallace04
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
User centric security
User centric securityUser centric security
User centric securityAlain EJZYN
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpdPersonal Interactor
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprisemariejura
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCM-Paloma
 

Contenu connexe

Tendances

Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciRadouane Mrabet
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéColloqueRISQ
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueFrancois-Xavier DJIMGOU
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTechnologies
 
La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectiveswallace04
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
User centric security
User centric securityUser centric security
User centric securityAlain EJZYN
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprisemariejura
 

Tendances (20)

Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécurité
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
User centric security
User centric securityUser centric security
User centric security
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange Group
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
 

En vedette

Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCM-Paloma
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceL'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceAntoine Vigneron
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitaleAntoine Vigneron
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteAntoine Vigneron
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simpliciteAntoine Vigneron
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeAntoine Vigneron
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numériqueAntoine Vigneron
 
Gouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAGouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAAntoine Vigneron
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéAntoine Vigneron
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Cybercrime.ppt
Cybercrime.pptCybercrime.ppt
Cybercrime.pptAeman Khan
 
COLLOQUE GREC-O Systémique, Complexité,
COLLOQUE GREC-O Systémique, Complexité,COLLOQUE GREC-O Systémique, Complexité,
COLLOQUE GREC-O Systémique, Complexité,OPcyberland
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015Antoine Vigneron
 
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...Calimaq S.I.Lex
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 

En vedette (20)

Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMC
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceL'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-Provence
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
 
Gouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAGouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSA
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Cybercrime.ppt
Cybercrime.pptCybercrime.ppt
Cybercrime.ppt
 
CAMERA
CAMERACAMERA
CAMERA
 
COLLOQUE GREC-O Systémique, Complexité,
COLLOQUE GREC-O Systémique, Complexité,COLLOQUE GREC-O Systémique, Complexité,
COLLOQUE GREC-O Systémique, Complexité,
 
New Poster
New PosterNew Poster
New Poster
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
 
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 

Similaire à Cybercriminalité: menaces et parades

La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILStéphanie Roger
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevenslecointe666
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESmcperthuis
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Ch3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_introCh3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_introRadouane Mrabet
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberComsoce
 
La RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain PothinLa RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain PothinaOS Community
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3PRONETIS
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !SecludIT
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouardCyril Marsaud
 

Similaire à Cybercriminalité: menaces et parades (20)

CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevens
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Ch3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_introCh3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_intro
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyber
 
La RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain PothinLa RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain Pothin
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
 
Apercu
ApercuApercu
Apercu
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard
 

Plus de Antoine Vigneron

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesAntoine Vigneron
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASAntoine Vigneron
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notairesAntoine Vigneron
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?Antoine Vigneron
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@PostAntoine Vigneron
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreAntoine Vigneron
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...Antoine Vigneron
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieAntoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraAntoine Vigneron
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big dataAntoine Vigneron
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 

Plus de Antoine Vigneron (18)

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital era
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big data
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 

Cybercriminalité: menaces et parades

  • 1. RÉUNION MENSUELLE Mardi 17 novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Cybercriminalité: menaces et parades
  • 2. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2 Présentation des intervenants • Christophe LEMILLE, Chef de mission Audit IT, MACIF • Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats • Philippe HERVIAS, Directeur, IS Audit, SANOFI
  • 3. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°3 Déroulé • Définition des termes et notions, état de la menace • Les aspects juridiques et réglementaires • Les lignes de défense et l’Audit
  • 4. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°4 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Christophe LEMILLE, Chef de mission Audit IT, MACIF
  • 5. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°5 Définition • Définition de la cybercriminalité (1) : « Toutes infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet. » • Spécificités d’une cyber attaque (2): – Invisible, ou difficile à identifier – Étendue difficile à évaluer – Expertises et compétences techniques multiples Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014) (2) Rapport CIGREF-INHESJ - Cellule de crise – 2015
  • 6. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°6 Exemples de cyber menaces • Porte dérobée (backdoor) • Attaque par force brute (brute force) • Dépassement de mémoire tampon (buffer overflow) • Injection de codes indirecte (XSS) et injection SQL • Déni de service (DoS) • Attaque de l’homme du milieu (MiTM) • Hameçonnage et harponnage (phishing) • Usurpation (spoofing) • Attaque jour zéro (zero day exploit) • Menaces avancées persistantes (APT) Source : ISACA, Cybersecurity fundamentals study guide - 2015
  • 7. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°7 Les acteurs de cyber menaces • Cyber criminels de droit commun: ØDélinquants sexuels ØCyber violents ØCyber escrocs • Cyber criminels visant les entités étatiques et les opérateurs d’importance vitale (OIV) ØCyber mercenaires ØCyber espions ØCyber terroristes Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)
  • 8. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°8 Les acteurs de cyber menaces Agent de Menace Motivation Compétence Technologie Expertise Utilisation d'outils Script Kiddies Intérêt personnel Faible Faible Faible Sans Hackers Intérêt personnel Faible Faible Faible Sans Employés Intérêt personnel Faible Faible Faible Sans Cyber espions d'états Avantage concurrentiel Forte Forte Forte Avec Cyber espions d'entreprises Avantage concurrentiel Forte Forte Forte Avec Hacktivistes Sociale Forte Forte Forte Avec Cyber terroristes Idéologique Forte Forte Forte Avec Cyber criminels Profit Forte Forte Forte Avec Cyber guerriers Identitaire Forte Forte Forte Avec Source : ISACA : Cybersecurity Fundamentals Study Guide 2015
  • 9. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°9 Evolutions des cyber menaces • Augmentation mondiale 2014 / 2013 (1) : – En nombre : + 120% – En coût pour les entreprises : + 10% • Evénements marquants de 2014 (2) – Des attaques plus fréquentes – Des attaques plus sophistiquées – Des attaques visant la cryptographie – Cyber espionnage – Des escroqueries plus nombreuses • Un risque de cyber intrusions en hausse – Deep Web et Darknets Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015 (2) CERT-IST Bilan 2014 des failles et attaques – mars 2015
  • 10. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°10 Evolutions des cyber menaces Source : ISACA, Cybersecurity fundamentals study guide - 2015 Risque Ressources / sophistication Script KiddiesHackersHackersCybercriminels Attaques d’Etats Attaques d’entreprises Attaques sophistiquées Attaques simples Argent Intérêt personnel Espionnage Cyber guerre Amusement Nuisance 1980/1990 2012 Menaces avancées persistantes (APT)
  • 11. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°11 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats
  • 12. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°12 I – Cadre légal de la cybercriminalité
  • 13. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°13 Cadre légal de la cybercriminalité • Un cadre légal relativement riche en termes d’infractions de cybercriminalité • Les principaux textes* sont : – Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loi protégeant les données à caractère personnel (cf. partie 3) – Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loi sanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitement automatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015- 912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition des infractions et qui aggrave les peines d’amende – Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmation militaire » : • Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001 sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France par une loi du 19 mai 2005. – 3 objectifs : • Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique, atteinte à l’intégrité du système…) • Adaptation des législations nationales au niveau de la procédure pénale appliquée à la cybercriminalité • Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire • * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, le dispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …
  • 14. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°14 II – Les obligations applicables à toutes les entreprises
  • 15. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°15 La protection du savoir-faire • Protection du savoir faire – Définition du savoir-faire: ► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est : ► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible ► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et ► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il remplit les conditions de secret et de substantialité. » Règlement Européen no 316/2014 du 21 mars 2014 – Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiques contractuelles, techniques et organisationnelles – Savoir-faire et droit de la concurrence : • Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligations réciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commission européenne COMP/M.2830 du 25 octobre 2002 GF-X) – Secret de fabrique • L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’un secret de fabrique. • La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénale n’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractère industriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabrique demeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprise titulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considérées comme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule une personne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle
  • 16. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°16 Sécurité des traitements & Notification des failles de sécurité • Protection des données personnelles et Loi Informatique et Libertés : – Obligation légale pénalement sanctionnée par la loi Informatique et Libertés s’agissant des données personnelles, le niveau de sécurité requis étant proportionnellement plus exigeant en fonction de la sensibilité du traitement (entendu comme atteinte à la vie privée) ou de règles sectorielles (secret médical, secret bancaire) – Cette obligation va être renforcée par le futur règlement sur la protection des données (infra)
  • 17. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°17 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de sécurité incombant au responsable de traitement: ► Mettre en place des mesures appropriées de sécurité et de confidentialité contre: ► L’accès et la communication non autorisés ► La destructionet la perte accidentellesou illicites ► L’altération des données ► Toute autre forme de traitement irrégulier ► Mettre en place des mesures de sécurité physique et logique par exemple: ► Accès réservés aux personnes ayant vocation à y avoir accès au regard des missions confiées ► Accès aux données via login/mot de passe ► Mesures de cryptage ► Accord de confidentialité ► Etc. ► Obligation de sécurité incombant à la fois au responsable de traitement et au sous-traitant: ► Le responsable de traitement et le sous traitant doivent prendre de mesures techniques et organisationnelles appropriées: ► A la suite d’une évaluation des risques ► En fonction des techniquesles plus récentes ► En fonction des coûts liés à leur mise en œuvre; ► Au regard des risques présentéspar le traitement ► En fonction de la nature des données à protéger ► Obligation de sécurité renforcée en cas traitement de données sensibles ► Possibilité pour l’autorité locale de contrôler si un sous traitant respecte bien les obligations de sécurité qui lui incombent
  • 18. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°18 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de notifier les failles de sécurité à la CNIL limitée aux fournisseurs d’accès responsable de traitement; Le fournisseur d’accès responsable de traitement est dispensée de cette obligation si il prouve qu’il a mis en œuvre des mesures appropriées pour rendre inintelligibleles données personnelles concernées par la faille. Ø Obligations de notification des failles de sécurité *des données exposant les personnes concernées à un risque élevé au regard de leur droits et libertés, étendue à tous les responsables de traitement; la notification contiendra: ► Les catégories de données concernées ► Les conséquences de la violationde données ► Les mesures prises pour y remédier ► Obligation pour les sous-traitants d’alerter et d’informer le responsable de traitement de l’existence d’une faille de sécurité; ► Obligation pour le responsable de traitement d’alerter la personne concernée de l’existence d’une faille de sécurité, si cette faille porte atteinte : ► A La protection des données à caractère personnel; ► A La vie privée; ► Aux droits et aux intérêts légitimes de la personne concernée. Cette communication n’est pas obligatoire:Si le responsable de traitement prouve qu’il a bien mis en œuvre des mesures de protection appropriées alors *Si elle risque d’entrainer des mesures disproportionnéesSi elle risque de porter atteinte à un intérêt public important» *Modifications du Conseil de l’union européenne
  • 19. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°19 III – Les obligations des OIV
  • 20. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°20 Notion d’OIV • Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 et suivants du Code de la défense • Notion d’Opérateurs d’Importance Vitale (OIV) : – Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (Article L. 1332-1 Code de la défense) – Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installation nucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population (Article L. 1332-2 Code de la défense) • Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de la défense) • Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui – Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables; – Ou peuvent présenter un danger grave pour la population.
  • 21. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°21 Obligations des OIV (articles R 1332-1 et suivants du Code de la défense) • Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information de ces entités • Coopération avec les institutions gouvernementales : – Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant la politique générale de protection des établissements, ouvrages ou installations, notamment ceux organisés en réseau – Obligation de conclure une convention avec le service de l’Etat ou le prestataire de service chargé d’exploiter les systèmes de détection – Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ont connaissance, et de répondre aux demandes d’information de l’ANSSI – Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et se soumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier le niveau de sécurité et le respect des règles de sécurité
  • 22. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°22 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union, amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’un niveau de sécurité minimum • Opérateurs concernés : – Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales dans une liste de secteurs déterminés – Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont été supprimés de la version amendée – Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2 millions d’euros) → définition plus restreinte que celle française • Secteurs considérés comme « essentiels » : – Energie, – Transports, – Services bancaires – Infrastructures de marché financiers – Soins de santé
  • 23. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°23 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Obligations similaires à la Loi de programmation militaire française : – Obligation de fournir à l’autorité compétente les informations nécessaires à l’évaluation de la mise en œuvre effective des politiques de sécurité, notamment par un audit de sécurité – Obligation de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques – Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un « impact significatif » sur la sécurité des services essentiels. Possibilité d’informer le public s’il est dans l’intérêt général de divulguer les informations relatives à l’incident • Actuellement, discussions en trilogue : – Un accord entre le Parlement et le Conseil a été trouvé sur les principes essentiels du projet de directive le 29 juin 2015, au cours de la quatrième réunion du trilogue – Les négociations continuent au second semestre 2015
  • 24. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°24 Quelques mots de conclusion • Le droit comparé ? • La cybersurveillance au regard des libertés fondamentales ? • Quelques mots sur la loi relative au renseignement de Juillet 2015
  • 25. RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Philippe HERVIAS, Directeur, IS Audit SANOFI
  • 26. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°26 AGENDA 1. Un modèle de chaine de gestion des risques a. Vue d’ensemble b. Rôles et responsabilités des opérationnels SI c. Les leviers d’action de l’Audit Interne 2. Les contrôles classiques de sécurité SI 3. Les contrôles spécifiques à la cyber sécurité 4. La couverture du cyber risque 5. Conclusion
  • 27. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°27 Un modèle de chaine de gestion des risques - vue d’ensemble As defined by the European Confederation of Institutes of Internal Auditing * *
  • 28. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°28 Un modèle de chaine de gestion des risques – Opérationnels SI • Première ligne de maîtrise – Mise en œuvre et exploitation des dispositifs techniques (de protection, de détection, paramétrage systèmes, documentation…) • Deuxième ligne de maîtrise – Politiques d’usage et de mise en œuvre (prise en compte des lois et réglementations, référentiel de contrôle interne…) – Suivi de la mise en œuvre et du maintien des préconisations par les opérationnels
  • 29. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°29 Un modèle de chaine de gestion des risques – l’Audit Interne • Analyse et hiérarchisation des risques • Analyse de la pertinence et du niveau de maturité des premières lignes • Contrôle du design et de la mise en œuvre des processus et des solutions – Cadre de contrôle interne + référentiel Audit – Tests substantifs de robustesse • Evaluation des schémas organisationnels
  • 30. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°30 Les contrôles classiques de sécurité SI • Fondamentaux TI – durcissement, correctifs, journaux d’activité… – antivirus, chiffrement… • Gestion des accès au SI – gestion des comptes, habilitation, droits d’accès, authentification… • Protection périmétrique et réseau – firewalls – IDS
  • 31. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°31 Les contrôles spécifiques à la cyber sécurité • Moyens de détection (SIEM…) – exploitation des journaux d’activité système – exploitation des évènements révélés par les équipements de protection (FW/ IDS) – mise en corrélation des événements collectés • Moyens de réaction – organisation – procédures
  • 32. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°32 La couverture du cyber risque • Limites de ces contrôles – ressources affectées aux moyens de protection sous contrainte (limites budgetaires) – capacité incertaine de contention d’une cyber attaque ciblée et déterminée menée par des acteurs puissants (organisations terroriste ou d’état) • Moyens complémentaires – souscrire une assurance en couverture du risque financier de perte potentielle d’actifs matériels et immatériels
  • 33. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°33 Pour conclure • Niveau d’assurance limité pour les directions générales • Nécessité d’une première ligne opérationnelle sécurité SI efficace • Besoin d’une deuxième ligne pertinente et robuste en sécurité des SI • Une organisation Audit Interne adaptée et plurielle (experts sécurité SI, généralistes, spécialistes du SI ou de la Fraude)
  • 34. Questions / Réponses RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors