Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

0

Share

Download to read offline

La protection des données: de la fermeture à l'ouverture - Fédération des entreprises Romandes FER Genève

Download to read offline

Présentation donnée à l'occasion du workshop "La protection des données: de la fermeture à l’ouverture" organisé par l'eGov Innovation Center le 2 novembre 2016 : http://egovinnovation.ch/la-protection-des-donnees-de-la-fermeture-a-louverture/.

  • Be the first to like this

La protection des données: de la fermeture à l'ouverture - Fédération des entreprises Romandes FER Genève

  1. 1. Fédération des entreprises Romandes FER Genève La protection de données: de la fermeture à l'ouverture Raoul DIEZ. Directeur Contrôle et Sécurité 2 novembre 2016 1
  2. 2. Agenda • Vue d’hélicoptère de la menace globale • Faits marquants actuels • Ce qui nous concerne • Les utilisateurs • Ce que dit la loi • Conclusion 2
  3. 3. La 4ème révolution industrielle Klaus Schwab* «La quatrième révolution industrielle bouleverse notre société dans ses fondements» 3 * Fondateur du World Economic Forum (WEF)
  4. 4. La 4ème révolution industrielle « Le monde est devenu beaucoup plus vulnérable. A la différence, cette fois, que dans le passé il fallait de grandes armées pour faire des dégâts. Aujourd’hui, un seul individu peut causer d’énormes dommages et même rester anonyme. Prenez le cas des cyber- attaques susceptibles de bloquer toutes les infrastructures d’un pays. Ce risque terroriste impacte l’économie » http://www.linformaticien.com/actualites/id/39571/ransomware-l-hopital-de-los-angeles-a-paye.aspx 4
  5. 5. LRens Loi sur le renseignement https://www.newsd.admin.ch/newsd/message/attachments/33840.pdf 5
  6. 6. LRens. Votation du 25.09.2016 6 Guy Parmelin : « Les cantons sont conscients que la situation internationale a changé, qu'elle a évolué, que l'on est dans un monde beaucoup plus imprévisible et qu'il faut justement se donner les moyens pour tenter de prévenir, autant que faire se peut, des dérives, espionnage, cyberattaques, ou du terrorisme »
  7. 7. Octobre, mois européen de la sécurité 7
  8. 8. ANSSI : Agence nationale de sécurité du SI • «Le Mois européen de la cybersécurité, c’est quatre semaines pour promouvoir la cybersécurité auprès des citoyens européens, valoriser les bonnes pratiques informatiques et contribuer à une meilleure connaissance des menaces cyber» • ANSSI : http://www.ssi.gouv.fr/actualite/octobre-mois-europeen-de-la-cybersecurite/ • Posters : https://cybersecuritymonth.eu/press-campaign-toolbox/ecsm-material/all-posters-FR/view • Passeport conseils aux voyageurs : http://www.ssi.gouv.fr/uploads/IMG/pdf/passeport_voyageurs_anssi.pdf • Guide hygiène informatique : http://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/ • Cybersécurité des systèmes industriels : http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/systemes-industriels 8
  9. 9. 7 8 1 2 3 45 6 EUROPOL 9
  10. 10. EUROPOL «IOCTA 2016, Identifie une augmentation de l’exploitation économique cybercriminelle due à l’interaction de plus en plus importante de nos vies avec Internet et aussi à notre faible niveau de connaissance du numérique» Le rapport identifie huit principales tendances de la cybercriminalité et fournit des recommandations clés pour relever les défis. https://www.europol.europa.eu/content/internet-organised-crime-threat-assessment-iocta-2016 10
  11. 11. Ce que l’histoire nous apprend 11
  12. 12. 2002 2013 1940 1943 1992 19932001 2001 Ce que nous savons
  13. 13. L’histoire du calculateur (computer) 1. 1940. Alain Turing et la bombe https://fr.wikipedia.org/wiki/Bletchley_Park 2. Echelon http://www.bibliotecapleyades.net/imagenes_ciencia/echelon14_01.jpg 1. 1943. SIGINT https://fr.wikipedia.org/wiki/Renseignement_d%27origine_%C3%A9lectromagn%C3%A9tique 2. 1946. Traité UKUSA https://fr.wikipedia.org/wiki/UKUSA 3. 2001. Rapport parlement européen http://www.bibliotecapleyades.net/archivos_pdf/eu_echelon.pdf 3. 1992. Onyx. L’Echelon Suisse https://fr.wikipedia.org/wiki/Onyx_(syst%C3%A8me_d%27espionnage) 4. 2001. Premier navigateur Internet 5. 2001. 11 septembre 6. 2001. Patriot Act https://fr.wikipedia.org/wiki/USA_PATRIOT_Act 7. 2002. Intelligence économique / L'ingénierie sociale 8. 2013. Snowden https://fr.wikipedia.org/wiki/Edward_Snowden 13
  14. 14. Savoir militaire tombé dans le publique, privé, crime Militaire Entreprises étatiques Entreprises privées Commerce national Commerce international Universités / formation Tissu économique local Domaine publique / individus 2016 1920
  15. 15. Melani SCOCI Définissant la loi (Cantonale/ Fédérale) Etat Acteurs Acteur privé Acteur Public Cyber administration Organes à but non lucratif Le meilleur Communauté Internet Organes Prévention / aide Cyber menaces Chantage / extorsion Cyber terrorisme 15 Cybercrime Commerce licite
  16. 16. Ce qui nous concerne 16
  17. 17. Internet. La face cachée « Près de 90% du contenu de la Toile échappe aux moteurs de recherche classiques : le Deep Web ou Darknet, là où l’on achète, on vend ou l’on échange des données sensibles, cartes bancaires, informations confidentielles, y compris de programmes de piratage dans le plus grand anonymat, via TOR (avec des bitcoins) » http://www.letemps.ch/monde/2014/07/07/moscou-coeur-far-west- cybernetique • Internet Livestats : http://www.internetlivestats.com/ 17
  18. 18. La sécurité : si important ? Seul un PC débranché du réseau ne risque rien Ne pas protéger nos ordinateurs c'est : • Risquer de nous trouver confrontés à tout type de menace avec des conséquences financières, d’image et de disponibilité • Risquer d'être tenu pour responsable des délits que nous n’aurons pas commis Nous ne devons pas nous protéger « au cas où » mais « parce que nous sommes déjà » victimes d'attaques au quotidien Cybercriminalité: 3000 milliards de dollars en jeu d'ici 2020 : Les cyberattaques pourraient engendrer des pertes économiques allant jusqu'à 3000 milliards de dollars (2700 milliards de francs) d'ici 2020 si les entreprises et les gouvernements tardent à agir 18
  19. 19. 19 Piratage, infections, vol d’information. Comment? Toujours les mêmes actions, peu de variantes connues : Sans connaître sa cible : • Une pièce jointe • Un site compromis (jeux, porno, p2p) • Redirection depuis un mail • Clé USB trouvée Connaissant sa cible : • Social Engineering (téléphone, train, restaurant, rdv embauche, clé USB) • Intelligence économique (corrélation des informations publiques)
  20. 20. Mise en situation Outils à utiliser avant infection : • Firewall • Antivirus • Antispyware • Antiransomware Antivirus : • G Dtata • ESET NOD32 9 • Kaspersky • Avast • Avira • Norton • F-Secure Antiransomware : • Bitdefender Anti-Ransomware • Cryptoprevent • Hitmanpro Alert et Kickstart • Malwarebytes Anti-Ransomware • Trend Micro Anti-Ransomware • WinAntiRansom Antispyware : • MalwareBytes Pendant l’infection : • Trend Micro Anti-Ransomware • Bitdefender Anti-Crayptowall • EasySync Cryptomonitor • Decryption tools Karspersky Lab • Talos Cisco decryptor for TeslaCrypt • Avast! Ransomware Removal Séparer : Professionnel / privé / financier de Mail - Internet / réseaux sociaux Après infection : • Tweaking.com • Malwarebytes • Adwcleaner • Zhpcleaner Contre-mesures : Sauvegarder régulièrement sur disque externe et placer les sauvegardes à deux endroits différents Pour naviguer ou lire la messagerie, ou les réseaux sociaux, utiliser une tablette (IOS/Android) sur WiFi
  21. 21. 21 Séparer les réseaux selon interêt Avantages sur une tablette : • Il n’y a pas de Ransomware sur tablette • Vous n’installez aucun des outils indiqués sur la diapositive précédente • La tablette servira pour la messagerie, l’Internet et les réseaux sociaux, tout en préservant votre infrastructure Windows • Si la tablette venait à dysfonctionner ou à être infectée, il est facile de la réinstaller ou de la changer sans que votre vie personnelle ou votre vie professionnelle ne soit impactée. Séparer : Professionnel / privé / financier de Mail - Internet / réseaux sociaux
  22. 22. Attitude des utilisateurs, collaborateurs 22
  23. 23. Communiquer avec les utilisateurs • Définir une politique interne, et la faire signer : Rédiger une charte d'utilisation des réseaux sociaux http://www.commentcamarche.net/faq/30756-rediger-une-charte-d-utilisation-des-reseaux-sociaux Possibilité d’utiliser l’annexe B du Guide relatif à la surveillance de l’utilisation d’Internet et du courrier électronique au lieu de travail (économie privée) : http://www.edoeb.admin.ch/datenschutz/00763/00983/00988/index.html?lang=fr • Sensibiliser tous les collaborateurs régulièrement • Vérifier périodiquement que la politique est appliquée (test de clic, d’intrusion, social engineering). 23
  24. 24. Droits des utilisateurs • Faut-il limiter l'accès Internet de vos salariés ? « Les salariés surfent près d'une heure par jour à des fins personnelles, pendant leur temps de travail. Un comportement qui peut jouer sur la productivité générale de l'entreprise. Pour autant, le filtrage de la connexion web est-il la solution ? » • Faut-il limiter l‘utilisation des réseaux sociaux au poste de travail? http://lentreprise.lexpress.fr/internet/faut-il-interdire-a-ses-salaries-l-acces-aux-reseaux-sociaux_30054.html http://scfocus.com/doit-on-limiter-acces-reseaux-sociaux-travail-saviez-vous,45 • Messagerie au poste de travail : http://www.mediassuisses.ch/actu/actu_0301/droit.htm « Le règlement d'utilisation sert à déterminer dans quelles conditions l'utilisation de l'Internet et de la messagerie électronique est autorisée. L'employeur peut autoriser un usage entièrement libre, le restreindre, par exemple à la pause de midi, ou l'interdire complètement. Il peut vérifier le respect de ce règlement, à condition de publier un règlement relatif à la surveillance. Le Préposé fédéral à la protection des données (PFPD) recommande de publier un tel règlement d'utilisation, afin que chacun soit parfaitement clair quant à ce qui est permis ou non ». • 12 janvier 2016 dans l’affaire Bărbulescu c/ Roumanie (requête n°61496/08) http://hudoc.echr.coe.int/fre#{%22languageisocode%22:[%22ENG%22],%22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],% 22itemid%22:[%22001-159906%22]} http://www.swissinfo.ch/fre/un-employeur-peut-surveiller-ses-salari%C3%A9s-sur-internet--cedh-/41889944 24
  25. 25. Que dit la loi ? 25
  26. 26. CPP. Code de procédure pénale. Art. 143. • Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui‐même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d'une peine privative de liberté de cinq ans au plus ou d'une peine pécuniaire. 143 bis • La soustraction de données commise au préjudice des proches ou des familiers ne sera poursuivie que sur plainte. • Quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. • Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu’ils doivent être utilisés dans le but de commettre une infraction visée à l’al.1 est puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. 26
  27. 27. Propriété/protection des données Les lois indiquent, entre autres : • L’interdiction (transfrontalière y compris) de transmettre des informations personnelles à un tiers non déclaré • La définition d’un profil de la personnalité • L’enregistrement et l’exploitation des informations personnelles sans le consentement des personnes concernées 27
  28. 28. Conclusion 28
  29. 29. MAIS PAS SUR LE POSTE CONTENANT VOS DONNES PRIVEES ET/OU PROFESSIONNELLES OK, sur WiFi Sur Natel Sur tablettePoste virtuel CD bootable NAVIGATION SUR INTERNET
  30. 30. Cybercriminalité. L’Etat et son action SCOCI ‐ Service national de Coordination de la lutte contre la Criminalité sur Internet https://www.cybercrime.admin.ch/kobik/fr/home.html MELANI ‐ Centrale d'enregistrement et d'analyse pour la sûreté de l'information https://www.melani.admin.ch/melani/de/home.html Fedpol ‐ Lutte de la confédération contre la criminalité https://www.fedpol.admin.ch/content/fedpol/fr/home.html PFPDT ‐ Préposé fédéral à la protection des données et à la transparence https://www.edoeb.admin.ch/org/00126/index.html?lang=fr PCPDT ‐ Préposé Cantonal à la Protection des Données et à la Transparence (Ppdt) Génève https://www.ge.ch/ppdt/ Rapolsec ‐ Rapport du Conseil fédéral à l’Assemblée fédérale sur la politique de sécurité de la Suisse http://www.vbs.admin.ch/fr/themes/politique-securite/rapports-politique-securite/rapport-politique-securite-2016.detail.document.html/vbs- internet/fr/documents/politiquedesecurite/rapolsec2016/Projet-Rapport-sur-la-politique-de-securite-2016.pdf.html SRC ‐ Service de renseignement de la Confédération http://www.vbs.admin.ch/fr/ddps/organisation/unites-administratives/service-renseignement.html 30
  31. 31. Reste à répondre • La protection des frontières numériques est une affaire d’Etat? • Est‐il possible de parler de protection du digital (technologies de l’information et des communications) comme faisant partie de la souveraineté de l'état? (actuellement l’état pare aux risques «d'une manière adéquate») • Devons‐nous considérer le digital comme une richesse essentielle devant être placée par l’Etat à la croisée de la population et du territoire? • Devons‐nous classifier le digital comme une menace, un risque potentiel, un risque avéré, ou une opportunité? ou bien les quatre à la fois? • Si c'est une opportunité ‐comme on aurait tendance à le comprendre‐ quel est le prix que la société est prête à accepter de payer? 31
  32. 32. www.fer-ge.ch 98, rue de Saint-Jean Case postale 5278 – 1211 Genève 11 T 058 715 31 11 – F 058 715 32 13 fer-ge@fer-ge.ch 32

Présentation donnée à l'occasion du workshop "La protection des données: de la fermeture à l’ouverture" organisé par l'eGov Innovation Center le 2 novembre 2016 : http://egovinnovation.ch/la-protection-des-donnees-de-la-fermeture-a-louverture/.

Views

Total views

598

On Slideshare

0

From embeds

0

Number of embeds

336

Actions

Downloads

5

Shares

0

Comments

0

Likes

0

×