COMPTE RENDU COMMISSION SECURITE 23 MAI 2013

COMPTE RENDU COMMISSION SECURITE 22 AVRIL 2014
Lieu : Cabinet d'Avocats d'Alexandrine PANTZ
Présents : Fréderic Lenfant [ Analyste criminel, Gendarmerie ], Stéphane Tonelli [ Chef du groupe
Cybercriminalité, Gendarmerie], Pierre-Yves Bonnetain [ Consultant en sécurité informatique, B&A
Consultants ], Jean-Pierre Dutto [ ancien Directeur technique Ineonet ], Bernard Alberich [ ancien DSI ],
Jacques Soulé [ Retraité actif ], Gilles Baroin [ Directeur, Instrumsoft ], Nicolas Vitry [ Chef de projet Web
Freelance ], Thierry Mirouze [ Responsable de comptes et Cyber-réserviste, Sogeti ], Cédric Perrin [ ISSI,
Ministère de la Défense ], Alexandrine Pantz [ Avocate spécialisée dans les TIC et CIL ], Simon Bretin
[ Directeur, Inforsud Diffusion ], Caroline Duhaillier [ Développement informatique, CandySud ], Etienne
Maynier [Consultant sécurité, Mdal]
Hôte :
Stanley Claisse [ Avocat ]
ORDRE DU JOUR
 Point sur l'Actualité Juridique
 Retour sur la conférence Cyber-Réserve
 Positionnement de la commission par rapport à la table ronde
prévue pendant la grande Mêlée : "Cyber Sécurité : des menaces aux opportunités"
 Etude d'un projet de "label sécurité" pour les PME
I- Point sur l'Actualité Juridique
http://www.contrepoints.org/2014/04/15/162923-la-cour-de-justice-de-lunion-europeenne-et-lasurveillance-de-masse
La CJUE a déclaré « invalide » la très contestée directive européenne sur la rétention des données,
accusée de mettre en œuvre la « surveillance de masse » dénoncée notamment par Edward
Snowden.
Le texte européen actuel oblige ainsi les opérateurs de télécommunication et les fournisseurs
d’accès à internet (FAI) à conserver les données relatives aux communications de leurs abonnés
pour une « durée minimale de six mois et maximale de deux ans, (…) afin de garantir la
disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions
graves ».
La Cour de Justice pose des limites au stockage des données à des fins de sécurité publique :
-
cette pratique constitue effectivement une ingérence dans la vie privée et familiale.
o En raison du caractère massif de la collecte, elles sont susceptibles de donner des
informations précises sur les habitudes de vie d’une personne, ses lieux de séjour et
ses déplacements, ses activités et ses relations internationales.
o La Cour consacre ainsi la spécificité de cette notion de surveillance de masse, définie
comme permettant à la fois le repérage permanent et le profilage d’une personne.
-
L’ingérence dans la vie privée des personnes est excessive par rapport aux objectifs de
sécurité poursuivis.
o la directive ne prévoit aucune règle relative aux mesures de protection des données
personnelles que les opérateurs doivent mettre en œuvre.
o Elle ne les contraint même pas à conserver ces données dans l’espace juridique
européen, ce qui peut conduire à les placer sous le contrôle d’un système juridique
plus laxiste, par exemple sous la compétence du droit américain.
o D’une manière générale, la Cour considère que la garantie ne comporte pas de
garanties suffisantes du respect des principes fondamentaux gouvernant le droit de la
protection des données.
http://www.lefigaro.fr/secteur/high-tech/2014/04/08/01007-20140408ARTFIG00210-la-justiceeuropeenne-invalide-le-fichage-a-grande-echelle-des-telecommunications.php
http://www.01net.com/editorial/618218/la-circulaire-dapplication-de-la-loi-sur-la-geolocalisationest-sortie/
Petit cours de droit européen :
La Cour de justice européenne promulgue des Directives Européennes, qui sont des « matrices » de
loi nationale. Puis les États les transposent en Loi. Au contraire des Règlements Européens, qui sont
des lois européennes directement applicables sur chaque territoire.
D’autre part certaines lois nationales influence fortement les directives, telle que la loi française sur
l’informatique et les libertés.
A l'échelon national, les juges nationaux doivent appliquer les lois nationales, les règlements et les
Directives. Les justiciables peuvent demander à Cour de Justice de l’Union Européenne de se
prononcer sur la validité des Directives par rapport au droit européen ou sur la validité des lois
nationales par-rapport aux Directives. La sanction peut être l’annulation d’une directive ou
l’inapplicabilité d’une loi nationale.
Les lois européennes sont proposées par la Commission Européenne et sont votés par le Parlement
Européen.
Plan de cybersécurité européen : les 27 pays doivent se comporter de la même façon. Le cas des
OIV est en cours d'élaboration (secteur de l'énergie, transport, service financier et santé).
Se pose le problème du temps de conservation des données par les États. La cours de justice a
tranché : les données conservées doivent correspondre à la finalité recherchée. Problème s'il y a
disproportion...
La dernière loi sur la géolocalisation va à l'encontre des objectifs judiciaires.
II- Retour sur la conférence Cyber-Réserve et la journée cybersécurité d'Epitech
10 avril 2014 : Journée nationale du réserviste : La réserve nationale et la citoyenneté « Le risque en
milieu aérien », université de Toulouse III.
Risques par rapport au terrorisme : armes en plastique (impression 3D), malette EMP (destruction
du système électronique de bord), utilisation de laser sur les pilotes en phase d'atterrissage...
Immobilisation des avions en mettant en panne le système de vidéos pour les passagers ( problème
de sûreté ).
10 avril 2014 : Journée cybersécurité : Cyber@Hack, Epitech Itrust
aspect aéronautique également abordé : risque d'infecter le cockpit avec le smartphone du pilote
utilisé pour écouter de la musique. Pas d'impact pour l'instant...
Étude du Cloud d'Amazon : 5000 machines virtuels. Dans 22 % des cas, découverte d'informations
appartenant à d'autres utilisateurs, problème de nettoyage. Sur ces 5000 machines, le temps de
l'étude, 2 machines ont été attaquées et compromises. 98 % des distributions windows n'étaient pas
à jour (problème des vulnérabilités publiques).
Solution : appliquer les bonnes pratiques (mises à jour, configuration sécurité, installation depuis
des images de confiance...)
Contrôle industriel : les chaînes de production sont gérées par des automates programmables qui
n'ont pas été conçus pour être en relation avec le monde extérieur. Or de plus en plus, ils sont mis en
réseau alors qu'ils ne sont pas sécurisés (stuxnet).
Le faible nombre d'incidents vient sans doute du manque de business case derrière les attaques sur
ce type de systèmes.
III- Table ronde "Cyber Sécurité : des menaces aux opportunités" lors de la grande Mêlée
Nous n'avons eu aucune information précise concernant cette table ronde (à priori à l'initiative
d'Itrust). La Mêlée aimerait le retour d'expérience d'un RSSI. Personne de la commission ne
correspond. Nous pouvons juste proposer un expert à condition de préciser le sujet.
IV- Projet Label Sécurité
Idée : proposer un label mettant en lumière l'effort fait par une PME d'essayer de se protéger. Les
points travaillés seraient simples mais fondamentaux : cartographie, sécurité périmétrique, charte
informatique.
Il serait intéressant de faire un livre blanc des labels déjà existants.
A étudier : comment faire les audits simplement et par qui ou quel biais ?
Étude d'un rapprochement possible avec la CCI de Toulouse et/ou du Thinktank de digitalPlace
auquel la commission participe par le biais de Pierre-Yves et Frédéric. Peut-être devrions-nous
envisager une participation plus importante.
V- Planning
Lundi 26 mai 2014
Mardi 24 juin 2014