COMPTE RENDU COMMISSION SECURITE 22 AVRIL 2014 Lieu : Cabinet d'Avocats d'Alexandrine PANTZ Présents : Fréderic Lenfant [ Analyste criminel, Gendarmerie ], Stéphane Tonelli [ Chef du groupe Cybercriminalité, Gendarmerie], Pierre-Yves Bonnetain [ Consultant en sécurité informatique, B&A Consultants ], Jean-Pierre Dutto [ ancien Directeur technique Ineonet ], Bernard Alberich [ ancien DSI ], Jacques Soulé [ Retraité actif ], Gilles Baroin [ Directeur, Instrumsoft ], Nicolas Vitry [ Chef de projet Web Freelance ], Thierry Mirouze [ Responsable de comptes et Cyber-réserviste, Sogeti ], Cédric Perrin [ ISSI, Ministère de la Défense ], Alexandrine Pantz [ Avocate spécialisée dans les TIC et CIL ], Simon Bretin [ Directeur, Inforsud Diffusion ], Caroline Duhaillier [ Développement informatique, CandySud ], Etienne Maynier [Consultant sécurité, Mdal] Hôte : Stanley Claisse [ Avocat ] ORDRE DU JOUR Point sur l'Actualité Juridique Retour sur la conférence Cyber-Réserve Positionnement de la commission par rapport à la table ronde prévue pendant la grande Mêlée : "Cyber Sécurité : des menaces aux opportunités" Etude d'un projet de "label sécurité" pour les PME I- Point sur l'Actualité Juridique http://www.contrepoints.org/2014/04/15/162923-la-cour-de-justice-de-lunion-europeenne-et-lasurveillance-de-masse La CJUE a déclaré « invalide » la très contestée directive européenne sur la rétention des données, accusée de mettre en œuvre la « surveillance de masse » dénoncée notamment par Edward Snowden. Le texte européen actuel oblige ainsi les opérateurs de télécommunication et les fournisseurs d’accès à internet (FAI) à conserver les données relatives aux communications de leurs abonnés pour une « durée minimale de six mois et maximale de deux ans, (…) afin de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves ». La Cour de Justice pose des limites au stockage des données à des fins de sécurité publique : - cette pratique constitue effectivement une ingérence dans la vie privée et familiale. o En raison du caractère massif de la collecte, elles sont susceptibles de donner des informations précises sur les habitudes de vie d’une personne, ses lieux de séjour et ses déplacements, ses activités et ses relations internationales. o La Cour consacre ainsi la spécificité de cette notion de surveillance de masse, définie comme permettant à la fois le repérage permanent et le profilage d’une personne. - L’ingérence dans la vie privée des personnes est excessive par rapport aux objectifs de sécurité poursuivis. o la directive ne prévoit aucune règle relative aux mesures de protection des données personnelles que les opérateurs doivent mettre en œuvre. o Elle ne les contraint même pas à conserver ces données dans l’espace juridique européen, ce qui peut conduire à les placer sous le contrôle d’un système juridique plus laxiste, par exemple sous la compétence du droit américain. o D’une manière générale, la Cour considère que la garantie ne comporte pas de garanties suffisantes du respect des principes fondamentaux gouvernant le droit de la protection des données. http://www.lefigaro.fr/secteur/high-tech/2014/04/08/01007-20140408ARTFIG00210-la-justiceeuropeenne-invalide-le-fichage-a-grande-echelle-des-telecommunications.php http://www.01net.com/editorial/618218/la-circulaire-dapplication-de-la-loi-sur-la-geolocalisationest-sortie/ Petit cours de droit européen : La Cour de justice européenne promulgue des Directives Européennes, qui sont des « matrices » de loi nationale. Puis les États les transposent en Loi. Au contraire des Règlements Européens, qui sont des lois européennes directement applicables sur chaque territoire. D’autre part certaines lois nationales influence fortement les directives, telle que la loi française sur l’informatique et les libertés. A l'échelon national, les juges nationaux doivent appliquer les lois nationales, les règlements et les Directives. Les justiciables peuvent demander à Cour de Justice de l’Union Européenne de se prononcer sur la validité des Directives par rapport au droit européen ou sur la validité des lois nationales par-rapport aux Directives. La sanction peut être l’annulation d’une directive ou l’inapplicabilité d’une loi nationale. Les lois européennes sont proposées par la Commission Européenne et sont votés par le Parlement Européen. Plan de cybersécurité européen : les 27 pays doivent se comporter de la même façon. Le cas des OIV est en cours d'élaboration (secteur de l'énergie, transport, service financier et santé). Se pose le problème du temps de conservation des données par les États. La cours de justice a tranché : les données conservées doivent correspondre à la finalité recherchée. Problème s'il y a disproportion... La dernière loi sur la géolocalisation va à l'encontre des objectifs judiciaires. II- Retour sur la conférence Cyber-Réserve et la journée cybersécurité d'Epitech 10 avril 2014 : Journée nationale du réserviste : La réserve nationale et la citoyenneté « Le risque en milieu aérien », université de Toulouse III. Risques par rapport au terrorisme : armes en plastique (impression 3D), malette EMP (destruction du système électronique de bord), utilisation de laser sur les pilotes en phase d'atterrissage... Immobilisation des avions en mettant en panne le système de vidéos pour les passagers ( problème de sûreté ). 10 avril 2014 : Journée cybersécurité : Cyber@Hack, Epitech Itrust aspect aéronautique également abordé : risque d'infecter le cockpit avec le smartphone du pilote utilisé pour écouter de la musique. Pas d'impact pour l'instant... Étude du Cloud d'Amazon : 5000 machines virtuels. Dans 22 % des cas, découverte d'informations appartenant à d'autres utilisateurs, problème de nettoyage. Sur ces 5000 machines, le temps de l'étude, 2 machines ont été attaquées et compromises. 98 % des distributions windows n'étaient pas à jour (problème des vulnérabilités publiques). Solution : appliquer les bonnes pratiques (mises à jour, configuration sécurité, installation depuis des images de confiance...) Contrôle industriel : les chaînes de production sont gérées par des automates programmables qui n'ont pas été conçus pour être en relation avec le monde extérieur. Or de plus en plus, ils sont mis en réseau alors qu'ils ne sont pas sécurisés (stuxnet). Le faible nombre d'incidents vient sans doute du manque de business case derrière les attaques sur ce type de systèmes. III- Table ronde "Cyber Sécurité : des menaces aux opportunités" lors de la grande Mêlée Nous n'avons eu aucune information précise concernant cette table ronde (à priori à l'initiative d'Itrust). La Mêlée aimerait le retour d'expérience d'un RSSI. Personne de la commission ne correspond. Nous pouvons juste proposer un expert à condition de préciser le sujet. IV- Projet Label Sécurité Idée : proposer un label mettant en lumière l'effort fait par une PME d'essayer de se protéger. Les points travaillés seraient simples mais fondamentaux : cartographie, sécurité périmétrique, charte informatique. Il serait intéressant de faire un livre blanc des labels déjà existants. A étudier : comment faire les audits simplement et par qui ou quel biais ? Étude d'un rapprochement possible avec la CCI de Toulouse et/ou du Thinktank de digitalPlace auquel la commission participe par le biais de Pierre-Yves et Frédéric. Peut-être devrions-nous envisager une participation plus importante. V- Planning Lundi 26 mai 2014 Mardi 24 juin 2014
© Copyright 2024 ExpyDoc
