DU FORUM - Observatoire FIC
Contents
1. l augmentation du volume de donn es person nelles de sant chang es Ex IRM scanner il existe une menace d action des cybercriminels L imputation la tra abilit l int grit sont des mesures fortes et les moyens de s curit doivent tre toujours jour Le service doit permettre une utilisation simple des moyens l instar d une carte bancaire avec un minimum d interruption et une possibilit de r vocation imm diate 24 h 24 7 jours 7 5 Forum international de la cybers curit 195 5e 196 Forum international de la cybers curit B8 Regard crois s sur les strat gies de cyberd fense Intervenants Lieutenantcolonel Patrice TROMPARENT D l gation aux affaires strat giques Arnaud COUSTILLIERE officier g n ral cyberd fense EMA Rob SMEATON Wing Commander SEAE Wolfgang ROEHRIG Project Officer Cyber Defence EDA Lieutenant g n ral ret Johannes KERT ancien chef d tat major des arm es estoniennes R sum des interventions Les tats sont d sormais nombreux affiner les strat gies de cyberd fense Des alliances sont en place d autres assument leur cyberpuissance l atelier s est attach relater les strat gies de cyberd fense leur efficacit les am lio rations possibles qui passent par une meilleure interop rabilit tatique Par ailleurs l importance exacerb e de la formation se voit conf2. 139 5 Forum international de la cybers curit 140 cr e une obligation pour chaque salari et permet gr ce au m canisme de pr somption induit d engager sa responsabilit La Cour de cassation reconna t la validit d un licenciement fond sur le non respect d une charte informatique Les entreprises ont donc des moyens juridiques pour se prot ger en amont et en aval et des proc dures urgentes leur disposition telles les r f r s rapides En effet dans le cas o ces chartes ne suffisent pas emp cher actes ou propos malveillants des actions en justice peuvent tre intent es Les plus fr quentes actuellement le sont pour des infractions relatives au droit de la presse notamment la diffamation dans le cas de propos portant atteinte l honneur de la personne morale ou physique et pour l infraction l article 1382 du Code civil dans le cas de la critique d un produit Des derni res d cisions rendues comme celle du 19 novembre 2010 on peut conclure que la responsabilit du salari est reconnue quand le juge consid re apr s une analyse concr te des crits chang s par le salari sur Facebook que le statut est public En effet si le compte est visible par les amis des amis le licenciement se justifie en raison de l ampleur de la diffusion Si les contenus incrimin s sont stock s sur une infrastructure trang re ils rel vent du principe de droit suivant t
3. 5 Forum international de la cybers curit cas sur 10 une erreur humaine est d un incident de s curit On ne doit pas confondre un exploit Zero Day et une attaque de type StuxneP qui comporte le vol pur et simple de deux certificats de s curit Cet exemple d montre origine 2 ZERO DAY est un exploit qui utilise une faille jusqu ici m connue du public Un exploit O day est susceptible tre n glig La France a d velopp des comp tences remarquables en cryptographie technique visant rendre un message inintelligible sauf habilitation Toutefois le vol des certificats qui a permis de d buter l attaque Stuxnet semble d montrer que la cryptographie n est pas sut d engendrer la cr ation d un ver car par d finition la que la protection physique des cer tificats de s curit est insuffisante ce qui pose un probl me de pr servation de l in t grit de l architecture du r seau et des don n es grande majorit des utilisateurs ne sera pas prot g e contre cette faille jusqu ce qu elle soit d couverte et corrig e 3 STUXNET est un ver informatique suppos d velopp conjointement par les tats Unis et Isra l pour s attaquer des syst mes iraniens Il Les solutions Une formation est n cessaire Il faut sensibiliser les utilisateurs aux dangers d une pi ce jointe au contr le d une clef USB ou d une application t l
4. Etats membres de l Union europ enne central de r pression des violences aux Combattre la cybercriminalit impose de se doter des outils adapt s Pour agir plus efficacement contre un ph nom ne il faut d abord bien le connaitre Or malgr les efforts accomplis nous ne disposons pas encore en France d une vision pr cise des infractions li es au cyberespace C est pourquoi comme je l ai annonc il y quelques jours la refonte de l outil statistique personnes OCRVP la direction centrale du renseignement int rieur DCRI la brigade d enqu te sur les fraudes aux technologies de l information BEFTI la brigade de protection des mineurs de Paris BDM l institut de recherche criminelle de la gendarmerie nationale IRCGN le service technique de recherches judiciaires et de documentation STRID Nous devons de suivi de la d linquance mise en uvre avec l Observatoire national de la d linquance et des r ponses p nales ONDRP pr voit la cr ation d un indicateur cybercriminalit Cet indicateur d di permettra de rendre compte de cette d linquance et d en suivre les variations Cette volution sera compl t e par le d ploiement d un nouveau logiciel d enregistrement des plaintes dans les commissariats de police la gendarmerie a d j accompli sa migration qui permettre une action globale et plus coh rente au sein du minist re de l Int rieur Une action qui doit se fa
5. I Les probl matiques a prise en compte par les collectivit s ter ii de la s curit des syst mes d in formation ne peut se concevoir qu partir du moment ou les responsables des dites col lectivit s sont conscients qu ils ont relever quatre d fis l e administration l e d mocratie la d mat rialisation des appels d offres et la mise en place de portails internet Le d velop pement de l outil informatique au sein des col lectivit s territoriales est une r alit Une tude r alis e en 2010 aupr s de plusieurs collectivit s territoriales mairies conseil r gionaux conseils g n raux etc de la r gion du Nord Pas de Calais montre que la prise en compte de la s curit des syst mes d information est tr s faible et plus grave encore que les obligations l gales metre en uvre sont dans une grande majorit ignor es des d cideurs et responso bles Les collectivit s territoriales pr sentent une grande 207 5e 208 Forum international de la cybers curit diversit de traitements informatiques due non seulement l existence de diff rentes entit s faute commise mais galement ce qu avait fait institutionnelles mais aussi aux rapports entre l administration et les citoyens ainsi qu avec le tissu conomique local Pour les collectivit s territoriales l cueil principal r side dans le caract re h t rog ne des diff r
6. protection l incr mentation de cela et de mani re propre dans des quipements qui sont robustes n est pas du tout r solue faut suivre les technologies Aujourd hui nous nous int ressions faire des chiffreurs 100 gigabits par seconde ce qui est beaucoup pour du hardware ou des logiciels On a des travaux permanents conduire l dessus On a des travaux sur les aspects de la cyberd fense au sens de la surveillance des r seaux et des r actions Cela concerne le d veloppement videmment des contraintes Denis FORTIER Un conf rencier pr cisait hier qu il y avait sans doute une prise de risque assez importante lorsqu on prend pour raisons conomiques des solutions sur tag re au d triment de solutions peut tre propri taires diff rentes ou uniques Quel est votre point de vue sur cette question Guillaume POUPARD C est vraiment le c ur de la r flexion Nous ne pouvons pas recr er des arsenaux En France nous n en avons pas les moyens et m me si cela tait le cas je ne sais pas si l on y arriverait I faut bien voir que la technologie est mondialis e et que dans des domaines d expertise il y a souvent avoir un acteur mondial Je pense la t l phonie qui int resse beaucoup d acteurs mais in fine quand on regarde vraiment qui a la ma trise qui fait l impl mentation de tel protocole de tel syst me il y a tr s tr s peu d acteurs En revanche notre d marche q
7. soci t civile I faut distinguer deux aspects d essence interactive le gouvernement de l Internet avec des enjeux politiques et la gestion de l Internet avec les probl mes techniques De fait les choix techniques r sultent souvent de la vision politique de la solution apporter et parall lement l environnement politique est conditionn par certains choix techniques Cette interp n tration suscite de nombreuses interrogations I Les gouvernements et le cyberes pace une lutte pre Internet est un puissant facteur de croissance conomique num rique doubl d un espace de libert et de d mocratie r le pr pond rant de l Internet lors du Printemps arabe par exemple Internet peut aussi devenir le th tre d action de personnages sans scrupules avan ant couvert pour mener leurs attaques informatiques ou se livrer la cybercriminalit Si l intervention de l tat dans des secteurs traditionnels protection du citoyen ordre public pr servation des syst mes informatiques vitaux pour la Nation est parfaitement l gitime son implication dans la gestion du cyberespace demeure n anmoins d application d licate car d une certaine mani re il s agit ni plus ni moins d une remise en cause du principe de territorialit Suscitant une forte convoitise le cyberespace 127 5 Forum international de la cybers curit 128 est devenu l enjeu de man
8. une architecture d ensemble de s curisation des titres et de leur exploitation Ses conclusions sont attendues la fin du mois de f vrier J ai galement propos la garde des Sceaux d entamer une r flexion conjointe pr alable un projet de loi Habeas corpus num rique Plusieurs sujets de r flexion doivent tre trait s conjointement Ils concernent notamment les modalit s d acc s des personnes aux donn es des fichiers de police qui les concernent les garanties l gislatives encadrant la cr ation des fichiers de police ou encore le droit de disposer des traces ou des empreintes num riques Nous devons ensuite penser l quilibre entre libert d expression et s curit Le d ferlement sur les r seaux sociaux de messages antis mites homophobes ou encore la diffusion r cente de l image de la d pouille d un de nos soldats assassin en Somalie soul vent la question de la libert d expression sur Internet l enjeu est simple comment faire respecter par les fournisseurs d acc s et les h bergeurs le droit national auquel ils opposent le droit am ricain A ce titre la d cision prise par la justice fran aise demandant une plateforme de microblogging de communiquer les donn es permettant d identifier les auteurs de propos d lits de presse apologie du terrorisme incitation la haine raciale au meurtre propos racistes antis mites ou homophobes doit pouvoir
9. 49 5 Forum international de la cybers curit 50 P2 Cyberespace identit num rique thique et vie priv e ous allons continuer ce p riple tra vers le cyberespace Je suis vraiment tr s contente de pouvoir animer cette sujet me pla t beaucoup en tant que magistrat Il faut trouver un quilibre entre la protection vis vis des atteintes aux libert s individuelles s ance pl ni re o nous allons aborder le th me cyberespace identit num rique thique et vie priv e A l re du num rique l identit est une notion qui est devenue extr mement extensible qui est et le d veloppement de cet univers num rique Pour aborder le sujet nous avons rassembl les meilleurs experts que je vous pr sente tr s rapidement Solange Ghernaouti qui est pro fesseur directrice du groupe de recherche cy m me devenue floue videmment l identit est jusqu pr sent d finie et contr l e par l tat je pense l tat civil Maintenant au vu du d veloppement num rique les choses ont vraiment chang et l identit num rique n a pas vraiment de d finition ce qui perturbe d ailleurs en particulier le juriste que je suis l identit peut tre le pseudo Il y a eu un d bat aussi sur l identit et donn es person nelles l adresse IP estelle une donn e person nelle 2 l identit num rique est au c ur d enjeux la fois conomiques strat giques et au c
10. La d fense profite de tous ces ef forts qui sont faits pour faire baisser la crimi f rentes des tats ne facilitent pas les choses La d finition d un terroriste diff re sensiblement que l on soit Washington Paris Moscou ou 39 5 Forum international de la cybers curit 40 P kin Alors quand l on cumule le cyber et le terrorisme vous voyez bien l enjeu Tous les tats conviennent qu un manque de contr le donne des opportunit s relatives la cybercri minalit pour les groupes non tatiques Pour tant un certain nombre d tats n ont pas encore introduit dans leur l gislation des cybe infractions D autres ne le peuvent pas et ne sont pas en mesure de les poursuivre par manque de moyen et enfin le reste n en veut absolument pas parce que finalement a sert leurs int r ts Pour m moire comme l a rappel le g n ral WATIN AUGOUARD vous vous souvenez des attaques contre l Estonie en 2007 qui avaient une vraie dimension strat gique et avaient fi nalement bloqu toute une soci t en signe de d saccord politique Au final la Russie n a condamn qu un seul tudiant une peine symbolique Tous les tats conviennent galement qu il faut faire entrer le cyber dans le cadre classique des relations internationales sous peine d aug menter dramatiquement les comportements conilictuels Le cyber r volutionne en effet le jus ad bellum c est dire le droit qui d ter mine si
11. Pour ces tudiants de r centes actions de formation ont t mises en place et attestent de l entr e progressive et de l int gration du mot s curit dans les universit s Une fili re acad mique ouvrant la porte une jonction du professionnel et de l universitaire se dessine peu peu 3 Inculquer une v ritable hygi ne de s curit Il La prise de conscience et les ri postes Dans le monde conomique le d fi reste la sensibilisation la veille l intelligence conomique IE en g n rant un d veloppement d outils de services s curis s point noir pour de s curit solution juridique s ret technique informatique et des r seaux Ce volet devra prendre en compte la complexit des diff rents r gimes juridiques des pays l valuation des pr judices les tapes et les d lais des proc dures judiciaires contentieux national et international La confiance dans le tout num rique ne sera possible que par le d veloppement d un partenariat fort entre l tat et le monde des entreprises en favorisant toutes les synergies possibles co ts humains et financiers La finalit consiste mettre en place un corpus de formations qui fasse r f rence r f rentiel de comp tences et de m tiers offrant un panel de formations en alternance au sein de l entreprise de validation des acquis d exp rience VAE dipl mantes et qualifiantes La strat gie vise le d veloppement
12. jourd hui le combattant du futur en fait qui est le combattant actuel et qui inclut des syst mes informatiques Il n cessite des r seaux haut d bit en m tropole et sur chaque th tre d op ration Il n cessite aussi de puissants sys t mes de traitement de l information Or il faut bien admettre que les forces arm es utilisent des versions plus ou moins am lior es des sys t mes que l on peut trouver dans le secteur civil nale qui tait assez novatrice parce qu elle visait finalement mettre en coh rence les dif f rentes politiques publiques dont la politique de d fense au service du concept de r si lience de la nation que vous connaissez tous donc r silience de la nation des pouvoirs pu et que nous avons tous sur nos ordinateurs Les protocoles sont bas s sur l IP les postes de tra vail utilisent donc massivement des PC avec des logiciels qui sont grand public Bien s r les syst mes les plus critiques je pense par exemple la dissuasion nucl aire ont des sys blics mais aussi de ses int r ts long terme Parfois les diff rences entre s curit et d fense peuvent ne pas tre tr s claires Tout le monde voit bien quel registre appartient la police de la route d un c t et la dissuasion nucl aire de l autre Vous voyez bien que les concepts sont tr s diff rents mais parfois la fronti re est plus floue et c est typiquement le cas en ce qui t mes sp ci
13. prochement Toutefois les deux organisations qui ont chacune leurs points forts et leurs points faibles pourraient trouver avantage coop rer pour partager les co ts garantir l interop rabilit et assurer une cyberd fense totale de l ensemble Etat des lieux le cadre d op rations conventionnelles en G orgie 2008 ont renforc cette d termination 1 OTAN int grer pleinement la cyberd fense dans le fonctionnement et les op rations s agit de a ERI donner l OTAN les moyens de poursuivre ses P riorit explicite de l OTAN depuis le sommet de Pague en 2002 la ey berd lense missions au profit de la s curit collective des di d liti biti d Alli s malgr les menaces pesant sur ses syst mes ispose q une politique ambitieuse et d une d in d AC ur organisation d di e Les cybera taques Sn information et de communication Cela inclut Foaie en 2007 aliiona la surveillance et la protection des r seaux 144 propres de l OTAN d fense en profondeur l assistance ventuelle sur leur demande aux Alli s victimes d une crise cyber majeure la coop ration la carte avec les partenaires dont l Union europ enne et l industrie pour mieux appr hender les menaces et les solutions Le NCIRC NATO Computer Incident Response Capability a t cr pour assurer la supervision des r seaux de l OTAN et la r action face aux attaques Il dispose d quipes d
14. puient aujourd hui sur un certain nombre de bases solides Une base l gale puisqu il y a une directive europ enne sur la protection des donn es personnelles qui date de 1995 une g n ralement les titres d identit mis en uvre par l tat ou encore la carte agent qui tait voqu e tout l heure 2013 sera une ann e d cisive pour la protection des donn es personnelles parce que tous les espaces g o graphiques sont en train de r viser les instru directive de 2002 dite directive vie priv e et communication lectronique La directive de 1995 est transpos e en France par la loi in formatique et libert s qui d finit les r gles re latives aux traitements de donn es caract re personnel et l ensemble des droits dont b n 59 5 Forum international de la cybers curit 60 ficient les personnes I y a aussi une base ins titutionnelle puisque dans chaque tat euro p en il existe une autorit ind pendante en France videmment vous savez que cette au torit est la CNIL La particularit de la CNIL jusqu au 15 f vrier 2013 Ce dossier est ex tr mement important pour nous aussi bien sur le plan op rationnel que sur le plan politique En effet c est la premi re fois que les 27 av torit s europ ennes sont d accord sur un dos c est la comp tence qu elle a d velopp e de puis six ans environ sur le plan technologique En effet la CNIL
15. ratoires tr s vari s du d facement de site au r tablissement de connexion Internet dans des pays faisant l objet de censure Cette nouvelle forme de contestation politique ex ploitant de fa on transgressive l outil informatique coexiste avec d autres formes de contes tation plus classiques Etat des lieux ans les ann es 1990 la naissance du web l activiste tait un militant consid r comme extr miste Pour faire entendre sa cause il utilisait la propagande le lobbying la d sob issance civile et les op rations coup de poing Avec la modernisation de la soci t nombre d activistes ont chang de modus operandi pour devenir hacktivistes Le terme hacktiviste est d origine angloam ricaine ll est d riv du mot hacker Il s agit d un individu qui essaie de comprendre le fonctionnement d un m canisme pour ensuite le d tourner de sa vocation originelle L hacktivisme renvoie donc un mouvement de personnes qui s emparent de la technologie accessible tous en l esp ce d internet pour militer et v hiculer des messages Anonymous est un exemple de groupes se revendiquant comme hacktiviste et utilisant la toile pour faire passer des messages par des actions m diatiques De caract re international il ne pr sente cependant aucune structure officielle et semble totalement d sorganis En effet les agissements de certains membres ne sont pas cautionn s par d a
16. si ce n est pour tablir des r glementations et des normes compatibles entre les Europ ens et les Am ricains au moins pour assurer une gestion de crise efficace en cas d incidents cyber qui pourraient avoir de graves cons quences sur le territoire europ en 5 Forum international de la cybers curit A14 Existetil un march pour la cybers curit Intervenants Eric Domage directeur de la strat gie BU s curit Orange Business Services Mathieu Poujoul Principal consultant Cloud Security amp Middleware Pierre Audoin Consultants Jean Pierre Qu mard pr sident de l Alliance pour la Confiance Num rique ACN Thierry Rouquet Pr sident directeur g n ral Arkoon S bastien H on Directeur des affaires publiques Cassidian CyberSecurity R sum des interventions Le march de la cybers curit existe et se d veloppe tr s rapidement Il doit toutefois tre mieux structur tant du c t de l offre que de celui de la demande Une politique indus trielle s appuyant sur la R amp D et la cr ation de consortiums conditionnent la consolidation d un secteur qui b n ficie en France d un potentiel technologique reconnu mais encore trop dispers e march de la cybers curit affiche une croissance de 10 par an et un chiffre d affaires de cinq milliards d euros et autant l export selon une tude r alis e 2013 par l Alliance pour la Con
17. Bull SafranMorpho etc Je pense Gemalto Oberthur et Sagem Orga pour les cartes puce Ingenico pour les lec teurs de cartes Parall lement nous tirons profit d un tr s large spectre de comp tences le plus complet 23 5 Forum international de la cybers curit 24 d Europe gr ce nos nombreuses PME et TPE qui ne cessent d innover dans le do maine La France est ainsi en pointe concer nant la cryptologie ou les produits d analyse de trafic autant de technologies cl s Nous devons donc encourager ces entreprises grandir et conqu rir de nouveaux march s no tamment trangers dans le respect bien vi demment de nos valeurs fondamentales En conclusion l objectif de cette politique doit tre de consolider l industrie fran aise d j tr s dynamique Cela passera par la cr ation d un environne ment de confiance renforc et par un effort de structuration du secteur Il en va du bon fonctionnement d un espace dans lequel se d ploie notre vie collective notre vie de citoyens de cr ateurs de consommafeurs Voil pourquoi il est mes yeux fondamental que toutes les questions li es la cybers curit soient mises sur la table C est la meilleure ma ni re de garantir la fois les libert s fonda mentales et l existence d un Internet ouvert et s r Je tiens saluer encore une fois l initiative du FIC et je vous souhaite tous de bons tra va
18. CYBERSECURITY O AN EADS COMPANY EFFACEZ VOS SMARTPHONES ET TABLETTES AVEC CERTITUDE B B M sss pP PR eg Windows an22012 BlackBerry symbian TOA A 7 Mobile 5 Forum international de la cybers curit 110 AT G opolitique du cyberespace Intervenants Francois Bernard Huygue Chercheur l IRIS Bertrand de la Chapelle Membre du conseil d administration de l ICANN directeur du projet Internet et juridictions l Acad mie diplomatique Internationale Frederick Douzet Ma tre de Conf rence Institut Fran ais de G opolitique Universit Paris 8 Jean Jacques lavenue Directeur IREENAT Universit de Lille 2 Kave Salamatian Daniel Shaeffer G n ral 2S consultant R sum des interventions Professeur Universit de Savoie La relation entre cyberespace et g opolitique reprend des fondamentaux de cette derni re mais doit prendre en compte des donn es nouvelles Enjeu de pouvoirs le cyberespace est un autre territoire suscitant de nouveaux enjeux et la n cessit de trouver de nouvelles r gles I Les probl matiques embl e un paradoxe comment la g opolitique discipline d j ancienne peut nous aider comprendre le cybe respace la g opolitique est une discipline qui consi d re l tat comme un organisme g ogra phique ou comme une entit dans l espace Avec le cyberespace trois donn es sont prendre en
19. Il convient galement de d finir les modalit s de restauration du savoir faire dans l entreprise en cas de rupture de l outsourcing En outre il est possible pour les entreprises d sireuses d externaliser de mettre en uvre en amont divers outils tels que des audits benchmarking et d instaurer des p nalit s ce qui implique toutefois une d pendance par rapport au prestataire La bonne gestion des risques passe par l tablissement d indicateurs de performance qualit satisfaction clients fiabilit respect des d lais investissement innovation taux de fr quence accidents qui seront mis en uvre dans le cadre d audlits Il convient de consid rer l aspect juridique de l outsourcing En effet plusieurs relations contractuelles sont possibles Elles d pendent des moyens et des objectifs de l entreprise Le questionnement concerne le fait de proc der une externalisation partielle ou compl te Suivra la d termination des modalit s de la mise en place de l outsourcing Un cahier des charges pour d finir le niveau de performances est souhaitable au m me titre qu une graduation de la valeur des donn es externalis es aux entreprises Il est devenu fr quent d inclure dans les cas d externalisation des syst mes d informations une clause sur les vuln rabilit s logicielles ainsi que des p nalit s financi res Enfin on peut relever dans la m me perspective la proposition de r glement europ
20. Le FIC 2013 en photo TEOPAD S curisez vos donn es sensibles sur Inala elal C re AE SlaRel s elle irle sl s curis es Une solution PR E E Un large choix F d applications Une solutio s curit Convivialit Pour en savoir plus scannez le flash code ou rendez vous sur T A AN L thalesgroup com teopad ou d contactez nous au 33 0 1 46 13 22 29 Together Smarter Safer P3 Quelle politique industrielle en 5 Forum international de la cybers curit mati re de cybers curit amp Denis FORTIER ette table ronde m est ch re car je suis le secteur de la politique industrielle en mati re de cybers curit depuis de nom breuses ann es Diff rentes tables rondes ont abord depuis hier ce point et ont permis de recueillir les points de vue d un panel d institu tionnels et de repr sentants des grands industriels de la cybers curit Nous allons approfondir Jean Marie BOCKEL Permettez moi tout d abord de remercier les organisateurs de m avoir invit participer ce forum Je voudrais aussi pr ciser d embl e que c est avec beaucoup de modestie que l aborde ce sujet car contrairement la plupart des personnes pr sentes cette table ronde notamment ce qui concerne la recherche et le d veloppement Avant les d bats je souhaite vous pr senter nos intervenants mes c t s des orientations institutionnelles avec Christian
21. Les m dias sociaux ou les r seaux sociaux sont devenus des l ments moteurs du d ve loppement des entreprises fran aises au niveau national et international Cette r volution des espaces industriels se fait par la collaboration croissante des employ s des entreprises La fragile fronti re entre vie publique et vie priv e au sein de l entreprise n cessite de nouvelles r gles de gestion des ressources humaines qui impliquent chaque niveau de l entreprise dans une logique transversale et non plus horizontale La r ussite de l int gra tion aux r seaux sociaux passe par une ducation pertinente l e r putation I n existe pas de droit l oubli sur les r seaux sociaux L ind l bilit des comptes g n re une ADN num rique et une cartographie individuelle num rique qui impactent chaque internaute En l absence d un code de l internet ou d un code des m dias sociaux les juges cherchent dans l arsenal juridique les textes susceptibles d tres appliqu s pour traiter les diff rents niveaux d attaque la r putation individuelle ou commerciale Mais ce n est pas le droit qui fa onne les actions men es sur internet c est l internet qui fa onne le droit Une r flexion est men e dans ce sens par le S nat 187 5e 188 Forum international de la cybers curit I Les probl matiques es m dias sociaux sont largement utilis s par les individus et les entreprises en qui sous estiment l
22. Mais on peut tout de m me la distinguer de la pr vention par son aspect dynamique indispen sable pour s adapter en permanence aux menaces et g rer des incidents tr s fr quents Le v ritable probl me des produits SIEM Security Information Event Management Gestion des Ev nements et des Informations de S curit serait leur maturit Une mauvaise appr hension du SIEM comme outil tout faire peut entrainer son rejet pur et simple par l organisation Or le SOC n est qu un outil utiliser bon escient il faut savoir ce que l on veut en faire travers une analyse de s curit compl te identifier ce qu il faut superviser et quels sont les risques viter en premier lieu La technologie ne suffit 5 Forum international de la cybers curit jusqu 30 sources diff rentes d information pas en elle m me il faut de l audit Il faut tre capable de discerner l incident qui affectera le business et dans quelles proportions S impose ensuite une phase d laboration des processus de reporting avec le client puis une phase de param trage relativement simple des outils Le SOC doit rester proche des r alit s de l entreprise ce que peu d op rateurs peuvent faire l heure actuelle La fen tre d analyse de ces logs sera galement susceptible d voluer en pr cision et sur le domaine temporel d un mois elle pourra passer 6 mois voire un an ou plus pour
23. Nous pouvons galement favoriser la mise en uvre d quipes communes d enqu te Monsieur Quill en a parl tout l heure une quipe commune d enqu te est un moyen de coop ration relativement abouti puisqu il permet des magistrats de se transmettre des l ments de proc dures des l ments de preuves sans qu ils soient oblig s de faire des demandes d entraide Les policiers d un pays vont travailler avec ceux d un autre pays Je consid re titre personnel que ce moyen doit tre utilis Il m appara t effectivement important on a parl tout l heure de confiance que des enqu teurs puissent tra vailler en pleine confiance avec des coll gues qu ils puissent comprendre leur fa on de travailler Alors qu autrefois on entendait syst matiquement assez souvent en tout cas dans les services de police ou de gendarmerie des critiques sur la fa on de travailler de coll gues trangers sans des poursuites comme je l ai dit Eurojust peut galement demander aux pays de s entendre pour que l un d entre eux puisse tre choisi comme tant celui qui est le mieux plac pour poursuivre des faits Effectivement dans le domaine de la cybercriminalit ce point est extr mement important puisque l infraction com se pr occuper de savoir par exemple si le sys t me juridique l arsenal juridique d un autre tat taient diff rents et n imposaient pas une m thode de travail diff rente
24. Pierre CHASSIGNEUX Directeur risk Management amp Audit Groupement des cartes bancaires Daniela TRICCA R A C I S Italie R sum des interventions La cybercriminalit bancaire est en croissance favoris e par les paiements distance et notamment sur le canal Internet Elle exploite des modes op ratoires originaux et com plexes qui ne connaissent aucune limite territoriale Sa nature par d finition virtuelle favo rise aussi de nouvelles formes plus complexes pour les proc dures de blanchiment Les mesures prises l encontre de cette cybercriminalit bancaire sont de deux ordres L innovation technologique et la sensibilisation des acteurs l utilisation de ces nouvelles m thodes sont un premier pare feux Le second r side dans les r ponses des institutions 184 en termes d changes d informations et d harmonisation juridique et technique I Les probl matiques e volume financier des fraudes s estime bien en fonction de la valeur des transactions globales mais l appr ciation des pr judices s attache aussi la ventilation des actes d lic tuels Selon le rapport de l Observatoire de la s curit des cartes de paiement de la Banque de France le montant de la fraude la carte bancaire repr sente 413 2 millions d euros en 2011 En Europe le montant cumul des fraudes en 2010 se situe 1 26 milliard d euros La majeure partie de ces fraudes se concentre sur les paie
25. bien ailleurs Nous avons un troisi me domaine dans lequel nous voulons aussi investir plus long terme monsieur Charpenel le disait qui est celui de partager les connaissances sur le principe de la confiance Dans cette optique nous avons dans l id e ambitieuse de cr er une cyberacad mie Elle associera bien sur les universit s celles qui en tout cas investissent dans le domaine de la cybercriminalit Ce syst me de cyberacad mie sera ouvert tous les intervenants du domaine de la s curit et de la justice parce que je crois que comme vous l avez dit il faut changer coop rer Quelles sont les perspectives pour conclure Dans les perspectives imm diates on retrouve la question de la coop ration avec le secteur priv bien que les pouvoirs publics ne doivent pas perdre la main pour des questions de sou verainet de possession des donn es N anmoins je crois que dans ce domaine l les services ont une r volution culturelle faire ph nom nes de hacking bien connus et r pertori s Ce soutien aux enqu tes ne s arr te pas l parce que dans un domaine que nous d frichons tous ensemble il y a la n cessit de d velopper parce que les policiers et les gendarmes sont comp tents mais cette comp tence tr s technique ne s invente pas On ne pourra pas faire merger un policier comme sp cialiste de la criminalit de la cybercriminalit en deux trois ans alors ce q
26. car je crois que l espace bien compris c est qu il s agit d un r glement et non pas d une directive I n y aura pas les al as de la transposition Le texte sera d ap plication imm diate dans les 27 tats mem bres et a c est extr mement important Ce texte renforce les droits du citoyen Je ne europ en est le seul pertinent vraiment perti nent pour la lutte contre la cybercriminalit Au jourd hui franchement a n est plus la port e suis pas de ceux qui ont la t te dans les toiles et qui croient que nous allons tre compl te ment prot g s et que le risque z ro sera at d un tat de lutter seul contre des cybercrimes qui sont videmment sans fronti re Donc un mot d abord de la cr ation de ce teint Par exemple en ce qui concerne la disposition importante sur le droit l oubli nu m rique nous savons tr s bien que sur un centre europ en de lutte contre la cybercrimi nalit C est extr mement r cent puisque est n d une communication de la Commission en date du 28 mars 2012 va commencer tre op rationnel C est un office qui d pend de Europol et qui va constituer le point focal europ en dans la lutte contre la cybercriminar lit videmment il va se concentrer sur les ac tivit s illicites en ligne men es par des groupes organis s et plus particuli rement sur celles qui g n rent des profits consid rables comme plan technologique c est im
27. curit du paiement sur internet aupr s de sa banque exemple envoi d un code de confirmation par sms La biom trie peut galement tre un moyen de s curiser d avantage les titres d identit puisque ces donn es propres chaque tre humain et se m fier des r seaux sociaux qui ne sont pas n cessairement s curis s de fa on ad hoc 5 Forum international de la cybers curit A23 Outsourcing comment externaliser en toute s curit Intervenants Philippe HUMEAU Pr sident Directeur G n ral NBS System Yes LE FLOCH Directeur du d veloppement de la cybers curit Groupe SOGETI Martine RICOUARTMAILLET Avocat sp cialis en informatique CIL et Auditeur Infor BRM Avocats matique amp Libert s Florent SKRABACZ Responsable des Activit s de S curit du Groupe Steria R sum des interventions Dans un contexte budg taire restreint les organisations cherchent optimiser leur fonc tionnement et r duire leurs co ts Faut il g rer en propre ou infog rer quitte externali ser la gestion de certaines donn es sensibles au risque de ne pas disposer d un niveau de s curit optimal en mati re de confidentialit d int grit et de disponibilit I Les probl matiques e outsourcing gt ou externalisation est un h m e 1 l outsourcing est une pratique qui consiste externaliser vers un f curren t prestataire sp c
28. d bat qui est la promotion de ce qu est l quipe France en mati re de politique industrielle parce que ces sujets de cybermenaces sont en train de monter un peu partout Des pays du de cr er ce qui pourrait tre une dream team la fran aise qui pourrait r unir ces op rateurs de confiance et mettre en avant et promouvoir ces savoirs taire fran ais C est une opportunit ne pas manquer C est quelque chose de complexe monter Cassidian qui agit avec Thal s Capgemini et d autres plus quelques PME ce n est pas vident La coordination avec la DGA n est pas non plus quelque chose de simple Si cela r ussissait on pourrait prendre des positions majeures au Moyen Orient ou au Br sil qui est en train de se doter de forces de protection de ses plateformes p troli res et int gre la relation cybermenace sur les processus industriels I en est de m me en Inde etc Denis FORTIER Monsieur le s nateur cette dream team Jean Marie BOCKEL Vous n avez pas parler de la R serve citoyenne cyber 2 Denis FORTIER J en fait moi m me mot rapidement 2 partie Un Luc Fran ois SALVADOR L tat major en application du premier Livre Blanc s est dot e d une comp tence cyber en la personne de l Amiral Coustilli re Il a pris la d cision de se doter d une structure dite de cyber r serve qui mobilise des repr sentants Moyen Orient d Am rique Latine et d
29. dans le ta pee d in g ha Ute mans cher et vendre au plus offrant toutes les microsecondes fr quence H1 fr le la banqueroute suite un bug informatique Les pertes sont estim es 440 millions de dol lars Par quatre fois en 2012 le cloud Amo zon fait face des incidents tr s pour d gager une faible marge de tr s nombreuses fois classiques bugs pannes lectriques etc Une r action en chaine entraine nombre de ses clients dans la tourmente Pour le CLUSIF ces v nements sont aussi une source poten tielle d inspiration pour les cybercriminels qui cherchent toffer leur palette d attaques et identifier de nouvelles failles Il Cyber conflits et attaques cibl es 2012 a t marqu e par de nombreuses prises de positions officielles au sujet de la gestion des cyber conflits Pour le CLUSIF la militarisation du cyberespace est enclench e Elle passe par un renforcement des capacit s d fensives voire offensives des tats qui recrutent des sp cialistes publient des 115 5 Forum international de la cybers curit 116 documents strat giques affinent leur commu Pour am liorer la visibilit de ces sites un mar nication et m nent des cyber exercices M me si en 2012 aucune cyberattaque n a t revendiqu e ou clairement attribu e un Etot l approche d complex e de certains d entre eux en la mati re promet selon le CLUSIF d importants bou
30. de la couche logique doit tre pr serv e Cette course aux armements juridictionnels est source de tensions li e l incertitude sur le droit applicable aussi bien pour les gouvernements que les entreprises ou les utilisateurs Dans une conomie syst mes t d acteurs qui a le m rite de fonctionner un contexte g n ral d clatement du r le des tats nations issus des trait s de Westphalie et une mont e en puissance d autres sources il convient de trouver de nouveaux quilibres entre les parties En effet on ne peut imaginer une gouvernance de l internet sans les gouvernements 2 On est pass en l espace de deux d cennies de 10 000 2 3 milliards d internautes d e quarantaine d Etats a parfaitement illustr l universalit d Internet et de ses acteurs Espace transfrontalier par nature Internet est par voie de cons quence soumis autant de juridictions qu il y a de pays concern s localisation des serveurs utilisateurs pays d accueil D s qu une plateforme se situe dans une juridiction particuli re elle se verra appliquer la loi du territoire g ographique dans lequel elle se trouve D s lors il serait plus juste d voquer les gouvernances des cyberespaces car il y a une collection d espaces partag s priv semi public public Par ailleurs l architecture de l Internet reposant sur diff rentes couches qui ne sont pas physiquement li es couche physique liaison
31. dire le pr sent De la m me mo ni re en observant les donn es agr g es il est tout fait possible d appr cier ce qui at tire le consommateur un moment donn sans avoir attendre plusieurs semaines pour disposer des donn es collect es ou analys es En r alit cela n cessite peu d ajustements 5 Forum international de la cybers curit peler cela int r t personnel bien plac Goo par la suite Ainsi tant capables d apprendre plus partir de cette observation nous pou vons mieux valuer l tat de la situation co nomique ou bien encore certaines de ses gle et les autres soci t s de technologie ont besoin de nouer une confiance avec les utili sateurs si ceux ci veulent continuer utiliser leurs services Ft comme Google et les autres composantes qui posent probl me le tout en un tr s rapide tour d horizon Il y a galement des instruments qui apportent entreprises compagnies du web sont en grande partie li es la circulation de l infor mation leurs capacit s r sister est bas e sur le nombre de personnes qui souhaitent leur pP q faire confiance avec des informations Je pense que l apprentissage de ces nouvelles une aide consid rable aux personnes L un de ceux que j utilise souvent est Google carto graphie et itin raire Google map and no vigation Les gens qui utilisent Google map sur leur t l phone mobile ont la possibilit de
32. est une illusion dangereuse le v ritable enjeu tant la gestion des commons Quant aux 5 Forum international de la cybers curit ordres juridiques qui se chevauchent les d fis auxquels nous sommes soumis consistent trouver les instruments nouveaux qui ne soient pas seulement d di s une gestion commune de ces espaces Avec le cyberespace la Chine en a pris la mesure des avantages propagande int rieure et conomie et des inconv nients Vecteur de l opposition et cybercriminalit Les menaces chinoises visent avant tout l conomie avec les acquisitions l gales et ill gales Elles s inscri vent galement dans le cadre de la confronta tion sino am ricaine o la Chine voit dans les USA une menace potentielle Elle m ne une guerre asym trique en se dotant d une v rita ble muraille cybern tique La cyberg ographie est peu connue car pluri disciplinaire titre d exemple l Inde et la France sont g ographiquement lointaines mais aussi directement voisines par les routeurs quelques centim tres de distance on passe d une juridiction fran aise une indienne Nous sommes d ailleurs en cela tr s proches des Am ricains qui sont des voisins curieux de tout le monde gmail Historiquement les Am ricains sont les pre miers avoir mont un syst me avec l ICAAN Internet Corporation for Assigned Names ans Numbers Ils sont dans une al liance objective av
33. glement pr voit la gratuit 67 5 Forum international de la cybers curit 68 pour tous ces services Bien entendu en ce qui concerne le secteur priv il y a des r sis tances En conclusion je constate mais je le savais depuis longtemps parce que je suis avocate depuis 35 ans que le droit est tou jours terriblement en retard sur la technologie et a c est vraiment un d sastre que ce soit au niveau Fran ais et m me au niveau euro p en Je pense qu il faut lutter contre cette id ologie quand il s agit d une id ologie qui s oppose toute r gulation sur internet parce que ce n est pas s rieux Ce n est pas parce que l on est sur Internet que l on ne doit pas appliquer des r gles Il faut juste trouver un bon quilibre avec le respect des droits fon damentaux Enfin je trouve que l on n a tou jours pas tranch la question de la responsabilit des fournisseurs d acc s Cela fait des ann es que j attends Myriam QUEMENER Je tiens vraiment tous vous remercier Vos in terventions nous permettent d avoir une vision compl te du sujet on voit bien qu il y a beau coup d initiatives L ensemble des acteurs se sentent concern s y compris les politiques qui avancent sur ces probl matiques reste par fois une question de moyens Tout s inscrit vi demment dans une dimension europ enne et internationale e Forum international de la cybers curit
34. l article 32 Il faut alors clarifier ce que veut dire l article 32 et il faut un cadre l gal inter national plus clair pour les situations au del de l article 32 Le comit des parties la conven tion de Budapest a analys cette question en d tail en 2012 et en d cembre a adopt dans son rapport une autre orientation pour faciliter une meilleure compr hension de l article 32 mais aussi labor un protocole additionnel la convention de Budapest Cela montre aussi qu il est bien possible d ajouter des outils sup pl mentaires la Convention de Budapest Quatri me propos il faut des garanties des sauvegardes pour limiter les pouvoirs de force La libert que nous offre internet est tr s ch re nous tous il faut la prot ger Il est absolument n cessaire de respecter les droits de l homme et nous insistons beaucoup sur l article 15 de la convention de Budapest et aussi sur la ccon vention 108 sur la protection des donn es per sonnelles dans notre coop ration avec le pays tiers Cinqui me propos l assistance technique est une exigence principale sur le niveau mondial pour renforcer les capacit s de la justice p nale la coop ration tous les niveaux Les tats doivent tre en mesure d appliquer leur loi Et c est pour a que la question de formation vo qu e par tout le monde n est pas seulement un consensus banal c est un consensus international Aux Nations Unies tout le monde est d
35. les interventions des multiples intervenants Plusieurs acteurs agissent en effet en mati re de lutte contre la cybercriminalit entreprises administrations utilisateurs des outils num riques et connect s entre nous partir de nos t l phones de nos ordinateurs et bient t de nos v hicules l office central de lutte contre la criminalit li e aux technologies de l information et de la communication OCILCTIC l office Se pose donc de fa on cruciale la question de la protection de nos vies priv es et de notre identit Nous devons int grer la d cision du Conseil constitutionnel du 22 mars 2012 concernant la loi sur la protection de l identit Vous le savez la mise en place d un fichier commun aux cartes nationales d identit et aux passeports comportant des donn es biom triques tout comme l acc s donn aux fichiers aux services anti terroristes ont t censur s D s le mois de novembre j ai donc saisi l inspection g n rale de l administration 5 Forum international de la cybers curit racistes et antis mites est une avanc e Mais un travail doit se poursuivre permettant l approfondissement des relations entre l Etat et les op rateurs Je n exclus pas la mise en place de chartes de bonne conduite c est souvent un pr alable efficace l application pleine et enti re de nos lois nationales De fa on g n rale le traitement de certains afin de r fl chir
36. noncer en te nant compte du cyberespace Un trait inter national du cyberespace me semble important pour notamment mais pas uniquement abor der les probl mes de conflits entre Etats traiter des principes g n raux relatifs aux pratiques galement sur des domaines tout fait essen tiels de la vie sociale notamment au niveau du transport de la sant de l administration des grandes entreprises priv es Didier TRUTT Bonjour toutes et tous Je vous remercie Madame Quemener de me permettre de par tager l exp rience de l Imprimerie Nationale loyales concernant les donn es personnelles et des aspects fondamentaux de gouvernance exp rience acquise au quotidien aux c t s de l Internet et ainsi contribuer d finir les bases d une cyber thique dont les principes g n raux d passeraient les barri res g ogra phiques et culturelles des pays Myriam QUEMENER Merci beaucoup pour cette introduction qui pose bien les probl matiques le point de vue des administrations fran aises et europ ennes mais galement en lien troit avec les entre prises priv es de grands secteurs cono miques tels que la sant et le transport Je voudrais galement saluer la collaboration troite qui s est cr e avec l Agence Notio nale des Titres S curis s et l Agence Natio nale de la S curit des Syst mes d Information dans la s curisation et la d livrance de titres r
37. part C est le cas de l internet mobile ou du monde des objets interconnect s l application d une technologie un syst me pr existant peut engendrer des failles de s curit Le d veloppement des technologies sans contact et l implantation de puces RFID sur des cartes de paiement pose seee eoir EAN E des probl mes de MES e s curit des don n es L information des victimes potentielles est faible Elles b n ficient de passeports lecture optique de cartes bancaires avec puce RFID dont les donn es sont lisibles distance sans Q m thode qu elles le sachent Elles ne b n ficient pas des syst mes de protection d un r seau Un op rateur averti en moins de deux mois peut r aliser un programme pour capter les donn es de ces documents A titre d exemple l association d un syst me d identification et d une technologie sans contact permet aujourd hui de d marrer une voiture en gardant la clef dans sa poche La possibilit que les donn es permettant le d marrage distance de la voiture soient pirat es doit tre prise en compte La technologie du cloud implique quatre exigences de s curit la disponibilit des don n es leur int grit la garantie de confidentialit et la protection juridique Des proc dures de s curisation des infrastructures peuvent tre mises en place mais elles seront fragilis es par le mauvais comportement des clients Dans 9
38. prend en charge une vaste palette de fonctionnalit s Outre les m tiers de la Banque elle embrasse la protection du courrier des colis et la gestion voire l interaction de 17000 points de contact avec les clients Elles reposent sur la n cessit de figer l instant dans les vols d informations et l usurpation d identit le r f rencement des tentatives d intrusion le calibrage des proc dures de s curit respecter et l identification des traces conserver Il convient par ailleurs de r aliser une charte des utilisateurs d finir une politique d alerte g n rale et communiquer sur les objets 5 Forum international de la cybers curit A17 Cybers curit quels enjeux pour les SCADAS nerg tiques Intervenants Nicolas Mazzucchi Polemos Consulting G rard Pesch chef du secteur conseil en s curit et valuation Thales Edouard Jeanson vice pr sident directeur technique de l activit s curit groupe SOGETI Jean Pierre Hauet pr sident ISA France Christophe Renard consultant HSC R sum des interventions Si les SCADA sont indispensables la bonne administration de la distribution des nergies par les groupes fournisseurs il convient de les approcher en terme de s curit globale En effet la plupart des grandes entreprises de production en sont tributaires Le risque inh rent aux
39. r seau transport la tentation est grande de voir des gouvernements utiliser la couche logique pour traiter aussi des contenus notamment en de m me qu une gouvernance o ils seraient seuls aux commandes para t assez illusoire La pr sence de multi acteurs constitue un levier permettant de 3 L agenda de Tunis pour la soci t de l information a d fini en novembre 2005 les principes selon lesquels l Internet est devenu une ressource publique mondiale et que sa gouvernance devrait s op rer de fa on multi t rouver d es p O i n ts lat rale transparente et d mocratique avec la pleine d 1 q U i i b re 3 l fa ut participation des tats du secteur priv de la soci t gt civile et des organisations internationales d velopper la gouvernance SUr l Internet en accroissant les m canismes inter acteurs et redonner toute sa part au citoyen 129 5 Forum international de la cybers curit A8 La modernisation des moyens de pr vention et d investigation d di s au traitement des infractions cybercriminelles Intervenants Jo l Ferry Colonel Direction g n rale de la Gendarmerie nationale ric Freyssinet Lieutenantcolonel de gendarmerie STRID DILCC Philippe Joliot Expert pr s de la Cour d Appel de Nancy Pr sident de TRACIP Anne Souvira Commissaire divisionnaire BEFTI Pr fecture de Police de Paris R sum des interventions
40. rale des acteurs ph nom ne qui ne cesse d voluer au gr des volutions tech nologiques du march il est difficile de d finir des limites ce que l on doit prot ger Donc face une attaque massive d un type que nous n avons pas encore compl tement v cu mais qui n est pas improbable il faut vraiment quel est le point de vue d un industriel comme SOGET sur ces questions que et quelle contribution pouvez vous apporter pour la d fense et la s curit nationale 2 St phane JANICHEWSKI Le point de vue d un industriel est le point de vue je dirais d un prestataire de service qui peut aider les organismes publics ou priv s mieux se d fendre contre les cyberattaques Premi re remarque sur le continuum d un point de vue strictement technique les at taques utilisent le m me cadre c est dire le cyberespace et sont de m me nature De ce fait la mani re de se prot ger que ce soit pour un organisme public ou priv va tre la m me et de ce point de vue je ne saurais trop aller dans le sens de ce qui vient d tre dit sur le caract re dual de la cyberd lense Ce qui peut changer simplement c est le contexte Dans un cadre civil l objet des attaques ou r fl chir de mani re syst mique sur ce qui peut tre attaqu et ce qui peut poser des pro bl mes Pour la souverainet nationale que constatons nous maintenant Le premier constat est que les attaques ne cesse
41. ri cains et les chinois L aussi il faut trouver une juste mesure et ce n est pas si facile que a Sur ce r glement il y a un grand progr s en ce sens que l on va pratiquer pour les autorit s de contr le ce que l on appelle le one stock shop c est dire une autorit chef de file Personnellement et l je pense que je serai sui vie j ai d pos des amendements pour que les autres autorit s des autres tats membres 5 Forum international de la cybers curit sinon une fois de plus nous serons affaiblis par la concurrence a n est pas le principe d harmonisation qui a t choisi et Dieu mercil C est le principe de reconnaissance mutuelle reconnaissance mu tuelle des syst mes d identification ou d au thentification des moyens La question reste pos e et elle va tre d battue Je suis rappor teur sur ce texte mais la Commission du mar ch int rieur Nous nous sommes beaucoup battus avec l autre Commission du march in ternational pour avoir la comp tence au fonds Nous n avons pas r ussi mais nous res tons quand m me saisis pour avis Ce r glement cr donc un march int rieur des signatures lectroniques et des services de confiance en ligne qui leur sont associ s en garantissant un fonctionnement transnational de ces services et c est tr s important en leur conf rant le m me statut juridique que les for malit s effectu es sur les documents physiques et
42. taient ses implications en mati re de protection de donn es et v rifier si le droit europ en tait ou non respect Le G29 a d sign la CNIL comme autorit chef de file pour conduire cette analyse En octo bre un courrier a t envoy Google il tait sign par 2 7 autorit s europ ennes Dans ce courrier les autorit s pr sentaient les conclusions de leur analyse au regard droit eur rop en En particulier les autorit s deman daient Google une meilleure information un meilleur contr le pour les utilisateurs sur la com binaison des donn es et la d finition de du r es de conservation Ces demandes taient accompagn es d un certain nombre de re commandations tr s pratiques Google Il a t donn quatre mois Google pour se met tre en conformit c est dire qu ils ont bien des cas les traitements de donn es per sonnelles doivent tre d clar s la CNIL Le projet de r glement dans la plupart des cas va supprimer cette formalit pr alable Ensuite on va responsabiliser les entreprises c est dire qu on leur explique la protection des donn es personnelles a va passer par vous C est le principe anglais d accoun tability Sur la comp tence des autorit s le projet de r glement sera applicable d s lors qu un r sident en Europe sera concern l s agit d un grand changement par rapport au projet initial de la Commission europ enne qui pr
43. tats peuvent aussi pour les syst mes d armes Toutes les plate formes de combat que ce soient les bateaux les avions embarquent massivement bord des syst mes informatiques et lectroniques Certains syst mes sont sp cifiques par exem ple le radar balayage lectronique mais beaucoup comportent des quipements ache t s sur tag res D autres sont quasiment iden tiques ce que l on trouve dans le civil Par exemple quelle diff rence y atil entre une chaufferie EDF et une chaufferie d un sous marin nucl aire Quelle diff rence entre le SCADA qui pilote sur des fr gates et un SCADA utilis dans les industries Je dirais que malheureusement il n y a pas assez de diff rences La force des forces arm es auv jourd hui c est leur technologie entre autres mais elle est devenue une vuln rabilit La cy berd fense militaire s int resse donc l ensem ble des syst mes qui sont utilis s depuis leur conception leur r alisation leur fabrication leur exploitation op rationnelle mais aussi leur maintenance Tout ces syst mes sont fortement d pendants des technologies et de presta taires civils voire d trangers Quelle serait la cr dibilit d une dissuasion qui comporterait d cider d avancer masqu s ce qui est plus far cile dans le cyberespace parce qu on ne voit rien que dans le domaine du monde conventionnel Et cela laisse la place toutes les manipulations imaginabl
44. tout revenir sur les questions de souverainet 5 Forum international de la cybers curit Le paradoxe est de vouloir tre souverain ind pendant sur certains sujets de mani re pouvoir coop rer avec nos partenaires Ceci tant dit il y a d autres domaines o l on peut tout fait coop rer au niveau europ en Au sein du minis t re de la D fense nous sommes plus tourn vers l OTAN Cette coop ration se fait au dont nous n avons toujours pas cit es Pourquoi a ton besoin de souverainet C est vrai que cela peut para tre choquant de ne pas partager et l on irait plus vite en mettant en commun nos diff rents budgets Si l on creuse le sujet travers d aspects un peu plus r glementaires On r fl chit ensemble pour mettre en uvre de la s curit au sens large au sein de nos r seaux Nous nous appuyons sur une base industrielle de d fense qui est essentielle et jusqu au bout nous arrivons la question essen tielle de la protection de nos secrets m me si cela peut appra tre tr s r trograde de le formuler ainsi Notre position est que pour tre une nation influente il faut tre capable de prot ger ses secrets militaires tatiques nos secrets li s au patrimoine scientifique et technique Cette capacit rend cr dible vis vis de nos grands partenaires Ce n est pas une invention franco fran aise ce ne sont pas les militaires qui disent a dans leur coin mais n
45. tre repens sans toucher bien entendu aux grands quilibres de la loi sur la presse de 1881 Clairement la question est pos e aujourd hui compte tenu de la force de frappe d Internet et de son influence sur les populations de savoir si la r pression de tels messages rel ve encore de cette l gislation Enfin nous devons repenser l quilibre entre libert s individuelles et s curit l mergence de menaces nouvelles et notamment celles du cyber djihadisme nous obligent adapter notre arsenal juridique Je veux un Etat protecteur Protecteur de la vie priv e de la libert d expression des libert s individuelles y compris en organisant les conditions juridiques de leur limitation d s lors que la s curit de nos concitoyens est en jeu Je me suis r cemment exprim sur ce sujet au Parlement dans le cadre du vote de la loi anti terroriste La pr sence active de groupes terroristes sur le Net nous oblige en effet doter nos services sp cialis s d outils adapt s Etendre le champ de l infiltration num rique de la captation des donn es consolider le socle l gislatif de la g olocalisation sont autant de nouvelles modalit s d administration 15 5 Forum international de la cybers curit 16 de la preuve qu il nous faut envisager Il s agit de construire une r ponse la mesure des atteintes nos valeurs perp tr es par ces groupes criminels Nous avons besoin de nos meilleurs exper
46. Asie approchent la France pour une assistance et entretiennent des discussions On sent bien d entreprises qui sont dans un engagement patriotique personnel sur les sujets de cyber On ne constitue pas un nouveau think tank ce 87 5 Forum international de la cybers curit n est pas du tout l objet mais en revanche on essaie de travailler sur des aspects innovants qui pourraient tre demain le ciment d une cyberforce au service de l tat Denis FORTIER Pascal CHOUR vous repr sentez l ANSSI Vous tes responsable du bureau politique industrielle et assistance Vous tes en charge de la politique industrielle mais que recouvre le terme d assistance 2 Pascal CHOUR Avant de parler de politique industrielle je vou drais juste r pondre ou commenter certains points sur la formation et sur le fait que l ANSSI ass cherait le march en mati re de comp tences s curitaires Paradoxalement j aurai tendance dire que c est presque une bonne nouvelle videmment cela ne l est pas pour ceux qui aujourd hui cherchent ces comp tences mais j ai t enseignant chercheur j ai cr il y a une douzaine d ann es un master dans le domaine de la s curit Ces masters ont un probl me d attractivit car ils n attirent pas o n attiraient pas les jeunes ing nieurs Je pense qu un des probl mes tait qu ils n y voyaient pas de fili res ou d avenir Aujourd hui cette recherche de ces comp t
47. Certaines soci t s organisent ces migrations pour leurs clients intervalles r guliers afin de pr server l int grit des donn es archiv es Cela repr sente un co t qui peut rendre l archivage lectronique plus on reux que l archivage papier cet gard il est d ailleurs important de pr ciser que la mise en place d un processus de d mat rialisation repr sente un investissement important surtout lorsque il y a plusieurs unit s Il faut une v ritable volont politique et des moyens pour le mener terme Il Les conditions d une d mat ria lisation r ussie Un accompagnement est indispensable Tout d abord il faut impliquer le client tr s en amont pour d finir ses besoins pr cis ment et mettre en place des processus et des infrastructures ad quates Cependant les solutions techniques impactent peu sur le succ s En revanche la p dagogie est indispensable pour faire accepter de nouvelles habitudes de travail la d mat rialisation induit en effet des changements importants dans les habitudes de travail et les r ticences sont parfois nombreuses Par exemple la signature lectronique qui permet de s curiser le syst me est souvent difficile faire accepter notamment par les cadres dirigeants Toutefois l exp rience prouve que lorsque l on d cide de conduire des projets de d mat rialisation il faut viter de faire coexister papier et support lectronique car cela entra ne in vitablement
48. Chef de bureau Direction g n rale de la Gendarmerie na tionale R sum des interventions La contrefa on n est pas n e avec Internet mais celui ci l a largement facilit en d ma t rialisant gt la plupart des transactions en simplifiant la cha ne logistique et en cr ant une distance entre le produit et le consommateur Quelle est l ampleur du ph nom ne sur In ternet Quel impact sur la comp titivit de nos entreprises et comment peuvent elles se prot ger I Les probl matiques a contrefa on repr sente une atteinte aux droits de propri t intellectuelle qui entraine un pr judice prot iforme pour les entreprises Il en va directement de la captation des parts de march s pour l entreprise victime et de la diminution de son chiffre d affaires avec toutes les cons quences conomiques que cela repr sente des pertes d emploi et de recettes fiscales Les faits de contrefa on concernent d sormais tous les secteurs de l conomie et ne se limitent plus uniquement l industrie du luxe Les entreprises qui souhaitent se d velopper l international doivent obligatoirement se prot ger dans les pays concern s mais elles vont rencontrer des cueils dus au fait de l absence de l gislation universelle L autre difficult r side dans le d veloppement commercial par Internet et les sites de vente distance La mise en ligne d un site officiel permettant de diffuser les produit
49. Donc l quipe commune d enqu te m appara t tre un moyen d entraide et de coop ration extr mement abouti non seulement en raison des avantages qu elle offre c est dire encore une fois la pos sibilit de transmissions rapides d informations crois es mais encore en raison de l ouverture qu elle constitue pour les enqu teurs et les magis rats qui comprennent qu d faut de pouvoir tre harmonis s des syst mes diff rents coexistent Comment travaille Eurojust Les 27 pays de l Union europ enne sont bien s r repr sent s Eurojust Il existe par pays un membre national quelques lois un adjoint quelques fois des assis tants comme pour le cas de la France Au bureau fran ais il y a donc quatre magistrats et deux secr taires qui elles font partie du per sonnel Eurojust Nous travaillons galement aux c t s de trois procureurs de liaison qui sont physiquement install s La Haye dans les locaux d Eurojust Ils sont respectivement am 5 Forum international de la cybers curit d s lors que plusieurs pays sont concern s Sont concern s la criminalit organis e et le terrorisme cela va de soi mais aussi les infra ctions contre les enfants le trafic d tre humains les r seaux d immigration clandestine la cor ruption le blanchiment etc et bien s r la cri minalit informatique La formule g n rale dont je vous parlais pr c demment est celle ci toutes autres formes d
50. Forum international de la cybers curit 181 5e 182 Forum international de la cybers curit B3 Plans de continuit et reprise d activit la question du retour en mode d grad Intervenants Claire BERNISSON Consultante en S curit et Gestion des Risques LEXSI Emmanuel WINCKLER Expert s curit SOGETI ESEC Paul THERON Expert en cyberr silience et en gestion de crise Thales Philippe VILANDRAU Directeur des op rations Voyages SNCF com R sum des interventions Les plans de continuit et de reprise d activit concernent un ensemble de process d ter min s de concert par le RSSI et le responsable de ces plans Ils visent la restauration pro gramm e des fonctionnalit s et des m tiers d une entreprise Ces plans n cessitent une analyse fine des fonctionnalit s et des besoins de l entreprise un plan de formation la r action l v nement et une formalisation troite des cha nes de responsabilit et de la synchronisation des r ponses op rationnelles Domaine des plans la continuit de l activit de l entreprise du moins dans son coeur de m tier essentiel tout en supportant un seuil de d gradation acceptable des processus au regard de la r si lience du syst me comporte une probl matique essentielle de la protection de la donn e Il comprend un ensemble de proc dures qui balaient les mat riels les r seaux et les attri
51. Gouverne ment s est d j saisi du probl me bancaires donn es professionnelles C est galement le cas de nos entreprises de nos administrations de nos usines bref de ce qui fait la richesse de la France Quand on parle de cybers curit on pro voque parfois chez certains des r actions scandalis es pidermiques Le gros mot le mot qui disqualifie finit par tre jet id ologie s curitaire Je n ai pas l intention de c der aux clich s faciles Mon minist re est l h ritier des pionniers du cyberespace Leur ambition premi re tait de cr er un nouvel espace de libert Cet objectif est atteint non pas dans tous les pays mais en France c est l vidence Il faut bien s r res ter tr s vigilant pour qu il le reste Malheureusement comme dans le monde Pourquoi la cybers curit estelle un secteur crucial 2 Tout simplement parce que notre vie quotidienne est de plus en plus d pendante des syst mes informatiques et des donn es qu ils exploitent donn es m dicales donn es r el certaines d rives sur les r seaux peuvent menacer la libert de tous Il est bien s r de la responsabilit de l Etat d assurer le maintien de l ordre public sur Internet pour prot ger les libert s et la s curit de nos concitoyens En effet bien que d territorialis Internet n en est pas moins un espace public tout fait r el Dois je rappeler que l article 2 de la D
52. L INT RIEUR Mesdames et Messieurs m appartient de clore cette 5e dition reste faire m me si je n ignore pas que beaucoup a d j t fait Et je veux saluer nouveau ce partenariat qui s est tabli entre la Gendarmerie nationale belle du forum international de la cybers curit Un forum dont la r putation n est plus faire et qui en l espace de deux jours d monstration de sa modernit la R gion Nord Pas de Calais et le monde de vous a permis d appr hender mieux encore tous les aspects que recouvrent la question de la cybers curit protection des citoyens des services publics des entreprises Nous le savons tous ici les menaces li es l essor d Internet n ont rien de virtuel Elles sont bien r elles Sur le r seau se d ploie une criminalit d une forme nouvelle Une criminalit particuli rement efficace qui peut mettre en p ril des pans entiers de notre conomie de nos syst mes de d cision et de gestion et donc de la souverainet des Etats J interviens donc pour clore vos changes Clore ne me semble toutefois pas le verbe adapt car dans ce domaine de la cybers curit il nous reste beaucoup faire Et je sais que d s demain chacune et chacun d entre vous de retour dans vos entreprises vos administrations respectives aurez c ur de toujours progresser Beaucoup l entreprise Ce partenariat qui rassemble service public de la s c
53. Maldonado Commissaire divisionnaire Office Central de Lutte contre la Cri minalit li e aux Technologies de l Information et de la Communication OCILCTIC Mi nist re de l Int rieur Boris Sharov Pr sident Directeur G n ral Doctor WEB R sum des interventions l analyse des actes de criminalit classique montre une corr lation entre crime et cri minel Ce syst me de corr lation est d pass dans le contexte d un cyberespace Il existe une r elle n cessit d appr hender les profils des cybercriminels de l amateur au professionnel de l tudiant l organisation internationale Cela constitue un enjeu majeur qui se r v le complexe tant les profils sont multiples et encore trop rarement tudi s Les cybercriminels s affranchissant des fronti res ce travail d identification doit s inscrire dans un effort commun de coop ration et d changes l dition 2013 du Panorama pr sent e 118 au FIC s est focalis e sur cinq grands sujets istoriquement les premiers actes de cybercriminalit taient le fait de particuliers v hiculant l image caricaturale d un tudiant ou d un passionn d informatique Sans entrer dans les clich s ce profil tait pourtant dominant chez les cyberd linquants aux pr misses d Internet De nos jours en entrepris d exploiter au maximum ce nouvel espace encore en construction il y a quelques d cennies Ainsi aujourd hui les actes d
54. Vincent MARFAING Je le partage mais je vais essayer d en donner une illustration au travers des activit s industrielles galement rebondir sur les propos de Jean Michel Orozco avec une illustration compl mentaire Un industriel tel que Thal s ou Cassidian faisant face un cahier des charges pour des syst mes applicatifs va souvent trouver des requirements assez vagues voire absents sur la protection des syst mes Dans un contexte de comp tition alors les risques d une mauvaise c configuration les d fauts de programmation ou encore d une vuln rabilit li e la so lution test e proprement dites Le mot industriel a t beaucoup utilis ce matin mais de quel industriel parle on Celui qui fournit des prestations de s curit ou s agit il d un industriel qui va fournir un syst me de contr le du trafic a rien une station de commande du syst me Galileo 2 Finalement lequel des deux est en charge de la s curit du syst me op r Je constate dans les changes d hier et aujourd hui que nos solutions de s curit sont per ues comme un compl ment apr s coup relativement ing ni rique par rapport aux syst mes renforc s Le point de vue de Thal s ou le point de vue industriel en g n ral est que les deux comp tences de l industriel de s curit et de celui qui fournit l applicatif sont n cessaires pour renforcer au niveau du design ce que l on appelle l
55. ai eu plusieurs fois l occasion d en parler notre capacit intervenir lors d un certain nombre d attaques agir en cas d attaques informatiques et notre r le d assistance notam frastructures critiques y a d j quelques exemples d attaques contre des infrastructures l tranger et je suis s r qu ils seront voqu s au cours de ces deux journ es Notre capo cit g rer et prot ger nos infrastructures sera sans doute un des points voqu s dans le prochain Livre Blanc de la d fense et de la s curit nationale Face cette situation qui ment aupr s des tr s grandes entreprises qui sont victimes d attaques informatiques notre r le pour prot ger l tat etc Mais c est d autre chose dont je veux vous par ler aujourd hui pour tre un peu concret l tat et l ANSSI peuvent sans doute beaucoup mais ne peuvent pas tout faire et ne pourront jamais tout assumer seuls Pour oser une ano 5 Forum international de la cybers curit logie qui certes ses limites on a bien une police et une gendarmerie pour nous prot ger il n emp che que lorsque vous sortez de chez vous vous fermez probablement votre porte d entr e clef Et certains d entre vous surtout les professionnels il en a beaucoup dans cette salle utilisent sans doute des entreprises invent je veux r pondre que c est vrai I n y a aucune nouveaut dans ces mesures mais ce guide ne s adresse
56. appuyer sur ce type de vecteurs en particulier pour les communications op rationnelles Dans la sph re conomique les entreprises basculent de plus en plus vers le cloud computing un concept reposant sur la mutualisation des ressources qui permet de mettre disposition le m me service plusieurs clients en s appuyant sur les m mes quipements physiques Ce concept n est pas sans pr senter un risque notamment par la concentration des syst mes tr s attentifs ces volutions Si les surveillances exerc es mettent jour l existence d op rateurs utilisant le m me produit des points de concer tration ou encore une redondance dans la et des donn es dont le stockage dans des zones de centralisation peuvent faire l objet surtout si elles sont sensibles de convoitises Sur la toile des risques subsistent comme ceux configuration de logiciels ou d quipement les clignotants passeront rapidement l orange Il Perspectives Pour les raisons voqu es pr c demment il est primordial que les op rateurs d veloppent une gamme de moyens de protection et d intervention qui diff re selon la force du coup port il va de soi que les mesures de s curit prises n auront pas la m me port e si c est tout un r seau avec ses milliers de machines qui est vis attaque de nature terroriste ou si l incident est de niveau moindre attaque commerciale ou espionnage En terme de
57. archivistes est revenue au c ur des processus de d mat rialisation On se rend compte que l archivage lectronique fait partie int grante du syst me d information de l entreprise La conservation de documents d mat rialis s ou archivage lectronique a pour objectif de permettre l utilisateur de retrouver une information dont l origine et l int grit doivent tre garanties l archivage ne concerne que des documents d finitifs qui ne sont plus appel s voluer et qui doivent tre conserv s sur le long terme L important est donc la s curisation de l information dans le temps Plusieurs solutions existent Les entreprises peuvent utiliser des armoires num riques qui quivalent une sorte de coffre fort lectronique Ce qui confirme la proximit croissante entre d mat rialisation et archivage Certaines font appel des stockages externes informatique en nuage ou e Cloudl avec les probl mes de s curit que l on conna t Depuis peu l tat met disposition des particuliers des espaces de stockage s curis s sur Www service public fr Des r flexions sont d ailleurs en cours concernant le stockage et la r utilisation de documents ou de donn es stock es par les utilisateurs afin de faciliter leur d marches administratives La s curit a un co t mais elle est majeure car elle est la base de la confiance accord e aux documents num riques Elle conditionne aussi les plans
58. arm s pour faire face ce nouveau d fi que constitue la cybers curit et la cyber d linquance Yves CHARPENEL Estce vraiment une question Non bien s r notre marge de progression est importante G n ral Jacques HEBRARD La parole est monsieur Quill qui pourra nous pr senter l activit d Europol en mati re de cybercriminalit puis nous dire certainement quelques mots sur le nouveau centre qui a t cr au d but de ce mois Michel QUILL Je voudrais r agir en disant que je vais faire une pr sentation d un caract re optimiste et mesur eu gard ce qu a dit monsieur Charpenel Il est vrai qu il faut l tre lorsque l on s attaque au domaine de la cybercriminalit Europol est l agence europ enne en charge de soutenir les enqu tes conduites dans les tats membres en mati re de criminalit organis e et de terrorisme Notre o est La Haye 27 tats membres plus 10 tats associ s par des accords de coop rations sont repr sent s Au total 800 fonctionnaires dont 150 officiers de liaison repr sentant de services op rationnels ou d enqu te tels que la police la gendarmerie et les douanes pour la France Ces chiffres incluent les membres de 7 agences am ricaines repr sent es Europol dont le FBI et la NCIS ce qui t moigne de l int r t et de la cr dibilit 5 Forum international de la cybers curit La deuxi me raison est que nous avions travaill depui
59. aussi par la signature de conventions bi lat rales entre le minist re et les grands ma tres d uvre conform ment aux engagements du pacte d fense PME annonc par le Ministre de la D fense le 27 novembre dernier Au del de cette strat gie je tiens vous faire 2 Thales Cassidian Cap Gemini participent la pl ni re jet d une priorit nulle autre pareille au sein de nos arm es Le renforcement des capacit s est ainsi appel se poursuivre en coh rence avec les enjeux croissants de ce domaine de lutte mais aussi les hypoth ses d emploi des forces militaires et les mod les d arm es l objectif est pour nous d atteindre une posture interarm es quilibr e et coh rente Pour ce faire il va falloir poursuivre notre effort en combinant des capacit s de renseignement et d appr ciation de situation d anticipation stra t giques de planification et de conduite de diverses sortes d actions cybern tiques Cette posture enfin n aura de sens que si elle s in s re dans une man uvre globale et coh rente qui fasse appel l ensemble des moyens d actions dont les arm es disposent Voil les quelques mots que je voulais vous adresser En remerciant encore les organisa teurs de cette 5e dition je vais poursuivre ma visite apr s les stands des principaux acteurs tatiques par ceux des industriels part de la volont du minist re que je repr sente de contribuer au d ve
60. aux moyens informatiques ou bien peuton envisager go lement des moyens conventionnels I faudra que nos experts trouvent des r ponses ces questions Dans mon rapport d information je m interroge sur l laboration d une r flexion et d une doctrine publique sur les moyens offen sifs La d couverte en 2010 du programme mol veillant Stuxnet a ouvert la bofte de pandore de l utilisation par des tats ou des organisations d attaques informatiques des fins de destruction Selon les r v lations du journaliste am ricain David Sanger Stuxnet aurait t con u par les Etats Unis et Isra l pour retarder le programme nucl aire militaire iranien et aurait d truit un millier de centrifugeuses de la centrale nucl aire iranienne de Natanz Mais on imagine les d g ts que pourrait causer un tel programme infrastructures d importance vitale comme l ner gie les transports ou la sant Denis FORTIER Luc Fran ois Salvador quel est votre r ponse deux mondes et les march s ne sont pas aussi clairs qu on peut le dire Nous savons grands quipementiers Quand on regarde leur cou verture du march aujourd hui ils sont assez quilibr s En revanche une fois que l on a quitt les tats Unis notamment en Europe ces march s sont tr s fragment s et cela pose la question de l affectation des ressources financi res lorsque l on veut d finir une vraie politique industrielle En France l tat
61. avec le monde associatif I peut susciter une transmutation en hackers politiques l instar du soutien des Anonymous au mouvement Occupy ou encore de la participation de certains agents Telecomix la mobilisation contre le projet de construction d un a roport Notre Dame des landes Plus encore r alit et cyberespace s influent mutuellement jusqu faire merger des formes in dites de participation politique le Parti Pirate en alliant repr sentation conventionnelle et tablissent leur propre r f rentiel La barri re de la l galit semble tre maintenant continuellement franchie par les hacktivistes La divulgation sur les r seaux sociaux de l identit id ologie issue principalement de la culture hacker 5 Forum international de la cybers curit A16 Quel parcours pour les particuliers et les entreprises victimes d actes criminels 8 Intervenants Maitre Corinne CHAMPAGNERKATZ avocat cabinet CCK Patrick LANGRAND RSSI groupe groupe La POSTE Sylvain THOMAZON huissier de justice associ SCP LACHKAR GOUGUET THO MAZON BICHE Jean Fran ois MASSELIS Directeur du service intercommunal d aide aux victimes de la ville de Roubaix ric CAPRIOLI Avocat la cour Paris R sum des interventions Les difficult s sp cifiques de la lutte contre la cyberd linquance conduisent recommander une d marche rationnelle et le recours une expertise Les enjeux so
62. bon fonctionnement et les ph nom nes d usurpation d identit beaucoup reste faire ce jour il n existe pas en France de projet national d identit nu m rique Car comment faisions nous jusqu pr sent 2 Amazon Google Apple tous ceux qui ont achet une application o une chanson sur l une de ces plateformes ou sur leur t l phone Apple ou Google Andro d ont mis entre les mains de ces soci t s leur identit num rique et leurs donn es bancaires de mani re tr s peu s curis e Nous sommes des millions en France l avoir fait 17 5 Forum international de la cybers curit 18 Vous le voyez le risque d une forme de de l identit est d j av r dans le monde num rique Pourtant selon moi pour garantir la protection Plus pr cis ment je vous parle ici de solutions d authentification et de signature propos es sur diff rents supports t l phones mobiles cl s USB cartes bancaires et accept es par tous des donn es personnelles et de la vie priv e sur Internet une gestion s curis e des identit s num riques est absolument indispensable Mesdames Messieurs il faut cesser de tergiverser et avancer vers une solution nationale et les sites VVeb publics et priv s qui exigent une garantie d identit ou une signature lectronique Ce projet visera trouver les solutions en phase avec la doctrine d finie par l Etat et c est tout europ
63. cet gard il convient de souligner qu on n im vestit pas pour la s curit Le poste de travail volue pour d autres raisons que la s curit qui doit en cons quence adapter ses r gles Ces volutions doivent fournir l opportunit de se rapprocher de la cible La politique de s curit se d roule dans le temps pour que l entreprise gagne en matu rit La r solution d une tape permet de passer l tape suivante Le maillon faible tant l humain il faut beaucoup de p dagogie On ne fait de la s curit pour la s curit I faut conna tre les risques et d finir le risque admissible Les d cideurs de l entreprise doivent clairement indiquer leurs attentes en mati re de s curit C est aussi une contrainte budg taire chaque exigence de s curit est un investissement qui appelle des arbitrages entre celles vers lesquelles faire porter les efforts et celles qui doivent appeler des simplifications D une fa on plus g n rale la d finition de la politique de s curit des syst mes d information passe par l coute des m tiers tre RSSI Responsable de la S curit des Syst mes Informatiques c est exercer une fonction d ex pertouvrage Le RSSI ne s oppose pas il accom pagne les m tiers pour la ma trise des risques Enfin la politique de s curit des syst mes d in formation est un domaine qui se contr le Elle entre dans le champ du contr le
64. charg e Les entreprises doivent mener une r flexion en mati re de s curit Il faut accom pagner les volutions d finir une charte de comportement dicter des r gles informer les salari s I faut les mettre au c ur de la s curit des risques et les rendre receptifs leur res ponsabilit juridique Les entreprises doivent faire un choix concernant la dotation en mat riels productifs autoriser les salari s travailler avec leur mat riel priv BYOD ou bien leur imposer un mat riel configur par l entreprise et les autoriser l utiliser des fins personnels COPE La s curit globalis e doit tre pens e et int gr e 4 BYOD bring your own device Apportez vos appareils d s la conce pti on en de l architecture mat rielle des r seaux Le cadre r glementaire fixant la certification des produits et les relations avec les fournisseurs ne doit pas 5 COPE corporate owned personnally enabled qui consiste autoriser un usage personnel avec des terminaux fournis et g r s par l entreprise fisante pour garantir 6 STUXNET c est un ver qui espionne et reprogramme des la s curit des don syst mes SCADA commandant des proc d s industriels n es et des syst mes Quelques pays notamment Isra l d veloppent des solutions innovantes en mati re de biom trie Par contre dans ce domaine la protection des droits individuels peut tre contradictoire au regard de so
65. claration des Droits de l Homme et du Citoyen affirme que la libert et la s ret sont des droits naturels et imprescriptibles valables en tout temps et en tout lieu pour tous les citoyens 2 Pourquoi cette exigence fondamentale ne de vraitelle pas tre garantie aussi sur Internet 2 Notre objectif est donc de contribuer la construction d un v ritable Internet de confiance La confiance doit tre le fondement d Internet Pourquoi C est d abord une exigence poli tique au sens g n ral du terme J entends par l l organisation de la vie collec tive ce qui fait une soci t Or cette vie col 5 Forum international de la cybers curit informations les usurpations d identit surtout sur les r seaux sociaux Sur ce sujet je suis pr occup e de voir de grands acteurs de l Internet g rer les don n es personnelles de nos concitoyens de mani re unilat rale dans une transparence limit e et en dehors de nos fronti res De m me c est la confiance qui rend possible le commerce en ligne Or le secteur est au jourd hui touch par des formes de plus en plus diverses de fraude Nous devons trouver des solutions notamment via un largissement et une s curisation renforc e des moyens de paiement en ligne Dans le cadre du d veloppement des techno logies NFC pour le paiement mais aussi pour nombre d autres usages le Gouvernement veil lera assurer la s curit des
66. contact NFC fiables 5 Forum international de la cybers curit B12 Quelle politique de s curit des syst mes d information adopter en entreprise Intervenants Fortun Barnard consultant Gil Delille Directeur S curit des Syst mes d Information Groupe Cr dit Agricole Eric Dupuis Responsable du p le S curit Orange Consulting Didier Gras Directeur S curit des Syst mes d Information Groupe BNP Paribas Lazaro Pessachowicz Pr sident du CLUSIF Responsable S curit des Syst mes d In formation CNAMTS R sum des interventions La politique de s curit des syst mes d information qui s int gre dans la politique de s curit de l entreprise est un acte de management qui implique tous les acteurs du diri geant aux m tiers Elle doit conjuguer l ments stables les principes et l ments volutifs les technologies En tout tat de cause il lui faut formaliser des objectifs pr cis et en assurer le suivi I Les probl matiques politique de s curit des syst mes d infor mation dans un contexte qui volue tr s rapidement en raison de la d mat rialisation des activit s de cycles techniques de plus en plus courts et de l volution des usages et de la professionnalisation de la cybercriminalit Cette d finition implique l ensemble de l entreprise du dirigeant aux collaborateurs le RSSI ne pour vant aller contre le
67. d investigation Pour cela ils vont se rapprocher de l universit Neuch tel Nancy Les laboratoires d expertises collaborent galement entre eux et changent leurs exp riences terme avec l volution des syst mes ils devront se sp cialise dans des domaines pr cis en raison de la complexit des supports et des services propos s carte puce ordinateur t l phones Il existe galement une v ritable volont de formation des enqu teurs sp cialis s sur le plan national et international En France les diff rents que des outils sp cifiques performants n existent pas ce jour Pour anticiper les besoins face l volution des services du web il conviendra de d finir services d enqu te coop rent pour permettre des changes d exp rience et de bonnes pratiques Le dispositif europ en 2centre est destin donner aux enqu teurs sp cialis s rapidement des politiques de recherche et de d veloppement avec les laboratoires du secteur public ou priv Des conventions allant dans ce sens doivent tre d s pr sent envisag es IIl La formation des acteurs de la chaine p nale demeure plus que Jamais une n cessit Enqu teurs et experts remplissent des missions diff rentes mais compl mentaires Dans le principe les premiers peuvent requ rir en cas de n cessit l intervention des seconds pour r cup rer des l ments de preuve Toutefois le r le de l expert fait l
68. de l annulation par la Cour de cassation d une proc dure qui tait n e d un faux site cyberp dopornographique r alis par le FBI aux tats Unis qui a d tect des criminels gr ce ce vrai faux site p dophile Cette proc dure en ce qui concerne les Fran ais une tentation qui est tr s forte et laquelle c de un certain nombre de pays Nous avons besoin de magistrats et d OP sp cialis s et si possible regroup s dans un p le de comp tence parce que l on ne pourra pas donner cette qualit l ensemble des acteurs judiciaires R vons m me un instant que ce p le puisse avoir les moyens suffisants pour tre la hauteur d un d fi extr mement lourd parce que les lois vot es en mati re de cybercriminalit sont com qui taient concern s a fini par tre annul e plexes et leur mise en uvre est toujours co teuse Le co t des expertises et la pression du temps qui court peuvent donner et inspirer le d sir de ne pas approfondir C est d ailleurs le deuxi me facteur celui de la loi Il est excellent que les parlementaires puissent participer nos changes parce que rien n est moins vident que les deux difficult s auxquelles le juge est confront en mati re de cybercriminalit La premi re c est ce que j appellerai le syndrome du mille feuilles l gislatif l empilement depuis trente ans de normes touffues et volutives l ap pr hension trop c
69. de recherche des industriels en g n ral nationaux voire interno tionaux mais en privil giant le d veloppement de la base industrielle Pour vous donner une id e en ce qui concerne la cybers curit cela pays au monde qui d tiennent ce potentiel et notre ambition est de rester dans ce peloton de t te et d tre capable d tre ind pendant se chiffrerait jusqu pr sent environ 10 millions par an ce qui est la fois beaucoup et peu Peu peut tre l chelle du besoin mais beau 5 Forum international de la cybers curit coup si le but est r ellement d employer cet argent qui est quand m me de l argent public bon escient Denis FORTIER C est vous qui tablissez les programmes dans lesquels ces 10 millions vont tre distill s si je puis dire 2 Guillaume POUPARD Exactement donc on d finit les sujets techniques de sondes innovantes qui vont prendre les attaques contre pied en d tectant des attaques originales Des travaux int ressent galement tout ce qui est supervision de s curit I faut bien voir in fine que toutes ces informations remontent sont agr g es au sein de sondes de supervision qui sont g r es par des militaires et des civils d tenant certaines comp tences Tout n est pas r solu aujourd hui sur la mani re de pr senter l information et d aider ces auteurs r agir de mani re efficace l exp rience que l on a des crises
70. de sc nario improbables l id e est de r duire l impact des dysfonctionnements par le d veloppement d une capacit de r silience Dans ce domaine il n y aura jamais de solution offrant une protection absolue Depuis le 11 septembre 2001 les attaques dans le monde physique diminuent l mergence d un cyberterrorisme ayant des cons quences humaines et mat rielles est pos sible La menace repose sur les vuln rabilit s au sein de chaque pays les capacit s de r si lience et la volont des terroristes Au del des capacit s d velopp es au sein de chaque Etat la coop ration internationale est plus que jamais n cessaire B2 S curit des t Intervenants 5 Forum international de la cybers curit communications Ariel Gomez r dacteur en chef Journal Des T l coms Laurent Maynard responsable du business d veloppement sur le march d fense Alcatel Lucent Constant Hardy commissaire aux communications lectroniques de d fense minist re de l Economie et des Finances Marc Lef bvre Orange Consulting Rapha l Marichez fonctionnaire de la s curit des syst mes d information minist re de l Int rieur R sum des interventions La s curit des syst mes d information SSI ne repose pas uniquement sur la s curit des donn es des applications et du r seau d entreprise A l heure du d veloppement de l informatique en nuages cloud co
71. des acteurs publics aux enjeux de la cybercriminalit Les r seaux sont fragilis s par des personnels qui ne ma trisent pas le concept de s curit tant dans la gestion de son architecture que du fait de mauvaises pratiques persistantes La prospective d un syst me num rique n cessite pour la collectivit d tre le plus en amont possible pour englober tous les enjeux la finalit les besoins et les risques pour elle m me et les b n ficiaires Les services de s curit informatique ne sont pas les seuls interlocuteurs lors de cette phase de mise en confiance num rique avec des partenaires qui l on va ouvrir le r seau l ensemble du maillage informatique et des acteurs doit tre impliqu La collectivit doit piloter son projet dans sa structure et au travers de nombreux acteurs publics notamment les collectivit s ignorent l existence de pr dateurs et les verrous de s curit sont faibles La complexit des technologies le d veloppement de r seaux la qualification des demandes des diff rents acteurs La complexit des services num riques rend n cessaire l externalisation et l appel aux entreprises priv es Il est important de d finir contractuellement comment et qui on va d voiler les modes de gestion et les impliquent l intervention crois e des op rateurs l ments environnementaux qui sp cifient le publics et priv s ce qui accentue la vuln rabilit de
72. des transports publics individuels la gestion des d placements par l information multimodale les routes intelligentes la signalisation au sol etc Pour les r seaux intelligents eau 3 Par exemple le v lib et l autolib citoyen une plus grande r activit lors d un dysfonctionnement Pour une collectivit il s agira d optimiser le fonctionnement des services pour une conomie des co ts de gestion une efficacit accrue des services municipaux et une r ponse rapide et efficace aux demandes des citoyens usagers Pour arriver cela diff rentes technologies peuvent tre mises en uvre t l gestion de l clairage public en fonction nergie il s agit de faire face aux ressources des conditions m t orologiques d veloppement limit es au gaspillage la difficult de g rer les pics de consommation aux risques de coupures aux zones de stress hydrique Les objectifs sont pour l individu de r guler lui m me sa consommation gr ce une meilleure information sur sa consommation en temps r el r duire la facture d lectricit d eau Pour la collectivit cela permet de pr server et conomiser des ressources limit es r guler offre et demande conna tre les zones et les p riodes de forte consommation Les solutions sont vari es Smart grids optimisation de la gestion de l nergie par une meilleure r gulation de l offre et la demande et par l int gration sur
73. donn es 5 Forum international de la cybers curit 209 5 Forum international de la cybers curit 210 B14 Lutte informatique d fensive et Security Operation Center vers une cybers curit dynamique Intervenants Solange BELKHAYAT FUCHS CNIS G rard GAUDIN Consultant G2C et pr sident du club R2GS Didier GRAS Directeur SSI vice pr sident du forum des comp tences groupe BNP PARIBAS Elisabeth MANCA responsable offre s curit et traitement des menaces ATHEOS St phane LEMEE Head of SOC CASSIDIAN CYBERSECURITY Raimund GENES Chief technology officer TREND MICRO G rard OUALD Responsable du business development des activit s s curit ALCA TEL LUCENT Val ry DEVIANNE Adjoint OPS au sous directeur SSI de la DC DIRISI R sum des interventions Si la notion de SOC n a pas de d finition pr cise elle peut cependant tre distingu e de la pr vention Au global il importe de retenir que c est la maturit fonctionnelle des produits SIEM qui est le plus souvent insuffisante et que l exigence d une MO qualifi e pour faire face aux menaces est potente Par ailleurs les exigences technologiques importantes traduisent des marges de progres sion et un club le R2GS gt a pour objectif le partage des meilleures pratiques en France et en Europe l Le constat a notion de Security Operation Center oe n a pas de d finition fixe
74. en fait nous avons t amen s mettre des hypoth ses sur les d clenchements de grippes par r gions et par secteurs Dans la plupart des cas ces pr visions si elles sont tr s pr cises permet tent galement d obtenir la tendance avec deux semaines d avance par rapport une tude pid miologique standard Aussi pour tenter de mettre un terme la propagation d e l pid mie l utilisation de ce type de don n es agr g es ne peut tre li e un individu En effet cette d marche ne permet pas d iden reux aussi d tre avec des gens aussi diff rents pour d battre de cette question Nous avons coutume de dire chez Google Si le seul instrument dont vous disposez est un mar teau vous traiterez tout comme un clou Vous cherchez des solutions pour r gler les pro bl mes en fonction des outils dont vous dispo sez C est ici l occasion de saluer les organisateurs de cette conf rence qui aborde cette importante question sous des angles d at taque aussi divers Je pense que le point de d part pour Google est que la capacit innover et une utilisation responsable des donn es peuvent profiter la tifier une personne atteinte de la grippe mais permet d identifier les sympt mes grippaux au sein d une population donn e Nous avons pu tablir que ce type de corr lation s applique aux indicateurs cono miques Les conomistes de renom appellent cela pr
75. en plus un actif absolument essentiel En d autres termes tout ce qui tourne autour du syst me d information n est pas simplement de l ordre de l intendance et une source de co t qu il faut r duire en permanence mais une dimension strat gique pour l entreprise qui peut tre g n ratrice d efficacit sous r serve de r gler les probl mes de s curit l actif form par les donn es rev t une grande vari t Des donn es sont strat giques pour l entreprise tout ce qui tourne autour de la pro pri t intellectuelle et ce qui va permettre de faire tourner la production par exemple Les donn es qui sont confi es par les clients sont extr mement sensibles ainsi que celles qui tou chent au domaine des ressources humaines Il faut r fl chir la mani re de les g rer de ma ni re intelligente et utiliser des outils d di s Vous comprendrez par rapport ma r ponse que la question n est pas tellement dans les ou tils On a un peu trop tendance se tourner 5 Forum international de la cybers curit vers la technique en se disant qu elle va r sour dre les questions La technique ne r soudra pas les questions qui n ont pas t clairement pos es au sein de l organisme Jean Claude BOURRET Une derni re question si vous le voulez bien vous pensez que les soci t s priv es en France les PMI les PME et m me un peu av del ont conscience de la richesse de leur sa voir f
76. en pr voyant une notification des failles de s curit relative aux donn es personnelles qui tend devenir une obligation g n ralis e Un des l ments juridiques majeurs est celui du partage de la responsabilit h bergeur h berg En cas de litige l entreprise externalisatrice en marge du traitement est tenue responsable en cas de mauvaise ex cution ou de d faut d ex cution de ses obligations contractuelles 5 Forum international de la cybers curit A24 Recrutement formation et entra nement des professionnels de la cybers curit Intervenants Charles Pr aux professeur des universit s fondateur et directeur de l cole d ing nieurs en cyberd fense au sein de l ENSIBS Yves Tristan Boissan g n ral commandant l cole des transmissions minist re de la D fense S bastien Bombal responsable de la majeure syst me r seau et s curit de l Epita Patrick Laclemence directeur du centre de recherche de l ENSP professeur l univer sit technologique de Troyes Patrick Lallement responsable du master SSI de l universit technologique de Troyes responsable UTT du projet 2Cenitre R sum des interventions l re du tout num rique la confiance rev t une importance croissante dans l utilisation mondiale des r seaux informatiques Une strat gie de cybers curit protection et maf trise de l information est absolum
77. es Sur le plan structurel elle produit les 850 000 cartes de sant du personnel assure la s curit de la messagerie s curis e de sant et le dossier m dical personnel Sur le plan du r f rentiel et de l interop rabilit elle g re les 600 pages de sp cifications per mettant de travailler selon les normes tablies le fichier des identifiants nationaux de sant donne l agr ment pour les h bergeurs de donn es de sant et d livre l accr ditation de conformit aux textes des produits des industriels Parmi les contraintes on rel vera que le processus prot geant l h bergement des donn es person nelles de sant ne garantit pas en revanche faute d un document sp cifique les donn es de sant En ce qui concerne l externalisation de ces donn es on constatera que la directive service ouvre les appels d offre tous les pres tataires europ ens Enfin avec le Cloud on est dans l impossibilit de situer la donn e dans l espace et de dire s il rel ve d une gestion priv e ou publique l imprimerie nationale tiers de confiance assure l impression des titres r galiens sensibles s curis s carte d identit professionnelle num rique Elle met en uvre le r f rentiel g n ral de la s curit g re et h berge les moyens de cryptologie Le centre des professionnels de sant assure la certification de l identit num rique et la protection contre les usurpations d identit Mais avec
78. essentiel c est que vous nous pr sentiez ces travaux au niveau eur rop en Vous allez probablement nous parler du r glement sur la protection des donn es personnelles et galement de ce centre euro p en qui vient de s ouvrir et qui est bas La Haye Marielle GALLO Merci je suis toujours tr s heureuse en tant que d put europ en de rendre compte aux citoyens fran ais de ce qui se passe Bruxelles et de l tat de nos travaux parce que cela me donne l occasion de leur rappeler que 75 de nos lois nationales sont con ues Bruxelles et finalement dans l ignorance et 5 Forum international de la cybers curit pas ce niveau elle n est pas en retard non plus avec la cr ation de l ANSSI en 2009 mais par exemple en France nous n avons que 230 agents qui s occupent de la lutte contre la cybercriminalit Je ne m occupe pas des probl mes fran ais mais je tiens quand m me le signaler En Europe on a pris conscience du fl au de la cybercriminalit on a constitu une Commission sp ciale qui m a donn l occasion d inviter madame Myriam Quemener Cette Commission n est pas seu lement ax e sur la cybercriminalit puisque l indiff rence la plus totale puisque m me les citoyens fran ais oublient pendant cing ans au moins qu ils ont lu des d put s europ ens qui sont l bas pour d fendre leurs int r ts Je me situe effectivement dans une perspective
79. europ enne joue un r le important jouer car une grande partie des normes rel vent de ses comp tences me des secteurs d activit s d importance vitale pour voquer avec eux les questions li es aux cybermenaces semble donc indispensable que l Union euro p enne se dote d une v ritable strat gie euro p enne qui englobe l ensemble des questions 75 5 Forum international de la cybers curit 76 li es au cyberespace dont les aspects industriels La Commission europ enne devrait d ailleurs pr senter prochainement une communication sur ce sujet l Europe pourrait galement tre plus ambitieuse et avoir la volont comme d autres puissances mergentes de parvenir une souverainet num rique ce qui veut dire retrouver la ma trise de certains composants comme les microprocesseurs par exemple Aucun tat membre ne peut atteindre seul cette Jean Michel OROZCO En ce qui concerne la politique industrielle en France ou en Europe je rebondis sur ce qui vient d tre dit il faut savoir concilier la fois les souverainet s nationales et la n cessit d aborder un march plus large qu un march strictement national Si on veut tre efficace il faut tre capable de concilier les besoins de souverainet et la capacit d investissement souverainet l Europe seule le peut Je plaide donc pour une v ritable politique industrielle l chelle europ enne e
80. flux RSSS R v l par la presse locale il semble que les pirates aient profit d une faille de s curit sp cifique P o u r comprendre GE L probl matique une enqu te a t r alis e 3 Flux RSS Really Simple Syndication format particulier de donn es constamment mis jour et visant diffuser automatiquement des informa tions l intention des internautes selon un principe de fil d actualit gr ce une opportunit li e la volont de la R gion de Gendarmerie Nord Pas de Calais et du Conseil R gional de conjuguer leurs efforts en mati re de sensibilisation des d cideurs territoriaux aux menaces num riques a permis en s appuyant sur un maillage territorial sans quivalent 1547 communes regroup s en 91 tablissements publics de coop ration intercommunale d obtenir les r sultats suivants et en d duire les pistes d am lioration l ensemble des traitements statistiques effectu s ftris plat tris crois s et statistiques complexes montre que le management de la SSI par les collectivit s territoriales fran aises demeure tr s nettement insuffisant a fortiori dans les collectivit s territoriales les plus modestes qui en repr sentent la tr s grande majorit appara t que les pistes d am lioration sont La d signation d un Responsable de la S curit des Syst mes d Information Pour se prot ger d une mise en cause de sa responsabilit le dirigeant publ
81. hui les capacit s techniques de mettre en uvre des attaques sur les syst mes informatiques Les r seaux ne sont pas encore assez interconnect s pour d stabiliser les activit s d importance vitale les terroristes ne s int ressent pas encore ce type de cible Il faut r aliser un quilibre entre la mise en uvre de pouvoirs d enqu te et de surveillance qui sont exorbitants du droit commun et le respect des libert s publiques Toute syst mati sation risquerait de rendre aveugle par saturation les services de renseignement En outre il n y a pas de volont des Etats de permettre le tra age des cyberattaques car ce mode op ratoire permet d avancer masqu sans risque politique ou juridique l avenir semble appartenir au cyberterrorisme Apr s les attentats du 11 septembre les attaques sur le monde physique sont en d clin mais il faut tre convaincu qu il y aura des attaques cyber gt que l on ne saura pas emp cher La doctrine en mati re de cybers curit serait de chercher r duire l impact de celles ci plut t que de chercher construire une lt ligne Maginot issue de scenario improbables Etat des lieux de donn es ayant pour but de troubler gravement l ordre public par l intimidation et la terreur Cette d finition peut elle tre applicable au cyberespace Si notre d finition nationale est claire la d finition internationale donne lieu des controverses certains qualif
82. internet Mais la n cessit de centraliser et de rationaliser les comportements sur internet se fait de fa on plus pr gnante Les jurisprudences donnent un contour la notion de l e r puiation Mais il reste formuler un v ritable droit l oubli au profit de l internaute Les managers doivent inverser la notion de risque car les atteintes l e r putation ne sont pas une fatalit si l introduction sur les m dias sociaux est men e au sein des entreprises avec tous les interlocuteurs dans un dialogue qui rap proche les interventions des utilisateurs Il en r sulte aussi une plusvalue dans la production Au sein de l entreprise il faut sensibiliser pour s curiser en expliquant et en impliquant les col laborateurs l image de l entreprise Les m dias sociaux int grent chacun des collaborateurs dans une synergie commune La protection de l e r putation par la prise de conscience des notions de s curit et de cybercriminalit participe de cette m me synergie L exposition aux r seaux sociaux ne peut se contenter d une transparence des activit s de l entreprise mais doit s accompagner d une strat gie s mantique c est dire la cr ation du contenu efficace Le recrutement de personnes capables de tenir la veille et la visibilit de l e r putation de l entreprise est un l ment important La veille de l e r putation revisite les r gles des ressources humaines en justifiant des op rations transversales ent
83. l e administration r seau La r daction des cahiers des charges pour les march s publics doit traduire cette communication stipuler les clauses de s curit 5 Forum international de la cybers curit du pays Au m me titre que les grandes les conditions de suivi et la tra abilit des entreprises soustraitantes Les collectivit s doivent aussi penser adosser au cahier des charges des proc dures de contr le et de suivi Le d veloppement de l administration num rique mod le le devenir du territoire Les responsables des collectivit s sont responsables de l am nagement num rique du territoire Ils sont les artisans de la confiance num rique et d une thique de l e administration qu ils doivent faire conna tre et respecter par les techniciens Les collectivit s sont garantes et initiatrices d une culture du service public qu il est n cessaire d apporter aux partenaires priv s pour une mod lisation coh rente Bien qu il n y ait pas de gouvernance g n rale en France des services de s curit les collectivit s devraient trouver aupr s de l tat des mesures directrices n cessaires leur pr rogatives de garant des droits du citoyens et des moyens de gouvernance des syst mes de s curit L tat est aussi tributaire des prestataires de services priv s et certains leviers de l environnement de l e administration chappent la ma trise publique Mais il reste en mesure d apporter des r p
84. l impulsion d un r glement euro p en relatif au tachygraphe num rique Ainsi dans l espace europ en largi chaque conducteur de transports de marchandises et de voyageurs ainsi que l ensemble des entre prises disposent aujourd hui d une carte lec tronique professionnelle environ 800 000 conducteurs et 55 000 entreprises en France 5 Forum international de la cybers curit professionnelle int grent un certain nombre de s curit s notamment pour prot ger nos acc s physiques nos acc s informatiques indispen sables pour cr er la confiance dans la d mo t rialisation des documents et des transactions Pour conclure je souhaiterais aborder les questions li es l identit citoyenne Je ne sais pas si c est la d finition la plus appropri e mais en tous cas elle est d actualit avec les Je reviendrai tout l heure sur les questions de l interop rabilit et sur les enseignements que nous pouvons tirer de ce projet qui est op ra tionnel dans plus de 33 tats depuis plus de 10 ans Les administrations fran aises sont galement en train de d ployer des cartes profession nelles J ai remarqu qu il y avait beaucoup de gendarmes dans la salle Je tiens souligner que ce sont les premiers avoir d ploy cette carte professionnelle Aujourd hui le d ploie ment s organise galement pour la police ou encore dans le secteur de la justice et dans un futur proche la d fense
85. l ontelles t pour attaquer un ser vice de commerce en ligne d une grande en treprise pour la faire chanter pour troubler gravement l ordre public par l intimidation ou la terreur ou bien pour accompagner une ot taque massive comme celle qu ont connue l Es tonie ou la G orgie 2 Nous sommes dans un syst me dont la poly valence permet des applications tr s diff naire I n y a pas un champ de bataille ni de quartiers sensibles ou de zone de priorit en terme de lutte contre la d linquance Tout le flux s imbriquent Une personne chez elle peut tre en quelque sorte victime complice malgr elle d une action qui rel ve de la d fense parce que son ordinateur compromis a servi une attaque contre une infrastructure critique La deuxi me caract ristique tient aux rentes Voil pourquoi le cyberespace est un espace au sein duquel les acteurs li s la d fense et ceux qui sont d di s la lutte contre la cybercriminalit peuvent tre engag s simul tan ment La lutte contre la cybercriminalit ne s arr te pas l o commence la cyberd fense un moment donn elles sont parfaitement imbriqu es notamment parce que la d fense des int r ts fondamentaux de la Nation qui m thodes qui peuvent tre similaires Les cybercriminels poursuivant des fins crapu leuses les terroristes ou les guerriers gt peu vent avoir recours aux m mes m thodes aux m
86. la reconstruction des applicatifs et au traitement des donn es ouvert des tiers Cet aspect est critique si l on prend en compte le fait de 1800 interventions techniques annuelles Le Syst me de PCA est donc co teux et parfois incomplet en mati re de cybercriminalit notam ment Il faut rappeler l importance de la norme iso 22320 qui pr pare la certification des orgo nisations en mati re de PCA PRA Elle tablit les interactions entre les op rateurs en 2 l ISO 22320 201 1 d termine le cadre op rationnel le suivi des op rations et les termes de la coop ration entre des acteurs de la crise Elle traite de la tra abilit de la gestion On ne peut ignorer que la qualit de cette ana lyse permettra une limitation des co ts lors de la contractualistion d op rations de maintenance externalis es La synchronisation des environ nements de sauvegarde et de restauration doit tre tablie de fa on permettre une mise en oeuvre ma tris e et v rifiable par phases Certaines entreprises ou administration au vu de la sensibilit de la donn e ou de l obligation d une continuit des services ont pr vu la construc tion d un site distant homo h tique qui va prendre le relais du site principal d ficient Les mises charge de la ges tion de crise les m thodologies pour s rier les processus utiles et les informations vitales aux op rations de maintenance ou de r
87. le criminel Tribunal de Grande Instance de Cr teil Bertrand WARUSFEL Avocat professeur l Universit de Lille 2 R sum des interventions En 1988 la France s est dot e d une loi novatrice appr hendant les fondamentaux de la s curit des syst mes d information Suffisamment g n rale elle s est p rennis e et s inscrit dans un arsenal juridique relativement complet malgr un parpillement des textes La cr ation d outils juridiques pour lutter contre la cybercriminalit doit s effectuer dans le res pect des libert s publiques tout en garantissant le principe de neutralit technologique Cela permettra une connaissance plus claire de la loi par la population m me si d autres probl matiques telles que la concurrence des normes sur le cyberespace et l importante perfectibilit de la coop ration internationale semblent plus complexes solutionner Naissance d une loi novatrice cybercriminalit n taient pas au centre des pr occupations Personne ne voyait le danger et n imaginait les sommes en jeu C est suite un v nement personnel que l ancien ministre Jacques Godfrain alors D put a pris connaissance des d rives li es au d veloppement de technologies num riques Il a alors initi la loi de 1988 relative la fraude informatique et la protection des syst mes de traitement automatis de donn es l poque tr s peu de textes de lois prenaient F n 1987 les pro
88. les failles de s curit puis les commer cialisent l agence de s curit am ricaine orgo nise des concours chaque ann e afin de recruter des hackers Outsource gt la s curit peut aussi avoir un effet n faste et r duire le niveau de vigilance de l entreprise Certains hackers identifient les failles mais n in forment pas les entreprises concern es Ils vendent les informations des cyberd linquants des organisations criminelles des tats qui r mun rent mieux que les entreprises ou les acteurs institutionnels 7 Outsourcer confier une t che une soci t ext rieure au lieu de la faire sorm me 5 Forum international de la cybers curit BZ Sant et cybers curit Intervenants B atrice BERARD Responsable Syst me C H U de NANCY Pierre AUBRY Responsable p le administrations et collectivit s Imprimerie Nationale Eric GROSPEILLER Fonctionnaire de S curit des Syst mes d Information Minist res des affaires sociales Jean Fran ois PARGUET Directeur du p le Technique et S curit Responsable s curit des Syst mes d Information ASIP Sant Yves BEAUCHAM Charg de mission Syst mes d Information de l offre de soins Agence R gionale de Sant Nord Pas de Calais R sum des interventions Le secteur de la sant n chappe pas la cybercriminalit La pr sence de RSSI dans les h pitaux est d sormais une n cessit justifi e par la d mat rialis
89. les policiers les gendarmes que les magistrats doivent avoir une autre culture Nous magistrats sommes habitu s travailler avec des enqu teurs va falloir d sormais que nous nous mettions la page afin que nous puissions entrevoir cette possibilit voire cette n cessit de travailler avec des entreprises priv es C est effectivement tout nouveau pour nous puisque nous n avions pas t form s cela J esp re vous avoir d montr ce qu Eurojust peut faire dans l int r t des magistrats saisis d infractions transnationales ce qu il peut faire dans le domaine de la cybercriminalit puisque s il existe une seule infraction transnationale c est bien le cybercrime G n ral Jacques HEBRARD Pouvez vous illustrer les activit s d Eurojust avec quelques chiffres 2 Sylvie PETIT LECLAIR l ann e derni re du 1 janvier au 31 d cembre 2012 1 533 dossiers ont t ouverts Eurojust dont 42 concernent la cybercriminalit Je puis vous dire qu en 2011 1 411 dossiers avaient t ouverts et simplement 23 en cybercrime Le bureau fran ais a ouvert plusieurs dossiers dont un dossier concernant le piratage du site du minist re de la Justice fran ais mais qui impli t impliqu dans la coordination d enqu tes dans une grosse affaire d escroquerie la taxe carbone infraction qui devrait terme relever de la comp tence du parquet europ en G n ral Jacques HEBRARD Merci beauc
90. mentation du march et aux difficult s rencontr es par les PME en mati re de financement pour acc der la commande publique ou aux mar ch s l export Comme j ai pu le constater il existe une v ritable attente de la part des PME qui sont d sireuses de renforcer leurs relations et leurs contacts avec l tat est donc indis pensable de renforcer le partenariat entre le secteur public et le secteur priv Denis FORTIER Merci Monsieur le s nateur Je donne la parole Christian Br ant Vous tes directeur de la branche Recherche et Technologie de l Agence Europ enne de D fense Tous les industriels sont pr sents en Europe et videmment l in ternational Comment envisagez vous cette ann e par les tats membres Tous les projets sont alors d cid s sur des budgets ad hoc ce qui veut dire que pour chaque projet une d ci sion sp cifique est adopt e par les Etats contri buteurs Cela commence deux pays et peut monter jusqu 27 Majoritairement les projets concernent 5 8 pays en moyenne dans des g om tries tr s variables Les projets R amp T dont j ai la charge atteignent en moyenne quelques millions d euros et peuvent aller pour les plus ambitieux une cinquantaine de millions d euros lorsqu il s agit de d monstrateur tech nologique comme le projet MIDCAS voir et viter que l on conduit dans le domaine de l insertion des drones dans la circulation a rienne civi
91. ments il existe en France une arme l gislative appel e lt la saisie contrefa on s agit d une action d rogatoire autoris e par un magistrat qui permet de mener une action de saisie avant tout d bat contradictoire La plus grande difficult r side dans la d termination de la masse contrefaisante qui est essentielle lors du jugement La France poss de un arsenal juridique important qui donne la possibilit aux titulaires de droit outre l action civile de se tourner vers les services r pressifs tels que les douanes la gendarmerie ou la police nationale Les douanes et la gendarmerie ont un service d di la cybercontrefa on qui permet de d tecter les ventes d articles contrefaisants sur le net Les deux structures travaillent en parfaite collaboration avec les titulaires de droits et leur action se concentre sur les flux financiers Les saisies r alis es par les douanes en 2012 sur le fret express repr sentent 1 4 millions d articles sur un total de 4 6 millions Les prestataires de l Internet jouent un r le important dans la lutte contre la contrefa on Le site Priceminister dont le fondement est bas sur le tiers de confiance a adopt une strat gie de tol rance z ro Une cellule sp cifique anti contrefa on regroupant 40 personnes traite la validit des annonces mais galement les retours clients en cas de vente de contrefa on Le vecteur Internet est devenu la principale pro
92. mes armes Prenons par exemple le cas d une attaque par d ni de service Elle peut viser une entreprise pour la faire chanter des SCADAs pour terroriser la population ou bien des syst mes minist riels ou de commande ment dans un but beaucoup plus agressif que l on pourrait avec les r serves d usage qua lifier de cyberguerre Finalement ce qui va distinguer ces actions c est leur intensit leur degr de pr paration de sophistication l objectif cibl et le mobile poursuivi En fait ce sont les m mes armes les m mes outils les m mes chemins Dans de nombreux cas il faut proc der une analyse des situations est prot g e par le Code p nal rejoint la pro tection des syst mes de traitement automatis s de donn es organis e dans ce m me code par la loi GODFRAIN De ce continuum nous pouvons d duire quelques cons quences En premier lieu dans un continuum d fense s curit l tat doit s or ganiser se mette en ordre de bataille On le voit depuis 2008 avec la mont e en puis sance de la cyberd fense avec la cr ation et le renforcement de l Agence nationale de la s curit des syst mes d information ANSSI La cr ation d une composante cyberd fense au sein de l tatmajor des arm es compl te ce dispositif en l tendant au champ des op rations militaires La colocalisation prochaine de leurs centres op rationnels va dans le sens de la coh rence et de la compl mentar
93. ne pas d voiler leur localisation avec le ser vice que Google propose En disposant de technologies est une question majeure pour la soci t et comme nous nous sommes familia ris s avec les nouvelles technologies nous d cidons ce que sont les r gles fondamentales d thique tant pour leur utilisation que pour ceux qui fournissent ces services I y a actuel cette information de localisation en temps r el nous pouvons cr er des cartes routi res pour un nombre beaucoup plus important de rues Ceci signifie que nous pouvons offrir aux per sonnes des propositions d itin raire sur leur t l phone qui sont simplement un temps moyen de trajet Ce n est pas tant le trajet le plus court pour aller d un point A un point B qui im lement Bruxelles un processus en cours li la r gulation de la protection d avoir des cen taines de millions de des donn es qui est de mani re g n rale une discussion de soci t Google a vraiment la chance personnes qui utilisent ses diff rents services Nous avons la responsabilit de prot ger cette information mais galement de respecter de mani re tr s porte mais l itin raire le plus rapide pour aller du point vers le point B l instant t Cela peut tre vraiment int ressant pour un in dividu mais cela peut l tre plus encore en cas d urgence pour si n cessaire reconnaitre les voies possibles d vacuation dans les grandes vi
94. objet d un recentrage Maintenant que les enqu teurs sp cialis s maitrisent les actes techniques complexes durant la phase de police judiciaire les experts interviennent pratiquement exclusivement durant la phase de l instruction Au regard de leurs missions de l volution des technologies num riques et des difficult s rencontr es identiques enqu teurs sp cialis s et experts partagent leurs connaissances Les experts vont en technologie num rique de l Union europ enne une formation de haut niveau analogue En France cette formation s appuie sur le monde acad mique Le magistrat dans le traitement de la preuve devra de plus en plus s int resser aux questions techniques et pour cela b n ficier d une formation pluridisciplinaire dans le domaine num rique I devra galement s appuyer sur une politique p nale clairement d finie 5 Forum international de la cybers curit A9 Cyberespace et contrefa on Intervenants Corinne ChampagnerKatz Avocate au barreau de Paris CCK Avocats Luc Strohmann Responsable cyberdouane Direction nationale du renseignement et des enqu tes douani res DNRED Minist re de l conomie et des finances ric Przyswa Chercheur associ Mines ParisTech Centre de recherche sur les Risques et les Crises CRC Nadia Lamrhari Juriste en propri t intellectuelle et nouvelles technologies Priceminis ter Thierry Bourret Colonel
95. obligatoire un plan de secours op rationnel pour les tablissements financiers banques et assurances leur r action op rationnelle Le PRA est r alis au regard d une configuration logicielle et d infrastructure de l entreprise En cons quence la modification du parc doit tre r guli rement r percut e dans le plan Les appli cations doivent tre valu es pour d terminer fait que l assureur ne couvre que le risque al a toire peut galement expliquer l h sitation expri m e par les professionnels la mise en place d un PCA PRA Il est toutefois constat que la leur vuln rabilit et les traitements curatifs qui doivent tre mis en place en cas de crise Cette analyse permet de lister dans des documents norm s les besoins en mati re de sauvegarde mise en oeuvre d un PCA s av re b n fique pour l entreprise Elle est l occasion de revisiter et de restauration des donn es mais galement des logiciels des serveurs et des automates des processus m tiers de les simplifier et d ac cro tre la productivit l exemple de la gestion du site Voyage SNCFcom permet d aborder une autre pro bl matique li e l ouverture la concurrence Il faut galement int grer l impact d une indis ponibilit de la fonctionnalit et d terminer son point l tal gt quant aux autres applicatits qui s appuient sur elle Il s ensuit la d termination de priorit s dans
96. ou d une attaque En cas d incident il convient de distinguer le seuil critique qui touche le r seau de celui du reste de l internet p riph riques Les pannes majeures sont souvent g n r es par de grosses intemp ries ouragans 179 5e 180 Forum international de la cybers curit blackout lectronique et les r seaux de secours permettent g n ralement de garantir la trans mission des donn es Ainsi la majorit des r seaux hertziens ou terrestres ne reposant pas sur Internet reste op rationnelle La menace constitu e par le risque d un sabotage physique des r seaux est prise en compte et int gr e par les op rateurs lesquels doublent bien souvent leurs capacit s avec des syst mes de secours Mais la crainte principale r side dans une standardisation excessive des proto coles Pour les d veloppeurs elle peut certes r pondre des int r ts conomiques mais son extension grande chelle constitue un risque de fragilisation des r seaux en cas d attaque vis e terroriste Aussi les responsables SSI administrations minist res entreprises sont panne majeure mondiale tous les deux ans caus es bien souvent par une erreur humaine de manipulation ou d exploitation S agissant de la s curit des communications notamment par t l phone et SMS ces vecteurs se piratent facilement et le choix des autorit s reste majo ritairement de ne pas s
97. pacit de l entreprise L usage va vers une IAS Internet Authentification Service 3 qui procure une sauvegarde et une synchronisation des donn es et une gestion transparente des inci dents entre le client et le CSP Il ouvre l au thentification des utilisateurs et des autorisations Ces techniques impliquent une remise en question des acquis car la capacit de provisionning en mode automatique im plique un chiffrement sur des logiciels et mat riels adapt s malgr un parc h t rog ne Bien qu insuffisante la d fense p rim trique des CSP protection des cl s doit tre une pr oc cupation des SSI Des pistes passent par l usage de framework s curis s outils de contr le et de r partitions des donn es dans le cloud Il est recommand 113 5 Forum international de la cybers curit 114 une fragmentation des donn es au sein du data center pour emp cher leur extraction La tra abilit des preuves implique une supervi sion en temps r el qui par une Virtual ma chine puisse scruter les plugin et effectuer un check permanent des mouvements vers le cloud provider Un filtrage en sortie de cloud notamment pendant les mises jour ainsi que l inclusion d une analyse comporte mentale font partie des solutions Une s par ration des processus et DVM modules inspectant les fichiers transitant selon des r gles et signatures propres leur format sp ci fique
98. par malveillance Il faut surtout bien former bien sensibiliser un acteur de la d fense et chacun doit participer au consid rable rel vement du seuil d attaque n cessaire Jean Claude BOURRET On a vu r cemment des vols de donn es un stagiaire avec une simple cl USB peut voler des donn es extr mement sensibles Je me pose une question extr mement simple estce qu il y a des syst mes qui permettent de ver rouiller cela 2 Faut il supprimer les ports USB 2 faut il mettre en place un syst me de cryp tage ou de tra age qui permet de voir que l on a extrait des donn es ou qu on les a copi sur une cl USB 2 Comment faites vous St phane JANICHEWSKI Oui il y a des outils mais il y a surtout des questions d organisation Vous voquez en fait la question des donn es La premi re chose faire avant m me d envisager la combinai son l organisation et des outils est d engager une r flexion sur la d finition des donn es sen sibles On va viter de donner un une star giaire un acc s libre sur des donn es sensibles Les donn es sensibles doivent rester difficiles d acc s partir de l on peut construire un ensemble de mesures qui vont permettre de limiter le risque un niveau ac ceptable C est une construction partir d une vraie r flexion de fond qui int gre une prise de conscience n cessaire au niveau des en treprises quant au fait que l information est de plus
99. par les l ments les plus essentiels l tat ces derni res ann es s est d abord tourn vers lui m me puis vers les infrastructures les plus critiques de la nation les syst mes mi litaires etc Si je prends l exemple de l ANSSI on a commenc depuis un an maintenant travailler vers le secteur priv Je ne pourrais pas le chiffrer pr cis ment mais je dirais qu il yaun an un an et demi presque 80 de notre action tait tourn e vers l int rieur de que ces questions peuvent repr senter pour un parlementaire car je crois que c est un point de vue qui est important compte tenu des l ments que nous connaissons Alors un premier rappel je crois que le cyber est un nouvel espace de conflictualit mais il n est pas seulement cela c est un nouvel es pace tout court qui envahit depuis de nom breuses ann es de plus en plus tous les segments de l organisation sociale Le num rique la grande r volution du num rique qui est apparue ces derni res d cennies est une r volution sur tous les plans C est une r volu l administration Je pense qu aujourd hui 60 70 au moins de l action de l ANSSI est tour n e vers le secteur priv donc vous voyez bien la vitesse laquelle on volue tion industrielle une r volution du mode de production La plupart des conomistes ou des observateurs disent qu elle est beaucoup plus importante que celle qu a pu repr senter la r voluti
100. pass es qui sont heureusement en France des petites crises c est que tr s sou on passe les contrats Denis FORTIER Quels sont les sujets Sauf si cela confiden tiel Guillaume POUPARD Il y a des choses confidentielles mais tout ne l est pas Typiquement on s pare les questions li es la protection c est dire ce que l on a appel la s curit des syst mes d informations et qui est dans une certaine mesure l h riti re du chiffre On se pose toujours des questions pour savoir comment faire de bons chiffreurs comment bien prot ger l information en stockage et en communication ce qui constitue l aspect vent les gens n taient pas pr ts r agir et ont perdu norm ment de temps Dans le domaine de la cyberd fense le temps ce n est peut tre pas de l argent mais c est quelque chose d absolument essentiel pour tre efficace Avant nous nous int ressions typiquement aux syst mes d information et de communication car c tait la base de notre m tier De plus en plus la question des syst mes d arme se pose puisque nous avons beaucoup de technologies qui viennent irriguer les syst mes d arme et c est ce qui fait aujourd hui leur efficacit Il faut tre capable de s curiser les syst mes d arme avec des contraintes qui ne sont pas celles des r seaux informatiques j ai l habitude de dire qu un h licopt re de combat c est un syst me d arme avec un rotor mais a pose
101. praticiens et qu elle accomplit un v ritable travail op rar tionnel Il existe galement au sein d Eurojust des quipes gt qui travaillent de fa on plus insti tutionnelle cet gard un team s occupe de la d linquance conomique et financi re et un sous groupe de ce groupe est pr cis ment charg de la cybercriminalit Ce groupe milite pour favoriser la mise en uvre d quipes com munes d enqu te mais galement pour am liorer la formation initiale et continue des magistrats Ce point a t voqu par monsieur Charpenel et j ai moi m me le grand honneur de participer ce genre de formation Alors que j tais procureur adjoint Versailles je me suis trouv e en charge d un dossier qui concernait une grosse soci t C tait sans doute le premier dossier avec lequel j ai d me battre tout d abord parce que la mati re tait nouvelle pour moi et parce que j ai d pour rebondir sur ce qu a dit pr c demment monsieur 5 Forum international de la cybers curit trouvaient les auteurs des infractions La France a particip le 6 mars 2012 d im portantes op rations d interpellations la demande de l Italie dans une affaire de p do pornographie Le bureau fran ais a galement Quill travailler avec des entreprises priv es Je crois qu effectivement je le disais d ailleurs ce matin madame Souvira qui est commissaire de police Paris tant
102. que l organisation soit capable en elle m me de r agir face un probl me Mieux vaut tre en mesure de rattraper l erreur qui se produit que de tout faire pour viter cette erreur I Des solutions La premi re chose prendre en compte pour d velopper un r seau de r silience l chelon territorial est de bien percevoir l importance de cet chelon Dans le domaine de la s curit informatique il y a encore quelques ann es les attaques ou les incidents touchant les r seaux taient plus orient s sur des cibles natio nales minist re grande soci t ou internationales tat grands op rateurs De nos jours la plus tre utilis comme un argument pour attirer de nouvelles entreprises sur le territoire cet aspect devenant un atout pour la collectivit ayant fait un effort dans ce domaine Une fois les dirigeants sensibilis s et persuad s de l utilit de ce r seau il faut faire le point des diff rents partenaires les r unir autour d une table et sous l gide de la DSI metre en place des liens entre les partenaires peut tre utile de cr er une cellule de crise regroupant les personnes d tenant les comp tences S agissant des comp tences il appara t important que la collectivit territoriale dans les crit res de recru tement de ce personnel et pas seulement des sp cialistes mette en avant un besoin de for mation dans le domaine de la s curit des sys t mes d in
103. re chose pour l ANSSI c est d essayer de conna tre l offre qui existe sur le march ses forces ses faiblesses et les secteurs orphelins de fa on pouvoir agir sur ces secteurs lorsqu on en a besoin Sur la s curit on va videmment essayer d identifier les industriels On en a de tr s bons en particulier dans le domaine des composants s curis s et de toutes les applications de ces composants On est les leaders mondiaux sur ce sujet avec les allemands et il faut le rap peler on a une avance technologique aussi bien en conception en r alisation et aussi c est un sujet que j aborderai un peu plus tard en valuation de la s curit qui est aussi un m tier de la s curit et de la cybers curit Nous allons suivre le domaine de l dition puisque l on constate comme tout le monde que ce secteur est extr mement morcel et assez fragile C est un r le de l ANSSI d essayer de mettre en relation des petites entreprises avec des plus grosses pour pouvoir faire des produits qui pourront trouver un march au niveau national et au niveau international Monsieur Salvador a parl de la reconnaissance des op rateurs de confiance C est un domaine sur lequel nous 5 Forum international de la cybers curit lement en train de la mettre en uvre galement pour les services ou les op rateurs et on essaye de qualifier des soci t s de service des pres tations de service
104. s num r es l article 6 de la loi et non prot g es par le secret Les administrations qui d tiennent des donn es publiques ne sont pas dans leur majorit pr par es les diffuser En effet le choix des infor mations et leur mise en forme sur l open data sont complexes et co teux Ce travail prospectif proc de des enjeux de l offre et de la demande Quels que soient les domaines concern s par la mise en r seau am nagement politique sociale libert s publiques etc le process de 221 5e 222 Forum international de la cybers curit mise disposition implique plusieurs niveaux d expertise recensement des donn es audit sur l tat documentaire tude des fr quences de communication r daction etc Les conditions de mise en uvre des donn es ouvertes divergent Certains pensent qu il faut donner la priorit aux donn es qui profiteront toute la soci t Dans ce cas la r gle de communication donne la primaut l objet Dans d autres cas les donn es sont r pertori es et rationalis es par des acteurs priv s ou des ONG pour en faire des outils de d veloppement sur le march Par exemple pour en faire des killer appli cations c est dire des programmes infor matiques qui justifient eux seuls pour de nom breux consommateurs l achat ou l adoption d un type particulier d ordinateur de console de jeu de syst me d exploitation ou de t l phone mobi
105. s curit peu structurant dans l ensemble des domaines Il y a donc un enjeu d ind pendance pour que nous soyons nous m me la fois ceux qui pro duisent nos propres besoins en mati re num rique et ceux qui nous prot gent nous il est parfois difficile si ce n est pour l int r t des besoins de l analyse de distinguer ce qui fait partie de la d fense de ce qui fait partie de la s curit et qu il faut traiter tout cela d un seul trait La cyberd fense est apparue d s 2008 comme un enjeu d terminant structurant pour notre d fense et une question strat gique Il est vident que la question de la cyberd fense est au c ur de ce Livre Blanc comme elle l a t au c ur du pr c dent Sans vous d voiler les secrets de nos travaux et de nos d bats c est une question qui est centrale dans le cadre des travaux du Livre Blanc auxquels j ai particip Dans cette version qui devrait tre finalis e d but mars 2013 au plus tard il va s curisent et nous d fendent en la mati re Il y a donc un enjeu pour toute la soci t dans son ensemble avec la num risation Ces en jeux sont bien entendu de d fense et de s cu rit mais il y a galement un enjeu au niveau du simple citoyen car chacun le vit au quoti dien Le g n ral a exprim dans son pr am bule que nos soci t s nos organisations sociales vont vers des processus de d mat rialisation Il y a donc un enjeu pouvoir s c
106. sans omettre gale ment l identit professionnelle dans les entre prises Lors d un change r cent avec un tr s haut responsable du Minist re de l Int rieur ce dernier me faisait tat de sa satisfaction de la r ussite du d ploiement de ces cartes aux 180 000 fonctionnaires d un grand corps Lors de cet change je me suis permis de lui dire que les enjeux de l identit professionnelle d passaient les seules administrations et concernaient l ensemble des secteurs cono miques titre d exemple je lui ai pr sent le d ploiement que nous avons r alis pour un grand op rateur t l com fran ais et l aussi d bats europ ens relatifs l identit num rique des personnes physiques l id e est que chaque citoyen europ en puisse avoir une identit num rique reconnue par l ensemble des Etats de l Union et qu elle soit directement quivalente et transposable l identit phy sique s agirait d avoir la possibilit d asso cier des informations num riques non falsifiables une personne physique ou son tat civil Un certain nombre de projets ont t d ploy s en Europe notamment en Alle magne en Espagne ou encore en Belgique ou Lettonie pays qui ont aujourd hui d cid de d ployer une carte nationale d identit nu m rique D autres pays comme l Autriche ou la Suisse n utilisent pas le support carte mais d autres supports tels que des cl s USB qui contiennent une i
107. seaux de travail qui s est rapidement mu e en vuln rabilit I Le risque li l int gration de la cybers curit dans le processus industriel l objectif manag rial de celui qui met en uvre un SCADA est l optimisation de la production Dans le domaine nerg tique il s agira d optimiser la consommation en diminuant les 153 5 Forum international de la cybers curit 154 pertes sur le r seau Dans ce terme l enjeu de l int gration des SCADAS nerg tiques au monde Cyber pose la question de la relation privil gi e entre l nerg ticien et le sp cialiste en cybers curit Au d part les entreprises sp cialis es proposaient des prestations en mati re de s curit informatique dite classique la demande des clients elles ont commenc travailler sur la s curisation des SCADA Cette demande a fait suite l apparition du ver conficker Pour se pr munir de ce genre d attaque les entreprises ont voulu isoler les r seaux contr lant leurs cha nes de production des autres r seaux de travail Cette vuln rabilit tait nouvelle et nul n avait auparavant pens que les r seaux d exploitation de cha nes de productions pourraient tre la cible d attaque Ila donc fallu sensibiliser les industriels aux risques engendr s par la connexion de ces r seaux au monde P Appliqu aux SCADA nerg tiques ce risque prend une toute autre dimension lorsqu on imagine l impact qu aurait u
108. sociologiques etc Un rapprochement entre le milieu acad mique industriel et judiciaire est indispensable pour moyens de protection idoines Si ce choix de recrutement comporte toujours des risques il d finir les contenus p dagogiques des formations et mieux anticiper les besoins des entreprises est possible de s en pr munir en partie par le recours la m thode du screening qui consiste d tecter les ventuelles menaces d terminer si les valeurs du candidat corres pondent au poste afin de s assurer qu il n est pas susceptible d tre compromis par ego ou app t du gain Le profil singulier de ces experts demande une forme de management diff rente il faut tre leur coute tre capable de r agir rapidement leurs d couvertes ne pas leur opposer de contraintes de temps au risque en termes de comp tences La formation interne et continue au sein des entreprises doit tre renforc e afin de p renniser les emplois dans ce secteur faciliter les pro gressions de carri re faire en sorte que les professionnels de la cybers curit restent en permanence leur plus haut niveau Pour ceux qui sont d j la pointe de leur expertise maintenir leurs comp tences par une participation des colloques des challenges titre per sonnel leur donner les moyens d exercer une de les voir proposer leurs services une autre entrepri
109. tat dans son ensemble commence se mobiliser et nous avons fous conscience que cette information cette sensi bilit n est pas toujours partag e Les grands groupes qui sont les plus concern s par les questions de cyberguerre cybers curit cy berterrorisme sont sans doute en pointe mais nous avons sensibiliser tous les chefs d en treprises et mobiliser tous les efforts de la No tion la fois pour nous pr parer nous s curiser s curiser en particuliers nos infra structures vitales mais galement pour nous d fendre contre toutes les formes d intelligence conomique Il y a du travail pour tre tant en France qu au sein de l Union europ enne le plus ind pendant possible en mati re de cy bers curit et de cyberd fense Je crois aussi que nous devons renforcer la formation dans l enseignement sup rieur pour justement recruter suffisamment d ing nieurs et sensibili ser l ensemble de la soci t fran aise C est un enjeu majeur et je crois qu il est essentiel que la Nation se mobilise et s approprie cette nouvelle fili re industrielle et conomique la quelle je crois fermement Jean Claude BOURRET Monsieur le d put merci infiniment pour votre intervention En guise de conclusion mesdames et messieurs je vous remercie de votre attention ainsi que les intervenants qui ont bien pos ces probl mes auxquels nous allons tre confront s pendant tout ce 21 me si cle
110. tiennent mettre en place des approches co h rentes et globales des questions de cyber s curit Les activit s que services publics et entreprises y conduisent doivent y tre mises en s curit prot g es et d fendues aucune n est l abri d une agression parfois grave dont les auteurs resteront souvent tout jamais ano nymes Dans ce contexte la cybers curit est devenue un enjeu essentiel pour la Nation La Le Forum International de la Cybers curit r pond cette tendance croissante qui veut que la cybers curit soit approch e de mani re professionnelle coh rente et globale Depuis 2007 la Gendarmerie nationale nous offre cette occasion de rencontre entre acteurs de la s curit m lant les cultures pu bliques et priv es les sp cialistes et les confiance du citoyen du consommateur de l opinion d pend d un fonctionnement harmonieux de la soci t et donc des sys t mes d information qui en sont au c ur Compte tenu des enjeux r galiens et du carac t re strat gique de la s curit des syst mes d information qui concerne les organismes les plus sensibles de l Etat au m me titre que les acteurs conomiques pouvoirs publics et en treprises doivent plus que jamais travailler en semble pour faire face aux cybermenaces d cideurs Encourag e cette ann e par la r gion NordPas de Calais et organis e par CEIS ce forum a offert de t
111. transactions dans lective passe d sormais aussi sur Internet Les Fran ais sont de plus en plus nombreux uti liser les r seaux sociaux s exprimer d battre sur le Web Par ailleurs plus de 80 de nos concitoyens le cadre des investissements d avenir 26 mil lions d euros leur ont t consacr s la confiance du citoyen du consommateur doit donc tre garantie parce qu il en va de notre vie quotidienne tous du bon fonction nement de notre soci t et de l efficacit de ont d j achet ou effectu des d marches administratives en ligne Et la plupart consul tent leur compte bancaire sur Internet Deux probl mes viennent imm diatement l esprit la protection de la vie priv e et la lutte contre la fraude Dans les deux cas la confiance est une condition n cessaire au d veloppement des services en ligne C est parce qu ils sont convaincus que leur vie priv e est prot g e que les internautes fournis sent des donn es personnelles Nous devons donc tre vigilants en ce qui concerne les at teintes la vie priv e la diffusion de fausses notre conomie Ai je besoin d insister l des sus Si la s curit des syst mes d information n est pas assur e aucune co nomie moderne ne peut prosp rer Ces prin cipes ne sont pas n gociables D s lors comment garantir et renforcer la confiance num rique 2 Des dispositifs existent d j no
112. tre pr sents En ce qui nous concerne nous essayons de les aider dans la mesure de nos moyens mais surtout le meilleur moyen de vous aider c est de vous inciter faire appel eux Ce sont des professionnels qui peuvent vous aider s curiser vos propres infrastructures Jean Claude BOURRET Merci infiniment monsieur PAILLOUX je me po sais une question en vous coutant et en d couvrant que l on pouvait t l charger sur le web votre fascicule avec 40 points Je me de les gens comp tents de les modifier en ajou tant des r gles qui seraient contraires la s curit l objectif de ce guide ce n est pas de d finir des r gles qui auraient t invent es par l ANSSI On ne dit pas si vous faites a vous serez s curis s Mais il est bon d avoir un ensemble d l ments un ensemble de r gles pour que ces r gles soient enseign es pour que les gens les connaissent et qu elles soient appliqu es partout C est n est pas quelque chose qu on a sorti de notre cho peau qu on a invent et qui d un seul coup r soudrait l ensemble des probl mes Jean Claude BOURRET Comment voyez vous la cybers curit des en reprises en g n ral notamment face des volutions technologiques comme le cloud computing 5 Forum international de la cybers curit 46 Patrick PAILLOUX La situation de nos entreprises de nos adminis trations de nos syst mes d
113. trouvent les enqu tes respectivement diligent es par les autorit s nationales de chaque pays mais il nous arrive extr mement fr quemment d organiser ce qui constitue le point d orgue de notre travail des r unions de coordination auxquelles participe l ensemble des magistrats qui sont concern s par les faits consid r s Au cours de ces r unions de coordination les autorit s judiciaires des pays concern s d crivent les investigations en cours exposent galement leur besoin de coor dination leur besoin d entraide judiciaire Les autorit s judiciaires des pays repr sent s peuvent videmment d cider d mettre une commission je n tais pas encore Eurojust mais au Parquet g n ral de Paris la demande du Bureau fran ais d Eurojust lui m me sollicit par les autorit s espagnoles de diligenter une enqu te pour d abord identifier et localiser les personnes qui avaient pu charger t l charger et regarder des photos pornographiques d enfants Je crois me rappeler que 32 ou 35 Parquets fran ais taient concern s par cette affaire Je me suis donc occup e de la coordination fran aise Les 35 procureurs de la R publique ont demand aux enqu teurs de leur secteur de bien vouloir interpeller les personnes soup onn es la m me heure le jour fix lors de cette r union de coordination organis e dans les locaux d Eurojust et d accomplir des perquisitions et de saisir le mat riel informa
114. un syst me deux vitesses et terme l chec du processus de d mat rialisation 159 5 Forum international de la cybers curit 160 A20 Technologies de l information et de la communication et ordre public Intervenants Denis FORTIER Directeur de la r daction d AEF s curit globale S bastien DENEF Chercheur Fraunhofer Institute Kevin HOY Officier de Police Great Manchester Police Morgan MARQUIS BOIRE Ing nieur S curit Google conseiller technique du Citi zen Lab de la Global Affairs de l Universit de Toronto R sum des interventions Les r seaux sociaux jouent d sormais un r le important en cas de crise et tout sp ciale ment dans le cadre de l ordre public En Royaume uni les r seaux sociaux sont d sormais troitement associ s la gestion de l ordre public comme en t moigne l exemple de la Police de Manchester Il faut donc d sormais consid rer ces m dias sociaux comme une aide et non comme un danger En Europe les Britanniques et les N erlandais en sont un bon exemple l Probl matiques est n cessaire de d terminer le r le des r seaux sociaux et d valuer dans l absolu s ils peuvent menacer l ordre public dans nos soci t s On pourra galement mesurer la diff rence de niveau entre les pays europ ens en la mati re et aborder les risques li s cette exploitation des r seaux sociaux par les forces d
115. ur d enjeux li s aux libert s indivi duelles quoi correspond aujourd hui l iden tit num rique C est ce que nous allons examiner Cette question est videmment fon damentale faut s adapter une soci t de plus en plus num ris e mais qui doit tre s cu bers curit l universit de Lausanne HEC lausanne Didier Trutt qui est pr sident direc teur g n ral de l imprimerie nationale Gwen dal Le Grand chef du service de l Expertise informatique la CNIL Anthony House direc teur du d veloppement strat gique des affaires publiques Europe chez Google et madame Marielle Gallo d put au Parlement europ en membre de la Commission Juri membre de la Commission IMCO qui justement largira le d bat avec les probl matiques europ ennes et internationales Je vais sans plus attendre donner la parole Solange Ghernaouti qui est docteur en infor matique je le rappelle l universit Paris VI qui est l auteur d un nombre consid rable d ou vrages dont un Quesaisje 2 un livre de cours en s curit informatique chez DUNOD Elle est lieutenantcolonel dans la r serve ci ris e I y a donc des quilibres trouver et le toyenne de la gendarmerie fran aise Donc tout d abord Solange Ghernaouti pouvez vous nous pr senter les enjeux comment au jourd hui s curiser les identit s dans le cyberespace Solange GHERNAOUTI Je vous remercie pour cett
116. uvres dipl leur temps le domaine maritime ou l espace extra atmosph rique On assiste ainsi une volont de plus en plus marqu e de juguler Internet dans un carcan intergouvernemental par le jeu d alliances et de liens politiques Dans ce d bat sur le cyberespace se d gagent globalement deux positions celle des USA et de l Europe qui pr nent une approche multipartite du cyberespace _ les tats ne sont pas les seuls AC te urs sur EE preuve d ang lisme puisque l n te rn et e f aujourd hui les USA sont les seuls contr ler techniquement le syst me racine et peu enclins le partager l espace est partag avec la soci t civile les associations les particuliers Le constat qui se d gage est qu il faut renforcer la cybers curit mais veiller ce que les contr les ne limitent la libert d expression celle soutenue notamment par la Russie et la Chine qui partent du principe qu il Il Des divergences mais aussi des int r ts communs La s curit des syst mes d information et de communication ne peut pas tre trait e individuellement A cet gard l organisation pour la s curit et la coop ration en Europe OSCE se concentre sur le d veloppement pour la confiance des technologies de communication et de l informatique Cette confiance est capitale et constitue un grand d fi pour les communaut s internationales Les tats de l OSCE tentent de pr venir les attaque
117. voyait que la comp tence revienne l au torit correspondant un tablissement du res ponsable de traitement dans un pays europ en Concr tement si une entreprise tait bas e dans un Etat membre l autorit de ce pays l tait comp tente et pas les autres Quand il y avait plusieurs tablissements on d signait un tablissement principal et seule l autorit de cet tablissement principal tait responsable C est ce qui a t appel le guichet unique pour les entreprises Le pro bl me est que l autorit qui n est plus comp tente du fait de l autorit de l tablissement principal se voit r duite un r le de bo te aux lettres Ce syst me fragilise videmment les droits des citoyens puisqu un citoyen peut de voir faire un recours devant une juridiction trang re Mais comme la protection des donn es est un droit fondamental il faut aussi un guichet unique pour les personnes le rap porteur du Parlement europ en a propos que le ciblage devienne un crit re de comp tence des autorit s en plus du crit re de l tablisse ment Concr tement une soci t est tablie en Europe et va cibler des internautes dans plusieurs pays europ ens alors les autorit s des pays dans lesquels les citoyens sont cibl s peuvent galement tre comp tentes Comme il y a plus d autorit s comp tentes il faut un m canisme de coop ration On a donc une autorit chef de file une coop r
118. ACTES DU FORUM FORUM INTERNATIONAL S CURIT 192 166 1 138 95 80 9 210 cisco Li_Ob 09 50 c0 c1 c0 0b 4 138 Dst 95 80 9 210 95 8079 ol Protocol sre port 56861 56861 Dst Port 14423 14423 seq 183 MMAIRE Allocution de Manuel Valis ei dinvess 12 Allocution de Fleur Pellerin nananana aaaea nana a nanan 20 Allocution de Kader AIR es 25 P Le continuum d fense s curit dans le cyberespace 30 P2 Cyberespace identit num rique thique et vie priv e 50 P3 Quelle politique industrielle en mati re de cybers curit 2 Ta P4 Le traitement judiciaire de la cybercriminalit l chelle europ enne et internationale quelles perspectives 2 92 AT G opolitique du cyberespace ssssesei iier 110 A2 Souverainet et Cloud cor RS nd de dr ds rte Hz A3 Clusif Panorama de la cybercriminalit ann e 2012 115 A4 Cyberd linquance ou cybercriminalit organis e Quels sont les profils des cybercriminels 2 118 AS Cybers curit et continuit des services publics 121 A6 Nouvelles formes de conflictualit s dans le cyberespace 124 A7 Gouvernance du cyberespace A8 La modernisation des moyens de pr vention et d investigation d di s au traitement des infrac
119. ARFAING Oui je voulais juste citer un exemple pour illustrer une coop ration dans le domaine de la s curit qui fonctionne l OTAN comporte un ressort conomique un ressort op rationnel puisqu en op ration les pays doivent coop rer aujourd hui Il faut savoir qu il y a un catalogue un domaine comme la cybers curit qui repose sur la confiance il est tr s difficile de coop rer vingtsept et la coop ration bilat rale est souvent plus efficace de produits de s curit qui existe et qui est par tag Il se trouve que certains fournisseurs c est le cas de Thal s produisent des produits s curis s qui sont achet s par 25 27 pays simultan ment La cyberd fense fait d ailleurs partie des domaines de coop ration des accords franco britanniques de d fense de 2010 De m me la coop ration avec l Allemagne est tr s troite notamment entre l ANSSI et son homologue allemand le BSI l expertise de l ANSSI est reconnue par nos principaux partenaires et il existe une v ritable attente pour renforcer notre coop ration et utilis s en op ration C est un cas de r us site Denis FORTIER Merci Je vais c der la parole Guillaume Poupard est ing nieur en chef de l armement la Direction g n rale de l Armement du Minist re de la D fense Comment vous r agissez par rapport aux perspectives europ ennes 2 Guillaume POUPARD Nous avons des relations mais je voudrais avant
120. Breant de l agence europ enne de d fense AED Pascal Chour de l ANSSI et Guillaume Poupard de la DGA qui si gent aupr s d industriels Vincent Marfaing de Thal s J r me Notin de Nov IT LucFran ois Salvador pr sidentdirecteur g n ral de Sogeti et Jean Michel Orozco de CASSI DIAN Nous avons galement le plaisir d ac cueillir le s nateur Jean Marie Bockel qui est l auteur d un r cent rapport sur la cyberd tense Je me tourne vers lui pour l introduction du sujet je ne suis pas un sp cialiste de ces questions Le point de vue que j exprime est celui d un homme politique qui s est vu confier par la com mission des Affaires trang res et de la D fense du S nat la mission de r diger un rapport d in formation sur la cyberd lense dont les conclusions ont t adopt es l unanimit en juillet dernier Je voudrais donc vous faire part bri vement de quelques r flexions sur la politique industrielle avant de r pondre vos questions Tout d abord pourquoi une politique industrielle en mati re de cybers curit estelle aujourd hui n cessaire 2 mes yeux il est crucial pour notre pays de conserver une autonomie strat gique dans un domaine qui joue un r le de plus en plus impor tant dans les domaines de la d fense et de la s curit Afin de garantir la souverainet des op rations strat giques ou la s curit de nos infrastructures 73 5 Forum interna
121. G de toyenne SOGETI groupe Cap Gemini cyberd fense dont participe la pl ni re e coordonnateur est LucFran ois Salvador qui est galement pr sent aujourd hui Ce r seau est particuli re recherche comme l INRIA l Institut National de Recherche en Informatique et en Automar tique Soutien de la recherche acad mique notam ment au travers de financement de th ses de doctorat dont certaines sp cifiquement fl ch es cyberd fense ment int ressant il transcende notamment les fonctions professionnelles de ses membres pour mettre en place un effort collectif au profit de la cybers curit Vous l aurez donc compris la cyberd fense appr hend e de fa on globale comme un nouvel espace de confrontation doit faire l ob Financement de la recherche au travers des tudes en amont dont le montant consacr la s curit informatique a doubl cette ann e et atteindra court terme 30 35 M par an D veloppement avec nos grands ma tres d uvres in dustriels dont certains sont repr sent s ici et acquisition de produits de haut niveau de s curit des fins minist rielles et interminist rielles avec l objectif de permettre aux op rateurs priv s d infrastructures vitales d en b n ficier galement Aide enfin aux PME innovantes qui sont nombreuses en France dans ce domaine au travers de financements d aide l innovation mais
122. Inspecteur ANSSI sp cialiste des r seaux R sum des interventions Des moyens de plus en plus pr cis existent d sormais pour d finir et mesurer le r silience de l internet Parfois simples ils permettent de pr venir des dommages de grande ampleur ce jour une panne g n ralis e de tout l Internet ne semble pas envisageable d autant plus que l action d un seul acteur hostile ne peut pas avoir des cons quences importantes I Un champ s mantique large ce jour il n existe pas encore de d finition officielle de la r silience Ce terme s ap plique l environnement la physique aux sciences humaines et sociales ainsi qu la d fense et la s curit nationales Il est important de souligner que la notion de r silience ne rel ve pas seulement de la technique mais galement d une dimension soci tale et sociale Une premi re approche repose sur la consid ration d un syst me complexe r sistant un certain nombre d attaques attaques aveugles mais aussi des pannes d lib r es et qui a la capacit de les absorber sans se d partir de ses fonctionnalit s principales et de red marrer On peut en d gager un concept de robus tesse de l architecture La r silience est li e avant tout celle d tres humains qui r fl chissent coop rent trouvent des solutions et les exploitent Dans toutes les grandes pannes de l internet le r tablissement fonctionnel est le fruit d
123. L volution des technologies de l information et de la communication impose aux diff rents acteurs de l enqu te judiciaire d agir sur le plan national et international en parfaite syner gie pour assurer le recueil et le traitement des preuves num riques Des mesures efficaces sont d j mises en uvre Toutefois pour faire face l volution des moyens num riques dans un univers international ouvert des mesures nouvelles et innovantes doivent tre re 130 cherch es Les instruments de pr vention et d investigation concernent les moyens juridiques et techniques l ment de preuve l expert aura des contraintes identiques En dehors de la sc ne de crime d autres mesures proc durales pourront tre mises en uvre afin d obtenir des l ments qui deviendront des contradictoirement vont constituer devant e recueil de traces ou indices discut s le juge un faisceau de preuves susceptible l ments de preuve comme par exemple les dispositifs d interception ou r cemment de sonorisation autoris s par la loi ofin de permettre les interceptions en mati re de voix sur IP skype de conduire la culpabilit du mis en cause Ces l ments vont tre obtenus sur la sc ne de crime lors des constatations par les enqu teurs sp cialis s en technologies num riques L enqu teur devra respecter un protocole afin de ne pas d naturer ce qui pourra devenir un notamment En mati
124. Nord Pas de Calais Franck TOGNINI Directeur r gional CEIS Nord Pas de Calais R sum des interventions La r silience repr sente la capacit pour un organisme traverser une crise importante tout en conservant sa coh sion Aujourd hui les collectivit s territoriales font face un d fi de grande ampleur En effet elles sont confront es une double contrainte mettre en uvre des proc dures de d mat rialisation dans leurs changes internes et externes tout en se prot geant des menaces informationnelles insidieuses et souvent in dites pou vant mettre en p ril leur fonctionnement I Les probl matiques Depuis plusieurs mois les m dias mettent en avant les atteintes port es aux r seaux infor matiques soit de minist res de pr fectures de mairies ayant le plus souvent pour cons quence un simple d tournement de la page web du dit organisme Cependant ces attaques de premier niveau n excluent pas une possibilit de destruction ou de compromission des donn es stock es Face cette r alit il est important de prendre conscience du fait que les collectivit s territoriales sont des cibles potentielles d attaques et que face ce type d agression elles doivent maintenir le bon fonctionnement de leurs diff rents services face des citoyens de plus en plus au fait des risques et de plus en plus exigeants Le Fran ais est devenu un consommateur de l internet d
125. P l investissement int resse le niveau organisationnel c est dire au sens des processus des relations se font dans ce contexte l mais il faut aller plus loin plus vite et plus fort Les tats Unis sont beaucoup plus structur s que nous lls ont un march plus large et ils ont aussi une prise de conscience ant rieure lls ont commenc se poser des questions sur la mani re de contrer la menace chinoise La plupart des industriels am ricains font plus d un milliard de dollars de chiffre d affaires dans le domaine que ce soit Boeing Lockheed Martin ou Northrop Grumman C est galement vrai pour les grands fournisseurs de solutions comme McAfee ou Symantec Si l on compare la situation europ enne en mati re de structuration par rapport la posture am ricaine pour revenir notamment sur ce que disait la ministre Fleur PELLERIN hier on constate tats industries de la cr ation de cercles de confiance au niveau national mais galement europ en avec des degr s de confiance qui doivent tre adapt s en fonction des fronti res que l on franchit Cette relation tats industries est fondamentale Elle est d j en place en France et en Royaume Uni Nous faisons partie en ce qui nous concerne du cercle national en France en Grande Bretagne et en Allemagne Mais nous manquons encore de cercles de confiance inter europ ens Enfin je crois qu il faut investir dans la r gulation I y a des cultures di
126. PSSI puis d assurer sa mise en place op rationnelle 173 NPA a E a I aj EXT ETN nau r RA a md S Il rs j 3 OVH fournisseur d infrastructure Internet 9 Datacentres 33 Points de Peering R seau mondial en fibre optique Le meilleur du r el et du virtuel WwWwWw ovh com pc Plus hirion LS FLE OVH COM pcc cie contactez nous 09 72 10 72 10 LE CLS LL a BBEA e DE EN desert y gt desas Coud Cloud ADSL VolP iku Lun Vend 9h 18h Prix d un appel local Doe a a E Digiposte Sr E CA 7 entreprises SIMPLIFIE LA VIE DE VOS CLIENTS www laposte fr LA POSTE 5 Forum international de la cybers curit B1 Cyber terrorisme mythe et r alit Intervenants St phane TJARDOVIC commissaire divisionnaire minist re de l int rieur Nicolas ARPAGIAN INHES r dacteur en chef de la revue Prospective Strat gique Sylvain JOLY Minist re de l int rieur Direction g n rale de la police nationale DGPN Jarno LIMNEL Soci t Stonesoft Ancien militaire finlandais Andrea RAFFAELLI Arme des Carabiniers ltalie ROMERO RAMOS Guardia Civil Espagne R sum des interventions Pour le moment le cyberespace est plut t consid r comme un instrument et non comme une cible pour la r alisation d actes terroristes Pourtant certaines mouvances terroristes A Quaeda auraient aujourd
127. Par ailleurs les structures les employant sont souvent imagin es comme g n rant de gros revenus mais ce n est pas la r alit Les salaires mensuels pour les plus nombreux varient autour de 500 Le cas d une organisation criminelle utilisant des Botnets met en exergue la capacit de groupes criminels classiques utiliser Internet leur profit en recrutant des sp cialistes dans de multiples domaines d veloppeurs serveurs loueurs de temps frafeur gt blanchisseurs Il est alors possible d assister la naissance de groupes se formant ponctuellement pour des dur es ou des actions limit es Des acteurs s organisent en formant des soci t s pour essayer d obtenir une vitrine et vendre des services h bergeurs prestataire Internet II Que faire face l internationa lisation de la cyberd linquance La disparition des fronti res au sein du cyberespace fait rapidement appara tre des probl matiques de coop ration internationale Effectivement le but est d aller au plus vite la source des menaces est donc indispensable d organiser une coop ration et une veille efficaces 119 5 Forum international de la cybers curit 120 l encontre des personnes capables de diffuser cette menace cet effet des pistes de travaux existent dans le cadre du G8 G20 Des points de contact unique ont pu ainsi tre identifi s et communiqu s l ensemble des partena
128. a aussi une grande importance pour les tats qui souhaiteraient utiliser le monde cyber dans leur strat gie de d fense Aujourd hui une action informatique conna t encore beaucoup moins de retentissement m diatique qu un bombardement a rien La strat gie du Pr sident Obama dans la mise en uvre de drones de man uvres informatiques d fensive et offensive en est une bonne illustration Enfin la grande nouveaut apport e par le cyberespace dans le domaine des conflits est la cr ation d un r gime de l offensive Auparavant le fait d avoir connu la guerre totale mais aussi de l existence la dissuasion nucl aire donnaient lieu l application d un r gime d fensif ayant pour culte la notion de l gitime d fense Ce temps est r volu 5 Forum international de la cybers curit Il L adaptation du cadre juridique existant Un d saccord subsiste sur la question des cyberconflits Peut on r ellement parler de cyberguerre S il existe un droit international des conflits arm s et une d finition juridique de la guerre il n en est rien quant la notion de cyberguerre l absence d une d finition pour ce vocable en droit international est fondamentale En effet si aucun texte ne d finit la cyberguerre et les l ments qui la composent aucun cadre juridique ne peut tre appliqu On pourrait d finire le jus ad bellum par un faisceau d indices reprenant la s v rit des dommages inflig
129. a bien avanc Quand on regarde l valuation des forces et notamment des ressources dont l tat s est dot entre l ANSSI la DGA et ceux r l on n a pas le droit de nommer entre 1200 1500 grandes comp tences ont t mobilis es Si vous regordez les chiffres que les tats Unis donnent tout r cem ment ils portent sur environ 4 900 ressources mais on ne sait pas lesquelles Denis FORTIER Tout le monde n est pas d accord avec cette vision J ai entendu des discours inverses disant que l tat n avait plus les moyens et donc que les grandes comp tences partaient Luc Fran ois SALVADOR Je poss de des preuve ce sujet un des soucis en tant qu industriel dans le domaine de la cybers curit 2 Luc Fran ois SALVADOR Je crois que le sujet a t fouill sous plusieurs angles Je voudrais mettre en avant un point de perplexit o est l argent 2 L tat recherche des technologies tr s avanc es avec des aspects est la formation c est dire la production de la ressource y a des initiatives int ressantes la chaire de l IHEDN celle de Thal s et de Sogeti avec Saint Cyr et en mati re de chiffrement nous avons parmi les plus belles coles au monde Les Cor ens les Isra liens les Am ricains le savent et ils viennent les voir preuve que l Etat agit En mati re de politique industrielle des choses ont t faites dans le r gulatoire et de ruptures alors que le civil c
130. a cybers curit by design la robus tesse de nos syst mes Au del du fait que cela ait l air cr atif c est une n cessit de s y pr parer intense la tentation est grande de minimiser la port e de ce que l on va fournir dans cette cat gorie d o la n cessit non seulement d lever la prise de conscience de nos clients et en particulier au niveau des infrastructures vitales comme on le fait aujourd hui C est un d bat utile quant l obtention d un minimum r glementaire pour assurer la fois la protection de nos syst mes vitaux mais galement une l vation de ce que j appelle le niv lement par le bas de la fourniture de nos industriels La lourdeur des investissements n cessite une forme de coop ration et m me un investissement commun entre industriels et l administration Je pense des sp cifications des concepts g n raux et m me au besoin d une direction d une feuille de route Aujourd hui on parle de mettre de l ar meme gent mais la capacit la caract ristique ou la qualit d un syst me pourquoi faire pour obtenir la valeur et l utilit Cette feuille de route doit se construire entre 5 Forum international de la cybers curit nous comme on le fait aujourd hui et doit nous guider pour en faire le retour le plus utile Denis FORTIER En mati re de recherche et d veloppement un ratio de 20 a t cit De quel ordr
131. accord sur l assistance technique L on a pour une fois un consensus total mondial c est extraor dinaire Pour autant y a souvent des discussions inter nationales sur un nouveau trait international sur la cybercriminalit notre avis ces dis cussions comportent des risques et vont certai nement continuer dans quelques semaines Vienne dans le groupe d experts de cybercri minalit depuis 10 ans Ces discussions confir ment clairement qu il n y a aucun consensus international commencer les travaux sur un nouveau trait Mais pour des raisons politiques je crois qu elles vont continuer J ai constat la m me chose il y a 2 ou 3 ans ici sur la m me chaise je crois qu il y a trop d enjeux politiques en la mati re Je crois que l on a un consensus total entre les juges entre les procureurs entre la police de presque tous les pays mais il y a quand m me des jeux politiques qui n ont rien faire avec la lutte contre la cybercriminalit Nous voyons le risque que ces d bats mettent l accent sur le contr le de l internet par les gou de l ordre et pour la protection des donn es vernements Nous voyons que ces discussions perturbent des r formes d j en cours Le Congo ne va jamais utiliser la convention de Budapest pour laborer un projet de loi Si vous attendez encore une convention des Nations Unies cela va prendre peut tre 10 15 20 ans pour avoir un autre trait en
132. acit Les comp tences demand es sont nombreuses et le savoir tre gt aux tre privil gi au savoirfaire m me si la partie technique est importante Ainsi doivent tre recherch es des personnes ayant le sens de l coute un esprit d analyse et de synth se des capacit s de communication orale et crite de la curiosit de la rigueur et un comportement thique D tecter des failles de s curit ne suffit pas il faut pouvoir expliquer intelligiblement en quoi elles repr sentent un risque et comment y rem dier De plus la d fense des syst mes d information des entreprises priv es et organismes publics est une activit de service et ce titre exige passion vocation et sens de l int r t g n ral en dehors de tout opportunisme ou int r t finan cier La p nurie des comp tences et les difficult s de recrutement constat es dans le domaine de la cybers curit alors que paradoxalement le m tier d informaticien est d sormais touch par le ch mage peuvent avoir plusieurs origines le d calage entre les offres et les demandes de comp tences le domaine de la cybers curit o la r activit est essentielle peut poser un probl me de gestion de temps En effet il faut pouvoir trouver le profil ad quat au bon moment apporter au client l expertise attendue sur un sujet pointu Cloud APT mobilit SCADA etc au moment o il en a besoin un nombre insuffisa
133. aible capacit technique en mati re de lutte contre la cybercriminalit alors que d autres je pense aux Pays Bas la France et la Grande Bretagne ont un syst me de lutte sous l aspect technique notamment tr s Comment cet European Cybercrime Center que nous avons baptis EC3 fonctionnel 2 Son mandat recouvre trois formes de criminalit dont l Internet est le soubassement La premi re concerne les d lits commis par des groupes organis s plus particuli rement ceux g n rant de larges profits tels que la fraude en ligne ce que je d crivais avec la fraude aux cartes de cr dits Le deuxi me domaine qui n est pas moins important prendre en compte est celui des dommages s rieux aux victimes de l ex ploitation sexuelle des enfants Le troisi me des domaines touche les d lits affectant les infra structures et les syst mes d information de l Union Ceci n est pas notre priorit puisque des ins titutions comme l ENISA sont en charge de ce domaine mais nous pouvons apporter notre expertise Nous avons un mandat qui nous donne une certaine orientation et nous procurons un support op rationnel aux enqu tes Nous avions trois grandes bases de donn es que nous avons fusionn es l une concernait la p do pornographie sur internet l autre les fraudes en g n ral sur Internet et la troisi me tous les d velopp Nous n allons pas r inventer la roue mais nous allons utiliser ce qui se fait de
134. aire et de la n cessit de le prot ger 2 St phane JANICHEWSKI Malheureusement force est de constater que la prise de conscience m me si elle volue positivement reste quand m me insuffisante il est quand m me navrant de voir que cer taines entreprises sont pill es en termes d es pionnage industriel par manque de prise de conscience par le fait que l on n a pas consi d r que c tait un enjeu suffisamment impor tant Le c t positif c est que les choses commen cent voluer et je crois que de ce point de vue l action publique qui a t conduite de puis un certain nombre d ann es commence porter ses fruits Je crois que cette pr occu pation commence monter dans les strates de responsabilit s des entreprises parfois avant m me qu il y ait eu une attaque importante n emp che que sur les ann es r centes trop d attaques ont eu lieu qui ont affect nos en treprises strat giques Jean Claude BOURRET Peut on peut avoir une id e du temps qu il faut vos sp cialistes pour valuer le niveau de s curit d une entreprise voire d un organisme 35 5 Forum international de la cybers curit 36 public et quelle est la fourchette des investisse ments n cessaires pour assurer cette s curit St phane JANICHEWSKI C est un petit peu difficile de r pondre parce Jean Claude BOURRET Merci monsieur JANICHEWVSKI pour cette in terventio
135. and ces personnes viennent ensuite travailler dans les entreprises dans les SS21 que ce qu elles font sionnelle aux centres de formation continue mais il s adresse aussi aux directions des res sources humaines ou aux services informo tiques pour recruter les bonnes personnes et ne soit pas compatible avec des r gles l mentaires de s curit Donc je souhaite tr s ar demment que ces r gles soient aujourd hui enseign es La formation c est le deuxi me sujet que je souhaitais rapidement voquer devant vous On ne forme pas assez d experts de sp ciar listes ou de g n ralistes en mati re de s curit d finir les cycles de formation adapt s Enfin naturellement il s adresse nous tous notre communaut aux gens qui travaillent dans le domaine pour qu ils puissent euxm mes se po sitionner sur ce r f rentiel v rifier leurs com p tences et se former s ils ont une faiblesse dans un domaine acqu rir les comp tences qui leur manque Ce r f rentiel est lui aussi publi aujourd hui disponible gratuitement sur notre stand t l chargeable Utilisez el Vous l avez compris la volont de l tat de l ANSSI c est de vous donner toute la docu mentation possible technique m thodolo gique pour tous les acteurs de la s curit les d cideurs les DRH pour que les choses chan gent En l espace d un an je n ai pas compt le nombre de recommandations de guides que n
136. ans ce cas l se r v le un moyen de choix permet par exemple d influencer di rectement la population civile gr ce Internet Il permet de paralyser o de d sorganiser les secteurs cl s dans des proportions qui sont fi nalement ajustables Cela peut aller de la sim ple g ne un d ni de service par exemple tat avec finalement un rapport co t efficacit qui est particuli rement avantageux pour eux Pire encore tout l ordre international qui fixe les fronti res et les rapports entre les tats est alors leur avantage puisqu il g ne les pour suites en multipliant les obstacles juridiques et politiques qui sont loin d tre r solus et sur les quels travaille la communaut internationale dans le domaine juridique Finalement au jourd hui chaque individu peut se servir du cy berespace pour servir une cause et ventuellement porter atteinte un tat que ce soit le sien ou un autre On a vu par exemple le glissement d Anony mous en d fendant la libert d internet il s est attaqu des tats qui luttaient contre la cen sure ou qui pratiquaient la censure Il a aussi assum son engagement contre Isra l pour des raisons politiques On le voit aujourd hui au Mali la France n est pas pargn e par des attaques informatiques li es son engage ment Donc le concept westphalien des rela tions internationales d j battu en br che par le terrorisme international est remis en c
137. ans la plupart des acteurs tant publics que existent entre le gouvernement et l agence char g e de la protection des syst mes d information le BSI avec les industriels du secteur notamment en mati re de normalisation Quel pourrait tre le r le de l tat En France l tat se positionne est trop souvent r gulateur ou contr leur et pas assez partenaire faut b tir un partenariat autour d industriels et de priv s de la cybers curit aux Etats Unis Le Pentagone coop re troitement avec les entre prises am ricaines du secteur de la d fense mais aussi des soci t s de services telles que Cisco et Symantec En 2007 le d partement am ricain de la D fense a lanc un programme de cybers curit et de protection de l information de la base industrielle de d fense Ce programme bas sur le volontariat est destin aux entreprises du secteur de la d fense et consiste changer des informations tech niques et op rationnelles sur les menaces Il r unit actuellement une quarantaine d entreprises et devrait tre tendu l ensemble des sous traitants du secteur de la d fense Ce programme a permis de mieux comprendre les attentes des entreprises de renforcer la confiance et de mettre en place une collaboration troite entre secteur public et secteur priv La strat gie britannique de cybers curit met galement l accent sur les relations avec le secteur priv Cette r flexion s inscr
138. ans sa vie de consommateur mais galement dans sa vie de citoyen I attend de plus en plus de services via internet de la part de l administration et des collectivit s territoriales En m me temps il est de plus en plus inform des risques de l utilisation de l outil num rique et n accepte pas qu une panne informatique puisse perturber son quotidien et ses relations avec les services 1 Selon deux sondages de 2010 et 2012 75 des fran administratifs cais aignean lunisanon d informations personnelles parun Face cette obligo ner tion de devoir main faie denegister dee rimatore s r c ies tenir une activit quasi normale m me en cas de probl me infor 223 5 Forum international de la cybers curit matique du une attaque ou un incident tremblement de terre inondations incendie petite mairie peut tre l objet d une attaque etc la probl matique du positionnement de la direction des syst mes d information DSI est importante au sein du r seau territorial Car m me si le caract re strat gique de la s curit de l information est reconnu il s av re que dans les faits la pr sence du DSI est souvent oubli e dans les diff rents comit s de direction composant l entit territoriale De m me la DSI n aura pas d efficacit s il elle n est reconnue que par sa comp tence technique Elle doit aussi avoir une l gitim au sein de l organisme l une des probl matiques ma
139. ansmettre des connaissances et des valeurs d thique d s le plus jeune ge Cette sensibilisation pourrait jouer un r le impor tant dans l am lioration de la notori t de ces m tiers et susciter des vocations 5 Forum international de la cybers curit B17 la cybercriminalit un risque assurable 8 Intervenants Jean Philippe BICHARD journaliste Jean laurent SANTONI pr sident de Clever Courtage St phane JANICHEWSKI directeur de l activit s curit groupe SOGETI J r me GOSSE expert Zurich France Alessandro LEZZI responsable TMB BEAZLEY R sum des interventions Apr s une prise de conscience tardive des risques les assureurs proposent d sormais une couverture par des offres d di es le risque passant d sormais pour assurable L objet du lt risque tant la soci t charg e de l ex cution du march l approche couverture du risque gt appara t au sein du vieux continent trop parcellaire C est pourquoi la r ponse cette probl matique essentiellement li e la perte de chif fre d affaires est bivalente technique et organisationnelle et son remboursement fond sur le forfait Le consensus la majeure partie des acteurs pr sents s accorde reconna tre que le march et l ensemble des couvertures y aff rent apparaissent peu attrac tifs Aussi estil n cessaire de donner confiance aux assureurs quant l appr hen
140. apparition de faux num ros Les clefs du succ s pour limiter la fraude r sultent de la r activit des acteurs l acheteur s il prend rapidement conscience de l usurpation de sa carte fera intervenir sa banque qui r agira d autant plus rapidement que l op ration n a pas encore fait l objet d une compensation Le commer ant fera appel une assurance s il pressent une fraude concernant le paiement d une commande Concernant les particuliers la F d ration e commerce et vente distance FEVAD conseille de s adresser un liste d op rateurs tablis en France et membres d une f d ration profession nelle La loi impose galement au vendeur de diffuser sur son site ses coordonn es postales lectroniques ainsi que son num ro de t l phone et ses conditions de vente IIl les attentes La premi re est la constitution d un ensemble de pratiques visant emp cher la r utilisation des donn es et les vols d identit Il importe de ne pas museler l activit d un groupe par une globalisation analyse globale d un syst me d int r t local qui masquerait la complexit du ph nom ne et conduirait des solutions non appropri es pour r soudre le pro bl me pos Trop de s curit tue la s curit Le commerce en ligne n cessite des moyens de paiement sp cifiques pour assurer la s curit et entretenir des relations de confiance convien dra dans ce cadre de finaliser des protocoles de moyens sans
141. arch le plus large possible videmment il faut concilier cette ouverture avec les enjeux de la souverainet nationale Cassidian sait bien le faire Le deuxi me volet d investissement doit porter sur la formation Actuellement il existe un vrai pro bl me de p nurie de ressources Les formations reprendre l expression du directeur g n ral de l ANSSI Patrick Pailloux Denis FORTIER Merci monsieur le s nateur Jean Michel Orozco nous venons d entendre un plaidoyer visant le monde de l industrie et des services Comment vous r agissez vous en qualit de PDG de Cassidian CyberSecurity 2 ne sont pas structur es tr s peu d tudiants sortant des coles sont correctement form s Plusieurs initiatives ont t lanc es en France En ce qui concerne nous avons organis une coop ration avec T l com Sud Paris de fa on mettre en place l quivalent d un master sp cialis la rentr e 2013 Cette initiative sera b n fique pour l ensemble des industriels et des organismes tatiques en France Denis FORTIER Vous rejoignez le s nateur Bockel sur ce constat du d ficit de formation et du manque d tudiants sp cialis s Jean Michel OROZCO La cybermenace est une menace l tale pour nos soci t s occidentales Elle est galement extr mement asym trique On parle bien d un enjeu de souverainet au sens de la s curit d une nation que ce soit la nation fran aise ou l
142. ards d euros au total en 2014 l enjeu conomique est donc majeur Quels sont les objectifs que doit viser cette politique industrielle J en vois trois Le premier favoriser le d veloppement du commerce lectronique Le second faciliter un usage plus large et plus efficace des technologies disponibles pour renforcer la protection de nos entreprises Le dernier aider les entreprises fran aises du secteur innover et produire de la valeur La France poss de de nombreux atouts dans le domaine de la cybers curit m me si on ne le sait pas toujours Bref nous n avons pas rougir de nos performances sur le march international bien au contraire Plusieurs de nos fleurons me viennent l esprit Thal s EADS Bull Safran Morpho etc Je pense Gemalto Oberthur et Sagem Orga pour les cartes puce Ingenico pour les lecteurs de cartes Parall lement nous tirons profit d un tr s large spectre de comp tences le plus complet d Europe gr ce nos nombreuses PME et TPE qui ne cessent d innover dans le domaine La France est ainsi en pointe concernant la cryptologie ou les produits d analyse de trafic autant de technologies cl s Nous devons donc encourager ces entreprises grandir et conqu rir tre de consolider l industrie fran aise d j tr s dynamique Cela passera par la cr ation d un environnement de confiance renforc et par un effort de structu
143. areau journaliste Blandine Poidevin Propri t Intellectuelle Avocate au Barreau de Lille sp cialis e en droit de l Internet amp Florent Chabaud Ing nieur en chef de l armement Fonctionnaire la s curit des syst mes d information FSSI Minist re de la d fense Sabine Marcellin Juriste Cr dit Agricole Corporate amp Investment Forum des comp tences R sum des interventions Les entreprises pour prot ger leur patrimoine informationnel et la r putation des em ployeurs doivent s adapter l utilisation g n ralis e de l outil informatique et d Internet et mettre au point des proc d s l gaux de contr le et de responsabilisation des salari s qui soient compris et admis de tous Juristes techniciens responsables informatiques et de la s curit des r seaux services des ressources humaines ont chacun un r le jouer dans l laboration et l application de la politique de s curit de l entreprise relative au compor tement de ses salari s I Les probl matiques a protection de la vie priv e l int rieur de l entreprise qu elle soit publique ou priv e est une obligation de l employeur En contrepartie le salari a obligation de loyaut et de confidentialit L utilisation titre personnel de l outil informatique et plus particuli rement des r seaux sociaux mais aussi l ouverture leur nom de comptes par les entreprises complexifie
144. ataires dans le domaine du cloud du niveau de confiance attendu par l ANSSI On fera probablement aussi en 2013 quelque chose dans le domaine de la reconstruction apr s incident Voil des actions tr s concr tes que l on est amen faire videmment nous nous basons base aussi sur une feuille de route qui est tablie et remise jour annuellement pour d finir quels sont les secteurs qui nous faudrait accompagner pour disposer dans un temps raisonnable de produits commerciaux Je ne parle ici que de produits commerciaux car des feuilles de route pour les produits r galiens existent d j depuis de nom leurs ne fait pas tout fait plaisir certains de nos lt grands amis Cette action permet d iden tifier les bons produits ceux qui respectent un certain nombre de standards de savoir aire de bonnes pratiques etc et des r f rentiels breuses ann es Ces actions dans ce domaine ont d j commenc donner des r sultats Une autre partie de l Agence est en lien avec les diff rents grands secteurs industriels le transport l nergie etc pour essayer d identifier qui sont d ailleurs disponibles sur notre site en mati re de cryptographie Nous sommes go ces besoins et faire en sorte de pouvoir identifier ces industriels ou des offreurs de service capables 89 5 Forum international de la cybers curit 90 de les proposer Denis FORTIER Notre dern
145. ation du syst me de soin les changes lectroniques entre les professionnels de sant et les grandes r formes de la sant le dossier m dical personnel informatis 2004 la t l m decine 2009 l h pital 2012 La s curit num rique du secteur de sant se d veloppe notamment par le biais I La sant n chappe pas la cybercriminalit n France la loi H pital patients sant Le territoires du 21 juillet 2009 vise am liorer l offre de soin par le d velop pement des technologies num riques Un res ponsable doit animer et coordonner la s curit Si la s curit est assur e confidentialit il existe parfois une absence d int grit et de dis ponibilit pour acc der au dossier des patients En effet le m me r seau transporte les donn es destin es l administration et les offres de services aux patients Ces risques potentiels peuvent par exemple conduire un retard des commandes de m dicaments Des attaques sont susceptibles de peser sur la vie humaine des patients Des attaques virales peuvent porter atteinte aux fichiers administratifs de gestion des admissions En outre les industriels d veloppent des produits sans placer la s curit ou c ur des instruments Par exemple il n existe pas de r gles en la mati re bien qu une pompe insuline ou un pacemaker actionnable dis tance devraient faire l objet d une s curit int gr e En 2009 un vers a touch
146. ation entre pairs qui se met en place et un m canisme de d cision partag e entre ces diff rentes autori t s 5 Forum international de la cybers curit responsables des grandes entreprises aux questions de protection des donn es D autres principes que je n aurai pas le temps de pr senter en d tail sont galement d crits dans le projet de r glement comme le droit l oubli le droit la portabilit le droit la por tabilit la possibilit de confier vos donn es un acteur et de les r cup rer tout moment dans un format standard vous permettant ainsi d tre captif les transferts internationaux et aussi la question des actes d l gu s d impl mentations c est dire la possibilit pour la Commission europ enne de venir pr ciser les principes du projet de r glement En conclusion vous l aurez compris 2013 est une ann e d cisive pour la protection des donn es personnelles Un projet de r glement est actuellement en discussion au Parlement et un vote est pr vu fin 2013 d but 2014 La CNIL est particuli rement mobilis e pour pr server les acquis et garantir la pr servation d un haut niveau de protection des donn es Enfin sur un plan plus pratique du fait que beaucoup parmi vous sont amen s d cider des conditions de mise en uvre de traitements de donn es caract re personnel je vous invite fortement consulter les guides Dernier point impor
147. aude et contre les atteintes la vie priv e Ces dispositifs quels sont ils 2 Concernant la fraude je n insisterai pas ce sont des choses bien connues Pour les transactions les plus risqu es des outils de d tection ont t mis en place par les prestataires grands acteurs de l Internet g rer les don n es personnelles de nos concitoyens de mani re unilat rale dans une transparence limit e et en dehors de nos fronti res De m me c est la confiance qui rend possible le commerce en ligne Or le secteur est aujourd hui touch par des formes de plus en de syst mes de paiement Surtout l authentification des porteurs ne cesse d tre renforc e je pense notamment au dispositif 3D Secure Enfin la Banque de France informe les usagers sur les risques encourus et les bonnes pratiques suivre En revanche contre les atteintes la vie priv e plus diverses de fraude Nous devons trouver des solutions notamment via un largissement et une s curisation renforc e des moyens de paiement en ligne Dans le cadre du d veloppement des technologies NFC pour le paiement mais aussi pour nombre d autres usages le Gouvernement veillera assurer la s curit des transactions dans le cadre des investissements d avenir 26 millions d euros leur ont t consacr s La confiance du citoyen du consommateur doit donc tre garantie parce qu il en va de notre vie quotidienne tous du
148. ause 5 Forum international de la cybers curit nalit Chaque mois il y a des citoyens tent s ou des outils qui sont disponibles en ligne On arrivera dissuader ces attaques en compl tant cet arsenal par une politique p nale La d fense est aussi int ress e par la diminu tion des menaces qui p sent sur les infrastruc tures critiques Les attaques sur ces syst mes fragiliseraient la soci t obligeraient probo blement les forces arm es intervenir aupr s des populations et ob reraient une partie des capacit s militaires Elles pourraient d bou cher sur une escalade strat gique Apr s tout les Etats Unis ont d j annonc qu ils n h site raient pas riposter par tout moyen y compris conventionnel une attaque cyber contre leurs int r ts vitaux On voit bien l importance par le cyber Avec cet outil n importe quel groupe d termin peut contester la politique d un tat et tenter de lui faire changer d avis sous peine finalement de porter atteinte gra vement son fonctionnement Du point de vue du minist re de la d fense il y a un certain nombre de cons quences avec la multiplication des agresseurs potentiels Le premier probl me est d arriver faire le tri de toutes ces attaques diff rencier celles qui re l vent de la cybercriminalit et celles qui por tent atteintes aux capacit s des forces arm es et aux int r ts vitaux de la Nation Les mal wares di
149. bl matique des titulaires de droit Une coop ration avec les services de l tat est n cessaire pour lutter efficacement contre ce fl au Des avanc es l gislatives sont n cessaires mais la mobilisation des comp tences et la formation des entreprises sur les risques encourus restent la cl de voute de la r ussite A10 La cybers curit des syst mes industriels Intervenants 5 Forum international de la cybers curit Corinne ChampagnerKatz Avocate au barreau de Paris CCK Avocats Luc Strohmann Responsable cyberdouane Direction nationale du renseignement et des enqu tes douani res DNRED Minist re de l conomie et des finances ric Przyswa Chercheur associ Mines ParisTech Centre de recherche sur les Risques et les Crises CRC Nadia Lamrhari Juriste en propri t intellectuelle et nouvelles technologies Priceminis ter Thierry Bourret Colonel Chef de bureau Direction g n rale de la Gendarmerie na tionale R sum des interventions La contrefa on n est pas n e avec Internet mais celui ci l a largement facilit e en d mo t rialisant la plupart des transactions en simplifiant la cha ne logistique et en cr ant une distance entre le produit et le consommateur Quelle est l ampleur du ph nom ne sur In ternet Quel impact sur la comp titivit de nos entreprises et comment peuvent elles se prot ger I Les pr
150. bl matiques li es la en compte ces faits La loi Godfrain n a pas t une liste d infractions circonstancielles qui seraient aujourd hui d pass es Le v ritable apport de cette loi r side dans le fait qu elle int gre des dispositions pr voyant les fondamentaux de la s curit des syst mes d information que sont notamment la disponibilit l acc s ou encore l int grit des donn es num riques Il tat des lieux du corpus juri dique fran ais relatif la cyber criminalit Concernant le droit mat riel l arsenal p nal fran ais est plut t complet La plupart des dispositions classiques peuvent r primer des faits li s la cybercriminalit fraudes escroqueries faux et usage de faux etc Par ailleurs des volutions de circonstances aggravantes ont galement t apport es bande organis e utilisation d un r seau num rique contrefa on eic De nouvelles incriminations ont plus r cemment vu le jour r primant notamment le Happy Slaping le Phishing ou encore l usurpation d identit sur les r seaux sociaux Le droit processuel relatif la cybercriminalit a subi une acc l ration partir de 2001 Ses liens avec la criminalit organis e ou encore le terrorisme ont impos la mise en place d avanc es dans ce domaine Il est possible de citer les interceptions t l phoniques tendues aux r seaux num riques la possibilit de faire des copies ou
151. bliques de Google en Europe plus sp cialement en charge des questions de s curit et de vie priv e Vous avez rejoint Google en 2006 et vous avez t en charge des divers produits et th matiques comme no tamment la lutte contre la fraude au clic sujet tout fait d actualit et au d veloppement d Android Avant de rejoindre Google vous avez obtenu un doctorat en histoire sur des ef fets du droit de la propri t britannique sur la croissance de Londres l poque moderne Je vous c de la parole merci Anthony HOUSE Je commencerai par m excuser d tre anglo phone mon doctorat en histoire moderne m a aid pour la compr hension du fran ais pra tiqu au Royaume Unis jusqu la fin du 14 eme si cle p riode laquelle le Parlement an glais cessa de r diger les lois en fran ais Je suis vraiment content d tre pr sent ici heu fois aux individus et de mani re plus g n rale la soci t J aimerais mettre l accent sur quelques exemples de choses que nous avons r alis es ces derni res ann es et qui mettent cela en vidence Il se peut que certains d entre vous connaissent ce que l on appelle l indicateur de propago tion du virus de la grippe Goggle flue trend Il s agit de l observation de donn es agr g es par Google de certaines r gions compar es avec des donn es pid miologiques donn es par diff rents services de sant nationaux En remarquant les corr lations
152. butions des personnels selon leurs postes int gre une analyse des besoins r els des services et l in t gration des projets long terme de l entre prise Le PRA vise permettre la reprise de l activit dans sa globalit ou en mode d grad Les PCA plan de continuit d activit vise proc dures doivent prendre en compte l ensemble des infrastructures et des r seaux associ s Elles peuvent s appliquer des serveurs des des infrastructures distribu es sur plusieurs sites et int resser des milliers d quipements Une entre prise ayant une activit l international devra tenir compte de la diversit des cultures de ses op rateurs Les op rations cons cutives une crise majeure concernant un centre informatique organisent le reconditionnement de l infrastructure la remise en route des applications sur site natif ou sur un site de secours et la v rification de l int grit des processus d marr s en mode d grad La probl matique de l incitation des entreprises mettre en place un PCA PRA est majeure On note toutefois que de nombreux sujets 5 Forum international de la cybers curit expos s tels que les banques les sites de vente en ligne etc ont tendance se montrer r ticents la r ali sation de ce type de dispositifs pr ventifs et curatifs Le 1 Il faut toutefois noter que la r glementation CBRF 2004 2 issu de IASB B le II rend
153. c la mise en place au sein du minist re de l Int rieur d un groupe de travail qui aura pour mission de d finir dans un cadre interminist riel les grands axes d une consolidation de l action de pr vention et de lutte contre la cybercriminalit Ses conclusions devront lui tre remises au printemps 5 Forum international de la cybers curit 229 r NOVAN CONFIANCE au wy Forum International Hal de la Cybers curit FA MORT cet 22 janvier 2014 FM x i Lille Grand Palais France Sous le Haut Patronage de Monsieur Fran ois HOLLANDE Pr sident de la R publique Un v nement co organis par La Gendarmerie Nationale Le Conseil r gional du Nord Pas de Calais CEIS
154. c est sur le c t n gatif des risques li s aux infosph res que nous d velop pons autour de notre identit num rique et de nos projections identitaires dans le cyberes pace qu il est judicieux de s attarder au jourd hui Alors que le cyberespace constitue une fen tre d opportunit s pour le d veloppe ment conomique et personnel il ne faut pas oublier qu il est galement au service du d veloppement de la criminalit et de la profita bilit des criminels Pour reprendre les propos du g n ral qui m ont beaucoup interpell no thiques et la protection de la vie priv e ne peuvent tre satisfaits uniquement par des r ponses d ordre th ologique Pour comprendre l importance des enjeux de la ma trise de l identit num rique et l ampleur des d fis de sa s curit relever j aimerais rappeler bri vement quelques aspects de l volution technologique en cours Comment cela nous concerne il et comment nous la fo vorisons Nos habitudes de connectivit per manente laquelle nous sommes de plus en plus expos s via la t l phonie mobile les to blettes et les portables autorisent une commu nication interpersonnelle et interinstitutionnelle mais il s av re d sormais que les objets sont aussi connectables l internet Ils deviennent communicants C est l internet des objets qui envahit progressivement notre espace domes tique mais aussi notre espace public comme par exe
155. ce En g n ral la d fense est une r ponse l attaque et les tech niques et les parades utilis es pour la d fense ne peuvent pas servir la pr vention car elles sont d pass es par l volution technologique et la diligence des attaquants La seconde r side dans la construction d une s curit passive qui comporte des dispositifs automatiques de surveillance des r seaux Les statistiques et les r seaux Bayesiens vont permettre de construire des algorithmes qui aident d celer des attaques les clonages de cartes en analysant l volution des statistiques des comportements Quelle que soit la nature de l attaque le com mer ant doit anticiper la nature de la menace et mettre en place une s curit pr ventive en recherchant ses vuln rabilit s en estimant leur probabilit de survenance et les co ts associ s De sa r activit r sulte la mise en place d une s curit d fensive efficace Le probl me majeur concerne le stockage des donn es et le vol d identit La s curit d fensive impose de ne pas conserver les num ros de carte et notamment les cryptogrammes Certains commer ants stockent les donn es est possible de les identifier Pour attirer la client le ils utilisent la technique du one click gt o le paiement en trois fois sans frais ce qui atteste leur connaissance du client et le non respect du code mon taire et financier De plus on constate l
156. ce accord e la publicit et au marketing notamment bas s de plus en plus sur les donn es de g olocalisation donn es caract re personnel Au del de ces enjeux conomiques voquons tr s rapidement ceux d ordre politique soule v s par ce nouveau territoire qu est le cybe respace Pour r sumer le cyberespace est d sormais un lieu privil gi d expression des conflits conomiques politiques et aussi d or dre personnel harc lement insultes et des conqu tes Le cyberespace peut tre vu comme un champ de bataille pour les indivi dus les organisations et les tats lieu permet tant entre autres l enrichissement la prise de pouvoir et de contr le cela de mani re licite OU non Cette parenth se sur le panorama des princi pales volutions des technologies du num rique me permet d insister sur l importance de la ma trise des donn es li es l identit num rique Celle ci est une notion complexe qui peut avoir plusieurs dimensions et interpr ta tions possibles en fonction de son contexte d utilisation Pour certains par exemple elle permet l identification n cessaire au contr le d acc s approche technologique la factu ration de services consomm s approche comptable et conomique pour d autres elle permet d tre tenu responsable et redevable d actions effectu es approche l gale ou en core par exemple d avoir une existence ap proches sociale philos
157. celui en l esp ce de la loyaut de la preuve Il ne faut jamais perdre l esprit que la simple transposition des r gles judiciaires traditionnelles au cybercrime est insuffisante la limite de l exer cice tant que les principes fondamentaux de la proc dure ne sont pas solubles dans le cyber monde La m thode a donc montr ses limites et la seule mani re de les d passer je crois que c est tout l int r t d une r union comme celle ci c est de renforcer la sp cialisation Aucune autre perspective ne permettra aujourd hui d avancer car finalement la cybercriminalit toute num rique qu elle soit est d abord une criminalit qui commet des d g ts et qui cause des dommages et des pr judices Leur importance ne doit pas tre sous estim e Tout au long de ces deux journ es vous listez les diff rents d s ordres que la cybercriminalit cause la soci t aux individus comme aux institutions Cela montre la n cessit de ne pas c der la tentation de privatiser les moyens d enqu tes cybercriminels Les enjeux fondamentaux de la nation imposent que l tat soit capable en lien bien s r avec le secteur priv de mener ce combat C est voir comment les lois nouvelles et les pratiques nouvelles du oybermonde peuvent tre r ellement trait es par les principes traditionnels ce jeu ce ne sont pas toujours les bons qui triom phent nous avons ainsi l exemple cuisant et r cent
158. cherche des profils des cyberd linquants est un enjeu majeur notamment en ce qui concerne les enqu tes judiciaires Ce travail d identification constitue une r elle difficult en raison des caract ristiques d Internet mais aussi du fait qu il existe une multitude de profils Les retours d exp riences concernant les cybercriminels qui ont pu tre identifi s sont peu nombreux lls d montrent toutefois qu il est impossible d obtenir un sch ma g n ral des profils En France les individus mis en cause par l OCICTIC agissant et se trouvant sur le ZONE Renraldeenelaemmelele territoire nationa aux technologies de l informatique et de la communication se r v lent tre des programmeurs o de jeunes passionn s d informatique se trouvant en marge du monde social Ils ont un quotient intellectuel sup rieur la moyenne et sont capables d aller chercher des virus Ils agissent principalement pour l app t du gain et le d fi technologique Cela diverge l g rement des bauches de profils constat s au sein de l exbloc sovi tique En effet le profil abstrait du jeune russe qui pirate dans sa cave doit tre abandonn S il s agit comme en France d individus relativement jeunes n s en moyenne entre 1980 et 1992 constituant une population instruite et passionn e par l informatique ils ne sont pas tous marginalis s Beaucoup d entre eux sont d j charg s de famille et disposent de peu de ressources
159. classiques C est vraiment un grand pas en avant et ce r glement va permettre aussi d ex ploiter pleinement non seulement le potentiel en mati re num rique mais le potentiel li aux dispositions relatives au march public et cela va ouvrir de grands horizons et c est donc ex tr mement important Comme dans la propo ne soient pas que des boites aux lettres dans la mesure o le citoyen recourt l auto rit de son pays Donc il faut qu il y ait une obligation de coop ration Oui pour le chef de file mais obligation de coop ration pour les autres autorit s Sur le r glement identification lectronique et service de confiance pour nos transactions lectroniques c est un r glement donc un texte d application imm diate galement L aussi il faut que le march int rieur arrive exporter le potentiel que l on a en conomie num rique sition pr c dente de r glement il y a mon sens trop d actes d l gu s puisque d s qu il s agit de passer la disposition concr te et la mise en uvre la Commission se r serve un acte d l gu ou un acte d ex cution Cela prive le Parlement de la possibilit de r fl chir d une mani re d mocratique sur la question et je ne vois pas pourquoi Nous consid rons au Parlement qu il y a trop d actes d l gu s relatifs cette question Dans ce r glement il y a aussi un probl me qui va se poser puisque la proposition de r
160. compte l existence d une solide couche mat rielle tuyaux c bles des conflits du monde r el reproductibles dans le monde virtuel et enfin l installation d un techno pouvoir dans le cyberespace Comment donc comprendre les rapports entre g opolitique et cyberespace Comment comparer ce sys t me incertain de souverainet technique au monde westphalien que nous connaissons La Chine est l exemple m me d un grand pays qui a pris toute la mesure de la modernit et a su s adapter en contr lant ce qui tait consi d r comme incontr lable allant jusqu cr er un Google et un Twitter chinois Un question nement existe quant l utilisation du cyberes pace par la Chine sachant qu il faut garder en m moire une volont tr s culturellement an cr e d ambition et de domination du monde On peut galement s interroger sur les apports de la m trologie et de la cartographie des r seaux dans la compr hension du cyberespace sachant qu Internet est de mani re incontesta ble un nouveau territoire Un consensus g n ral est retenu pour dire que la d finition d une norme juridique et la ques tion du Web sont un enjeu politique dans le cyberespace Il Des solutions Le cyberespace est un nouveau type de terri toire qui n entre pas dans la d finition g ogra phique classique sachant qu il n existe pas de d finition consensuelle et objective du cybe respace La repr sentation du c
161. constitue une g ne pour les attaquants l analyse protocolaire tats par PVM et DVM permet une protection accrue contres les attaques inconnues zero day En mati re de supervision du cloud et des syst mes de s curit la norme ISO 15408 est une r f rence qui peut constituer un l ment de confiance Il est n cessaire de mettre en place une supervi sion et un audit du check act ind pendant Cette dualit r pond un besoin de s curit r active selon l volution de la menace et d obtenir un r el examen du syst me par une diff renciation des fonctions de s curit et de contr le La solution cloud fran ais param tr pour vi ter les d ports sur des clouds externes pour des probl mes de taille critique avec application d un droit local assurerait la s curit des in formations Cela procurerait un avantage aux administrations et aux entreprises Le Cloud communautaire peut tre une solution pour des clients publics et priv s On peut galement envisager la solution d un cloud privatif I subsiste la question de la gestion des cl s mais une des conditions essentielle r side dans le fait que les entreprises doivent uti liser des syst mes proches afin de permettre une satisfaction suffisante du client 1 Le principe du trading haute fr quence acheter au moins cher et vendre au plus offrant toutes les microsecondes pour d gager une faible marge de tr s no
162. ctif est de renforcer la fois la capacit d innovation des grands groupes en s appuyant sur des PME tr s agiles et innovantes et de faciliter l acc s aux march s export que les petites structures ne peuvent pas d marcher seules I se d gage de cette table ronde un consensus sur la n cessit de structurer tant le march que le tissu industriel de la cybers curit Cette strat gie n est pas une utopie car les entreprises fran aises offre un tr s fort potentiel technologique et une performance reconnue sur les march s internationaux exemples d Arkoon et de Cassidian 5 Forum international de la cybers curit A15 de l activisme l hacktivisme Intervenants Damien BANCAL Zatoz Nicolas DANET co auteur de Anonymous pirates informatiques ou altermondialistes et consultain au sein de l Agence Limite Nicolas DIAZ responsable des syst mes d information pour la FIDH Hacktiviste Jean Marc BOURGUIGNON Hacktiviste conseiller en s curit et confidentialit de l information collectif Telecomix C cile DOUTRIAUX avocate au barreau de Strasbourg R sum des interventions Le ph nom ne hacktiviste occupe une place grandissante dans l actualit gr ce la m diatisation dont b n ficient certains collectifs comme Anonymous Insaisissable par nature et voluant en permanence il d signe les activit s de collectifs aux profils et modes op
163. d un v ritable sociologie op rationnelle intuitive et transverse en r pondant la fois la cybers curit la cybercriminalit et la cyberd fense l objectif est de couvrir le champ de la SSI protection la cybercriminalit d tection avec le traitement des incidents et l analyse et la cyberd tense pour les services de l tat protection de syst mes sensibles et cons quents La mise en place de ces diff rents m tiers regroup s au sein d une v ritable fili re cybers curit donnerait naissance un vrai p le d excellence seul moyen v ritablement efficace pour g n rer et prot ger la confiance num rique au quotidien 5 Forum international de la cybers curit A25 Les Collectivit s Territoriales face aux risques num riques Intervenants Lieutenant Colonel R my F vrier Charg de mission Intelligence Economique la R gion de Gendarmerie Nord Pas de Calais Docteur en Sciences de Gestion Qualifi aux fonctions de Ma tre de Conf rences Professeur associ l Universit Paris Panth on Sorbonne R sum des interventions Cette intervention s est structur e autour de la pr sentation des travaux scientifiques du lieutenant coloenl R my F vrier relative au management de la S curit des Syst mes d Information en Collectivit s Territoriales I Vuln rabilit s des SI Institutionnels i l ensemble des acteurs public
164. d une tude de risque social et orga nisationnel r alis par le RSSI qui fixera ce qu il est possible de supporter S il existe une r gle mentation ex classification de d fense l tude sera plus simple En revanche en l absence de texte il conviendra d op rer une classifi cation au cas par cas et ventuellement au fil de l eau Dans tous les cas la direction m tier d cidera de l autorisation donner et en assumera les cons quences 2 D cider des r gles d usage des moyens partir d une charte laquelle seront joints un manuel d utilisateur technique et un manuel d uti lisation juridique Cette charte qui fixe les r gles d usage des moyens num riques est bilat rale Elle engage employeurs et salari s ex conser vation des donn es pendant 6 mois et pas au del 3 Pr senter cette charte pour qu elle soit oppo sable aux organes de repr sentation du per sonnel qu il s agisse d un organe public ou d une entreprise priv e D clarer la CNIL les syst mes informatiques correspondants traceurs etc 5 Sensibiliser et informer les collaborateurs Charte en ligne 6 R diger un guide des op rations de contr le interne qui comportera notamment la mise en uvre de la proc dure ses r gles d action comment avec qui les autorisations ventuelles du juge En cas d infection du r seau par du mat riel personnel comment r cup rer le mat riel pour analy
165. de bring your own 33 5 Forum international de la cybers curit 34 device le fait de l utilisation croissante dans l entreprise de nos propres outils sans toutes les pr cautions utiles La d couverte que tous les syst mes y compris les syst mes sensibles ont une part d interconnexion conduit penser compl tement diff remment Jean Claude BOURRET J ai une deuxi me question vous poser puisque vous vendez en quelque sorte de la protection aussi bien pour des industries pri v es que pour la d fense nationale comment faites vous pour tester la fragilit ventuelle au minimum sachant que le risque z ro n existe pas dans ce domaine Sous un pre mier aspect on doit faire en sorte que pour l attaquant la barri re franchir soit de plus en plus lev e Deuxi me aspect la question n est pas d viter une attaque extraordinairement sophistiqu e et pr par e mais d en limiter les cons quences Ce qui est important par des sys t mes beaucoup plus pro actifs est d identifier les indices d attaques et d en limiter les cons quences Il faut donc tre capable de pouvoir intervenir le plus vite possible pour faire en sorte que cette attaque soit connue et que les d un syst me de protection Ma question est videmment tiroirs parce que si vous testez les barri res de s curit qui prot gent un sys t me ou des donn es vous tes oblig s d uti lise
166. de donn es stockant des signatures num riques d images p dophiles permettant de d tecter sur des machines des indices durant le temps de la garde vue d une personne Avec la convergence des syst mes ordinateurs et t l phones portables qui constituent de mini ordinateurs notamment en mobilit la multiplication des moyens comportant des devrait donc tre envisag tout en consid rant que plus de la moiti des h bergeurs dans le monde se situent aux USA et en Roumanie pour l Europe En attendant pour obtenir les informations recherch es si les donn es s av rent tre stock es l tranger il sera toujours possible d invoquer la convention de Budapest pour les obtenir facilement Cependant cette convention n a t sign e et ratifi e que par un nombre limit de Nations essentiellement syst mes num riques voitures consoles de jeux dot es de messageries les cartes m moire de toute nature cam scopes l examen des moyens num riques est rendu n cessaire quelle que soit la nature des infractions commises La t che est donc rude Il Face l volution des moyens num riques dans un univers inter national des mesures nouvelles et innovantes doivent tre recher ch es L volution des technologies num riques va rendre encore plus difficile la r cup ration de la preuve Des adaptations du droit et des europ ennes Pour les autres tats il convient
167. de conserver des donn es l infiltration la captation de donn es distance pour les infractions les plus graves ou encore la cr ation des juridictions interr gionales sp cialis es IRS l arsenal p nal fran ais est donc relativement complet malgr un parpillement des textes Il faudrait galement une v ritable politique p nale d ensemble ainsi qu un renforcement de la formation des magistrats pour ne pas rompre la chaine p nale 1 Le happy slapping ou vid olynchage est une pratique consistant filmer l agression physique d une personne l aide d un t l phone portable Le terme s applique des gestes d intensit variable de la simple vexation aux violences les plus graves y compris les violences sexuelles 2 Le phishing est une technique utilis e pour obtenir des renseigne ments pour perp trer une usurpation d identit 5 Forum international de la cybers curit IIl Pro action ou r action de la loi face la cybercriminalit La pro action et l anticipation des menaces ne sont pas du ressort des l gislateurs mais plut t des gens pr sents sur le terrain qui participent la connaissance des nouveaux ph nom nes La loi doit arriver non pas en pro action mais plut t en r action sous r serve de d finir un quilibre entre les menaces et la sauvegarde des libert s publiques jointes un imp ratif de s curit publique Cela s ajoute au principe de la neutralit technolog
168. de continuit d activit et les plans de reprise d activit Les param tres techniques de s curit existent de la signature lectronique l horodatage des serveurs L ANSSI a tabli une liste de produits certifi s et la DISICT donne galement des r gles adopter Les nouvelles technologies font que l on volue peu peu de la gestion de la s curit la gestion des risques Au del des nombreuses r gles pour s curiser l archivage il convient de se conformer aux lois concernant la conservation des donn s caract re personnel et d obtenir l accord indispensable de la CNIL Les donn es caract re personnel peuvent tre conserv es 3 5 ans Au del elles doivent tre obligatoirement anonymis es Les directives europ ennes sont tr s protectrices en mati re de donn es personnelles mais des discussions sont en cours pour autoriser la conservation plus long terme La restitution des donn es peut poser des probl mes techniques En fait le support n est plus vraiment un obstacle c est plut t l interpr tation qui peut s av rer difficile voire impossible dans le temps cause de l volution des technologies des changements de formats etc Pour l heure il n y a pas de solution Il faut seulement anticiper la conversion de format en 5 Forum international de la cybers curit organisant des migrations r guli res et en suivant de pr s les volutions mat rielles et logicielles
169. de coop ration et d as sistance technique J ai cinq propos et un souci Le premier propos concerne c est un besoin tr s important l harmonisation de la l gislation au niveau global Sans un cadre l gal pas d in vestigation et sans un minimum d harmonisation pas de coop ration efficace internationale en ligne ce trait On a vu que beaucoup de pays ont pris une partie de la Convention mais le reste l a mal comprise ou mal mise en uvre Il y a en fait une dizaine de pays africains qui ont des lois extraordinaires le S n gal l le Maurice Botswana l Afrique du Sud et le Cameroun Le Maroc est en train de r former Le meilleur projet de loi est au Niger depuis 2006 Il n a jamais t adopt mais c est un projet de loi extraordinaire Le deuxi me propos c est utiliser la Convention de Budapest comme un cadre de coop ration internationale Pour nous c est d abord une question de quantit il faut accro tre le nombre de parties la convention et on a fait un bon progr s en 2012 quand l Australie et le Japon sont devenus partie de la convention On a maintenant 57 tats qui ont soit ratifi soit sign soit taient invit s la convention de Budapest Le S n gal a d j t invit et quelques pays africains vont l tre L Afrique du Sud est signataire de la convention de Budapest Mais c est aussi une question de qualit Il faut am liorer l efficacit du trait et on a en 2012 effectu une pre
170. de cyberguerre elle ne serait qu une adaptation des moyens actuels aux principes tactiques pluris culaires En effet c est la fin du XIXe si cle qu est apparue concomitamment leur d veloppement une g opolitique des moyens de communication et des c bles La premi re v ritable illustration en a t la seconde guerre des Boers qui a eu lieu en Afrique du Sud de 1899 1902 Ensuite sont rapidement apparues les notions de brouillage de localisation puis de cryptoanalyse ou encore de cryptographie durant la seconde guerre mondiale On ne peut parler de cyberguerre cette poque mais on constate que les arm es ont su d s leur apparition utiliser les syst mes de communications pour peser lourdement sur l issue des conflits De plus si les attaques cybern tiques ne donnent pas lieu des pertes directes de vies humaines le temps et l argent perdus par les Etats victimes de ces attaques ne suffiraientils pas constituer un pr judice justifiant une action en situation de l gitime d fense 2 Il ressort de cette approche que les tats doivent continuer s adapter ces nouvelles menaces Il n existe pas de r el vide juridique sur la question mais plut t une grande difficult adapter les normes existantes au domaine cyber Les tats doivent tenter de transcrire au mieux les normes internationales au regard des conflits arm s pour que naisse progressivement un v ritable droit des confl
171. de mettre en uvre l entraide judiciaire en mati re p nale traditionnelle en appliquant une convention bilat rale si elle existe et d faut en passant par le canal diplomatique D une mani re g n rale les d lais d ex cution sont souvent trop longs ce qui rend inop rant la demande et limite la r solution de l enqu te Aussi il serait n cessaire d largir les adh sions la convention de Budapest d autres Etats non europ ens conviendrait galement de r fl chir la fa on d obtenir les l ments de preuves l tranger d une mani re plus rapide en am liorant notamment les m canismes de coop rations judiciaires dans le respect du principe de souverainet des tats Une autre piste consisterait 131 5 Forum international de la cybers curit 132 am liorer les relations institutionnelles avec les grandes soci t s d h bergement intemationales comme Google Yahoo ou Twitter conviendrait en outre de d velopper de nouveaux outils de reverse ing nierie pour d couvrir les traces laiss es sur les supports num riques Le web profond fait galement partie des espaces non contr l s du web o des efforts doivent encore tre consentis dans l int r t de la s curit des personnes des entreprises et des tats Des quipes d enqu teurs devraient tre d di es chaque couche du web alors tenter de d velopper leurs propres outils
172. demand Dans ces condi tions existe il une v ritable conomie Des tudes montreraient au contraire un surco t de l ordre de 30 des d penses d quipement informatique Dans le secteur public tous les agents utilisent le m me mat riel avec n anmoins pour certaines personnes des services suppl mentaires sur leur t l phone de service Il existe aujourd hui un autre mod le conomique 213 5e 214 Forum international de la cybers curit qui consiste couter le collaborateur et lui proposer un moyen plus labor Le mat riel demeure la propri t de l entreprise mais il peut tre utilis par le salari des fins personnelles pour qu il reste dans la l galit Il existe d ailleurs une forme de suivi puisque si un comportement n est pas conforme la politique de l entreprise un message de mise en garde appara t la lecture de l utilisateur l usage des r seaux sociaux est autoris par l administration car il y a un besoin ex les tweets des hommes politiques Cette opposition public priv tient d abord la sensibilit de l information et la ma trise des moyens utilis s Par exemple les informations relatives au d pouil lement d un appel d offres ne sauraient tre stock es sur un p riph rique externe Elle s appuie aussi sur le regard diff rent port sur les moyens de communication nouveaux et la capacit des salari s Dans le secteur p
173. dentit num rique Quand on regarde de plus pr s ces identit s num riques dont les supports peuvent tre multiformes on se rend vite compte que les m mes technolo gies cryptographiques associ es un code PIN sont utilis es Dans les faits les vrais pro bl mes qui sont pos s concernent l organisar tion et la r partition des missions et des responsabilit s de la cha ne de confiance en partant de l enr lement jusqu aux usages et des relations de cette identit num rique avec cela concerne plusieurs centaines de milliers d employ s dans le monde entier le monde de l acceptation dans le cyberes pace qui rel ve du domaine public ou priv Ces quelques exemples concrets d identit Cette dimension de confiance r ciproque ne 57 5 Forum international de la cybers curit 58 repose pas uniquement sur la technologie mais aussi sur l cosyst me revient l en semble des acteurs de cr er les conditions de la r ussite de cette ambition collective En l ab sence de coh rence et de niveau de garantie de s curit et d interop rabilit au niveau no tional mais galement plus largement au ni veau europ en il n y aura ni protection ni d veloppement de l conomie num rique Enfin je souhaiterais rappeler quelques pr re en ligne Quels sont nos atouts par rapport la coop ration publique priv e Que pou vez vous nous dire
174. des et des standards sans outils concurrentiels adapt s a vuln rabilit du code a une dimension 198 march de personnes morales et des habilitations individuelles l approche de s curit doit tre int gr e au plus t t pour diminuer les co ts provoquer une adh sion des acteurs de toute la cha ne de production et par cons quence provoquer un d veloppement meilleur La SSI int grera cet effet les syst mes d information des mat riels et des logiciels La premi re pr occupation d une architecture est celle de la validation des algorithmes du cryptage et de l impl mentation logicielle Les principes d architecture classique peuvent tre regroup s sous un concept am ricain le TCB trusting computing base Il doit prendre en compte l impact de failles logicielles sp cifiques car beaucoup d attaques sur des d applications brisent les d fenses de syst mes entiers ce qui est inacceptable Il faut choisir des outils ayant une capacit d volution et d enrichissement en fonction de la compr hension des probl mes Il existe en open source des outils am liorables et para m trables qui permettent d viter des outils pro pri taires tr s couteux Enfin on peut pr ciser que le prescripteur peut s appuyer sur des guides de l ANSII ou du CERTA pour r diger son cahier des charges et son analyse du risque I peut galement consulter le code des march s publics art 180 al 5 qui compo
175. des milliers de syst mes d information et certains h pitaux ont t infect s par le biais de cl s USB Les menaces sont le plus souvent internes l tablissement Les donn es des patients et les donn es personnelles repr sentent une valeur marchande pour les organisations criminelles Lors de la pand mie HINT on a pu noter sur le web des campagnes de spams pour un m di cament Taniflux qui tait une contrefa on 193 5 Forum international de la cybers curit 194 Il Une s curit num rique en d veloppement Pour faire face aux risques num riques il existe l Agence des syst mes d information partag s ASIP Il n est pas envisag un CERT sant qui n cessiterait des moyens normes En revanche il existe une synergie entre le CERTA et l ANSSI Le programme H pital num rique a t une premi re fois voqu en 2008 mais il a v ri tablement d but en 2012 La s curit des soins est une priorit permanente qui int gre la confidentialit sur la sant du patient et la s curit des syst mes d information pour la pro duction des soins Avec le plan H pital public 2012 35 tablissements de la r gion Nord pas de Calais se sont unis pour mettre en uvre une politique de s curit avec le d ploiement d instruments pour assurer la confidentialit la continuit de l activit et un socle de travail commun Ce regroupement qui concerne la fois les h p
176. devons distinguer obligatoirement la fonction d audit et de contr le La logique des co ts impose la recherche de solutions sur tag res gt et par cons quent l alignement sur des standards Les process sont affect s par des mises jour des composants par patches pour assurer leur maturit industrielle Une faiblesse logicielle reconnue du composant entra ne une fragilit g n ralis e des syst mes qui l int grent Le client ne conna t pas la nature des patches De fait il n a pas d ligibilit et la qualit pour contr ler les patches implant s en maintenance Souvent le client laisse en l tat le syst me tel qu il a t livr Il Des solutions Les solutions passent par l incorporation contractuelle lors de l acquisition des automates et de leurs interfaces de clauses relatives des audits du syst me au contr le de ses mises jour et la coh rence des composants Le cadre contractuel doit r pertorier la disponibilit Les certifications sont mergentes mais les industriels doivent s en inspirer pour organiser leurs produits autour d une norme La quasi totalit des normes sont issues d entreprises am ricaines et d ordre priv Il est peu probable que l on puisse acter une norme publique fran aise ou europ enne Une certification par pays serait improductive vaut mieux opter pour une certification de niveau mondial faut s inspirer des pratiques actuelles pour d gager une
177. du processus il va y avoir de nouveaux appels projet j invite donc les PME ou les plus grosses structures se pencher sur ce dossier puisque aujourd hui je consid re que c est un excellent moyen de financer l innovation et terme de faire que des PME mergent et puissent travailler avec des grands groupes La mise en place de pratiques des financements d avenir en tout cas pour notre partie ce n est pas uniquement un financement public c est aussi un partenariat Notre service pilote est la DGA L ANSSI participe galement aux travaux techniques que l on peut faire autour de l antivirus GROUPE Imprimerie Nationale 5 Forum international de la cybers curit 92 P4 Le traitement judiciaire de la cybercriminalit l chelle europ enne et internationale quelles perspectives 8 G n ral Jacques HEBRARD ous sommes heureux de vous accueillir pour cette session de l apr s midi Le sujet rel ve d un volet judiciaire qui est important au sein du Forum international de cybers curit Les enjeux en mati re de lutte contre la cybercriminalit sont particuli rement forts aujourd hui Il s agit de lutter contre ce ph nom ne tout en pr servant la libert des individus leur s curit et celle des infrastructures tatiques et des entreprises La d linquance du maintien de l ordre cela am ne poser les questions de la d t
178. dupliquer les moyens et viter les d penses inutiles aux 21 membres en communs notamment en mati re de d fense Mais d une 145 5 Forum international de la cybers curit 146 fa on g n rale l OTAN et l UE coop rent mal influence des Etats hors UE Etats Unis et Turquie enjeux industriels nationaux partage des t ches de fait quoique notamment contest e par la France organisation militaire OTAN prouv e soft power de l UE pr f rence pour l OTAN des petits pays de l UE r assurance en dernier ressort avec les Etats Unis De plus les Nations ne partagent en cyber qu avec r ticence car c est un domaine sensible pour la souverainet nationale et tr s confidentiel Les coop rations internationales se limitent de petits cercles de confiance pour les aspects les plus op rationnels m me si de grandes enceintes ONU IUT OSCE AIEA peuvent accueillir des d bats tr s g n raux Conclusion Si l OTAN et l UE sont toutes deux l gitimes dans leurs attributions le continuum s curit d fense du cyber brouille la r partition des r les Chaque organisation pouss e par sa logique interne tente d tendre son p rim tre L UE qui est plus globale aurait l avantage si elle prenait mieux en compte les aspects militaires de la cyber face un OTAN plus efficace et plus attractif pour les petits pays La coop ration va de toutes fa ons devoir se mettre en place
179. e cyberd linquance et de cybercriminalit sont l uvre de personnes aux profils vari s balayant tout un spectre de professions de personnalit s et de moyens L essor de la cybercriminalit revanche les actes de cyberd linquance se sont tendus D linquants et criminels toujours dans une habile politique d innovation ont les sommes et les informations mises en jeu sur Internet en font d sormais une plateforme internationale de la criminalit dans laquelle l individu peut s immiscer en tout anonymat effectuer une multitude de crimes et d lits et 5 Forum international de la cybers curit les renseignements sur Internet afin de programmer communiquer avec ses associ s en toute discr tion Cet ensemble de facilit s fait d Internet un lieu la fois propice au crime isol tel le hacker historique qui s introduit ill galement sur un site web prot g ou au crime organis commis par des organisations internationales dot es d une logistique hors norme et de ramifications ind celables I Des difficult s pour tablir un profil type de cyberd linquant l analyse des actes de criminalit classique montre qu il est possible d tablir finement un profil de corr lation entre crime et criminel En revanche dans l espace cyber r cent et marqu par l imm diatet l anonymat et la d mat rialisation ce syst me de corr lation semble tre d pass N anmoins la re
180. e criminalit grave et transnationale Comment saisiton Eurojust Ces propos s adres sent mes coll gues aux policiers ou aux gen darmes en tout cas aux praticiens puisqu il est apparu pendant un certain temps qu Eurojust pouvait tre une grosse machine administrative que l on ne pouvait pas saisir extr mement faci lement En r alit c est tout simple un coup de ricain norv gien et croate jusqu ce que la Croatie entre dans l Union europ enne et nous travaillons quotidiennement avec eux comme avec les autres membres nationaux des Etats membres de l Union europ enne Nous avons aussi sign des accords de coo p ration avec d autres agences un accord de coop ration bien s r avec Europol avec l OLAF avec un r seau de coop ration d Am rique Latine ce qui est tr s int ressant videmment pour les dossiers relatifs la lutte contre les produits stup fiants Nous avons une liste assez importante de points de contact dans le monde entier par exemple en Argentine en Bosnie Herz govine au Br sil au Cap vert au Canada au Kazakhstan au Liechtenstein en Moldavie en Mongolie au Mont n gro eic Quel est le champ de comp tence mat rielle d Eurojust en d autres termes de quelles infra ctions Eurojust peutil tre saisi 2 Et bien cette liste est tr s longue tr s importante et se termine par une formule relativement g n rale qui permet en r alit d englober le maximum d infracti
181. e d cisions prises col lectivement De mani re plus g n rale on peut consid rer la r silience d internet comme le r sultat de l action conjugu e de nombreux acteurs avec plusieurs op rateurs et exerc e dans le contexte de plusieurs infrastructures interconnect es entre elles dans un maillage dense et complexe I Des solutions Un questionnement vise les pistes explorer pour hausser le seuil de r silience d une confi guration informatique un recensement exhaustif des menaces possibles sur internet la mesure des risques encourus face une volont de nuire d un individu isol voire d une organisation mafieuse qui voudrait perturber gravement internet en est de m me pour un tat qui vou drait mener une attaque cibl e vers un autre tat On doit galement s interroger sur la d fi nition de r gles simples respecter pour s curiser 201 5e 202 Forum international de la cybers curit et renforcer un r seau l instar du vivant certains chercheurs pr nent une am lioration de la r silience par le jeu d une diversit g n tique en utilisant des logiciels de conception diff rente Il existe une grande diff rence entre la perturbation d internet action relativement facile accomplir et l arr t d internet de mani re g n rale et sur une longue p riode qui est tr s difficile Techniquement une menace repr sent e par donn es sont souve
182. e dont la mise en uvre d pendrait d entit s commerciales ventuellement trang res irait l encontre de la prise en compte des besoins humains et du Il tr s difficile de d finir ce qu est une identit num rique parce qu au d part l identit des utilisateurs appr hend es via des adresses adresses IP email avait une fonction r seau gt pour acheminer les donn es Puis cette identit a d r pondre des besoins d identi fication et d authentification En fait pour moi respect des cultures en vigueur dans les diff rents pays Ainsi par exemple cela serait une erreur de penser qu une adresse Pv6 puisse tre une r ponse optimale Ce n est pas une technologie particuli re qui va r pondre un probl me humain et soci tal Ce n est pas une personne morale qui doit se substituer l tat 53 5 Forum international de la cybers curit 54 dans la gestion des identit s de ses citoyens la d mat rialisation de l identit soul ve de nouveaux d fis relatifs sa ma trise par qui comment qui cr e des identit s num riques qui les distribue et les contr le doitil exister un tat civil num rique peuton globaliser l identit num rique alors que la notion d identit est avant tout culturelle et sa s curit comment emp cher l usurpation d iden tit l usage criminel ou abusif et d tourn des identit s num riques et des don
183. e estil chez Thal s 2 Vincent MARFAING Les ratios sont similaires Notre challenge n est pas d en faire plus ou moins mais de le faire de la mani re la plus utile au sens de la coo p ration que j ai voqu e Ceci n cessite fina lement la d limitation d un cercle de confiance qui est une notion un peu floue et abstraite galement sur le business model et la fa on d offrir nos prestations de plus en plus en mode service d ploy rapidement qui r pondent aux attentes de nos clients Je pense que les cycles d innovation ne sont pas forc ment les m mes dans les grands groupes et dans les PME et la nature de l in novation est probablement diff rente Je rejoins un peu ce que vous disiez sur la partie innovation au sens service C est vrai que Cassidian investit beaucoup pour fournir aux industriels qui en ont besoin des services et non pas uniquement des solutions En revanche il est vrai que dans les petites entreprises le cycle d innovation est beaucoup plus court C est une des raisons pour lesquelles nous nous int ressons ce pano rama de petites entreprises mais galement avec une feuille de route relative ce que nous construisons ensemble aujourd hui Denis FORTIER O na t l innovation aujourd hui Dans des entreprises comme les v tres ou dans des petites entreprises que vous n avez pas forc ment identifi es Sur quoi porte elle 2 Vincent MARFAING On touch
184. e et de l valuation Alexandre DESROUSSEAUX Charg de mission expert Conseil R gional Nord Pas de Calais R sum des interventions Si l ouverture et le partage des donn es publiques rec lent des potentialit s consid rao bles cette manne d informations peut tre exploit e des fins malveillantes Qu il s agisse des enjeux juridiques encadrant les donn es personnelles ou de l exploitation de donn es libres dans des contextes cybercriminels ou conflictuels localisation de ci bles critiques etc les risques sont pr sents et doivent tre pris en compte par les diff rents acteurs de l Open data I Des Probl matiques La probl matique de libre circulation des donn es publiques collectivit s services centraux de l tat tout organisme public etc pose la question de leur s curit face aux pr dateurs gr ce au libre acc s des donn es L open data d signe le mouvement visant rendre accessible tous via le web les donn es publiques non nominatives ne relevant ni de la vie priv e ni de la s curit et collect es par les organismes publics La loi n 78 753 du 17 juillet 1978 portant diverses mesures d am lioration des relations entre l administration et le public pose le cadre l gal tant du secteur priv que public Ne sont r utilisables que les informations qui sont librement accessibles c est dire ne faisant pas l objet de restrictions du droit d acc
185. e nous n avons rien ger Le r le de l tat dans ce domaine est de mettre en place les conditions permet tant chacun de se prot raient rien si ces r gles l mentaires ne sont pas mises en uvre Au second type de remarques celles qui nous disent que nous n avons rien compris au fonc tionnement d une entreprise je vais r pondre si Nous connaissons le terrain et nous le connaissons de mieux en mieux notamment parce que nous vous accompagnons Nous intervenons tr s souvent au sein des administrations au sein des entreprises la fois l occasion d attaques informa tiques et pour aider mettre en place des syst mes d information qui n cessitent un haut niveau de s curit Et c est bien face ce constat que nous faisons quand nous interve nons que nous sommes convaincus qu il faut changer les comportements Et vous verrez que dans le document d finitif nous avons es say d tre le plus p dagogique possible Nous savons vous nous l avez dit que cer taines des mesures sont beaucoup plus com plexes que d autres mettre en uvre et nous avons essay d expliquer que pour telle me sure il fallait commencer par telle action Et que si cette action tait trop difficile il y avait sans doute une premi re tape franchir Et que si cette premi re tape tait encore trop difficile il y avait s rement une sous tape qui pouvait tre franchir Donc on a essa
186. e peut tre ce que j appelle l image d pinal avec d une part les petites entreprises r actives cr atives et des grands groupes rigoureux Je pr f re utiliser des exemples concrets dans notre travail Par exemple sur le cloud s curis souverain englobe la fois une alliance avec Orange et Thal s mais aussi avec des petites soci t s comme Ftopia Innovance Cette mulsion fonctionne de mani re tr s positive avec une innovation qui n est pas seulement sur le conglom rat technique mais Cela ne veut pas dire qu il n y a pas d innovation technologique dans les grands groupes En ce qui nous concerne nous avons des feuilles de route d investissement Nous ne pr tendons pas d tenir la v rit mais le march est en train de se structurer I est encore latent mais il se structure et apparaissent de plus en plus de besoins notamment en mati re de surveillance des r seaux d analyse des protocoles de ce qui se passe sur un r seau et puis galement en terme de s curisation des solutions de type sys t me de production Ce sont des secteurs dans lesquels nous investissons de fa on pouvoir apporter au march des solutions innovantes dans des d lais relativement proches Denis FORTIER Monsieur le s nateur Bockel souhaitez vous r agir sur ce sujet 79 5 Forum international de la cybers curit 80 Jean Marie BOCKEL l une de nos principales lacunes tient la seg
187. e police En terme d ordre public il est opportun de r fl chir sur les diff rents moyens mettre en uvre pour se servir au mieux des r seaux sociaux et s en faire des alli s I ne faudra pas occuler les risques inh rents cette utilisation Il appara t galement n cessaire de voir quels sont liens entre les m dias sociaux la s curit et les droits de l Homme Le r le des m dia sociaux dans le Printemps arabe et l examen de l exemple chinois permettent d en mesurer le poids social et politique Dans le cas de l exemple britannique les analystes ont tent de situer la port e de ces nouveaux moyens de communication dans le d roulement des meutes de l t 2011 On peut galement se poser la question de savoir s il est envisageable de se passer d sormais de ces r seaux sociaux en terme d ordre public Il Des solutions Les r seaux sociaux sont des sources d information pour la Police dans le cadre des enqu tes Les forces de l ordre peuvent galement exister sur les r seaux sociaux Ces derniers peuvent aider montrer une police plus humaine et modifier les relations entre les citoyens et la police Deux pays en Europe utilisent tous particuli rement les r seaux sociaux la Grande Bretagne et les Pays bas Les responsables des deux pays estiment que la police doit s adapter aux changements m diatiques et de communication sachant que si la police n est pas pr sente sur les r seau
188. e question qui est une question fondamentale pour laquelle une r ponse simple n est pas possible Pour cela j aimerais rebondir sur les propos tenus ce 5 Forum international de la cybers curit faut accompagner les mutations induites par les technologies du num rique par une appr hension holistique du ph nom ne qui int gre une approche spirituelle philosophique et cul turelle Ce qui se refl te assez bien dans le titre de cette session Cyberespace identit num rique thique et vie priv e car on ne peut restreindre cette probl matique sa seule dimension technologique et c est peut tre ce que nous sommes en train de d couvrir Les besoins li s la ma trise de l identit num rique l existence et au partage de valeurs matin en guise d ouverture de ce forum par le g n ral Watin Augouard Il nous a parl de partage de conscience de prise de conscience pour une meilleure connaissance pour agir ensemble pour ne pas subir seul gt Je les interpr te comme la n cessit de devenir acteur de cette soci t d information que nous sommes en train de construire et pour para phraser Saint Exup ry je dirai que nous n h ritons pas du cyberespace de nos anc tres mais que nous le construisons pour nos en fants Nous devrions b tir cet cosyst me nu m rique en toute connaissance des risques sans omettre bien s r les opportunit s possi bles Toutefois
189. e r action rapide pr tes intervenir sur les r seaux de l OTAN ou assister des Alli s qui en exprimeraient le besoin Un centre d expertise pour la cyberd fense a t cr par l Estonie et s est vu attribuer le statut de centre d excellence de l OTAN Suite au sommet de Chicago de 2012 des projets cyber sont possibles dans le cadre de la Smart Defense qui vise permettre aux Alli s de d velopper ensemble des capacit s militaires Seul un projet est pour l instant propos Des questions importantes restent pos es activation de l article 5 en cas d attaque cyber p rim tre de l assistance de l OTAN sur les syst mes des Alli s OTAN et ou nationaux Militaires et ou civils 1 2 Union Europ enne Initialement consid r sous l angle de la protection des infrastructures civiles critiques et comme support des valeurs de l UE libert d expression d mocratie protection de la vie priv e et du d veloppement conomique le cyber a tard faire l objet d une strat gie globale Cette strat gie parue en f vrier 2013 a un objectif global investir dans ce secteur industriel et augmenter la cyber r silience des infrastructures critiques r duire la cybercriminalit cr ation au ler 5 Forum international de la cybers curit janvier 2013 d un centre europ en de lutte contre la cybercriminalit soutien la convention de Budapest Inclure un volet cyber dans
190. e s curit des syst mes d informations Pr fecture Nord Pas de Calais Johane Protin Responsable de la s curit des Syst mes d Information Correspondant informatique et libert s Conseil g n ral des hauts de Seine Richard Olszewski Directeur G n ral Securban Emmanuel Besson Directeur technique et co fondateur de 6Cure k R sum des interventions La continuit des services publics en situation de crise est un principe valeur constitu tionnelle La croissance des proc dures num riques et les nouveaux comportements des citoyens g n rent des attentes sp cifiques en terme de rapidit et de fiabilit dans les ser vices rendus Les notions de temps et d espace sont abolis et les s curit s administratives traditionnelles ne sont plus op rationnelles La multiplication des mises en r seaux entre des op rateurs publics avec des niveaux de fragilit et d int r t strat gique oblige tous les acteurs une red finition des pr dateurs potentiels La mise en place de tout syst me ne peut s envisager qu avec une r flexion des process de s curit de la part des collecti vit s et de l ensemble des collaborateurs Avec l intervention des op rateurs priv s le par tage des donn es et les conditions dans lesquelles celles ci seront r utilis es elles sont des l ments cl s dans la cha ne de s curit Le cahier des charges la d finition des be soins l identification des act
191. eaucoup d informations arrivent dans des serveurs aux tats Unis et on note l ouverture de faux comptes sous couvert d une force de police De plus les infrastructures des forces de police ne sont pas toujours la hauteur en cas d v nement majeur La question du lien entre m dia et droits de l Homme est pris en compte par l Electronic Frontier Foundation EEF bas e San Francisco qui travaille galement la question des droits num riques en ligne S agissant des pays arabes il existe un consensus g n ral pour dire que les r seaux sociaux ont t un acteur du Printemps arabe et que les utilisateurs ont t inventifs pour viter les contr les tatiques comme en t moigne l utilisation de fausses pages Facebook qui renvoient sur un site de l opposition Il est important galement de souligner le r le cl qu apporte le contr le des outils de communications Quant au pouvoir chinois celui ci a les moyens de r agir aux m dia sociaux il a d ailleurs mis en place Weibo Twitter proprement chinois 161 5 Forum international de la cybers curit 162 A21 Droit du cyberespace Entre r activit et proactivit de la loi Intervenants Philippe VAN LINTHOUT Magistrat Belgique Jacques GODFRAIN Ancien ministre Olivier ITEANU Avocat au Barreau de Paris Jan KERKHOFS Magistrat Belgique Myriam QUEMENER Procureur adjoint responsable du p
192. ec les g ants du WEB ce qui peut expliquer que certains tats suppor tent mal cette h g monie et souhaitent cr er leur propre r seaux web comme le r seau Halal Pour r gler les conflits de pouvoir la solution pourrait tre l UIT ou une sorte de SDN Soci t Du Net mais il est g nant que le d bat soit r duit deux th ses soit le sys t me am ricain avec l ICAAN soit l UIT Or ganisation Internationale des Communications 111 5 Forum international de la cybers curit 112 A2 Souverainet et Cloud computing Intervenants Daniel Guinier Expert pr s la cour p nale internationale de la Haye Bernard Carrayon Avocat au barreau de Paris ancien d put Luis Delabarre Architecte s curit Thal s Pierre Siaut Cybers curit Trend Micro Philippe Duluc Directeur de la s curit Bull Jean Nicolas Piotrowski pr sident directeur g n ral d ltrust R sum des interventions L mergence de la technologie du Cloud modifie la relation entre le client et le founisseurr Les conditions juridiques de d tention et de gestion de la donn e conditionnent une gou vernance et une s curisation des transactions Elles impliquent de fait une souverainet territoriale La France comble un droit lacunaire par des dispositions textuelles pr servant la propri t intellectuelle le secret des affaires et la protection de domaines sens
193. el qu il se d gage de la derni re ordonnance de r f r du Tribunal de Grande Instance de Paris prononc e propos des propos homophobes tenus sur Twitter ce sont les lois du pays dans lequel le service est offert qui priment et non le lieu de stockage g ographique des donn es De m me dans le cadre d un contrat fran ais le droit fran ais s applique Relativement au BYOD il est n cessaire d engager une r flexion sur une nouvelle d finition de la vie priv e afin de pouvoir judiciariser les faits suspect s Afin d am liorer la communication et la collaboration entre les diff rents services des actions sont possibles la SSI doit accompagner la DRH l aider identifier les probl mes qu elle n a pas envisag s l alerter afin d viter des interventions a posteriori une fois le pr judice commis faut galement l impliquer dans le dispositif de s curit l embauche pouvant constituer un moment privil gi pour sensibiliser le nouveau salari 5 Forum international de la cybers curit A12 Smart cities Quelle s curit pour les villes de demain 8 Intervenants Jean Fran ois Janin Chef de la mission transports intelligents minist re de l colo gie du d veloppement durable et de l nergie Benoit Kandel Premier adjoint au maire en charge de la s curit ville de Nice Akim Oural Conseiller communautaire pour Lille M
194. emand que ce soit la responsabilit de l ANSSI qui est finalement l autorit natio nale de cyberd fense La D fense elle est responsable de ses propres syst mes que ce soit en France en op ration ou sur ses qui pements et je crois qu elle peut largement coo p rer avec l ANSSI et aider lorsqu il s agit de d fense ou d attaques cyber qui se d roulent soit en France soit sur nos quipements soit ventuellement en op ration Jean Claude BOURRET Que pensez vous ventuellement de la propo sition de la Chine et de la Russie d tablir un nouveau trait sur la cybers curit mondiale 2 G n ral ric BONNEMAISON Comme je l ai dit tout l heure un certain nombre d enceintes travaillent sur la question de la cybers curit Le Conseil de l Europe a produit la Convention de Budapest qui est cen tr e sur la lutte contre la cybercriminalit L ONU planche aussi sur ce domaine l sur un texte qui est plus orient relations interna tionales La Russie et la Chine ont propos un Code de bonne conduite dans le cadre de 5 Forum international de la cybers curit l organisation de s curit de Shanghai mais ce texte va finalement l encontre des int r ts de la France et d un certain nombre de pays europ ens et ce pour deux raisons La pre mi re c est qu il insiste d abord sur la s curit de l information alors que nous insistons plus sur la s curit des r seaux Le texte pour
195. ement co teux Il faut mieux mettre en place un chiffrement embarqu sur l automate qui se r v lent efficace bien qu il engendre d autres probl matiques lors de la mise en uvre Il se met en place de nouvelles plate formes d automatismes o le contr le du code est pris en compte C est un avantage mais l op ration de contr le doit tre compatible avec des d lais de r ponse qui sont de l ordre de la milliseconde II faut prendre en compte dans les maintenances et les mesures de protection leur compatibilit avec l architecture du syst me A titre d exemple la mise jour des 4000 RTU fran ais demande un temps consid rable de l ordre du mois De m me une solution antivirale se r v le mal adapt e du fait du contr le et de la mise jour des signatures processus lent et par nature incomplet On doit galement prendre en compte la probl matique des certificats vol s m me si elle est consid r e comme marginale C est la raison essentielle pour laquelle la solution crypt e est la plus opportune 5 Forum international de la cybers curit 1 Remote Terminal Unit RTU microprocesseur qui assure le lien entre diverses interfaces notamment des syst mes de distribution de l information ou des SCADA 137 5 Forum international de la cybers curit 138 A1 1 DRH et cybers curit quelles obligations pour l employeur et le salari 2 Intervenants Florence Puyb
196. ement dans ce domaine pr cis des villes intelligentes Dans le cadre de la ville intelligente t donn s doivent sensibiliser les d cideurs de projets la n cessit de maf triser au mieux la s curit des syst mes d informations dans ce domaine 143 5 Forum international de la cybers curit A13 OTAN UE Quelles alliances en mati re de cybers curit et de cyberd tense 2 Intervenants Olivier KEMPF H li TIRMAA KLAAR cyber security advisor Service Europ en d Action Ext rieure Patrice TROMPARENT LCL D l gation aux affaires strat giques minist re de la dfense Jamy SHEAH Secr taire g n ral adjoint OTAN R sum des interventions Face au d fi cyber l OTAN et l UE cherchent adapter leur organisation et d velopper des capacit s Le p rim tre des deux organisations pouvant se recouper et leurs moyens tant fournis par leurs membres dont 21 sont communs la question de la coop ration se pose La volont de coop rer pourtant soutenue par la France se r sume dans les faits un v u pieux car les deux organisations sont en concurrence sur de nombreux points Ainsi les cadres de pooling and sharing gt UE et de Smart Defence OTAN destin s conduire des projets multinationaux cherchent drainer les financements La crainte des Etats non membres des deux organisations d tre marginalis s freine galement le rap
197. en uvre les missions et les res ponsabilit s d Autorit s de Tiers de Confiance composante indispensable pour cr er les conditions de la r ussite de tel projets ins tance ind pendante garantissant l identit nu m rique vis vis des op rateurs publics ou priv s offrant des services aux internautes Ce dispositif est compl t par de nombreux r f usages car c est travers ces derniers que le m rique verra vraiment le jour Myriam QUEMENER Merci beaucoup Quels sont les atouts de la France pour relever ces d fis li s l identit num rique Parfois on a tendance dire que c est mieux ailleurs Je sais par exemple qu au niveau l gislatif on a un syst me un arsenal qui fait m me des envieux l tranger on a m me une nouvelle infraction r primant des probl matiques li es l usurpation d identit rentiels mis par des organismes ind pendants et disposant d une forte autorit et comp tence je pense notamment l ANSSI en mar ti re de d finition des exigences en mati re de r gles de s curit RGS mais galement la CNIL avec qui nous travaillons quotidien nement afin que les syst mes mis en uvre of frent tous les garanties en mati re de protection de la vie priv e Certes nous pou vons regretter les balbutiements que nous avons connus autour des d bats sur la Carte nationale d identit lectronique mais nous disposons aujourd hui d un
198. ences est probablement un bon message pour les jeunes pour s engager dans ces fili res Denis FORTIER Vous revenez sur le constat de la formation Pascal CHOUR La formation existe si elle touche un domaine conomique et si il y a des d bouch s Faire une formation qui est pr vue pour 15 personnes et qui n arrive recruter que 10 personnes par an montre qu il y a un probl me pour attirer les gens dans ce domaine l Je pense qu au jourd hui on est mieux parti gr ce justement au message que l on fait passer Pour en revenir sur la politique industrielle on a beaucoup parl de souverainet voire de produits r galiens L ANSSI du fait de sa position d autorit d agr ment de ces produits s est impli qu e dans tous ces sujets depuis de plusieurs ann es Je parlerais plut t de la s curit de tous les jours de la s curit qui est mis en place dans les entreprises et qui n est pas forc ment du domaine de la d fense domaine tr s sensible Effectivement l ANSSI a orient depuis quelques ann es maintenant son dispositif pour aussi s int resser ce type d entreprise Guillaume Poupard citait effectivement l tude que l on a men e pour essayer d identifier les entreprises qui font de la s curit en France Nous en avons trouv pour l instant 400 Une autre tude l Alliance pour la confiance num rique en a trouv 600 m me s il y a un peu d inflation dans ce d compte Effectivement la premi
199. enne Le Gouvernement entend justement se saisir du probl me combler ce manque et jouer son r le de catalyseur Car aucun service public ou commercial agissant isol ment n a la dimension suffisante pour mettre en place pour ses seuls usages une infrastructure d authentification s curis e destination du grand public du fait notamment de son co t le sens de la pr sence de ce dernier au capital de la soci t Id num Quels sont les avantages du projet Id num 2 Permettez moi d insister un peu mais je crois vraiment qu il s agit d un projet qui va changer beaucoup de choses sur trois plans Sur le plan conomique tout d abord Id num va contribuer rendre possible l Internet de confiance que nous appelons de nos v ux Le Gouvernement a ainsi annonc en d cembre sa d termination renforcer la confiance entre Les internautes utiliseront encore plus volontiers les acteurs dans l espace num rique Une doctrine d identification et d authentification des utilisateurs et de s curisation des changes les services en ligne d j existants tandis que naftront de nouveaux services haute valeur ajout e Sur le plan social ensuite Id num permettra de renforcer la protection des donn es personnelles fond es sur les usages en vigueur sera d finie pour juin 2013 J ai galement le plaisir de vous annoncer aujourd hui le lancement du projet Id num Dans le cadre des investissement
200. ense et cybers curit coles de Saint Cyr Co tauidan Sogeti Thales Oriane BaratGinies Juriste en droit international tat Major des Arm es R sum des interventions Le d veloppement massif ces derni res d cennies de l informatique et des nouvelles technologies a donn naissance un nouvel espace d changes sociaux et conomiques en constante expansion En son sein a pris forme une nouvelle typologie de conflictualit polymorphe qui peut aussi bien toucher les sph res personnelles et familiales qu indus trielles commerciales et tatiques Une r elle probl matique existe quant la qualification des cyberconilits et leur interpr tation au regard du droit international I ne s agit pas de d gager un nouveau droit ex nihilo mais d adapter le droit existant ces nouvelles formes d agressions a ma trise de l information et des connais a tr s t t pris une place pr pond rante que ce soit au niveau commercial industriel ou sur le terrain de la D fense Tr s rapidement les diff rents acteurs pr sents dans le cyberespace ont pris conscience de l importance de ce vecteur et des risques qui en d coulaient La technicit des actions tendant paralyser ou prendre le contr le des moyens de communication voluant un rythme effr n il s agit de s adapter rapidement et de faire voluer les dispositifs techniques mais aussi l gislatifs afin d viter le d velop
201. ent n cessaire Pour y parvenir tant dans le secteur public que dans le secteur priv il faut combler le d ficit d experts de la cybers curit Pour r pondre ce manque de vocations de formations et d entra nement la strat gie serait de recruter et de former des sp cialistes en s curit des syst mes d information au sein d une v ritable fili re cybers curit organis e avec ses diff rents m tiers en un nouveau p le d excellence I Une p nurie de talents ans le paysage du tout num rique les D d fis de la cybers curit restent difficiles relever pour les tats notamment en France par manque de ressources Les formations existantes en s curit des syst mes d information SSI sont de cr ation r cente et ne r pondent P que partiellement la mont e en puissance d une vaste probl matique de cyberd fense de plus en plus pr gnante virologie cryptologie r silience des syst mes gestion des crises Tant dans le secteur public que dans le priv les services ou les entreprises recrutent pour l instant essentiellement en interne p rim tre DSI avec des formations d une dur e moyenne de 18 mois mais peu vari es Le personnel qui suit ces programmes reste difficile s lectionner 169 5 Forum international de la cybers curit 170 et n est pas toujours disponible Les besoins sur le plan national sont clairement identifi s en trois
202. ents fichiers comportant des informations personnelles sur les administr s que la collectivit doit g rer Le deuxi me point et non le moindre concerne les diff rentes obligations l gales respecter relativement au traitement des dits fichiers l h t rog n it des fichiers vient du fait que les collectivit s territoriales sont soumises au traitement de donn es caract re personnel non seulement dans le cadre des traitements de gestion interne mais galement de traitement caract re admi nistratif ou social Il p se donc sur toutes ces entit s des obligations l gales issues des diff rents textes que sont la loi du 6 janvier 1978 dite loi informatique et libert s la loi du 5 janvier 1988 dite loi Godfrain et enfin la loi du 21 juin 2004 intitul e loi pour la confiance dans l conomie num rique Ces diff rents textes imposent donc des obligations de s curit pour le responsable du traitement des donn es caract re personnel qu est la personne l autorit publique le service ou l organisme qui d termine ses finalit s et ses moyens Depuis plusieurs ann es on constate une volont des tribunaux de responsabiliser de plus en plus la personne morale collectivit territoriale et donc ses responsables sur les probl mes de s curit informatiques Un d faut de s curisation du syst me d information peut se traduire soit par un comportement d lictueux d un agent uti lisant l outil info
203. ermination de la juridiction comp tente de la loi applicable du contr le des fronti res ainsi que de la reconnaissance des preuves lectroniques Il est vident que s impose une coop ration internationale renforc e pour combattre la cybercriminalit car aucune action limit e un territoire national ne saurait tre efficace Traiter cette criminalit exige une v ritable harmonisation des l gislations p nales l am lioration du partage des informations l optimisation des moyens mis la disposition organis e est aujourd hui particuli rement active en mati re de cybercrime Elle est le fait de groupes criminels classiques qui utilisent de fa on massive les nouveaux outils de commu nication ou abusent les technologies commencer par celles qui font obstacle leurs activit s Elle est aussi l mergence de nouveaux groupes criminels tourn s vers l appropriation frauduleuse gr ce aux nouvelles technologies Le moteur de cette d linquance est videmment le gain financier dans le contexte d un univers num rique pr sentant un risque p nal moindre Les activit s cybercriminelles franchissent souvent les fronti res en une fraction de seconde et tou chent plusieurs pays la fois Du point de vue de l enqu teur judiciaire ainsi qu une formation adapt e des acteurs de la cha ne p nale La cybercriminalit se joue des fronti res I est imp ratif que les services de police et de justice coop
204. ernational de la cybers curit dans le fonctionnement des black markets Elle est insaisissable difficile tracer et permet aux cybercriminels en leur garantissant l anonymat d effectuer leurs transactions sans risque Mais les b n fices des ventes sur les march s noirs de la cybercriminalit ne restent pas longtemps virtuels Le vendeur devra pour r cup rer le r sultat de ses ventes faire appel diff rents acteurs l conomie souterraine de la cybercriminalit poss de comme pour le trafic de drogue ses propres mules Il s agit d individus recrut s via l internet pour servir d interm diaires afin de r cup rer les fonds illicites En contrepartie des op rations de transferts de fonds dont elle aura la charge la mule re oit titre de commission en euro d montre que la fraude la carte de entre 5 et 10 du montant transf r Les fonds paiement est une activit organis e l chelle en question sont retir s par la mule sous forme internationale qui n cessite des mesures de pr vention concert es et des normes interna tionales comme le standard EMV ou une authen tification plus forte en le combinant avec 3D Secure La cybercriminalit financi re doit aussi tre consid r e sous l angle des d tournements des flux financiers Sur l internet en raison notamment de la multiplication des banques en ligne des casinos virtuels des sites de paris en ligne et des possibil
205. ers criminels en d ve loppant les collaborations europ ennes institu tionnelles et scientifiques La Convention sur la cybercriminalit de Budapest du 21 novembre 2001 constitue aujourd hui le texte de r f rence en mati re de coop ration internationale dans la lutte contre la cybercri minalit L union vient aussi de se doter d un nouveau Centre europ en de lutte contre la cybercriminalit EC3 Sa mission consiste cartographier et suivre les sources de cybe rattaques l ext rieur de l UE Il a pour vocation d apporter son expertise aux enqu tes de police et de coordonner les informations mais n a pas pour mission d lucider les crimes la place des polices nationales 5 Forum international de la cybers curit BS E r putation quels risques pour les entreprises et les particuliers 2 Intervenants Nicolas KATZ Consultant en strat gie et m dias sociaux Blufluence Jean Paul PINTE Sp cialiste en management et en veille strat gique des risques cy bercriminels docteur en Information Scientifique et Technique Ma tre de conf rences Universit Catholique de Lille Hugo SALDMANN Avocat sp cialiste en Droit p nal et Cybercriminalit Cabinet Saldmann Isabelle CAMBRELENG Directrice des activit s Internet et des m dias sociaux Groupe la Poste Alb ric GUIGOU Pr sident et Co fondateur R putation Squad R sum des interventions
206. es par exemple le cyber en frappant les sites civils par des moyens relativement strat giques qui int res sent tous les tats Les tats les moins avanc s sont du reste les moins vuln rables aux cybe rattaques et les plus int ress s par ce moyen d un relatif faible co t Une cl USB infect e peut faire plus de d g ts un centre de com mandement et de contr le qu une bombe de 250kg pr cision m trique J utilise toujours l analogie suivante un hacker tout seul chez lui avec un simple ordinateur poss de la puis sance de feu d une kalachnikov cette diff rence que son ordinateur peut tirer des milliers de kilom tres instantan ment Ce pouvoir galisateur du cyber permet ainsi au faible de frapper le fort l o il est faible et d viter de se confronter lui sur un terrain conventionnel avec des armes classiques Les tats les plus puissants peuvent galement trou ver dans le cyber un outil de basse intensit qui leur permet de compl ter le spectre des ef des composants qui ne sont pas ma tris s et qui viennent de l tranger 2 Le cyber est aussi devenu un domaine strat gique o l asym trie est reine s agit d abord fets des autres armes conventionnelles dont ils disposent Le cyber est surtout le moyen de lutte id al pour des groupes non tatiques Ces derniers peuvent affronter distance un de peser sur la volont d adversaires et le cyber d
207. es publiques aux cr ations de l esprit Il s agit alors de simples mod les de licence d exploitation qui n imposent pas de conformit s imp ratives sauf en cas d acte de commerce Des contrats in dits peuvent tre labor s la condition de respecter le droit interne tant au regard des dispositions des lois du 17 juillet 1978 ou encore de la loi informatique et libert s du 6 janvier 1978 qu au regard des r gles d ordre public En initiant des syst mes de licence r utilisables des donn es publiques l APIE Agence du Patrimoine Immat riel de l tat pourrait permettre aux petits acteurs d obtenir une licence moins on reuse Cela permettrait de r duire les risques de d s quilibre entre les acteurs sociaux et la cr ation de lobbies En r sum pour garantir l quilibre de la balance il importe que tous les acteurs fassent preuve de bienveillance et d attention pour limiter tous les risques li s la transparence et l usage abusif des donn es publiques ouvertes 5 Forum international de la cybers curit B19 D velopper des r seaux de r silience l chelon territorial Intervenants Jean Fabrice LEBRATY professeur de sciences de gestion l Universit de Lyon 3 R my FEVRIER Commandant gendarmerie nationale ma tre de conf rence associ Universit de Paris 1 Bruno PIETRINI charg de mission expert DRESTIC conseil r gional du
208. es de donn es utilisateurs qui peuvent tre fournies et ce face aux diff rents op rer avec clart Depuis une demi douzaine environ d autres soci t s ont commenc pu blier ce type de document et des gouverne ments ont manifest leur int r t pour la publication de leur rapport sur les demandes interprofessionnelles de donn es utilisateurs Simultan ment nous sommes engag s tant avec le priv qu avec les diff rents gouverne ments travers le monde pour garantir les r gles d acc s l gales c est dire le respect de la loi le respect des principes de proportion nalit et de justice pour s assurer que les gens sont correctement prot g s par les m mes droits que ceux donn s au cours des si cles Myriam QUEMENER Merci beaucoup pour cette pr sentation et nous allons passer maintenant la dimension europ enne Marielle GALLO vous tes d put au Parlement europ en Vous avez t pr sidente du groupe de travail copyright du Parlement europ en qui a termin ses tro vaux en juin 201 1 Je pourrais citer un certain nombre de vos activit s vous tes m me cri vain et vous avez la suite du succ s de ce groupe de travail lanc IP Forum en novembre 2011 qui a pour objectif de susciter le d bat entre les parties prenantes les experts les res ponsables politiques C est tr s int ressant d avoir votre clairage en tant que d put eu rop en et ce qui est aussi
209. es diff rentes selon le droit du pays o elle est stock e A titre d exemple une approche diff rente int ressant le nazisme les sectes ou les m urs sexuels affectera diff remment l uti lisateur et le d tenteur de la donn e On peut galement s interroger sur la disponibilit des donn es trait es par une voie judiciaire lo cale Le changement de fournisseur implique un contrat mutualis diff rent qui prenne en compte sp cifiquement l effacement des don n es et leur d sengagement du site Une co pacit d audit par le client doit tre pr serv e afin de d terminer une analyse du risque On peut citer l exemple d un offreur dont une faille permettrait l utilisation de donn es par un tiers impliqu dans une pratique p dopornograr l h bergeur II Un arsenal technique mergent Sur un angle technique les donn es doivent tre s curis es au niveau des CSP par un chiffrement algorythme langage et une ges tion essentielle des cl s l interop rabilit im plique une possible perte de gouvernance et une gestion des cl s en relation avec les stan dards mergents CAMIP 2 Le cloud pose une difficult quant l application au client de pro c d s de chiffrement notamment pour les PMI et PME qui n ont pas cette capacit La plupart ne disposent pas de plan de reprise d activit s PRA Il faut en cons quence privil gier des solutions fonctionnelles en relation avec la car
210. es et la vie priv e es citoyens europ ens Le Patriot Act permet la consultation d informations li es la vie pri v e dans les entreprises et les organismes L Europe est fragilis e sur une probl matique de comp tence territoriale La France rel ve cet enjeu de souverainet La l gislation fran aise relative la loi sur le 5 Forum international de la cybers curit phique Le propri taire de la donn e sera in clus dans la proc dure l attaque de sites Playstation network de Sony l affaire Microsoft contre Botnet Zeus o Amazon cloud com porte une analyse juridique qui cherche d terminer le niveau de complicit de secret des affaires concerne les informations prot g es quel que soit leur support Le d cret n 2011 1425 du 2 novembre 2011 relatif la protection du potentiel scientifique et tech nique de la nation institue des ZRR Zones R gime Restrictif inh rentes aux int r ts de la nation l arr t du 3 juillet 2012 vise les ni veaux de protection lors de contrats d externa lisation des donn es et de prestations de service Les dispositions europ ennes envisag es pour 2013 concernent le concept d une certifica tion europ enne une normalisation et une comp titivit sans r f rence une souverai net europ enne On doit galement relever que le r gime juri dique de la d tention et de la gestion de la donn e est r gi par des consid rations juri diqu
211. es formes d exclusion li es la non accessibilit aux TIC exclusion des services publics num riques exclusion sur crit re conomique exclusion de la partie la plus g e de la population exclusion li e des facteurs culturels au niveau d ducation De m me on pourrait constater la pr minence d une logique de l offre sans prise en compte des besoins des usagers de l acceptabilit sociale et de l appropriation de nouvelles technologies Mais aussi on aurait d plorer un co t tr s lev pour les collectivit s pour installer ces infrastructures num riques avec risque d in galit s croissantes entre les villes Mais les deux principales limites 5 Forum international de la cybers curit la s curit mettre en place s appliquera non seulement la s curit physique des diff rents quipements mais galement la prise en compte de la s curit des syst mes d information partie du dispositif vuln rable face la mont e concernent les vuln rabilit s des syst mes d information mis en uvre pour r aliser toutes en puissance de la cyber criminalit Ce d fi s curitaire doit bien tre pris en compte et ces avanc es technologiques En effet les diff rents capteurs et compteurs surveillent de plus en plus l action de chaque individu Le tra age et le pistage la rupture de la confidentialit sont des d rives possibles Nous surtout tre une composante p
212. es fr En cons quence en mati re de disponibilit des syst mes d information une interruption de service peut g n rer une crise Une cellule de crise pro active a t cr e afin de coordonner d organiser une r ponse imm diate aux dysfonctionnements rev tant une gravit et n cessitant la gestion de op rateurs ayant une expertise diff rentes mais n cessaire la r solution de la crise Ses moyens reposent totalement sur ceux de la SSI Ill Les enjeux Les enjeux engerbent d sormais le droit de l information et atteignent les fronti res de la contrefa on dont la gravit est d sormais reconnue Les types d infractions recens es sont essentiellement des escroqueries des ventes sans livraison des atteintes l image des incitations la haine raciale des diffamations D multipli es par l ampleur du cyberespace les mesures de riposte adopter sont en croissance exponentielle permanente de faire appel aux experts du droit et de l analyse de risque Son directeur RSSI met par ailleurs en exergue le lien obligatoire entre les deux fonctions majeures de RSSI et de directeur de la s curit Par ailleurs la probl matique de la contrefa on et la spoliation des sites marchands ont galement justifi la d marche de jeter des ponts compl mentaires entre ces deux fonctions l infrastructure manag riale et informatique de la Poste vitale pour le fonctionnement de la Nation
213. es libert s sur Internet est fondamental pour informer le citoyen et lui permettre d agir Existe il une alternative la gouvernance de l Internet 2 Le d bat doit tre le plus large possible en prenant en compte aussi bien les param tres techniques qu humains et sociaux les usages Toute d cision technique a un impact politique ex la force des noms de domaine Face un choix de soci t deux tendances se d gagent l appropriation exclusive bas e sur le contr le re oit des chos divergents dans des politiques publiques mesures l gislatives ou politiques l exemple d Hadopi contr le des communications outils de la censure le mod le d ouverture avec les ma tres mots de partage d universalit de potentialit d acc s d ouverture de neutralit Les gouvernement doivent prendre les mesures pour prot ger les universalit s donn es personnelles et priv es Internet est un bien commun il appartient aussi aux citoyens et par cons quent rel ve de la responsabilit collective Le citoyen peut peser sur les d cisions ainsi une lev e de boucliers contre le projet d accord commercial anti contrefa on n goci secr tement entre une 5 Forum international de la cybers curit appliquant les souverainet s nationales aux op rateurs install s dans leur pays il y a un risque de ph nom ne d extraterritorialisation auquel il faut veiller car la neutralit
214. es nations europ ennes les nations occi dentales faut que les industries et les Etats prennent la mesure de cet enjeu de s curit majeure Cela signifie des investissements signi ficatifs de la part de l tat sur le plan de R amp D pour mettre en place une v ritable politique industrielle Les industriels ne peuvent assumer seuls cet effort Je ne critique la position de l tat et ses actions 5 Forum international de la cybers curit une fragmentation extr me en France et d une mani re g n rale en Europe Les acteurs euro p ens quels qu ils soient n ont pas atteint la masse critique par rapport aux grands acteurs am ricains quel que soit le positionnement dans la chaine de valeur Il n a pas une politique de R amp D suffisamment efficace pour le moment dans les grands pays europ ens Denis FORTIER Vous parlez de R amp D quel est pourcentage y consacrez vous 2 Jean Michel OROZCO 20 du chiffre d affaires ce qui est beaucoup et sup rieur aux ratios de l industrie de d fense classique qui se situe en dessous de 10 On est sur des segments qui ont un besoin d inves tissements forts en mati re de R amp D c est tr s clair et c est fondamental Il y a un point sur car elles sont d j tr s positives tire d exemple l ANSSI a mis en place beaucoup de choses dans les ann es pass es Beaucoup d avanc es lequel je voudrais attirer l attention du public quel
215. es o la robo tique mobile contribue aider les personnes notamment g es comme c est d j le cas au Japon Ce seraient donc des entit s lectro niques et informatiques t l guid es qui pour raient piloter notre environnement nos comportements et nos activit s humaines et ainsi les ma triser Sans faire de la science ic tion ni tre excessivement pessimisie il n est r alit dont les victimes sont l gion De mani re anecdotique je dirai que c est probablement l clatement de l affaire Wiki leaks en 2010 qui a contribu faire prendre conscience de l importance des don n es num riques et de la non ma trise de leur protection Mais c est par la massification des donn es associ e l usage de plates formes de socialisation ou de certains fournisseurs de pas exclu que ces robots d assistance ces poussi res intelligentes puissent devenir la services de l internet consid r s comme des g ants dans leur domaine que se sont r v l s cible de malveillances et de cyber attaques et puissent avoir des comportements ind sirables et devenir nuisibles Dans une certaine mesure ce sont d ores et d j des applications et ser vices informatiques qui conditionnement nos comportements nos interactions avec autrui les enjeux conomiques li s aux mod les d at faires et aux march s des donn es bas s sur leur exploitation Pour preuve par exemple l importan
216. es risques potentiels en termes d e r putation Les incidences court terme et long terme sur l identit des acteurs sont peu prises en compte ou accept es Alors que les notions m mes de fichiers et de protection des donn es personnelles font juste titre d bat les individus et les acteurs conomiques s exposent de fa on d multipli e sur la toile I n existe pas de d finition juridique de l e r putation de son contenu de ses contours et de ses limites Il est seulement possible de conceptualiser ce qu elle peut tre et d en d duire comment elle peut tre atteinte Un cadre juridique se construit Les enjeux de l e r puiation rel vent de la protection de l identit num rique individuelle l ergonomie des r seaux sociaux de nouvelles pratiques de communications individuelles l enjeu conomique pour les entreprises sont autant de facteurs qui favorisent la confusion des espaces personnels et professionnels Pourtant ces deux aires de communication n cessitent des niveaux de vigilance et des r gles diff rents Les process de recherche sur la toile favorisent des cartographies individuelles et collectives qui impactent l identit de chaque internaute Les moteurs de recherche pr parar m tr s peuvent g n rer des informations fauss es activit op rationnelle L enjeu est d abord co nomique une entreprise qui n est pas pr sente sur les m dias sociaux ou qui n u
217. est sans voquer l apparition d inter faces neuronales qui permettent de t l guider les ordinateurs par la pens e mais aussi l in verse permettraient de pirater le cerveau Ce sont des applications utiles en m decine pour augmenter les capacit s de personnes qui cr ent des habitudes voire des addictions De fa on concomitante on a vu appara tre une massification des donn es y compris des donn es personnelles notamment par l approche des r seaux sociaux des blogs etc par cette communication extensive par cette mise en sc ne de soi et de toutes les don n es dispers es dans des services d informa tique en nuage cloud computing l ing nierie sociale l exploitation des donn es person nelles des fins malveillantes comme l usur pation d identit se sont intensifi es ces derni res ann es Rappelons que la plupart des cyber attaques r ussies y compris dans des secteurs sensibles ont su en tirer parti De mani re quasi naturelle le march des donn es personnelles s est d velopp qu il soit licite des fins marketing ou illicite des fins criminelles les donn es personnelles font l objet de toutes les convoitises et de tous les trafics Un march noir des donn es person souffrant de certains d ficits ce qui est bien nelles existe l usurpation d identit est une s r un avantage en est de m me de cer taines approches biom dical
218. estauration des applicatifs et des infrastructures des informations et de l interop rabilit Elle sp cifie les pro cessus les syst mes de travail et les modalit s de saisie et de gestion des donn es Elle peut tre appliqu e tout orga nisme qu il soit priv ou public I Des solutions Le PRA doit sp cifier dans un r f rentiel le cadre de la gestion humaine du risque d finit les responsabilit s des personnes de l entreprise concern es Elles doivent donc tre d sign es et d tenir les informations et la formation utile jour logicielles les maintenances et l interop rabilit des personnels et des mat riels mises en oeuvre doivent tre indentiques Des exercices et simulations doivent tre men s r guli rement Cela n cessite la construction de sc nario de crise mettant en oeuvre non pas une suite non r aliste gt d incidents mais des cha nes d incidents visant valider des r ponses essentielles et norm es Les documents doivent tre corrig s apr s un retour d exp rience valid par des r unions crois es 183 5 Forum international de la cybers curit B4 Cybercriminalit bancaire et financi re Intervenants Gilles DELILLE directeur s curit des syst mes d information groupe Cr dit Agricole Myriam QUEMENER Procureur adjoint responsable du p le criminel tribunal de Grande Instance de Cr teil R gis ROCROY consultant SSI
219. et des op rateurs Qualifier c est v rifier que ces prestataires proposent une offre qui convient l administration Denis FORTIER Cela va donc au del des garanties habituelles relatives aux march s publics sommes maintenant positionn s depuis quelques ann es Un des points durs de la s curit est de savoir ce que vaut cette s curit On a un dispositif assez connu maintenant d valuation et de certification de produits voire du qualificatif de produits quand il s agit de satisfaire les besoins de l tat en mati re de d fense Denis FORTIER Vous labellisez des produits 2 Pascal CHOUR Nous labellisons les produits travers des labo ratoires qui sont externes l ANSSI mais agr s par l Agence et dont on contr le les comp tences avec les ressources de l Agence Nous sommes aussi aid s par le minist re de la D fense quand on n a pas les comp tences mais on atteint de plus en plus une autonomie en la mati re C est un dispositif qui marche bien Il faut savoir que la France est dans les pays en t te sur ces aspects valuations ce qui d ail Pascal CHOUR En effet l id e est de labelliser les prestations qui offrent un bon niveau de comp tences Nous avons commenc certains le savent pro bablement ici par les prestataires d audit en s curit syst me d information Nous sommes phase exp rimentale Nous allons lancer quelque chose pour identifier les prest
220. europ enne et j aime bien les chiffres Quelques chiffres en ce qui concerne l Europe 89 des utilisateurs en Europe ne souhaitent pas divulguer leurs donn es personnelles 74 d entre eux estiment que le risque d tre victime de cybercrime a augment en un an c est l euro barom tre de juillet 2012 Au pre mier trimestre 2012 des fraudeurs ont vendu en ligne 12 millions de donn es personnelles donc on est vraiment pas dans le fantasme En juillet 2012 comme tout le monde le sait Yahoo a d voil le vol de 450 000 mots de passe de ses utilisateurs Voil un constat chif fr en Europe Je pourrais rallonger la liste mais cela n est pas n cessaire S agissant de la prise de conscience de certains tats mem bres je vais citer le Royaume Unis qui a vrai ment mis au point une strat gie pour lutter contre la cybercriminalit en novembre 2011 et qui a affect 800 agents ce travail En Allemagne 80 millions de cr dits et 500 agents sont consacr s une strat gie lanc e en f vrier 2011 Je sais que la France n est qu elle traite des crimes organis s de la cor ruption et du blanchiment de fonds Mais au sein de cette Commission sp ciale nous avons tudi les questions de cybercriminalit Je me r f re galement la d claration de notre vice pr sident de la Commission et com missaire l agenda num rique Neelie Kroes qui a fait une d claration au Financial Times le 22 janv
221. eurs en terme de sous traitance la tra abilit du service de cr ation et de maintenance les proc dures de contr le sont les conditions d finir pour emp cher des pr dateurs potentiels Le d veloppement de l administration e num rique mod le le territoire Les collectivit s sont garantes d une culture du service public L tat est op rateur de solutions sur la veille cybercriminelle en s appuyant sur les r seaux d ex pertise coordonn s par l Agence Nationale de la S curit des Syst mes d Information ANSSI en favorisant la formation des services enqu teurs enfin en s appuyant sur le tis sus industriel du territoire national 121 5 Forum international de la cybers curit 122 I Les probl matiques a continuit des services publics est un I Des solutions La cr ation d un outil num rique doit se penser principe valeur constitutionnelle C est aussi Un enjeux aux regard des droits sociaux et des devoirs de l tat En cas de pand mie ou de crise les services publics doivent tre en mesure de respecter leurs obligations en temps et en lieu Le d veloppement des proc dures num riques et se construire avec un syst me de s curit op rationnel La croissance et la multiplication des connexions entre services publics augmentent les opportunit s d acc s des pr dateurs La fragilit du syst me r side surtout aupr s des administrations
222. ff rentes au niveau europ en On ne parle pas de la m me fa on de r gulation en France au Royaume Uni ou en Allemagne Pour arriver mettre en s curit la nation fran 77 5 Forum international de la cybers curit 78 aise il faut passer probablement par un mini mum de moyens coercitifs en mati re de r gu lation Les choses ne viendront pas naturellement par elles m mes la politique industrielle n cessite un support tatique un investissement industriel dans la l avance sachant que l on traite des syst mes tr s longue dur e de vie C est une n cessit imp rieuse car les menaces les plus sophistiqu es sont celles qui tirent profit de la connaissance de l architecture des m canismes des protocoles de ces syst mes l Siuxnet avait la connaissance des centrifugeuses Siemens et cela a contribu formation les processus organisationnels et une r gulation Denis FORTIER Je vais laisser la parole Vincent Marfaing la sophistication de l impact et qui n cessite finalement la prise en compte de la s curit en amont Pour revenir sur la probl matique de l investis sement je voudrais 1 Test d intrusion visant simuler une attaque On analyse vice pr sident de la Business Line S curit des Technologies de l information chez Thal s Partagez vous ce constat sur cette probl matique de l investissement dans ses multiples facettes 2
223. fiabilit les op rateurs ont conscience des enjeux et prennent les dispositions n cessaires pour limiter les effets On ne compte qu une grosse panne par an en France et une de la gouvernance transfert de la surveillance du maintien de la visibilit de la confidentialit serveurs l ext rieur de la disponibilit des r seaux et galement de leur tra abilit Les op rateurs pour y r pondre d veloppent un maillage mondial et national Les moyens mat riels utilis s pour les r seaux infrastructures en fibre optique peuvent aussi constituer des porosit s et favoriser l coute du signal optique pour d tecter une interruption ou une action En effet il est possible de r cup rer des donn es quand les fibres sont courb es entra nant de ce fait la propagation de rayons fuite dans la gaine Dans ce contexte g n ral les objectifs sont d viter au mieux les vuln rabilit s en garantissant la mise en uvre de plusieurs technologies dif f rentes quipementiers r seaux de s accorder sur une standardisation des interfaces tout en maintenant une n cessaire diversit au c ur de l appareil et des r seaux Pour les entreprises qui ne sont pas toujours inform es de ces risques il est indispensable que de v ritables synergies d interop rabilit se d veloppent en s appuyant sur des rencontres r guli res entre industriels concepteurs et utilisateurs 5
224. fiance Num rique En France environ 600 startup emploient pr s de 50 000 personnes Ce d veloppement rapide du march de la cybers curit s observe aussi dans d autres pays qui exercent aujourd hui un v ritable leadership les Etats Unis en particulier Observeton un ph nom ne passager la cr ation cybers curit mais celui ci est encore jeune et pas compl tement structur Cela se v rifie tant pour l offre que la demande du c t de l offre les outils propos s sont souvent tr s innovants mais ils ne sont pas toujours suffisamment int gr s pour r pondre globalement aux probl mes des clients Il faut que l offre se structure en des solutions plus transverses De plus sous le m me vocabulaire Security Information and Event Management SIEM ou System on a chip SOC etc on d une lt bulle ou bien l mergence d un march durable en expansion constante l Un march en devenir La question pos e appelle une r ponse unanime des participants Il existe un march pour la retrouve des produits de qualit tr s variable ce qui complique la structuration de la demande du c t de la demande en effet les clients n ont pas tous la capacit de faire la diff rence entre des solutions haut de gamme et des offres standardis es en r sulte un nivellement par le bas des offres et des prix qui ralentit le 147 5 Forum international de la cybe
225. fiquement prot g s Mais la d fense peut tre victime de toutes ces attaques qui ne sont pas forcement cibl es et qui arri vent par internet et qui peuvent affecter la p riph rie des syst mes de d fense voire plus Je voudrais citer par exemple le cas typique du virus Conficker en 2008 il a t transf r via internet depuis une cl USB sur les sys concerne le cyber Je vais essayer de montrer ceci plus encore que dans les autres do maines typiquement militaires pour les forces arm es le cyber repr sente pour la d fense un d fi strat gique qui doit tre pens dans un cadre plus englobant que les strictes op ra tions militaires doit recouvrir les domaines par exemple juridiques technologiques mais t mes de d fense et il a oblig d arr ter le r seau pour le d polluer Il a affect un certain nombre de domaines c t de ce que je pourrais appeler le bruit de fond cyber on a bien entendu des at taques sp cifiquement cibl es sur les arm es ce sont par exemple des activit s d espion nage de tentative de paralysie voire de des 37 5 Forum international de la cybers curit 38 truction de syst mes informatiques Le pro bl me se pose avec acuit non seulement pour les syst mes de commandement mais aussi Cela peut aller jusqu la d sorganisation bru tale et durable de la soci t en frappant des infrastructures vitales Les
226. flexe et d une comp tence cybercriminalit Aujourd hui dans le monde op rationnel les enqu tes sont toujours d autant plus complexes que celui qui doit diriger et qui doit poser les questions est par faitement tranger la mati re de la cybercri minalit Pour viter des souffrances qui me paraissent bien inutiles et contre productives je sugg re de recourir nergiquement la for mation pluridisciplinaire J ai le privil ge cette ann e de prendre la suite d un magistrat com p tent un des rares en la mati re Myriam Quemener pour diriger la session de formation continue des magistrats en mati re de cyber criminalit I s agit de reposer les bases car il y a un probl me culturel qu il faut franchir ensem ble A l vidence dans ce domaine aussi les traditions pour aller un peu plus loin que le XIX me si cle je crois que l on a depuis longtemps des l ments de r ponse qu il faut m diter toujours Je terminerai en effet en citant un des p res de la strat gie militaire le g n ral Sun Tzu qui il y a 25 si cles nous avait montr le chemin suivre en indiquant que celui qui conna t l autre et qui se conna t lui m me peut livrer sans bataille sans jamais tre en p ril Voil ce que je vous souhaite G n ral Jacques HEBRARD Merci pour ce point de vue exprim par la haute autorit que vous tes Une question est pos e aujourd hui estimez vous les magistrats suffisamment
227. flit tranger on l a vu en Syrie au Liban en Libye qui l vent des fonds qui diffusent de faux renseignements ou des renseignements classifi s qui lance des at taques en d ni de service sont des cibles l gitimes des tats qui ont t attaqu s Estce qu ils pourraient tre poursuivis si leurs actions participent aussi des crimes de guerre 2 Donc vous voyez bien que le cyber est l illus tration du continuum cybers curit et d fense que ce soit de l acte criminel aux op rations strat giques de la g ne la destruction de l tat au simple individu le cyber embrasse tout le spectre des nations des intentions des cons quences exige donc une r ponse qui couvre tout le spectre et qui n cessite a t dit tout l heure la mobilisation et la collabo ration de tous les acteurs de la soci t Je crois que pour la France la d fense y prend sa place elle n est pas h g monique et elle doit assumer son r le particulier li notamment aux op rations Jean Claude BOURRET Merci beaucoup mon g n ral Et bien le plus difficile n est pas de r soudre les probl mes c est de bien poser les questions Mon g n ral vous avez bien pos les questions et je vais vous en poser une autre comment se fait il que le minist re de la d fense ne centralise pas l ensemble de la cybers curit 2 G n ral ric BONNEMAISON La r ponse est simple c est que le gouverne ment a d
228. formation Afin de permettre toutes les collectivit s ter ritoriales de pouvoir b n ficier de l apport de ce r seau on peut envisager des syst mes de mutualisation permettant plus facilement une continuit et une reprise d activit en cas de crise A l instar de ce que pr conise le nes COUvemement alle oides a poni eee ee de sowe mand pourquoi ne garde de toujours avoir un site en dehors de la crise pour pas imaginer l utili sation des r seaux sociaux comme vecteurs de continuit du service En effet si l on analyse la situation de fa on objective un op rateur comme facebook face une attaque massive r ussit reprendre son activit au bout de quelques jours au plus Celles de nos pr fectures qui en ont t victimes ont mis plusieurs semaines pour reprendre leur activit Bien sur dans ce cas toutes les donn es ne transiteront pas sur le r seau de secours mais il permettra une activit en mode d grad assurer une continuit 5 Forum international de la cybers curit 225 MANUEL VALLS MINISTRE DE L INT RIEUR FLEUR PELLERIN MINISTRE D L GU E AUPR S DU MINISTRE DU REDRESSEMENT PRODUCTIF CHARG E DES PETITES ET MOYENNES ENTREPRISES DE L INNOVATION ET DE L CONOMIE NUM RIQUE Communiqu de presse 5 Forum international de la cybers curit Au Forum International de la Cybers curit Manuel VALLS et Fleur PELLERIN posent
229. galiens notamment le passeport biom trique du chercheur Je vais maintenant vous donner la parole monsieur Trutt Vous tes pr sident di recteur g n ral de l Imprimerie nationale de puis 2009 Vous avez l exp rience d une carri re industrielle et internationale notam ment en Asie du Sud Est Vous avez t admi nistrateur du groupe NEXTER et conseiller du commerce ext rieur de la France depuis et le permis de conduire Je partage le constat de Madame Ghernaouti relatif au flou qui recouvre aujourd hui la ter minologie d identit num rique Dans une p riode o se multiplient les interactions des citoyens et des entreprises dans le monde nur m rique dans un environnement o les traces 55 5 Forum international de la cybers curit 56 et donn es dispers es sur la toile s effacent dif ficilement et o les moyens de croisement de donn es num riques sont de plus en plus puis sants ce flou constitue une v ritable porte ou verte des fraudes favorisant le d tournement des biens et l usurpation d identit Avant de d velopper les enseignements et les perspectives que nous pouvons tirer au jourd hui des projets mis en uvre qui concer nent aujourd hui plusieurs centaines milliers de personnes je rejoins les propos d ouverture du g n ral Watin Augouard et la n cessit d une prise de conscience collective pour agir en semble pour ne pas subir et pour deveni
230. hamed CHAWKI Conseiller d Etat Egypte chercheur l Institut de Sciences P nales et de Criminologie Christophe CHARROT Responsable fraude FIA NET Philippe DEJEAN Directeur technique division technologie et strat gie Morpho R sum des interventions Face la multiplication des cas d usurpation d identit sur Internet faux passeports vol d identit sur Internet via les r seaux sociaux d importants projets ont t lanc s CNIE passeport biom trique Id num l interrogation porte sur les apports et les li mites de ces technologies ou dispositifs sur la mise en place d une r glementation en la mati re et de la capacit prendre en compte une grande vari t de donn es I Les probl matiques i la fraude l identit a toujours exist on observe une forte augmentation de l usurpation d identit hauteur de 40 Les titres permettant d identifier pr sentent des failles Le nombre de circulations de donn es sur internet est tr s important La mise en ligne de donn es personnelles sans discernement par des particuliers est un ph nom ne qui s intensifie du fait de la d mat rialisation lectronique d un grand nombre de proc dures administratives et commerciales Nos donn es personnelles ne sont pas seulement pass es du support num rique au papier Elles sont hors de port e sur des serveurs que nous ne connaissons pas Nous avons perdu la maitrise de nos do
231. he US et des travaux de normali sation sectorielle Scada Chimie Energie et ont conduit la pu blication d un certain nombre de documents de base rapports techniques et standard ISA ANSI Un rapprochement a t effec tu r cemment en vue de r daction commune avec le comit 65 de la CEI le standard IEC 62443 reprenant tous les standards ISA 99 existants 155 5 Forum international de la cybers curit 156 18 Les APTs Advanced Persistent Threat coup marketing Intervenants vraie menace ou Nicolas RUFF chercheur en s curit informatique EADS David BIZEUL expert en s curit informatique Cassidian CyberSecurity Michel DUBOIS ing nieur en s curit informatique France securipros Yves LE FLOCH directeur du d veloppement de la cybers curit SOGETI Yogi CHANDIRAMANI directeur technique Europe FireFye R sum des interventions La notion d APT Advanced Persistent Threat d signe des cyberattaques cibl es tr s complexes Qualifi es par certains observateurs de sc narios catastrophe relevant du marketing ces attaques r elles rel vent de strat gies techniques d analyse de cibles et de vuln rabilit s des syst mes h tes Elles d bouchent sur une appropriation des donn es sensibles d une entreprise via la conqu te des droits d administration d un utilisateur et la mise en place d un m canisme masqu visant c
232. herche des technologies prouv es avec des innovations volutives Nous sommes la rencontre de ces le normatif et il faut continuer faut notamment endurcir les syst mes durcir les r glements notamment le r gime des grands sous traitants aupr s de l tat o des entreprises dites souve 5 Forum international de la cybers curit qu entre la DGA et l tatmaior il y a la volont raines puisqu il subsiste des tats de d sh rences qui ne sont pas acceptables faudrait aussi r fl chir juridiquement renforcer ce qu est la notion d op rateur de confiance qui existe en terme de concept mais qui n est pas tabli sur des pages juridiques fortes et formelles Denis FORTIER De votre point de vue ce cercle de confiance m riterait d tre tabli de mani re plus formelle 2 Luc Fran ois SALVADOR Ah oui Absolument au moins juridiquement Denis FORTIER Comment fait on cela 2 Luc Fran ois SALVADOR Il existe certains outils notamment quand vous travaillez dans des domaines critiques de l tat Vous ne pouvez pas courir le risque lors d un grand march mis en avant par l tat qu un op rateur qui ne serait pas de confiance ne soit pas trait quitablement et aille se plaindre devant un tribunal Pudiquement Jean Marie Bockel l a dit et ces sujets existent notam ment chez certaines nationalit s d quipementiers Un dernier point n a pas t soulev dans le
233. i il y en a le pro jour o une semaine sans qu apparaissent de bl me n est pas uniquement de savoir s il y a des gens de bon niveau en France Oui il y nouvelles vuln rabilit s de nouveaux modes en a beaucoup au minist re de la d fense au d attaques Et enfin nos soci t s sont extr me ment fragiles I n existe aucun domaine de la vie courante qui ne d pende aujourd hui de l informatique ou des t l coms que ce soit dans le domaine de la sant de la finance du transport de la production et de la distri bution d nergie de l alimentation Ce sont autant de points de fragilit qui peuvent tre exploit s par nos ennemis les ennemis de la France ou de nos alli s Nous sommes dans une situation o les acteurs qui vont s int resser ces vuln rabilit s ne sont pas forc ment bien intentionn s et o un certain nombre d entre eux travaillent aujourd hui on le voit la r ar lisation d attaques informatiques contre les in minist re de l int rieur et encore plus l ANSSI mais ce n est pas suffisant Depuis le dernier Livre Blanc sur la d fense et la s curit nationale de 2008 qui a pour la premi re fois rig cette question comme une menace strat gique beaucoup a t fait et dans deux domaines d une part la pr ven tion d autre part notre capacit r agir et agir en cas d attaques contre des infrastruc tures critiques Vous connaissez sans doute j
234. i re judiciaire on ne peut jamais lutter seul mais ici c est particuli rement le cas On voit bien quel point la coop ration et la coordi nation sont l alpha et l om ga d une lutte qui ambitionne de r ussir Le fait que vous ayez dans un court instant l intervention des repr sentants d Eurojust et d Europol et un exemple d un pays ami vous d montrera quel point ces dispositifs se d veloppent et sont devenus consubstantiel la lutte judiciaire contre la cybercriminalit On sait que les cybercriminels qui sont des criminels tout court ne se sont pas attard s pour d couvrir les avantages du cybermonde On voit quel point l internet peut tre un outil redoutable dans les mati res comme les atteintes aux int r ts personnels la dignit des per sonnes aux int r ts financiers et aux int r ts des tats La r ponse passe toujours par les r seaux op rationnels Le principe de confiance qui a t voqu ce matin doit tre explicitement mis en place dans les coop rations nous en avons de bons exemples La mise en place d accords bi lat raux peut rendre de moins en moins confortables les cyberparadis Enfin je crois qu il faut ne jamais perdre de vue que le d ve loppement des armes num riques des cyber patrouilles des possibilit s d interventions distance doit toujours tre proportionn la d fense de nos libert s Ne noyons pas le b b avec l eau du bain mais l vidence t
235. ialis la totalit d une fonction ou d un service C est un service complet garantissant un m me niveau de service au depuis CES dlen derni res ann es du fait de la difficult qu prouvent les entreprises ma triser des fonctions techniques choronophages on reuses ou d une volutivit judirique forte La probl matique concerne le contr le d une externalisation de fonctionnalit s et de donn es sensibles sans que cette op ration puisse induire une vuln rabilit et tre la cause d un pr judice pour l entreprise En cons quence il importe d analyser l outsourcing comme une fonction de s curit complexe du fait que la r solution et la prise en compte des probl mes de confidentialit et de vuln rabilit sont la base d une confiance commerciale La sensibilit de la donn e r side essentiellement dans la valeur ajout e de celle ci sur un march concurrentiel et dans une concentration de la performance sur des t ches sp cifiques Ces valeurs doivent faire l objet d une sauvegarde particuli re et imp rative qui doit mettre en relation des acteurs fiables Une piste de r flexion serait d envisager la possibilit de labels pour les soci t s qui assureraient des externalisations centres d valuation prestataires de Cloud etc En mati re d outsourcing il appara t opportun pour les responsables de la strat gie et le RSSI d une entreprise de tenir compte des notions essentielles de dimensi
236. iant d actes de r sistance des faits qui pour d autres rel vent elon l article 421 1 du code p nal fran ais sont des actes de terrorisme certaines infractions notamment celles qui portent ateinte aux syst mes automatis s de traitement 176 du terrorisme I n existe pas de d finition du 5 Forum international de la cybers curi de cyberterrorisme proviennent pour le moment cyberterrorisme au sein de l Union europ enne bien qu une d cisiorcadre de 2002 amend e en 2008 d finisse un cadre d action pour la lutte contre le terrorisme Au sein de l ONU un guide publi en octobre 2012 d finit le d entit s qui ne sont pas terroristes l origine La paternit des actes n est jamais reconnue et leur imputabilit bute sur les moyens d investigation et l extraterritorialit Il n y a pas de volont des cyberterrorisme comme lt l utilisation d internet pour la propagation d infractions terroristes Le cyberterrorisme reste un concept flou du fait de la d mat rialisation Le cyberespace est souvent consid r comme un instrument et non tats de permettre le tra age des cyberattaques car ce mode op ratoire permet d avancer mas qu sans risque politique ou juridique Les terroristes progressent dans leur ma trise informatique Leurs ressources financi res leur permettraient s ils en avaient l intention d acheter comme une cible pour la r alisation d actes terroris
237. ibles La s curisation des transactions passe par l application de protocoles reposant sur la frag mentation des donn es des techniques de chiffrement des couches de virtualisation s curis es et l application de normes mergentes La dimension contractuelle entre le CSP et le client doit comporter le r gime de la donn e et une fonction d audit externe propre la distinction entre la s curit et le contr le e d veloppement du Cloud provoque une rupture dans la relation clientfournis Cela permet de consacrer la ressource finan ci re au R amp D ce qui int resse les startup qui seur et le fonctionnement de l entreprise Il s agit d une triple r volution en terme co nomique de s curit et de souverainet Une forte demande conomique repose sur la virtualisation permettant de mod liser par ram trer et d exploiter une ressource informa tique ind pendamment des mat riels de consacrer l mergence d une culture de busi ness mod les par la location d applications par Internet et une variabilisation du stockage de la donn e sans d penses d infrastructure peuvent tester leurs services sans autres frais Un enjeu de souverainet et de s curit L enjeu est celui de la s curisation technique et juridique et de la confiance entre client et op rateur Le recours aux clouds am ricains a des cons quences n gatives sur la s curit la confidentialit des donn
238. ic doit impulser une r elle politique de s curit des r seaux informatiques la nomination d un Correspondant Informatique et Libert s Les collectivit s territoriales tant des entit s publiques elles se doivent de respecter l ensemble des obligations qui leur sont faites relativement l utilisation d un SI a fortiori en ce qui concerne le traitement la gestion et les conditions de conservation de donn es caract re personnel Or la CNIL soucieuse de favoriser un dialogue constructif avec l ensemble des entit s publiques et priv es a mis en place la possibilit pour n importe quelle organisation publique et priv e de d signer un Correspondant Informatique et Libert s CIL La nomination de ce dernier en plus de repr senter un geste de bonne volont de la part de l entit concern e permet galement d all ger le dispositif de d claration des fichiers informatis es les plus courants et comportant 5 Forum international de la cybers curit des donn es caract re personnel Toutefois l existence d un CIL n exon re pas le dirigeant qui demeure dans tous les cas le responsable des traitements la mise en place d une Politique de S curit des Syst mes d Information Si l ensemble des t ches incombant au RSSI est fort tendu l une de ses priorit s devra tre de proposer aux dirigeants de la collectivit une Politique de S curit des Syst mes d Information
239. ication des objets ex cutables URL suspectes routages automatiques de r ponses La surveillance du download de fichiers depuis l Internet l examen des alertes des antivirus de 3 URL Uniform Resource Locator grossi rement une adresse typ e h eu ri sti q U e Web d signe une cha ne de caract res pour adresser les res la surveillance d acc s aux cl s de registre susceptibles d ex cuter des programmes sont la base d une salubrit du syst me d entreprise En cons quence et globalement il faut d velopper une bonne hygi ne informatique sources du www document HTML image son forum BAL etc tout comme les cybercriminels plus solitaires Enfin les groupes d hacktivistes ont aussi saisi isoler les postes et les ordinateurs risque au sein d une entreprise Une bonne administration cette opportunit dans une vocation politique permet d viter qu une ventuelle contamination ne se diffuse l ensemble du r seau De plus ou pour porter et de faire conna tre des revendications au travers le signal fort d une destruction d une infrastructure informatique Il Des solutions Les dispostifs habituels firewalls les antivirus ou les IDS ou IPS n offrent pas de garanties quant ce type d attaques Les concepteurs de programmes malveillants se garderont d utiliser des outils dont les signatures sont connues des antivirus Les mesures de s curit passent pa
240. ien videmment int gr s cette r flexion qui se fera je le souhaite sous la conduite d un magistrat Quatre axes de r flexion me paraissent se d gager l adaptation de notre droit mat riel et processuel l adaptation de nos organisations nous disposons de services de r pression nombreux efficaces engag s mais une plus grande mutualisation des actions s impose l adaptation de nos strat gies d enqu tes et de nos strat gies p nales plus g n ralement enfin l adaptation de nos strat gies en mati re de sensibilisation de nos concitoyens de Je veux r affirmer la d termination du gouvernement agir pour assurer la s curit de tous et donc la cybers curit de chacun Je vous remercie En effet bien que d territorialis Internet n en est pas moins un espace public tout fait r el Doisje rappeler que l article 2 de la D claration des Droits de l Homme et du Citoyen affirme que la libert et la s ret sont des droits naturels et imprescriptibles valables en tout temps et en tout lieu pour tous les citoyens 2 Pourquoi cette exigence fondamentale ne devrait elle pas tre garantie aussi sur Internet 2 Notre objectif est donc de contribuer la construction d un v ritable Internet de confiance La confiance doit tre le fondement d Internet Pourquoi C est d abord une exigence politique au sens g n ral du terme J entends par l l organisati
241. ier dernier pour dire qu il fallait obli ger justement les r seaux sociaux les entre prises d ecommerce et les plateformes d clarer les fuites et les attaques C est une prise de position tr s claire Mais nous observons en Europe comme ail leurs c est le titre d ailleurs de cette table ronde un grand dilemme entre respect des droits fon damentaux et les n cessaires r gulations Avant d en venir aux textes actuels sur lesquels nous travaillons je voudrais mentionner parce que a m a quand m me beaucoup frapp e je voudrais mentionner la directive de 2010 qui tait consacr e l exploitation et aux abus sexuels concernant les enfants et la p dopor nographie La question portait sur la suppres sion de pages sur internet et le blocage d acc s Chacun aurait pu penser que tout le monde tait d accord pour proc der de cette mani re a fallu des mois et des mois pour arriver ce r sultat Ce qui veut dire qu il y a 65 5 Forum international de la cybers curit 66 eu une r sistance au del d une r sistance id ologique d une certaine communaut inter net que je connais I y a eu une r sistance ter rible de la part des citoyens qui ne veulent pas qu on attente leur vie priv e Ils se disent que si l on peut supprimer des pages ou bloquer un acc s p dopornographique on peut le faire pour eux galement On le constate par exemple en Pologne ou dans les ancie
242. ier intervenant est J r me NOTIN pr sident de Nov IT Quelles sont les prestations propos es par Nov ITe J r me NOTIN Nov IT aujourd hui porte un projet qui s appelle DAVFI D monstrateur d Antivirus Fran ais et Internationaux Nov IT est une PME l objet de mon intervention vise pr senter par l exemple la r ussite de la mise en place d une politique industrielle Le consortium qui travaille sur DAVFI a obtenu des financements publics dans le cadre d investissements d avenir d appels projet s curit et r silience des r seaux L objectif est de pouvoir travailler et participer d une mani re financi re aux travaux de recherche afin d obtenir un antivirus fran ais de confiance fiable et ma tris Cet antivirus pour bien na tre a b n fici des travaux de recherche d une personne experte en la mati re qui s appelle ric Filiol et qui est d ailleurs un ancien du minist re de la D fense ric travaille aujourd hui au sein de l ESIFA qui est un des membres du consortium qui porte DAVFI La date de commencement des travaux est le ler octobre de l ann e derni re et nous avons 24 mois pour le livrer l tat notre finan ceur avec lequel nous avons un vrai partenariat C est d ailleurs quelque chose que je souhaitais signaler Monsieur le s nateur parlait de connexions le terme est vraiment int ressant puisque c est ce que nous vivons au quotidien avec ce projet Je souhaitais galement parler
243. ieur et de traitement de la cyber criminalit Le minist re de la D fense pour sa part ap porte d abord un soutien l ANSSI en mo ti re de renseignement sp cialis ou d expertise technique Mais il assure aussi de fa on autonome mais toujours en bonne intel ligence avec l ANSSI la d fense de ses sys t mes d informations et la r silience de ceux utilis s pour ses missions militaires Puisqu il m appartient de repr senter le Minis tre de la D fense je tiens souligner que l or ganisation op rationnelle des arm es a t r cemment ajust e pour y int grer une cha ne op rationnelle de cyberd fense qui soit en coh rence avec le reste Dans cette perspec tive la centralisation au niveau du CPCO le Centre de Planification et de Conduite des Op rations garantit aujourd hui une vision globale mais aussi un tempo rapide permet tant de mobiliser tous les moyens n cessaires Cette cha ne est par ailleurs sp cialis e car elle n cessite des comp tences et des habi tudes sp cifiques comme pour les autres mi lieux de combat Enfin son action est en partie transverse car les autres milieux com portent dor navant une part de cyberespace qui est indissociable Alors que cette cha ne op rationnelle de cy berd fense est maintenant pleinement int gr e au cadre politique et juridique d emploi des forces arm es l enjeu est maintenant de pour suivre le d veloppement de leurs capacit
244. impossible l ind l bilit des comptes cr s est l origine d une ADN num rique Malgr des avances urisprudentielles un v ritable droit l oubli de l internaute reste construire Les entreprises doivent voluer avec ces outils m diatiques qui impactent leur devenir et leur de leur vie priv e L usurpation de l identit num rique c est dire tous les l ments qui peuvent tre rattach s une personne permettant son identification d finie dans la loi d orientation et de programmation pour la performance de la s curit int rieure 15 mars 201 1 commence donner ses premiers r sultats judiciaires Les entreprises en cas de publicit trompeuse ou agressive peuvent se tourner vers les juridictions p nales ou commerciales En r gle g n rale la justice peut tre efficace 5 Forum international de la cybers curit la finalit les besoins et les risques Les services de s curit informatique ne sont pas les seuls interlocuteurs lors de cette phase de mise en pour faire cesser les troubles caus s par l atteinte l er putation et d autre part obtenir r paration confiance num rique avec les partenaires qui vont intervenir sur le r seau avec une porosit du pr judice Mais la d finition de la personne responsable n est pas toujours vidente Il y a aussi une r elle difficult voir appliquer le droit sur un territoire quasiment infini qu est celui d
245. infor mation n est pas bonne Cela fait quelques ann es que je le dis et cela ne va pas changer du jour z au lendemain On a d velopp l informatique et la soci t de l information sans se pr occuper de s cu rit parce que pendant dix quinze vingt ans il n y avait pas de vraies menaces Aujourd hui videmment on a identifi un point de faiblesse et a va prendre du temps avant que l on arrive revenir une situation plus raisonnable Raison de plus pour com Jean Claude BOURRET Merci beaucoup pour votre intervention Le dernier intervenant est monsieur Eduardo RIHAN CYPEL d put de la 8 me circonscrip tion de Seine et Marne membre de la com mission de la d fense nationale l Assembl e nationale et de la commission du Livre Blanc sur la d fense et la s curit nationale Il est ma tre de conf rence Science Po Paris Monsieur le d put nous vous coutons avec plaisir Eduardo RIHAN CYPEL C est toujours un peu d licat d intervenir en dernier quand beaucoup de choses ont t dites et ont apport de la richesse au d bat Vous m excuserez par avance si il y a un petit peu de r p titions Je vais essayer de ramasser un certain nombre d l ments dont certains ont pu tre d j exprim s ici et de vous dire ce mencer vite et s en pr occuper mais je ne crois pas qu on arrivera le r soudre Donc la priorit de l tat videmment c est de com mencer
246. interconnexions et la multiplicit des acteurs ayant acc s aux SCADA dans les entreprises tant bien r el le secteur de l nergie rev t un caract re particulier car non seulement les implications sont conomiques mais elles ont aussi un lourd impact strat gique Une expertise naissant dans ce domaine permet de d gager des axes de 1 Un SCADA acronyme de l anglais Supervisory Control And Data Acquisition t l surveillance et acquisition de donn es est un syst me de t l gestion grande chelle permettant de traiter en r flexions qui pourraient accro tre la s curit des SCADA temps r el un grand nombre de t l mesures et de contr ler dis tance des installations techniques tant en travaillant sur les domaines de la technique ou de la normalisation qu en travaillant sur l ducation des acteurs n SCADA est un syst me de t l surveillance et de gestion d installations techniques qui ne s applique pas qu au domaine nerg tique Les SCADA sont n s partir des ann es 60 dans le secteur industriel Les grands groupes de fourniture d nergies dont l exploitation est tr s tendue du fait du maillage des r seaux de distribution y ont tr s rapidement vu leur int r t En effet la supervision pouvait tre centralis e et on pouvait avoir un regard direct sur le bon d roulement du processus Avec cette avanc e est n e une certaine perm abilit entre les r
247. ique prescrivant qu il ne faut pas faire une loi cibl e sur un ph nom ne technologique bien pr cis En effet par d finition la technologie est volutive et le texte serait d pass rapidement l exemple de la loi sur la cryptologie est flagrant car compl tement inutilis e du fait de son extr me sp cialisation Par ailleurs il faut une collaboration efficace entre tous les acteurs d internet Cr er une infraction pour sanctionner n est pas efficace sur le cyberespace Il faut privil gier une loi qui d finisse des comportements et des statuts sur cet espace exemple responsabilit limit e des h bergeurs en contrepartie de la conservation des donn es de connexion IV Limites de l application de la loi dans le cyberespace Plusieurs probl mes ont t identifi s Tout d abord dans la soci t peu de personnes connaissent r ellement les conditions d application de la loi dans le cyberespace Cette derni re est devenue inaccessible pour le citoyen normal Cela a favoris la mise en place d un v ritable marketing de la peur et du service En fait la 163 5 Forum international de la cybers curit 164 loi semble absente du cyberespace Sur les r seaux num riques la loi est en concurrence avec d autres normes qui r gissent le comportement des individus tels que l environnement technique les usages ou encore les lois d un march totalement privatis Une autre probl mati
248. ire en lien avec les services des douanes et de la r pression des fraudes Compte tenu des volutions technologiques constantes et rapides la formation des personnels qui luttent contre la cyberd linquance a une dimension strat gique Des efforts notables ont t accomplis par la police et la gendarmerie Toutefois la cybercriminalit nous oblige penser autrement nos crit res de formation permettra le recensement de toutes les cyberinfractions La g n ralisation de la plainte en ligne contribuera galement diminuer le ph nom ne d vaporation concernant les infractions qui ne sont pas actuellement port es la connaissance des forces de s curit Mieux conna tre et de recrutement Il nous faut enfin repenser certains grands quilibres D abord entre protection de la vie priv e et s curit La loi du 6 janvier 1978 informatique et libert s puis la loi sur la fraude informatique en 1988 loi dite Godfrain dont je salue la participation la cyberd linquance doit nous permettre de mieux y faire face Il nous faut tout d abord et de mani re urgente r organiser mettre en ordre et adapter notre droit mat riel et processuel Nous de son auteur ce forum ont t suivies de huit autres lois p nales relatives Internet D sormais le num rique est partout dans notre soci t Nous sommes tous citoyens devons galement organiser et coordonner
249. ires Cela permet de figer sous le signe de l urgence une situation et de geler des donn es techniques Les informations peuvent alors tre transmises au pays demandeur dans le cadre d une demande de coop ration Un rapport r cent de l Institut interr gional de recherche des Nations unies sur la criminalit et la justice UNICRI fait le constat d un manque de recherches approfondies sur le profil des cybercriminels motivations en fonction des pays cibles attractives ou comme cyberparadis co t et formalit s d h bergement co t de la vie etc I devrait entra ner une r action de la part de la communaut internationale et donner l lan un v ritable travail de fond sur le sujet La France est consid r e comme un grand pays d Internet disposant notamment d h bergeurs majeurs Elle est r guli rement utilis e comme tape rebond ou base arri re par les cyberd linquants Sans victime ni auteur sur son territoire notre pays a une r elle difficult mettre en place une politique de r action optimale pour identifier et fournir les informations En cons quence de nouveaux m canismes doivent tre trouv s dans la coop ration internationale 5 Forum international de la cybers curit AS Cybers curit et continuit des services publics Intervenants Christian Chocquet Pr fet d l gu pour la D fense et la s curit zone de d fense Nord Matthieu Gillon Responsabl
250. is ton nom ton ge ton adresse fais de faux profils sur les r seaux sociaux ne fais confiance personne on ne sait pas qui se cache derri re un nom une photo Nous sommes en train de b tir des valeurs de soci t bas es sur la d fiance et le mensonge quel renversement de valeurs Cet environnement immat riel ce cyberes 5 Forum international de la cybers curit 1992 Vous tes dipl m de l cole nationale d ing nieur de Saint tienne On voit bien que la probl matique est tout fait pluridiscipli naire nous sommes tous concern s par cette d finition cette s curisation de l identit num rique Vous allez nous parler justement de dif f rentes identit s num riques la fois pace omnipr sent dans lequel nos prolon geons nos activit s quotidiennes induit de facto une culture de la d fiance ou la loi du plus fort pr vaut le plus souvent Je pense qu il faudrait r envisager la D claration universelle professionnelles r galiennes L imprimerie no tionale a mis en uvre des initiatives tout fait int ressantes que vous allez mettre en pers pective par rapport des exp riences qui ont lieu en Europe Vous allez jeter votre regard des droits de l Homme qui sont des fonde ments de notre thique et qui permettent d avoir une r f rence entre ce qui est bien et pas bien car m me s ils sont souvent bafou s cela permet au moins de le d
251. is une dimension mondiale l atelier de confec tion des cartes utilis es par le biais d internet tait en Bulgarie Les transferts se faisaient jusqu au P rou avec un retour dans l Union euro cybercriminalit C tait la place naturelle de ce centre Europol parce que nous disposions de ce syst me de rassemblement de policiers et de r seaux Le r le de la France a t pr minent puisque c est sous la pr sidence fran aise de l Union europ enne en 2008 que l id e a t lanc e de cr er Europol l embryon de ce centre l poque le HTCC Hight Tech Crime Center Vous voyez que la France avait d j per u le probl me et lanc les pistes pour le r gler Pourquoi une dimension europ enne Comme cela a t soulign par monsieur Charpenel p enne via la R publique Dominicaine Vous constatez que la dimension mondiale est vidente La troisi me raison de la cr ation au niveau europ en est que dans l Union europ enne le niveau de comp tence ou de d veloppement des instruments de lutte contre la cybercriminalit est tr s disparate Certains d tats membres de l Union europ enne sont pratiquement au degr z ro non par d faut de volont mais du fait d un probl me de moyens Europol aura un r le jouer dans ce contexte Le dernier point est que la position centrale d Europol en terme de centralisation du rensei la question de la cybercriminalit d pas
252. it 31 5 Forum international de la cybers curit 32 Mais il faut aussi que du c t du c est dire de la justice de la police de la gendar merie et des douanes une d marche similaire de mise en coh rence soit entreprise et que les liens avec la cyberd fense soient renforc s Il faut donc une plus grande interconnexion une approche r galienne plus maill e parce qu un moment donn ce qui rel ve de la cy berd fense peut int resser ce qui concerne la lutte contre la cybercriminalit La deuxi me cons quence concerne le rensei Autre cons quence du continuum la n cessit de revoir le corpus juridique en vitant sa dis persion I faut un droit qui couvre l ensemble du champ de la cyberd linquance jusqu au haut du spectre de la cybercriminalit Le dis continuum est marqu par l application du droit des conflits arm s qui n est pas adapt aux conflits dans le cyberespace Enfin derni re cons quence du continuum gnement Les attaques ne sont jamais d cou pl es de ce qui se passe dans le monde r el Les services de renseignement civils et mili taires doivent collaborer davantage notam ment en mutualisant les moyens techniques Mais le renseignement doit aussi int grer toutes les informations qui proviennent du sec teur priv Les services sp cialis s doivent go lement tre mieux connect s avec les acteurs de terrain les policiers
253. it la qualit de vie ou aux lections Si ce genre de Pour autant il serait erron de voir en rer la s curit de ceuxci chaque pirate un individu 1 Les whites hats chapeaux blancs dont l objectif est de d tecter les vuln rabilit s des SI et d en avertir les administrateurs r seaux afin d am lio Les blacks hats chapeaux noirs qui p n trent les syst mes afin d en tirer un b n fice personnel Les greys hats chapeaux gris qui comme leur nom l indique se situent mi chemin des deux cat gories pr c dentes Et les hacktivistes contraction des mots hackers et activistes qui agissent dans un but purement id ologique 171 5 Forum international de la cybers curit 172 isol membre d une communaut underground solidaire En effet les menaces peuvent galement provenir d autres horizons l image du crime organis des services de renseignements trangers ou encore dans le cadre du secteur marchand de concurrents peu scrupuleux Parall lement la p n tration des SI des fins crapuleuses se d veloppe de plus en plus l atteinte orchestr e par des services tatiques trangers agissant en fonction de l actualit ou d objectifs pr cis Ainsi la p n tration d institutions nationales ou internationales devient monnaie courante que ce soit des fins de r cup ration de donn es d importance vitale ou dans une optique beaucoup plu
254. it s de placements boursiers en ligne les possibilit s de blanchiment d argent sont illimit es Ainsi transf rer des capitaux sur le web est devenu une activit fleurissante Les interm diaires recrut s sont qualifi s de mules et peuvent gagner une somme d argent consi d rable en toute ill galit Avec ces modes op ratoires les activit s cybercriminelles demeu rent incontr lables et les poursuites en justice se r v lent parfois impossibles Les diverses mafias se sont logiquement tourn es vers la Toile pour l activit de blanchiment de l argent D abord la monnaie virtuelle joue un r le central de liquide apr s les avoir re us sur son propre compte bancaire et renvoy s par la suite aux cybercriminels l aide de services de transfert d argent comme la Western Union par exemple La cybercriminalit rejoint d s lors la criminalit classique qui utilise aussi majoritairement ces deux proc d s afin de blanchir l argent issu d activit s frauduleuses Il Coh sions transnationales technologiques et polici res Pour lutter efficacement contre la fraude il est n cessaire de b n ficier d un maximum d in formations et d opposer des pare feux techno logiques toujours plus efficients La disparit des niveaux de s curit des op rations bancaires selon les pays fragilise fortement la s curit glo bale Seules 13 des transactions men es sur le territoire fran ais sont prot g es co
255. it dans le cadre des efforts du Gouvernement pour d ve prestataires de service de confiance Les entre prises attendent davantage d changes avec l tat On pourrait cet gard s inspirer du pro gramme lanc par le d partement de la d fense aux Etats Unis ou du cyber hub britannique pour renforcer les changes entre l tat et les entreprises du secteur de la s curit des syst mes d information L tat doit aussi encourager une consolidation structurelle et capitalistique du secteur en favorisant le maintien ou l mergence de cham pions nationaux ou europ ens cet gard on peut mentionner le cas pr occupant d Alcatel Lucent qui m riterait une attention particuli re de la part de l tat compte tenu des enjeux non seulement conomiques et d emplois mais aussi en termes de souverainet Enfin notre dispositif de financement public de la recherche d veloppement ce doit d tre renforc et clo rifi Quel r le pourrait jouer l Union europ enne Si la protection des syst mes d information doit lopper ses relations avec le secteur priv et pour sensibiliser davantage la menace que repr sente la cybercriminalit Il y a un an le Premier ministre M David Cameron a ainsi r uni les dirigeants d entreprises appartenant demeurer avant tout une comp tence nationale car elle touche directement la souverainet de chaque tat l Union
256. itaux et les cliniques au plan local voire r gional permet des r sultats positifs Le retour d exp riences est capitalis par des livrables mis la disposition des services qui n ont pas franchi le pas l exemple du CHU de Nancy peut tre soulign Le principe de l h pital num rique repose sur une mutualisation de l action des tablissements dans diff rentes fili res au nombre de 15 linge technologie de l information et de la commu nication etc en am liorant la fonction d achat et en faisant partager les bonnes pratiques Le principe repose sur la mutualisation des connais sances et des appels d offre Ainsi dans le domaine de la s curit des syst mes d infor mation il est propos une d marche structur e reposant sur une politique de s curit d clin e des authentifications fortes l organisation de la s curit en interne l tablissement maitrise d ouvrage agr ment des h bergeurs une poli tique de gestion de traces la mise en place de signatures lectroniques la mise en uvre d un annuaire et d habilitations l installation de s curit logique comme la carte d tablis sement Naturellement l ensemble des obligations doit tre d clin dans chaque tablissement l agence des syst mes d information partag s de sant favorise la d mat rialisation des donn es de sant en prenant en compte la gestion du personnel de sant 22 professions r glement
257. itieuse passant par la mise en place d une capacit nationale qui soit cr dible aupr s de nos grands parte naires par le d veloppement de relations fortes avec ces derniers enfin par une impli cation dans les tra vaux conduits au sein de l Europe et de l OTAN Je tiens saluer cet gard l agence europ enne de d fense qui est pr sente aujourd hui 1 l agence europ enne de d fense participe la pl ni re dont l importance est majeure au regard de l accroissement tr s rapide de la menace et dont la complexit qui d passe les sch mas classiques nous force globalement certains de nos modes de fonctionnement Cette cr dibilit de la France dans le domaine de la cybers curit est conditionn e par une triple expertise celle des acteurs tatiques celle des acteurs acad miques enfin celle qui est li e aux acteurs industriels 25 5 Forum international de la cybers curit 26 Je commence par les acteurs tatiques l Agence nationale de la s curit des syst mes d information l ANSSI dont j ai visit le stand l instant est devenue l autorit gouver nementale en mati re de cybers curit Elle d tient en propre des moyens de veille de d tection et d intervention qui en font un acteur incontournable du domaine Le minist re de l Int rieur de son c t a investi cette lutte de fa on d cisive avec ses capaci t s de renseignement int r
258. its informatiques AZ Gouvernance du cyberespace Intervenants 5 Forum international de la cybers curit Lo c Damilaville Adjoint au directeur g n ral Afnic Jean Fran ois Blarel Secr taire g n ral adjoint minist re des Affaires trang res Bertrand de la Chapelle Membre du conseil d administration de l ICANN directeur du projet Internet et juridication l acad mie diplomatique internationale Nemanja Malisevic Cyber security officer OSCE J r mie Zimmermann Co fondateur et porte aprole La Quadrature du Net R sum des interventions Les probl matiques de gouvernance du cyberespace sont tr s complexes et d montrent des positions tatiques parfois contradictoires Suscitant de fortes convoitises le cyberes pace est devenu un enjeu pour les tats et les organisations internationales qui se livrent une lutte pre Les m canismes de la gouvernance doivent voluer pour arriver vers un quilibre en donnant l internaute sa pleine et juste part a gouvernance de l Internet Nul n est en mesure d en donner une d finition claire alors que des milliers de personnes y participent directement ou indirectement depuis plusieurs ann es D une mani re globale la gouvernance de l Internet d signe les principes et r gles qui mod lent et modulent l volution et l usage d Internet et qu laborent et appliquent les acteurs tats secteur priv
259. jeures du d ve loppement de r seaux de r silience l chelon territorial vient du fait qu un r seau est compos de partenaires et qu au niveau territorial les diff rentes entit s administrations collectivit s ne connaissent pas du tout les partenaires sus ceptibles de faire partie de ce type de r seau Enfin en France les organismes ont tendance Les exemples ne manquent pas De plus l chelon territorial une grande partie de la population se sent concern e car elle est direc tement impact e Il s agit donc dans un premier temps de sen sibiliser les collectivit s territoriales l importance de mettre en place un r seau de r silience per mettant de continuer une partie de l activit malgr la crise surmonter Pour cela il est important de mettre en avant deux leviers concer nant le repr sentant de la collectivit tout d abord en cas de probl me perte de donn es compromission sa responsabilit p nale peut tre mise en uvre si les mesures utiles et n ces saires n ont pas t respect es Ensuite les citoyens sont de plus en plus exigeants face aux demandes de services et ces citoyens sont aussi des lecteurs la sanction pourrait venir des urnes Enfin un r seau de r silience bien adapt est un gage de s curit et peut donc mettre en place de nombreuses proc dures et m thodes pour ne pas subir une crise En fait il serait plus pertinent
260. jourd hui substitut du Procureur g n ral pr s de la Cour d appel de Lubumbashi et d l gu lu au Conseil sup rieur de la magis 5 Forum international de la cybers curit Yves CHARPENEL Le traitement judiciaire de la cybercriminalit reste encore une id e neuve comme d ailleurs le cybercrime au regard de l historique du trai tement judiciaire en g n ral Le principal enjeu qui se pose au syst me r pressif en mati re de lutte contre la cybercri minalit est assez clair comment un syst me judiciaire qui en France a t forg au d but du XIX me si cle peut aujourd hui tre capable de rendre compte de ma triser de traiter un ph nom ne aussi nouveau aussi diffus que celui de la cybercriminalit Aussi loin de la culture judiciaire 2 Pour voir quelles sont les lignes de forces des probl mes rencontr s des perspectives je crois qu il ne faut pas perdre de vue que notre combat p nal que ce soit cyber combat o combat classique repose toujours sur la conjonction plus ou moins r ussie de trois facteurs incon tournables Le premier est de mobiliser des acteurs professionnels le second de suivre des trature I nous donnera sa vision de la probl matique li e la cybercriminalit en Afrique Madame Sylvie Petitleclair a occup divers postes au sein de la magistrature fran aise Juge d instruction procureur elle a exerc les fonctions de magistrat de liais
261. l voit le jour Les personnes suscep tibles d tre int ress es par ce type de commerce re oivent des courriels publicitaires annon ant de nouveaux produits ou des re mises exceptionnelles l apparition d un grey market est aussi un ph nom ne mergeant Le CLUSIF s inqui te de voir apparaitre d tranges soci t s de s curit proposant des logiciels et des services pour lesquels on a parfois du mal cerner les acheteurs potentiels Sous couvert de s adres ser aux gouvernements et leurs officines ne sommes nous pas en droit de nous interroger sur le fait qu elles pourraient se laisser tenter par d autres n gociations aupr s d acheteurs moins honn tes Ne diton pas que l argent n a pas d odeur 2 IV Les Botnets toutes les sauces En 2012 des tudes ont montr que les usages des botnets se sont multipli s Pr c demment utilis s pour l envoi de spam le DDoS et la collecte de donn es bancaires des botnets d un nouveau genre ont vu le jour pour de nouvelles formes de d linquance nu m rique petite ou grande chelle Ils s adap tent ainsi aux nouveaux cosyst mes criminels qui se mettent en place Le cas de Sality qui en 12 jours c tait en 201 1 est arriv scan ner plus de 86 des adresses IPV4P1 existantes la recherche de composants PABX IP serveurs SIP 3 vuln rables en est un exemple 2 Une adresse IP avec IP pour Internet Protocol est un nu m ro d ide
262. l objectif est de pr server notre souverainet nationale face aux alternatives trang res et non s curis es Manuel VALLS a soulign la n cessit de d velopper la coordination entre pays pour mieux r pondre une cybercriminalit organis e diversifi e et structur e au niveau mondial Pour ce faire le ministre de l Int rieur a insist sur la n cessit de mieux conna tre ce domaine de la s curisation des moyens de paiement ph nom ne et a rappel la cr ation l occasion de la refonte de l outil statistique 227 5 Forum international de la cybers curit 228 d un indicateur sp cifique la cybercriminalit En outre le d ploiement de nouveaux logiciels d enregistrement des plaintes dans les commissariats et gendarmeries ainsi que la g n ralisation de la plainte en ligne vont contri buer quantifier et qualifier cette d linquance Un diagnostic pr cis est n cessaire pour construire une politique de s curit efficace qui passe aussi par une r flexion sur les crit res de recrutement et de formation des enqu teurs ainsi que par la coordination de l action de tous les acteurs de la cha ne p nale Toutefois les exigences de la lutte contre la cybercriminalit doivent tre concili es avec le respect des grands principes de notre d mocratie libert d expression garanties de la vie priv e et des libert s individuelles Manuel VALLS a annon
263. la PSDC et promouvoir la coop ration avec l OTAN L UE dispose d un centre de veille et de r ponse pour ses r seaux CERT UE et d une Agence pour la S curit des Syst mes d information ENISA qui d veloppe une expertise Sur le plan capacitaire l Agence Europ enne de D fense qui conduit les projets communs des Etats membres a inscrit le cyber comme une priorit tandis que le cadre multinational du Polling and Sharing peut accueillir des capacit s cyber Il La coop ration L OTAN est une alliance militaire pragmatique qui consid re que des d faillances des syst mes critiques civils ob reraient ses capacit s op rationnelles Pourtant son assistance li e une mise en uvre de l article 5 devrait se limiter aux cas d agression arm e ce qui n est pas toujours vident en cyber contrario l UE est une organisation globale dont le trait pr voit non seulement une clause d assistance en cas d agression arm e de l un de ses membres art 42 7 du Trait de l Union Europ enne mais aussi une clause de solidarit en cas d attaque terroriste ou de catastrophe industrielle ou d origine humaine article 222 du Trait sur le fonctionnement de l UE De plus l UE a des comp tences dans de nombreux domaines civils li s au cyber communications commerce conomie R amp D etc Son champ d intervention serait donc plus large que celui de l OTAN Une coop ration semble donc in vitable pour viter de
264. la propri t intellectuelle induisent au niveau des directions g n rales une r elle prise de conscience D s lors se pose une question prin cipale quelle est la compatibilit entre assurabilit et int r t l assurance La r ponse cette question se veut positive car tous les risques li s la divulgation en g n ral impliquent des pertes financi res en termes de chiffre d af faires Aussi la r ponse manag riale au risque est donn e comme bivalente technique et orgar nisationnelle Dans le mod le mondial qui gouverne l intor mation la valeur d une donn e est li e sa sensibilit Les exemples les plus r cents d attaques virales SONY ARAMCO permettent de conclure que bien souvent il n existe aucune clause relative aux pertes de chiffre d affaires Les rem boursements de ces attaques se cantonnent en principe une valeur forfaitaire d finie au moment de la signature des contrats et souvent tr s loign e de la r alit du pr judice subi 5 Forum international de la cybers curit B18 Open data lib ration des donn es publiques et s curit Intervenants Ga l MUSQUET Pr sident d OpenStreetMap France Charg de Mission Cartes amp Donn es libres Agence Num rique d Ile de France Jo l TIGNON Chef du service Information G ographique et Analyse Spatiale Conseil r gional du Nord Pas de Calais Direction du D veloppement Durable de la Prospectiv
265. la stimuler Vous avez compris et Monsieur Charpenel a mis l accent sur ce point la coo p ration pr cis ment dans le domaine de la cybercriminalit est essentielle C est l la pre mi re mission d Eurojust Mais une autre mission qui n est pas moins importante lui incombe elle doit am liorer et stimuler la coordination des enqu tes et la coordination des poursuites entre les autorit s comp tentes des tats mem bres Il nous est demand de faciliter en tout cas de trouver des mesures ad quates pour stimuler cette coop ration et favoriser la r solution d af faires judiciaires Eurojust peut galement deman der aux autorit s comp tentes des tats membres concern s d enqu ter ou de poursuivre des actes sp cifiques ou encore de coordonner mise peut tre poursuivie dans plusieurs pays Il est d s lors essentiel que l un d entre eux prenne le leadership ou en tout cas que les autorit s judiciaires de l un et de l autre pays ou l un et les autres pays puissent s entendre pour que pr cis ment il n y ait pas de doubles poursuites Dans le jargon judiciaire nous disons qu il existe un principe ne bis in idem qui interdit de poursuivre et condamner surtout condamner une personne pour les m mes faits Par cons quent Eurojust tente pr cis ment de d terminer le pays qui sera comp tent pour poursuivre et ce pour carter pr ventivement le risque de voir ce principe ne pas s appli quer
266. le Denis FORTIER De quand datent les premiers programmes sur le cyber que vous avez trait s par l Agence recherche et comment l Europe estelle organis e en mati re de recherche et d veloppement dans ce domaine 2 Christian BREANT europ enne Christian BREANT Cela tr s r cent du fait que la cyberd fense n a r ellement t approuv e par les Etats mem Tout d abord un mot pour rappeler que l Agence Europ enne de D fense est l pour pr parer les capacit s op rationnelles des Etats membres Denis FORTIER Combien de personnes travaillent pour une agence comme la v tre 2 Christian BREANT 120 personnes sont bas es Bruxelles et tra vaillent au profit des 27 pays membres Nous avons un budget de fonctionnement vot chaque bres comme une priorit que l ann e derni re Jusqu l ann e derni re les tats membres ne souhaitaient pas coop rer dans le domaine de la cyberd fense Nous sommes vraiment dans les premi res tapes Une quipe projet a t mise en place pour pouvoir discuter de ces th matiques au sein des pays Assez vite une ving taine de pays sont devenus partenaires ce qui montre bien que c est un sujet d int r t Il faut aussi noter le caract re fortement dual de la cybers curit Nous avons donc t natu rellement associ s l laboration de la strat gie europ enne dans le domaine de la cybers curit entre la Commission et le Co
267. le Des rapprochements entre les logiques cono miques et les besoins sociaux sont possibles Par exemple depuis 10 ans la Fing Fondation Internet nouvelle g n ration aide les entreprises les institutions et les territoires anticiper les mutations li es aux technologies et leurs usages Elle a construit un nouveau genre de think tank dont les productions sont largement reconnues en Europe et ailleurs Ainsi cette fondation propose aux collectivit s un pacte europ en de promotion et d investissement dans les infrastructures socidles leviers de la croissance et de la confiance l open data permet alors l acc s aux biens publics historiquement produits et garantis par les tats et les adminis trations des pays 1 Le pacte europ en de promotion et d investissement dans les infrastructures sociales pr voit que l union europ enne doit promouvoir des infrastructures sociales gr ce des or ganisations diversifi es de march publiques et de coop ration collective I Des solutions I faut d s lors mettre en avant le cadre juridique qui garantit l utilisation des donn es savoir la lt licence Dans ce contexte les donn es ne peuvent pas tre librement diffus es ou doivent faire l objet d une anonymisation pr a lable En dehors de ces exceptions diff rents organismes ont labor des licences libres applicables tout type de contenu des origin
268. le de cr er un r f rentiel commun des m tiers fonctions auquel certaines entreprises travaillent d ailleurs actuellement pour permettre de mod liser et de bien identifier chaque r le chaque fonction et proposer ainsi une vue d ensemble du secteur I faut veiller constituer des quipes dynamiques poss dant un tr s bon niveau d expertise et une ambiance positive car selon un cercle vertueux les bons l ments attirent les bons l ments I faut galement adopter une d marche pro active et se d placer dans les coles pour communiquer sur son m tier et pour rep rer les meilleurs N anmoins il peut tre judicieux selon les solutions de s curit recherch es de recruter des personnes aux parcours moins acad miques comme par exemple et ce ne devrait plus tre un tabou d anciens hackers Si l image de ces derniers est devenue n gative car ils sont associ s aux op rations d intrusions informatiques ils sont pourtant assez cr atifs et innovants lls poss dent une qualit unique et pr cieuse de compr hension organique et non pas syst mique des syst mes apportant ainsi une valeur ajout e certaine Pour pouvoir d fendre au mieux un 217 5e 218 Forum international de la cybers curit syst me il est n cessaire d tre capable de conna tre les modes d attaque et de les anticiper Ils sont donc les plus m me de concevoir les techniques juridiques
269. le principal centre de collecte des donn es personnelles par les groupes criminels Ainsi dans un internet social les utilisateurs sont pass s trop vite une soci t de la connaissance Les derni res r flexions conduisent envisager une stricte authentification sur les r seaux num riques avec une seule identit via une carte puce biom trique d identit N anmoins ce projet ne suscite pas l adh sion des populations La protection de son identit sur internet passe donc par l application de r gles simples visant prot ger ses donn es et son identit en dire le moins possible utiliser un antivirus et un pare feu r seau prot ger ses moyens de paiement et surtout ils n ont pas conscience des risques inh rents l utilisation d internet Il Des solutions Elles passent par l application des r gles l mentaires de s curit informatique Ne pas converser avec des inconnus car internet instille un climat de confiance propice aux changes Rapidement l utilisateur a tendance confier des informations caract re personnel une tierce personne dont la qualit n est pas tablie La meilleure fa on de se prot ger est de d terminer la stature de son interlocuteur Il faut changer r guli rement ses mots de passe et surtout d voiler le moins possible d informations nous concernant sur internet En mati re de s curit bancaire il ne faut pas h siter renforcer la s
270. le ici de solutions d authentification et de signature propos es sur diff rents supports t l phones mobiles cl s USB cartes bancaires et accept es par tous les sites Web publics et priv s qui exigent une garantie d identit ou une signature lectronique Ce projet visera trouver les solutions en phase avec la doctrine d finie par l Etat et c est tout le sens de la pr sence de ce dernier au capital de la soci t Id num Quels sont les avantages du projet Id num 2 Permettez moi d insister un peu mais je crois vraiment qu il s agit d un projet qui va changer beaucoup de choses sur trois plans Sur le plan conomique tout d abord Id num va contribuer rendre possible l Internet de confiance que nous appelons de nos v ux Les internautes utiliseront encore plus volontiers les services en ligne d j existants tandis que naf tront de nouveaux services haute valeur ajout e Sur le plan social ensuite ld num permettra de ren forcer la protec La France poss de de nombreux atouts dans le domaine de la cybers curit m me si on ne le 5 Forum international de la cybers curit J ajoute que le march de la s curit des sys t mes d information et des r seaux pourrait re pr senter 16 milliards d euros au total en 2014 l enjeu conomique est donc majeur Quels sont les objectifs que doit viser cette po litique industrielle 2 J en vois trois Le premier favo
271. le r seau de distribution de la production locale d nergies renouvelables Cela comporte galement une information en temps r el de la consommation d nergie gr ce aux compteurs intelligents comme Linky d velopp par ERDF la construction d lots nergie positive la mise en uvre de Smart water networks capteurs et compteurs intelligents g rant les informations sur l tat du r seau la consommation les ressources disponibles mod le de gestion dynamique en temps r el Enfin en ce qui concerne la gestion technique centralis e des services il s agit de mettre fin au traitement des demandes par des de syst mes automatis s arrosage des espaces verts par exemple cr ation de bornes polyvalentes comme la nouvelle g n ration d horodateurs Nice etc 4 Ces horodateurs gr ce un syst me d information d ploy via des sensors et des meters dans la chauss e calculent instantan ment le nombre de places disponibles et les d passe ments horaires potentiels Il Anticiper et les vuln rabilit s g rer Si la ville intelligente pr sente un ensemble de solutions aux probl mes pos s par le d veloppement urbain et la gestion de la cit il est n cessaire d indiquer certaines limites induites par l introduction des syst mes d informations dans l armature urbaine Tout d abord nous pourrions assister l mergence de nouvell
272. les APT Or elle n est aujourd hui que d une journ e la plupart du temps ce qui pose et s adapter au contexte C est pourquoi le SOC rel ve aujourd hui du top management et non plus uniquement du RSSI Les outils qui permettaient il y a 10 ans de cela de r cup rer les incidents et d en avertir les administrateurs taient trop complexes utiliser et surtout trop lents Depuis ces outils ont t coupl s une dimension fonctionnelle et de vraies poli tiques de s curit pour en accro tre l efficacit I Les solutions l existence d une main d uvre qualifi e s impose pour mieux faire face des attaques de plus en plus discr tes cibl es et complexes Les attaques sont aujourd hui d sign es et structur es pour ne pas tre d tect es Pour y r pondre l analyse humaine des v nements de s curit dans un SOC est un l ment crucial C est l analyste qui distinguera les v nements de s curit importants de ceux qui le sont moins Et face une menace furtive le SOC permet simplement de gagner du temps Le d velop pement des SOC est cependant confront au manque de main d uvre qualifi e Combler ce manque l aide par des formations ad quates et attractives reste l un des principaux challenges des prochaines ann es tant donn la rapidit d volution et de sophistication des attaques Un SOC performant doit pouvoir s adapter aux besoins de l organisation prot ger ainsi
273. les bases d une action commune pour l usage d internet en toute s curit Lille le 28 janvier 2013 Manuel VALLS et Fleur PELLERIN ont cl tur le Forum International de la Cybers curit FIC la ministre a enfin annonc le lancement d un projet d identit num rique Dans le cadre qui s est d roul Lille les 28 et 29 janvier 2013 A l occasion de cet v nement international Fleur PELLERIN a r affirm sa volont de garantir un Internet libre ouvert et s r Elle a rappel que le secteur de la cybers curit est d cisif pour notre pays et qu il doit se structurer pour gagner en visibilit l international La ministre a salu plusieurs fleurons fran ais et a soulign la n cessit d encourager ces entreprises grandir et conqu rir de nouveaux march s notamment trangers dans le respect bien videmment de nos valeurs fondamentales Fleur PELLERIN a galement rappel l importance des mesures prises par le Gouvernement pour assurer et renforcer la confiance dans l conomie num rique notamment dans le des investissements d avenir l Etat le Groupe La Poste Euro Information Groupe Cr dit Mutuel CIC ainsi que PagesJaunes et SFR se sont unis pour cr er la soci t Id num Sa mission sera de f d rer en France le plus grand nombre d acteurs du num rique autour de r f rentiels communs et de solutions d identit s num riques universelles Pour la ministre
274. les gendarmes les douaniers qui dans la capillarit de leur r seau territorial sont des r cepteurs de signaux faibles ou m me de signaux forts qui ne sont pas souvent exploit s La troisi me cons quence concerne les res sources humaines Ce sont souvent les m mes hommes les m mes femmes qui peuvent un jour agir dans le cadre de la lutte contre la cy bercriminalit et un autre jour au service de la cyberd fense Il faut donc r fl chir sur le recru tement la formation les cursus de carri re Le quatri me point porte sur la recherche et le d veloppement Cette question s inscrit pleine c est l unit de action diplomatique au ser vice d une strat gie de cybers curit qui int gre aussi bien la coop ration militaire que celle en mati re de s curit int rieure Jean Claude BOURRET Merci mon g n ral Tous les jours nous constatons quand nous sommes devant nos crans d ordinateurs la fragilit des syst mes de protection Tous les jours on d couvre des failles de s curit qu il faut corriger Ma ques tion est la suivante pensez vous qu il y ait dans toutes les arm es du monde et en parti culier dans l arm e fran aise suffisamment de personnel qualifi pour faire face ce genre de menace G n ral d Arm e 25 Marc WATIN AUGOUARD S agissant de la premi re question je pense qu elle rel ve des comp tences de Patrick PAILLOUX qui e
275. leversements Autre constat du CLUSIF les attaques informa tiques cibl es se sont amplifi es en 2012 tant par leur nombre que par la richesse de leurs modes op ratoires ou par leur gravit mal ware Sykipot et Mirage piratage de la NASA de l agence spatiale japonaise de Verisign du MoD britannique etc l implica tion des tats des fins d espionnage a souvent t invoqu e apr s ces d couvertes mais les commanditaires n ont jamais t ce jour clairement identifi s Le CILUSIF note cependant une corr lation entre ces attaques et des tensions pr existantes g opolitiques conomiques militaires soci tales entre les protagonistes suppos s regrette aussi la tentation du sensationnalisme dans le traite ment m diatique contraire la sensibilisation et pr judiciable au secteur de la s curit Toujours selon le CLUSIF l exag ration et parfois m me la d sinformation sont suscepti bles de brouiller voire de d cr dibiliser le message sur les risques li s aux menaces informatiques Ill Hack As A Service Pour le CLUSIF le commerce de la malveil lance se porte bien S loignant des forums underground la nouvelle recette des pirates passe par la mise en place de sites de vente en ligne qui ressemblent ceux de l e com merce habituel dans lesquels on ach te et on paye en un clic sans jamais se rapprocher du vendeur qui peut ainsi rester dans l ombre keting cib
276. lle et toute cette probl matique de non d pendance touche videmment un autre sujet tr s sensible qui est la s curit et l appro visionnement Bien s r si les technologies sont d velopp es dans d autres pays y compris europ ens on peut en assurer le contr le mais nous ne sommes pas l abri d une prise de capital ou de contr le de certaines entreprises dans d autres pays et de ne plus disposer des m mes outils pour effectivement assurer la ma trise de la base industrielle Jean Marie BOCKEL Dans mon rapport je souligne tout l int r t de renforcer la coop ration bilat rale avec l Allemagne et le Royaume Uni En effet dans dans ce domaine Je pense notamment aux aspects industriels o nous aurions int r t nous rapprocher de nos partenaires allemands Il ne faut non plus n gliger galement la place de certains petits pays l image de l Estonie qui sont tr s en pointe sur le sujet pour des rai sons videntes et qui sont tr s d sireux de nouer des relations avec la France dans ce domaine aupr s de l agence nationale de cybers curit estonienne Toutefois au sein de l Union europ enne comme de l OTAN un grand nombre de tats membre ne sont pas encore suffisamment sensibilis s ces questions Or dans la cha ne de cyberd fense la s curit de tous repose g n ralement sur le maillon le plus faible Denis FORTIER Vincent Marfaing avez vous un exemple Vincent M
277. lles Ces types de technologies et d analyses de donn es peuvent tre utiles la fois aux individus et plus largement la soci t Mais il y a un important pr alable nous avons be soin de nous assurer que ces donn es sont uti lis es de mani re responsable D un point de vue thique nous pourrions ap s rieuse les r gles pr vues par la loi Je veux simplement voquer certaines choses que nous avons faites au sein de la grande commu naut internet Nous tions le principal fournisseur d acc s au web offrir pour tous nos services de proto cole SSL par d faut Autrement dit personne ne peut pirater la ligne Nous sommes l un des premiers avoir adopt la double authenti fication Ce n est pas simplement le mot de passe qui pourrait tre le m me que vous utili sez pour votre tablissement bancaire ou votre service de vid o la demande mais il y a autre chose dont vous disposez dans cette pro c dure de double authentification c est un 63 5 Forum international de la cybers curit 64 code qui vous est envoy sur votre t l phone Ou bien vous utilisez quelque chose qui per met de g n rer un code m me si votre mot de passe connu est compromis De ce fait il est moins vident et plus difficile de compro syst mes juridiques tels que les assignations comparaitre les ordonnances d livr es par les juges les mandats de perquisition sign par les juge
278. loppement d un Je vous remercie 27 aTh OS Le partenaire naturel des strat gies de cybers curit y LL Concevoir D ployer Contr ler Politiques Dispositifs Plan de contr le Classification des actifs Techniques et Humains p riodique et permanent Analyse des risques Organisationnels et R glementaires Notre Vocation Aider nos clients concevoir d ployer et contr ler la politique amp la strat gie de d fense de leur entreprise www atheos fr 11 RE prn La yber s curit globale F 1 FI p Bull votre partenaire de confiance dans le cyberespace Avec Bull leader europ en de la cyber s curit globale analysez vos cyber risques et pilotez votre s curit dans r SC LI DhOGE 2 hu pen ANT ax a SI ES RD E une gouvernance unifi e Maintenez vos syst mes en condition de s curit avec une d fense en profondeur adapt e anticipez et r agissez imm diatement aux attaques gr ce une d fense active www bull com 5 Forum international de la cybers curit 30 P1 Le continuum d fense s curit dans le cyberespace Jean Claude BOURRET esdames messieurs voici donc la premi re table ronde de ce forum Premi re table ronde pour laquelle va participer le g n ral WATIN AUGOUARD directeur du centre de recherche de l cole des officiers de la gendarmerie nationale an cien i
279. lutions de s curit et cr er des vuln rabilit s Les tech nologies de rupture dans le domaine de la s curit n cessitent un d cloisonnement des disciplines en mati re d innovation Alors que dans les laboratoires aucune hi rarchie n est impos e dans la phase de d veloppement et que beaucoup de latitude et de moyens sont accord s aux quipes les Etats Unis promeuvent le co d veloppement et l interdisciplinarit Un programme militaire tr s performant sur le cyber g nome analyse de virus servant identifier la source de tout mat riel lectronique se conjugue avec ceux de la DARPA Defense advanced research projects agency qui croisent les recherches cybern tiques et biologiques cyber anthropologie cyber g n tique cyber sociologie etc Leurs laboratoires commencent d velopper des composants lectroniques cr s partir de prot ines ou utiliser de l ADN synth tique pour stocker des donn es En mati re de brevets les Am ricains conservent le leo dership Vient ensuite l Europe o les Allemands d posent la moiti des brevets puis l Asie au sein de laquelle le Japon a la pr minence Une solution consiste dans le recours des hackers priv s ou tatiques lls sont incit s par le versement de primes participer au renfor 191 5 Forum international de la cybers curit 192 cement de la s curit Des soci t s de hackers rep rent
280. lystes l Estonian Defence league dont la philosophie pourrait utilement se pr ter duplication dans d autres tats Les t ches principales de ce dispositif r sident en des manon uvres et exercices comme de nouveaux tests d intrusion dans les syst mes 1 L cole Nationale Sup rieure d Ing nieurs de Bretagne 5 Forum international de la cybers curit Au global les solutions les plus idoines appo raissent tre l instauration de synergies entre les structures adopt es la pr paration des per sonnels formation et une coop ration optimis e entre les Etats Europ ens en premier lieu 197 5 Forum international de la cybers curit B D veloppement informatique s curis Intervenants Bertrand GARE Informaticien Eric FILIOL Directeur R amp D laboratoire de virologie et cryptologie op rationnelle ESIA Bernard ROUSSELY Responsable commercial SSI Bertin technologies Vincent BUFFRERNE Expert s curit SOGETI Franck ERMEL Ing nieur principal des tudes et armements DGA Minist re de la d fense Martine GUIGNARD Responsable s curit des syst mes d information Imprimerie nationale R sum des interventions La dimension de la s curit du code est strag gique industrielle et humaine Elle requiert une formation sp cifique en amont associ e une forte senbilisation du d veloppeur Le d veloppement s curis ne peut repo
281. m thode de certification Les m thodes priv es am ricaines vont dans le bon sens du fait de leur appariement un process industriel d j ma tris en dehors d un aspect marketing Ces normes n cessitent toutefois une v rification pour l industriel qui veut les int grer I faut mener de mani re volontariste un travail de sensibilisation des acteurs de diagnostic de d tection des failles tout en restant confront des personnels qui ne ma trisent pas le concepts de s curit tant dans la gestion de son architecture que du fait de mauvaises pratiques persistantes Les formations doivent galement concerner les pratiques d faillantes Actuellement 90 des mots de passe correspondent ceux des appareils qui sont livr s Il est imp ratif pour les constructeurs d informer le client sur les modalit s de communication des automates notamment ceux qui int grent des serveurs Web Il est en cons quence n cessaire d engager des formations professionnelles L industriekclient doit avoir une parfaite connaissance du SCADA et de son volution doit conna tre les modifications du syst me qui a t implant initialement celles qui ont affect des sites d port s et qui font que les syst mes diff rent en terme d exploitation au sein d un m me ensemble d informations La s ret des processus peut emprunter la voie de la redondance des dispositifs d acheminement des flux qui se r v le industriell
282. m tiers de la s curit informatique et les modes de management uti lis s I Les probl matiques Les m tiers de la cybers curit sont multiples et vari s consultants responsables de la politique de s curit dans le domaine organi sationnel ou d audits et de tests d intrusion pro fessionnels charg s des impl mentations de solutions ceux qui travaillent dans les Security Operating Center SOC qui alertent sur les comportements suspects attach s un m tier ing nieurs chercheurs l ensemble de ces sp cialistes uvrent avec un m me objectif mais l abordent chacun avec un regard diff rent Le but est de parvenir embrasser l ensemble des probl matiques li es la Cybers curit l int rieur m me de chacun de ces m tiers de nombreux types de profils diff rents sont donc requis On peut les classer en deux cat 216 gories d un c t les gestionnaires dont les missions principales sont de g rer et de surveiller les r seaux et de manager les quipes coor donner d un autre c t les cr atifs qui s inves tissent dans la recherche dans la mise en uvre d une nouvelle architecture de s curit dans le forensique et poss dent une aptitude au d passement Le management consiste donc parvenir articuler ces profils distincts mais compl mentaires dans une m me quipe et de d terminer les indicateurs permettant d en mesurer l effic
283. mbreuses fois 5 Forum international de la cybers curit A3 Clusif Panorama de lo cybercriminalit ann e 2012 Intervenants Fran ois Paget Secr taire G n ral du CLUSIF chercheur chez McAfee Labs R sum des interventions En 2002 le CLUSIF pr sentait son premier Panorama de la Cybercriminalit Depuis onze ans cet exercice claire le public sur les tendances du moment et l mergence de nouveaux risques I permet de relativiser et de mettre en perspective des incidents qui ont tort ou raison d fray la chronique A partir de 2009 le panorama s est largi aux v nements accidentels et aux faits de soci t pouvant induire ou aggraver des ac tions cybercriminelles La s lection des sujets est r alis e par un groupe de travail pluriel constitu d experts en s curit venant du priv comme de l administration Les informations utilis es proviennent exclusivement de sources ouvertes l dition 2013 du Panorama pr sent e au FIC s est focalis e sur cinq grands sujets I Ni la fin du monde ni la fin des accidents me si les v nements accidentels ne sont pas stricto sensu de la cybercri minalit les pannes et les accidents font partie des risques num riques Et 2012 n a pas chapp son lot d incidents Blackout lectrique en Inde panne chez Orange temp te aux USA En ao t Knight Capital un poids lourd de Wall Street sp cialis
284. ment va mettre en oeuvre des formules pour tenter de retenir le cryptogramme les 3 chiffres qui se trouvent au dos de la carte En effet c est la seule information non imprim e sur le ticket dit par le lecteur de carte Il est rappel que pour utiliser une carte il faut 3 informations le num ro de la carte la date d expiration et le cryptogramme La difficult r side dans l objectivation et la mobilisation d une ressource humaine et technique pour analyser une suspicion de fraude Aujourd hui on ne sait pas valuer la fraude Surtout on ne sait pas emp cher la r utilisation des donn es r cup r es des prix insignifiants partir de disques durs ou de t l phones mobiles vendus sur ebay sans vidage pr alable Le r le de l Observatoire de s curit des cartes de paiement est de surveiller les mouvements incoh rents r p titifs dans un espace d termin et limit 203 5e 204 Forum international de la cybers curit Il La construction d une r ponse aux menaces Des pr conisations peuvent tre formul es La premi re est de mettre en place une s curit active qui passe par l adaptation l volution des menaces convient de r aliser un journal des v nements qui puisse permettre de com prendre les incidents leur cin matique et le degr de menace D s qu un point de com promission est identifi une course d fense attaque se met en pla
285. ments distance et plus particuli rement en mati re de paiement sur internet En terme de typologie de fraude le num ro de carte bancaire usurp arrive en t te avec 59 9 des cas constat s devant la carte perdue ou vol e 36 1 La fraude la carte bancaire est possible selon trois modes op ratoires l uti lisation par un tiers d une carte perdue ou vol e la contrefa on d une carte ou l utilisation des identifiants de la carte num ro date d expi ration par une autre personne que son titulaire Les cas de contrefa on concernent la piste magn tique de la carte En effet la reproduction de la piste peut permettre une utilisation frau duleuse dans les pays o la technologie de la carte puce n est pas utilis e La copie de la piste magn tique soit par une personne mol veillante soit gr ce un dispositif plac sur le terminal de paiement ou sur le DAB est connue sous le nom de skimming Le volume de la fraude transfronti re est sup rieur celui de la fraude domestique Ainsi en 2010 on observait 25 de fraudes pour 2 de paiements transfrontaliers acquis hors espace SEPA Les niveaux de fraude sont moins lev s dans la zone euro 1 L Espace unique de paiement en euros en anglais Single que dans l Espace Euro Payments Area SEPA unique des paie ments en euro Une analyse des flux de paiement dans et hors de l Espace unique de paiement 5 Forum int
286. mi re s rie d valuations sur la mise en uvre de la convention par les parties Le rapport d valuation a t mis en ligne la semaine derni re Nous avons analys 105 5e 106 Forum international de la cybers curit comment les parties de la convention ont mis en uvre les articles 16 17 29 et 30 sur la conservation rapide des donn es En 2013 l accent de l valuation sera port sur l efficacit de la coop ration internationale En d cembre l esp re que l on va avoir aussi une valuation de l efficacit de la coop ration internationale par les parties la convention Je crois que nous sommes en bonne voie avec la convention de Budapest Troisi me propos il y a un besoin d acc s trans frontalier par les investigateurs aux donn es stock es quelque part dans le nuage Je crois qu il y a d j quelques intervenants qui ont d j voqu le probl me des comp tences ter ritoriales dans un contexte de cloud computing Les donn es en fait ne se trouvent plus sur les ordinateurs individuels elles se trouvent quelque part dans les nuages souvent l tranger souvent dans des localisations inconnues Alors qui demander une entraide judiciaire 2 La convention de Budapest sous l article 32 pr voit des possibilit s tr s limit es d acc s transfrontalier mais on a aussi constat que beaucoup de pays beaucoup d tats aussi qui font partis de la convention de Budapest vont au del de
287. mple avec des feux de signalisation ou encore les voitures communicantes l augmen tation de l ouverture des syst mes l internet et du nombre d entit s connect es augmente consid rablement le nombre de cibles de la malveillance et globalement la fragilit de tamment le fait de ne pas perdre notre me pour moi cela veut dire donner du sens l cosyst me num rique Ainsi la cybercrimina lit croit avec le nombre d internautes et d entit s raccord es internet au changement ne pas le subir mais en tre un acteur part enti re C est pour cela qu il 51 5 Forum international de la cybers curit 52 Force est de constater que la miniaturisation des composants lectroniques les puces RFID Radio Frequency Identification les nanotech nologies les poussi res intelligentes smart dust la prolif ration de capteurs que l on peut int grer dans toutes sortes d environnements y compris dans le corps humain notion de pro th se num rique de fusion des mondes biolo gique et lectronique les communications sans fils favorisent l interconnexion d quipe ments lectroniques grande chelle par des technologies de l internet On voit ainsi appo ra tre une potentialit de piratage importante avec des impacts sur la s curit conomique mais aussi sur la s curit et la s ret publique la s curit physique et la s curit des indivi dus C
288. mputing la SSI est indissociable des infrastructures de t l communication mises en uvre et utilis es par les op rateurs Fournisseurs d un produit il incombe ces derniers de s assurer de la s curit des quipements r seaux Enfin en mati re de t l communication la s curit mise en place doit tre suffisante pour garantir et d velopper la confiance entre les diff rents partenaires l Etat des lieux a s curit des t l communications est troi tement li e la s curit des quipements r seaux Les derniers travaux publi s montrent qu en France la r silience de l internet a atteint un niveau acceptable Cependant une vigilance de chaque instant est de mise dans la mesure o internet a pris une place telle dans les activit s et l conomie du territoire qu il reste sensible la moindre menace A ce titre la France occupe une position originale puisque avec cinq op rateurs lt grand public qui d ve loppent leurs propres infrastructures la concurrence dans le domaine des communications lectro niques est une r alit concr te et effective Pour leur part les quipementiers contribuent eux aussi renforcer cette r silience d une part en int grant la notion s curitaire d s la conception de leurs produits et d autre part en maintenant une recherche permanente en cybers curit afin d tre en mesure d anticiper ou de r agir dans l hypoth se d une panne
289. n es person nelles associ es Cela pose de nombreuses questions d ordre politique conomique et technologique qui l identit num rique devrait tre lastique et varier dans le temps Elle ne sera pas tour jours la m me en fonction du contexte d utili sation et des entit s impliqu es C est en utilisant de multiples identit s num riques en fonction de l usage en les distribuant et en mo trisant les diverses caract ristiques r parties d une identit num rique qu il faut apporter des solutions technologiques Il faut que la technologie offre une r ponse co h rente et fiable aux acteurs concern s par la ma trise d une certaine identit num rique no tamment pour des applications commerciales ou de cyberadministration Lorsque j utilise ma carte bancaire pour faire une transaction com ne peuvent tre r solues uniquement par une seule approche technologique ou s curitaire l humain qui devrait tre au c ur du d ve loppement du cyberespace est en fait actuel lement perdu dans le cyberespace perdu du merciale sur le net ce n est pas qui suis je 2 qui est important c est de savoir si je suis en mesure de payer la transaction financi re l usage de l identit sur internet d pend vrai ment du contexte dans lequel elle est mise en uvre Les solutions doivent s adapter ce fait qu il ne ma trise pas suffisamment ni les besoin et bie
290. n mobilisant toutes les technologies propres la manifestation de la v rit Traces biologiques traitement de l image du son exploration des surfaces de disque investigations sur les r seaux etc 151 5 Forum international de la cybers curit 152 Il Les attentes Les victimes attendent une aide dans leur cheminement Les difficult s r sident dans le caract re transnational des bandes organis es la nationalit des sites rarement fran ais l identification des auteurs et le risque d atteinte au secret des affaires Se surajoutent ces param tres des probl mes mat riels choix de la trace qui doit tre d tect e ou identifi e validation des cibles qu il convient de privil gier en protection les modalit s d anticipation afin d organiser une r action efficace l aide aux victimes environ 500 000 par an s inscrit dans la dur e Dans ce domaine on proc de une classification en deux entit s le groupe arnaques et le groupe intitul cyberintimidation Enfin pour mieux aider et pr venir les victimes pr sentes et futures il s agira de les informer sur le r le et le potentiel de la CIVI 2 notamment quant au r gime des indemnisations pour r paration du pr judice Le groupe lt la emmener Poste pour compos e de deux magistrats et d une personne qualifi e pour les sa part r solu probl mes de victimes htp www association aide victim
291. n plus sensibilis s ce genre de menaces Sans remonter outre mesure dans le temps force est de constater que les atteintes aux syst mes d informations n pargnent plus les collectivit s territoriales que ce soit en France ou l tranger Le premier type d attaque informatique revient la p n tration d un SI d une collectivit depuis l ext rieur Nous rel verons ce propos un l on constate ainsi des prises de contr le distance d un ordinateur cible de la collecte d informations confidentielles des compromission de syst mes et usurpation d identit les donn es caract re amp Alors que ces attaques concement le plus souvent des entreprises et des personnel deviennent une cible de informationnelles choix soit directement soit indirectement ces informations pouvant ainsi conduire des d lits de vols d identit s Parall lement il est ais de relever particuliers elles deviennent de plus en plus complexes et devraient t t ou tard toucher les collectivit s territoriales maillon indispensable au bon fonc tionnement de notre pays et sources premi res de donn es personnelles sus ceptibles d tre vendues ou utilis es comme vecteurs d attaques exemple particuli rement symptomatique de compromission de syst mes mettant en cause une grande ville la ville de Reims 51 a subi dans les premiers jours de mars 2011 une attaque de type p n tration directe via un
292. n production est correct Cela n cessite un travail de d monstration des cons quences du bug l audit du packaging permet d lever les privil ges les contr les sur la plate forme de production et de fortement tester la production Il importe d engager un travail de certification et de mise niveau des formations des d ve loppeurs I convient galement de mettre en place la d finition de r gles de codage m me en s inspirant de standards L ANSII a mis un CERTA et publi des notes d informations relatives au d veloppement s curis des applications Web et clon es Les diteurs maintiennent le produit un certain temps mais il est difficile de suivre les volutions du produit Le CERTA rel ve les syst mes logiciels r pandus et les SGBD ainsi que leurs correctifs sur un seul docu ment dans une vision panoramique des produits support s Il met un bulletin d accompagnement d actualit qui attire l attention sur des applicatifs centraux bien d velopp s mais qui peuvent se voir affect s de modules compl mentaires pas toujours bien maintenus en SSI 5 Forum international de la cybers curit B10 La r silience internet Intervenants Jean Luc LEFEBVRE Colonel IRSEM St phane BORTZMEYER Ing nieur R amp D AFNIC Fran ois CONTAT Inspecteur ANSSI sp cialiste des r seaux David SIMPLOT RYL Directeur du Centre de Recherche INRIA Lille Nord Europe Guillaume VALADON
293. n qui nous permet de mieux cerner les probl matiques de ce domaine Je vais main tenant donner la parole au g n ral ric que cela d pend du nombre de personnes interroger notamment celles qui sont dans des postes cl Pour les raisons que j indiquais tout l heure on ne peut pas se contenter d in BONNEMAISON Vous tes directeur adjoint de la D l gation aux affaires strat giques Vous assistez le ministre de la D fense en ma ti re de politique de d fense et de relations in terviewer le responsable de la s curit ou le directeur des syst mes d information parce que la probl matique va toucher en fait tous les di recteurs c est dire les directeurs op ration nels les directeurs m tier tous ceux qui sont amen s utiliser des donn es Une approche par le risque donc centr sur les donn es sup ternationales La d l gation aux affaires strat giques contribue galement la r flexion strat gique et prospective du minist re Au quotidien la DAS participe activement la d finition des positions de d fense l OTAN l Union europ enne notamment en mati re de cyberd fense Vous avez command les pose d interroger suffisamment de personnes et de d tecter le maillon faible qui d ter mine le niveau de protection II faut aller iden tifier de mani re assez globale l o il n y a rien l o il y a des interconnexions l o il y aurait des
294. n s r il faut qu elles puissent per mettre si n cessaire de faire un travail de po technologies ni son identit num rique ni les services qu il utilise qu il ne comprend pas les enjeux globaux et long terme de la perte de ma trise de ses donn es qu il ne sait comment ses donn es et ses projections iden titaires sont utilis es par les acteurs licites et il licites de l Internet Pour ne pas trop s attarder ni entrer dans des d tails technologiques de la protection de l identit num rique je consid re qu il est n cessaire qu elle repr sente d une part l invaria bilit et la variabilit de l identit dans le temps voqu e pr c demment et qu elle soit ma tri s e d autre part par le duo constitu du pro pri taire de l identit et du fournisseur de service utilis lice et de justice Cela soul ve des questions de responsabilit s associ es cette notion d identit Pour conclure en rebondissant sur le titre de cette table ronde relatif la vie priv e et l thique dans le cyberespace j aurais envie de rappeler que la vie priv e doit rester pri v e et de remarquer que ce qui me choque l heure actuelle c est l ducation que nous sommes en train de donner nos enfants car pour les prot ger sur le Net nous leur recom mandons de mentir les seules recomman dations que nous sommes en mesure de leur proposer se r sument ne donne jama
295. ne cyberattaque paralysant le r seau de distribution d eau ou d lectricit d une grande ville Le domaine nerg tique est tr s particulier au sein du secteur industriel car il comprend une dimension fortement strat gique Le risque pesant sur les SCADA nerg tiques comporte deux aspects essentiels l espionnage ou encore le sabotage qui est le risque majeur En effet le d ni de service est totalement paralysant pour une entreprise car l volution de l informatique industrielle a supprim le cloisonnement qui existait auparavant entre les trois niveaux que sont la gestion de production la gestion interne de l entreprise et la gestion de l ensemble de ses cellules Le monde industriel connait une vraie difficult s adapter ces nouvelles menaces Dans ce secteur la pr vention s exerce beaucoup plus contre l accident que contre l atteinte d lib r e Une autre diff rence de culture est soulever dans le domaine industriel le cycle de vie d un syst me de type cha ne de production est estim une trentaine d ann e Or l informatique d entreprise connait un cycle de vie qui ne d passe pas 5 ans et qui subit durant ces cinq ann es bon nombre de modifications et de mises jour II Une protection possible gr ce l anticipation et la formation La prise de conscience est tr s r cente En ao t le groupe p trolier saoudien ARAMCO a vu 40 000 de ses ordinateurs infec
296. ne participation de tous sensibilisation des personnels la s curit et sur la mise en uvre de moyens humains et techniques visant prendre en compte les diff rents aspects de la s curit Une des priorit s est de s assurer de l existence et du suivi d un certain nombre de documents majeurs dont l absence serait de nature retarder toute d tection de menace ou de dysfonction nement est conseill tout d abord de r aliser un triptyque compos du sch ma directeur infor matique du plan de c blage et du plan d adres sage consignant l ensemble des adresses r seaux attribu es et leurs emplacements physiques et logiques Il sera propos un tableau de bord en utilisant les pr conisations mises par le club de la s curit des syst mes d informations fran ais CLUSIF Un plan de continuit de l activit et un plan de reprise d activit une charte de bonne utilisation d Internet et une charte de bonne utilisation de la messagerie pourront compl ter le dispositif En ce qui concerne l aspect RH des s ances de sensibilisation doivent tre programm es au profit de tous les agents avec des rappels application des protocoles d usage de l outil informatique politique des mots de passe etc et des mises en application Pour l aspect technique il est indispensable de mettre en place le minimum requis pour la pro tection antivirus pare feux etc et d utiliser au maximum le cryptage des
297. niveau de l Europe l enjeu est tr s simple l Union europ enne doit montrer qu elle est co pable de r nover ses instruments tout en gar dant ce qui a fait sa sp cificit Sa sp cificit c est une approche o l utilisateur est au cen tre une approche o on a un tr s haut niveau de protection des donn es caract re person nel et finalement une approche assez humo niste de la protection des donn es personnelles videmment cette modernisation se fait avec les entreprises les entreprises qui on explique que la protection des donn es doctorat en informatique de l universit Pierre et Marie Curie en 2001 Gwendal LE GRAND Je vais vous parler essentiellement de l volu tion du paysage de la protection des donn es au niveau europ en La CNIL est comp tente d s lors qu il y a un traitement de donn es caract re personnel Cela touche les entre prises et le secteur public Cela concerne aussi bien les services en ligne que les cartes d iden tit s qui sont mises en uvre par l tat ou plus personnelles ce n est pas seulement un co t mais aussi un investissement Et c est a fina lement qui permettra de cr er une synergie entre protection des droits fondamentaux d un c t et innovation technologique de l autre C est d ailleurs un des points d attention du l gislateur europ en dans le projet qui est en train d tre tudi Pour y parvenir la France et l Europe s ap
298. niveaux et concernent la recherche d ing nieurs aux comp tences pointues la ma trise des syst mes de veille beaucoup d entreprises l ensemble des strat gies de d veloppement doit s organiser tant pour la s curit des applications que pour celle des syst mes industriels avec un volet juridique dans les formations pour r pondre aux incidents des institutionnels lutte contre la d linquance et enfin la sensibilisation de la population sur l identit num rique Ces besoins sont li s une volution vers une rapidit et une individualit de l information et justifient une synergie entres professionnels et universitaires Pour l heure il n existe pas de lien entre le champ professionnel et une structure d tat l image de ce qui se pratique par exemple pour la Sant publique Le manque de vocation constat est pour l essentiel li l absence d un parcours professionnel complet s agit de fid liser les tudiants qui partent pour beaucoup dans les structures publiques ANSSI MINDEF Enfin il s agit d instruire la totalit de la population pour acqu rir les fondamentaux de l espace num rique dans lequel elle se d place au ou rd j h U i 2 Ceuxci n h sitent pas par ailleurs faire des changements dans leur carri re en l absence de r elles fili res de carri re 1 L ensemble des fili res est codifi r f rentiel des emplois quotidiennement
299. nn es Le constructeur doit garantir l int grit du programme tandis que le traitement de cybers curit conciliera l int grit des donn es et leur disponibilit avec de l information et du syst me Les contrats de maintenance doivent tre act s en cons quence Un politique d audit interne doit tre men e par une quipe structure externalis e de fa on confronter les pratiques des automaticiens les fonctionnalit s de l entreprise A titre d exemple une porte automatique doit pouvoir s ouvrir pour laisser passer les secours La d finition des enjeux de la s curit n est pas du ressort de l agent et des membres des SSI et de leurs servants avec des personnels sp cialis s dans la s curit informatique Les notes de service doivent tre tr s pragmatiques et applicables Une int gration de l interface entre les quipementiers et le client est indispensable mais du plus haut niveau de d cision de l entreprise Cet chelon doit endosser la responsabilit de l analyse des risques r siduels On peut d plorer que la phase de l audit et son pilotage ne d passent pas le constat et on note que la politique des SSI est souvent Toutefois m me si l ANSSI a publi des guides chaque contexte industriel et logiciel est sp cifique Ce qu ont fait Alcatel et CISCO pour la t l phonie doit tre un mod le pour les industriels abandonn e pour des raisons budg taires Enfin nous
300. nn es personnelles ce qui entra ne des risques de d tournement La m thode utilis e par les d linquants pour s approprier ces donn es peut se d cliner en trois tapes collecte des donn es assemblage des donn es et enfin utilisation des donn es travers la cr ation d un faux titre d identit Le plus gros point faible concerne les pi ces justificatives utilis es pour la cr ation d une identit factures actes d tat civil Ainsi au moment de la cr ation de l identit il n y a pas de registre centralis d tat civil C est une faille dans la structure qui permet l usurpation 165 5 Forum international de la cybers curit 166 d identit D s lors il y a une r elle difficult pour les agents publics identifier la personne qui vient effectuer la demande d une pi ce d identit Cette probl matique se retrouve sur internet avec les moyens de paiement distance sont quasi impossibles falsifier N anmoins on peut craindre un d tournement de cette pratique de la part des tais Le r le des autorit s de surveillance comme la CNIL est donc renforcer pour lesquels il est quasiment impossible de v rifier correctement l identit du titulaire du moyen de paiement cet gard les groupes criminels proc dent la construction de fausses identit s num riques pour r aliser des actes d achat de vente ou des escroqueries Les r seaux sociaux sont
301. notre aventure au point de devenir aujourd hui un partenaire essentiel avec CEIS et Euratechnologies Ce Forum se tient nov veau Lille il restera Lille Ce n est pas un salon ce n est pas un col loque c est un forum ouvert d cloisonn Il est ouvert sur l international parce que la cybers curit est tributaire d une coop ration interna tionale renforc e Une quarantaine de pays sont ici repr sent s ce qui d montre bien que la cybers curit n est pas seulement un enjeu francofran ais ni un enjeu europ en mais un enjeu mondial Merci monsieur le Ministre d tre pr sent Vous tes en quelque sorte le chef de file de toutes les d l gations interna tionales qui sont aujourd hui parmi nous et que je salue Forum ouvert sur le monde le FIC est aussi un lieu de d cloisonnement L ac tion solitaire est vaine dans le cyberespace Nous devons d cloisonner l action des ser vices de l tat qui doivent travailler ensemble mieux travailler ensemble Nous devons aussi favoriser la convergence entre l action du sec teur public et celle du secteur priv Personne ne poss de lui seul la r ponse aux menaces et aux risques qui p sent sur cet espace de li bert La s curit sur le cyberespace ne se conjugue pas avec lex je avec le tu ni avec le il elle se conjugue avec le nous nous tous ensemble c est dire ici les 2 400 inscrits repr sentants toutes les professions toute
302. nous en mati re de perspectives d avenir par rapport ce forum Nous faisons pratiquement le plaidoyer comme l ont dit mes pr d cesseurs de la formation C est imp rieux aujourd hui car il y a chez nous un probl me de la connaissance tr s faible de l informatique En Afrique c est vraiment un probl me qu il faut prendre c ur parce qu il faudrait arriver s curiser l espace et en m me temps garantir moins la question De mani re g n rale il se les investisseurs qui peuvent venir Si les inves pose un probl me r current car en l absence des lois sp cifiques l exercice devient vraiment difficile pour le magistrat ou le juge Il doit faire une gymnastique pour essayer de trouver dans la loi g n rale les dispositions qui peuvent donner lieu une qualification Prenons le cas par exemple de la visite de sites de films p do pornographiques Le juge r sout la question en visant simplement la disposition qui r prime les atteintes aux bonnes m urs On essaie de qualifier l escroquerie pour la fraude en mati re de cartes On trouve ainsi une disposition l gale pour r primer parce que l on ne peut pas laisser un vide laisser le d linquant uvrer souhait Il se pose donc un probl me majeur d actualisation de textes pour s adapter aux infractions qui viennent avec les nouvelles tech nologies notamment la cybercriminalit Une tisseurs viennent dans un pays o la l gisla
303. ns Etats sovi tiques les tats Baltes etc Parce qu ils ont connu le joug la dictature ils ont une peur bleue d un internet s curis Donc tous les textes que nous arriverons voter seront des textes fond s comme d habitude sur un consensus Il faut tenir compte de cet tat d esprit de ces pays o tous groupes poli tiques confondus de l extr me droite l ex tr me gauche c est la m me position de la fraude en ligne impliquant le vol des d tails de comptes bancaires et des cartes de cr dit Ce centre europ en sera aussi une plate forme pour les enqu teurs europ ens les entreprises priv es les chercheurs et les associations d uti lisateurs Et puis ce sera un partenaire dans les interactions avec les autres acteurs internatio naux ext rieurs l Union europ enne C est donc une initiative extr mement importante et on en attend beaucoup S agissant du r glement pour la protection des donn es caract re personnel Le repr sen tant de la CNIL vous a dit beaucoup de choses que je ne vais videmment pas r p ter sauf pr ciser que je suis rapporteur la Commission des affaires juridiques sur ce texte Ce qui est tr s important et vous l aurez m fiance envers l tat dont je viens de vous parler y 1 Je parlais de cette directive mais puisqu elle est de mars 2010 elle est ancienne Je veux parler des initiatives r centes en ce qui concerne l Europe
304. ns apporter doit tre tr s structur e organis e tant au plan national qu europ en et international Je connais la volont r elle de coop ration ce forum en est la preuve mais aussi les difficult s parfois les r sistances pour construire cet ordre juridique et judiciaire international Certes nous disposons de textes pour lutter contre la cybercriminalit Mais ils sont trop nombreux Si je prends l exemple de la France ces textes sont diss min s dans cinq codes diff rents sans compter le code de proc dure p nale ni les lois non codifi es Un effort de r unification des normes de simplification d adaptation et de mise en coh rence est donc n cessaire tant au plan national qu international Le Conseil de l Europe a adopt en 2001 la convention de Budapest sur la cybercriminalit I s agit du premier trait international dans ce domaine qui vise harmoniser les l gislations nationales sur les infractions p nales commises au moyen des r seaux num riques nous faut aller plus loin Il nous faut galement mieux coordonner l action entre les services charg s de lutter contre la cyberd linquance ce titre je salue l ouverture le 11 janvier dernier du centre europ en de lutte contre la cybercriminalit EC3 qui mutualisera les moyens et apportera un soutien op rationnel tr s utile aux services dans chacun des 13 5 Forum international de la cybers curit 14
305. ns fait au cours de ces deux jours Je vous remercie de votre attention et je passe la parole au g n ral WATIN AUGOUARD G n ral d Arm e 25S Marc WATIN AUGOUARD onsieur le pr sident monsieur le pr fet monsieur le ministre messieurs les officiers g n raux mesdames et messieurs Le g n ral d arm e Jacques Mi gnaux aurait aim tre parmi nous ce matin pour prononcer ces mots d accueil Mais l ac tualit nationale l oblige participer une im portante r union Le directeur g n ral de la gendarmerie nationale nous rejoindra dans la journ e I m a demand de vous accueillir en son nom Je le fais avec plaisir parce que le FIC est n Lille vous le savez au d but de l ann e 2007 Il est n parce qu il y avait des pion niers notamment R gis Fohrer et Corinne Ob jois cette poque il n tait pas encore question des attaques massives qu a connues l Estonie Le Livre Blanc sur la d fense et la s curit nationale n avait pas encore plac la cy berd fense au rang des priorit s Le FIC est n Lille il a grandi Lille trop vite peut tre puisqu il est entr dans un sommeil actif apr s sa quatri me dition Aujourd hui le cin qui me Forum sur la cybers curit rena t Lille Ce n est pas un hasard ce n est pas une opportunit c est un choix l gitime un choix de fid lit D s le d but la r gion Nord Pas de Calais a partag
306. nseil Et il est impor 5 Forum international de la cybers curit tant de noter que non seulement l ensemble des directions g n rales de la Commission ont t impliqu es mais galement le Conseil c est dire le Service Europ en d Action ext rieure et l Agence Europ enne de D fense Madame Ashton tant la fois vice pr sidente de la Commission mais aussi Haute Repr sentante int gre les concepts li s la s curit et la d fense Beaucoup de technologies sont com munes Nous allons regarder de mani re plus large dans d autres domaines comme les tech nologies de l information de la communication ce que la Commission appelle les technologies cl s key enabling technologies qui offrent de pour les Affaires trang res et la D fense Nous avons d excellentes relations avec la Commission mais aussi avec les autres agences nombreux domaines dans lesquels on pourrait travailler en commun Pour vous donner une id e du niveau de coo comme l ENISA qui offrent un excellent effet de levier pour les tats membres Nous avons p ration actuel dans les cing derni res ann es les tats ont investi environ 700 millions d euros aussi r cemment t associ s au Centre europ en de lutte contre la cybercriminalit FC3 avec lequel nous allons coop rer de plus en plus L EC3 mobilise actuellement entre 40 50 per sonnes et pourrait compter d ici deux ans une de reche
307. nspecteur g n ral des arm es Nous recevons galement monsieur St phane d fense et la s curit sont en quelque sorte deux s urs siamoises Elles conservent chacune leur identit mais un tronc commun les rapproche de plus en plus Autrefois on aurait pu parler de contiguit d fense s curit dans la mesure o ces deux champs taient tangents Aujourd hui le continuum met en exergue le fait que certains enjeux rel vent en JANICHEWSKI qui est directeur de la cyber s curit dans le groupe SOGETI le g n ral ric BONNEMAISON de la d l gation aux affaires strat giques du minist re de la D fense Patrick PAILLOUX directeur g n ral de l ANSSI et Eduardo RIHAN CYPEL d put membre de la commission de la d fense na tionale et des forces arm es Je vais tout de suite donner la parole au g n ral WATIN AUGOUARD sur le th me qu est ce que le continuum dur 2 G n ral d Arm e 25 Marc WATIN AUGOUARD Le continuum d fense s curit caract rise l ab sence de distance de s paration entre le do maine de la d fense et celui de la s curit La m me temps des questions de d fense et des questions de s curit Nous vivions dans un syst me traditionnelle ment binaire guerre paix domaine civil do maine militaire Progressivement se construit un syst me beaucoup plus rh ostatique A chaque situation doit correspondre une com binaison d acti
308. nt analys es par des agences am ricaines I recense l utilisation des bonnes pratiques quitte en proposer de nouvelles La d marche de l Observatoire n cessite plusieurs tapes d finir les indicateurs pour faire des mesures puis trouver des sources d information pour alimenter ces indicateurs et mesurer ces derniers en utilisant avant tout des sources publiques en utilisant le r seau RIPE R seaux IP Europ ens Il faut enfin faire les mesures un tat via une agence tatique sp cialis e reste possible notamment si celle ci dispose de moyens et de capacit s techniques ou humaines Une action hostile vis vis de la France serait tr s compliqu e le maillage tant tr s fort avec ceux qui partagent nos fronti res Reste que le plantage gt d une partie d internet est possible et que cette menace est prendre en compte Le fait de prendre conscience des risques est et interpr ter les r sultats pour d terminer le co t de la r silience On peut donc tout fait mesurer cette r silience condition d tre l coute et de veiller en permanence de l volution du r seau Des r gles simples comme le durcissement d un r seau ainsi que les soins apporter la confi guration de cloisonnement permettraient de r duire les risques Beaucoup de r gles existent d j une mani re de s y pr parer et permet de mieux se prot ger Il est galement important d aborder l a
309. nt d tudiants inscrits dans les masters de cette discipline Le manque de vocation et la moindre attractivit de ces pro fessions sont souvent cit s comme les raisons de cette insuffisance Les politiques de ressources humaines pratiqu es dans certaines SSII ne proposent pas une bonne visibilit sur l volution des carri res et sont aussi parfois r ticentes appliquer des crit res de recrutement non stan dards Elles constituent un frein un engagement professionnel dans ces fili res Les sp cialistes de la s curit sont tr s mobiles quittant facilement une entreprise pour une autre car dans ce milieu beaucoup se connaissent et communiquent entre eux Une soci t o les conditions de travail sont jug es mal adapt es aux exigences des m tiers de la s curit num rique aura des 5 Forum international de la cybers curit difficult s pour recruter les salaires peuvent aussi constituer un handicap dans le recrutement de ces sp cialistes et par ticuli rement dans la fonction publique o il est difficile de s aligner sur les salaires pratiqu s par certaines entreprises appartenant au secteur priv m me si l ANSII propose actuellement des salaires qui sortent de la grille de la fonction publique Il Des solutions Pour pallier cette insuffisance de recrutement et de comp tences attendues plusieurs solutions sont envisageables Tout d abord il serait uti
310. nt d vo luer en complexit en ciblage et en effet Par rall lement les syst mes de d fense qui existent et qui sont encore tr s largement in fluenc s par une notion de d fense p rim trique ne suivent pas et donc il y a un risque aujourd hui de d crochage entre les menaces d une part et les d fenses d autre part les me naces ne concernent pas que les syst mes d information traditionnels Elles peuvent aussi s adresser aux r seaux industriels et provoquer des actes de sabotages qui sont une vraie question aujourd hui ouverte On s aper oit que face un champ d effet consid rable sur le plan de la menace le niveau actuel de d fense des entreprises est insuffisant Nous ne somme pas les seuls le dire et c est une prise de conscience qui appara t n y a l objectif des attaques peut tre videment de nature diff rente de ce qui vise des actifs de souverainet Un contexte militaire lors d un conflit ouvert d clar va permettre videment rien de choquant en soi mais il faut tre conscient que nous sommes dans un domaine extraordinairement dynamique o d une part les attaquants font preuve d une tr s grande in d agir de mani re compl tement diff rente g P puisque l ennemi l origine la source de l at taque sont beaucoup plus faciles identifier g niosit et d autre part le champ d attaque ne cesse d voluer avec l introduction des smartphones la notion
311. nt d s lors relatifs une d finition normative des actes op rer une poli tique d alerte et d information et de sensibilisation g n rale des acteurs Ils soulignent la z 1 F primaut du constat d huissier et du recours aux sp cialistes NTECH de la police et de la gendarmerie nationale Le consensus tre victimes les particuliers et surtout les entreprises renvoie naturellement au r le de l huissier de justice et la force probante de son exploit Le constat d huissier peut ainsi intervenir tout moment Sa force probante en fait le point de d part de toute prescription l gale Le constat sur requ te permet l intervention chez un tiers garantissant la copie des disques durs au m me titre que la saisie contrefa on les injonctions a prise en compte des actes dont peuvent de communiquer s agissant des adresses IP etc S agissant d infractions p nales au travers du recours aux services de police et de gendarmerie nationale l appel aux sp cialistes NTECH I est gage d efficacit et garant de la rapidit de l intervention Il faut n anmoins reconnaitre une difficult la r ticence de certaines victimes d poser plainte par peur pour leur r putation mais aussi compte tenu de la difficult valuer le pr judice 1 Gendarmes et policiers habilit s sur le plan judiciaire d tenant du fait d une formation sp cifique les capacit s instrumenter e
312. nt la situation D une part le salari doit donc observer une retenue dans les propos qu il peut tre amen changer sur son employeur ou sur un produit et ne pas divulguer d informations sensibles D autre part l employeur doit respecter ses engagements dans la protection des donn es personnelles et les dispositifs de surveillance mis en place l engagement pour tre efficace et avoir une valeur doit tre r ciproque l enjeu est de parvenir trouver un quilibre satisfaisant entre la libert d expression du salari d un c t reconnue et correspondant une in vitable volution de la soci t et d un autre c t le contr le de son image par l entreprise cette difficult s ajoutent deux nouveaux constats la demande de plus en plus fr quente faite par les entreprises aux salari s de relayer des messages au nom de l entreprise sur leurs propres pages Facebook comme par exemple des offres d emploi cette d marche tant jug e b n fique pour l image de l organisation l utilisation par les personnels de leurs propres quipements ordinateurs tablettes smartphones personnels des fins professionnelles ph nom ne appel BYOD lt bring your own device qui signifie prenez vos appareils personnels Ainsi la fronti re entre vie priv e et vie professionnelle devient de plus en plus floue de moins en moins ais e d terminer rendant plus complexe les ventuelle
313. ntification qui est attribu de fa on permanente ou provisoire tout appareil connect un r seau informatique utilisant l Internet Protocol IPv4 est la premi re version d Inter net Protocol IP avoir t largement d ploy e Elle forme en core en 2012 la base de la majorit des communications sur Internet avec l IPv 3 SIP signifie Session Initiation Protocol C est un protocole de t l phonie utilis pour tablir modifier et arr ter des appels t l phoniques VolP Un serveur SIP est le principal composant d un PABX IP et g re tous les appels SIP du r seau source FAQ watsofi V Mobilit Pour le CLUSIF l ann e 2012 aura t mar qu e par une spectaculaire envol e des mal ware bancaires sur mobiles Apr s des mois de prospection les cybercriminels semblent avoir trouv le filon et se ruent pr sent sur les donn es personnelles et financi res des utili sateurs de Smartphone Le d veloppement ex ponentiel du march de la t l phonie mobile alli aux nouvelles vuln rabilit s induites par le paiement sans contact ouvre un nouveau territoire de chasse qui n a rien envier l In ternet d il y a 10 ans Il est aujourd hui possible de prendre le contr le d un Windows Phone d un Android d un Symbian ou d un iOS Un attaquant peut secr tement couter les conversations locali ser un appareil installer une application via un lien compromis prendre des photos ou en core place
314. ntre les fraudes la carte bancaire et au vol de donn es personnelles alors que le taux de protection va 185 5e 186 Forum international de la cybers curit au del de 95 dans certains pays comme le Royaume Uni Les banques renforcent en permanence la s curit des syst mes de paiement et des sites de banque en ligne dont les dispositifs d au thentification forte les dispositifs d authentification code non rejouable code unique envoy par SMS g n r par une calculette etc ren forcent la s curit des paiements sur internet Le syst me CB dispose d une base de donn es aliment es en permanence le Syst me d Information Cartes Bancaires SICB La mise en uvre en Europe des sp cifications EMV Europay Mastercard Visa pour la carte puce repr sente un enjeu majeur dans la lutte contre la fraude transfrontali re Elle concerne non seulement les cartes elles m mes mais aussi leurs dispositifs d acceptation ter minaux automates de paiement et de retrait qu il convient de migrer vers les nouvelles sp cifications pour pouvoir b n ficier d un niveau de protection gal partout en Europe Les banques europ ennes s taient engag es achever cette migration pour fin d cembre 2010 et malgr un l ger retard cet objectif est sur le point d tre atteint La course technologique contre les cyberfraudeurs se gagnera aussi en mettant en place une tra cabilit des flux financi
315. nts quotidiens rendre plus performante la gestion municipale etc rendus aux usagers Pour ce faire trois grands omaines sont 2 Transport acc s aux services et quipements publics s curit concern s les ke transports les r seaux intelligents et la gestion technique centralis e En ce qui concerne les transports les objectifs sont nombreux pour l individu le but est d am liorer les conditions de transport du point de vue du confort du temps d attente de l acc s aux informations de b n ficier d un meilleur acc s aux transports et d optimiser les d placements Pour la collectivit cela permet de limiter la congestion urbaine et diminuer les missions de CO2 de diversifier l offre de transports d optimiser la cha ne de transports et offrir une meilleure information sur les modes de transports disponibles Plusieurs solutions peuvent tre mises en uvre telles que le guidage automatique pour trouver une place de parking viter la pollution ainsi que la 141 5 Forum international de la cybers curit 142 congestion li es l attente la billetique qui services s par s au manque de connexions entre les diff rents services et de fournir au offre un syst me d interop rabilit entre les diff rents r seaux de transport l utilisation des ENR v hicule lectriques bornes de recharges la d multiplication de l offre des modes de transport plus particuli rement
316. obl matiques lles r sident dans l existence d un parc d automatismes anciens con us uniquement pour assurer la s ret de fonctionnement qui rel ve de l examen de la d faillance alors que la s curit rel ve de la recherche de la malveillance Celle ci l origine ne constituait pas auparavant une pr occupation car les automatismes taient inscrits dans une architecture ferm e bas e sur des ruptures protocolaires de protection Lui ont succ d des structures IP qui offrent une large surface d impact et de risques l apparition d une connectivit avec des interfaces grand public Windows Linux etc et de processus de maintenance d port s ont ouvert les automatismes aux attaques Les nouveaux syst mes doivent incorporer la s ret de fonctionnement la prise en compte d une maintenance sp cifique et une gestion du syst me d information Ils doivent int grer le diff rentiel entre des automatismes d une volutivit au rythme d cennal et des interfaces logicielles en constante volution La prise de conscience a t tardive car les menaces taient minor es La probl matique actuelle repose sur un manque d informations et de culture connexe entre les informaticiens et les automaticiens Il est imp ratif d instaurer 135 5 Forum international de la cybers curit 136 une connexion entre ces deux logiques en visant une int grit du syst me et des do
317. omaine exponentiel et mon r le de d put qui s int resse ces questions c est aussi de sensibiliser mes coll gues parlementaires Il y a d j eu on le sait le rapport du s nateur JeanMarie Bockel qui interviendra au cours tre des pr curseurs Je crois que la France doit tre l avant garde de la nouvelle bataille conomique qui se joue dans le domaine du cyber et de ce point de vue le parlementaire que je suis doit pouvoir aider la sensibilisar tion dans l ensemble des domaines Nous avons des fleurons en France des leaders de la technologie et des grands groupes qui sont capables d tre l avant garde mais je crois que nous avons besoin de renforcer l ensem de ce forum qui apporte un certain nombre de propositions tr s int ressantes Mais je ble de cette fili re qui doit tre aujourd hui construite I y a un risque fondamental dans crois que nous avons ensemble besoin de sen sibiliser l ensemble de nos coll gues parlemen taires d put s s nateurs l int r t de d fricher ce terrain et poser avec l ensemble des professionnels les questions li es la nor malisation si j ose dire la l gif ration de certains nombres de domaines en distinguant ce qui est essentiel vital et d cisif pour la s curit de la nation de ce qui doit tre tout sim plement tre r gul Le cyber est un nouveau domaine de r gula tion qui doit rassembler toutes les norme
318. omplexe d un corpus juris en mati re de cyberloi difficile appr hender m me par des sp cialistes Peut tre que certains dans la salle en sont capables mais pas au del Deuxi me chose deuxi me syndrome inqui tant c est la bonne vieille course entre gendarmes et voleurs S il y a un domaine o parfois l on s inqui te de voir le gendarme courir moins vite que le voleur c est bien le cybermonde puisque par d finition les contraintes ne sont pas les m mes et qu elles sont vraiment beaucoup plus simples pour le criminel que pour le gen darme et l acteur r pressif Nous avons donc besoin d une r novation et d une simplification en tout cas d une double remise en ordre D abord des textes pour que les r gles du jeu soient plus facilement accessibles et ensuite sans doute du nombre quasiment illimit de structures publiques et priv es qui ont mission l gitimement intervenir sur le champ de la cybercriminalit C est vrai que celui qui aborde aujourd hui la lutte contre la cybercriminalit aura de quoi avoir peur de se lancer parce qu il ne pourra pas en ma triser facilement tous les contours ne pourra compter ni sur une pause normative ni sur un gel de la technologie C est dire la difficult rechercher et trouver de la coh 5 Forum international de la cybers curit que l on a appris avec la lutte contre la cyber criminalit c est qu on ne lutte pas seul En mat
319. on a fait la m me d marche dans le domaine du cybercrime l id e est de faire des tre faites partout dans le monde y compris partir de terres rares que la Chine d tient en grande majorit donnent un haut niveau de d pendance technologique et nous devons actions compl mentaires et de pouvoir changer nos r sultats par la suite Nous avons d ailleurs bien analyser quels sont vraiment les domaines sur lesquels l Europe souhaite pouvoir garder organis en octobre 2012 conjointement entre la Commission et l Agence un workshop dans ce domaine l id e est bien de le poursuivre une certaine non d pendance Je ne parle pas d ind pendance parce que nous n en avons certainement pas les moyens mais je dirais l horizon 2020 qui repr sente une nouvelle pr paration du programme de coop ration europ en dans le domaine de recherche qui une certaine non d pendance dans certains domaines cl s de mani re tre r ellement en mesure de pouvoir bien les ma triser 81 5 Forum international de la cybers curit 82 Denis FORTIER Pensez qu il y a une vision partag e de l en semble des tats membres Peuton dire qu il y a une Europe de la cybers curit au sens industriel Quels en sont les pays leaders 2 Christian BREANT Non je ne le crois pas il faut tre raisonnable Il existe quelques pays leaders mais aujourd hui nous rencontrons des probl mes de confiance mutue
320. on aux Pays Bas et au Royaume Uni Elle nous fera part de son exp rience Eurojust puisqu elle repr sente la France au sein de cette structure Enfin monsieur Alexander Seger repr sente le Conseil de l Europe Il est secr taire du comit de la Convention sur la cybercriminalit r gles du jeu compr hensibles et si possible applicables le troisi me tant d avoir des sys t mes de coop ration qui soient vraiment effi caces Qui dit cybercriminalit dit n cessairement coop ration et coordination personne ne d te nant les cl s du coffre lui tout seul Que nous r v lent de ces trois points de vue quant la situation actuelle du traitement judiciaire de la cybercriminalit 2 Chez les acteurs il ne faut pas se le cacher un certain d sarroi I faut bien voir que tous les acteurs de la lutte contre la cybercriminalit en mati re Sans plus attendre je vais demander monsieur Charpenel de faire un point sur la r alit actuelle du traitement judiciaire en mati re de cyber criminalit r pressive les magistrats les enqu teurs les experts les avocats ont t form s des r gles tr s diff rentes de l univers du cybermonde D abord parce que le monde judiciaire et le monde p nal sont un monde d interpr tations strictes fond es sur un droit dur des lois pr sum es 93 5 Forum international de la cybers curit 94 intangibles Alors qu aujourd hui c
321. on de la vie collective ce qui fait une soci t Or cette vie collective passe d sormais aussi sur Internet Les Fran ais sont de plus en plus nombreux utiliser les r seaux sociaux s exprimer d battre sur le Web Par ailleurs plus de 80 de nos concitoyens 5 Forum international de la cybers curit ont d j achet ou effectu des d marches administratives en ligne Et la plupart consultent leur compte bancaire sur Internet Deux probl mes viennent imm diatement l esprit la protection de la vie priv e et la lutte contre la fraude Dans les deux cas la confiance est Une condition n cessaire au d veloppement des services en ligne C est parce qu ils sont convaincus que leur vie priv e est prot g e que les internautes fournissent des donn es personnelles Nous devons donc tre vigilants en ce qui concerne les atteintes la vie priv e la diffusion de fausses informations les usurpations d identit surtout sur les r seaux sociaux Sur ce sujet je suis pr occup e de voir de de notre soci t et de l efficacit de notre conomie Ai je besoin d insister l dessus 2 Si la s curit des syst mes d information n est pas assur e aucune conomie moderne ne peut prosp rer Ces principes ne sont pas n gociables D s lors comment garantir et renforcer la confiance num rique 2 Des dispositifs existent d j notamment pour lutter contre la fr
322. on de liaison l externalisation suppose de confier des prestations des soci t s sur un autre continent et de supporter des risques de non qualit I se pose aussi le probl me de la localisation des donn es par le sous traitant et de la cascade de sous traitance Il est utile de prendre en compte la 167 5 Forum international de la cybers curit 168 stipulation obligatoire ou facultative de clauses impos es voire des autorisations exig es par l UE pour les donn es concernant les salari s notamment On peut citer galement les impacts du patriot act qui oblige toute soci t am ricaine ou europ enne d voiler ce qui a trait de l espionnage ou des actes de terrorisme ce qui peut int resser directement la protection de donn es personnelles d tenues par l entreprsise L obligation de non divulgation est caduque en mati re de lutte contre le terrorisme Il importe galement de situer le volume et la nature strat gique de donn es confidentielles Il incombe donc aux entreprises int ress es de mettre en uvre un arsenal de protection relativement important combinera la mise en place de politique de formation et de sensibilisation interne avec la r alisation d outils de protection informatique Il Les solutions Les crit res d valuation de la qualit de la prestation ainsi que les modalit s de son volution devront tre d finis contractuellement
323. on est en guerre ou non je vais vous poser quelques questions simples auxquelles il est compliqu de r pondre quelle attaque cyber peut tre consid r e comme une at taque arm e Fautil des morts ou des des tructions physiques pour donner le droit la l gitime d fense pr vue l article 51 de la Charte des Nations unies 2 Autres questions estce qu une paralysie de service essentiel une nation est suffisante Au del des cons quences comment s assurer de l identit de l agresseur Et on conna t tous la probl mar tique de l imputabilit Estce que le temps de mener l enqu te par des moyens techniques ou de renseignement ne laisse pas une fen tre de vuln rabilit encore plus importante qui donne une vraie prime l agresseur 2 Et puis je vais parler du droit dans la guerre le jus in bello qu estce qu une attaque pro portionn e Comment d ailleurs valuer les dommages subis ou les dommages inflig s 2 Autres questions qu estce qu un dommage collat ral quand tous les syst mes sont inter connect s et peuvent servir une attaque cyber Qu estce que le respect des tats neutres quand le r seau mondial est intercon nect Qu estce qu un combattant ou un non combattant l heure du cyber quand n importe qui peut partir de chez lui partici per une attaque cyber sur un pays Est ce que la m re de famille ou le retrait qui s im pliquent dans un con
324. on industrielle que nous avons pu conna tre au 19 me si cle et avec ses acc l rations au d but du 20 me Dans cette grande r volution l impact fonda mental du cyber est qu il traverse l ensemble des domaines de l organisation sociale de la vie quotidienne et de la production C est un enjeu majeur tait vident que sur le plan de la d fense de la s curit et militairement ce soit un domaine qui bouleverse la donne sur un certain nombre de sujets va de soi que si nous sommes en train d inaugurer la 5 me dition de ce forum c est qu il y a une prise de conscience aujourd hui clairement 5 Forum international de la cybers curit souhaite que nous travaillions Pour ce qui nous concerne un enjeu a t ex prim C est le r le du parlementaire d en prendre la mesure I y a un enjeu d ind pen dance et d autonomie pour que pr cis ment nous puissions assurer l ensemble des condi tions qui font l organisation de la soci t dans le monde cyber comme dans le monde num rique y a une interd pendance de plus en plus forte cause du num rique On voit bien aujourd hui que tout d pend du num rique tout est cyber et le cyber est ce qui est un petit tablie dans le monde de la d fense et de s curit y a bien en effet un enjeu de d fense militaire et s curit L introduction du g n ral Watin Augouard a bien montr que dans ce continuum de d fense et de
325. onfiance num rique On ne peut pas parler des nouvelles technologies ou de celles qui ne sont plus compl tement nouvelles sans parler de protection des donn es strat giques si nationale et l apport d terminant du CEIS et d Euratechnologies qui sont nos deux partenaires avec la mission essentielles notre comp titivit et notre intelligence collective Les cybermenaces qui nous entourent nous obligent une capacit lt Eurom tropole d fense s curit anim e par le g n ral THOMANN Cela constitue une quipe impression nante extr mement di On ne peut pas en effet ne parler de d veloppement conomique sans parler de protection de nos entreprises d intelligence conomique et obligent des moyens de riposie C est la culture de la confiance num rique que nous voulons diffuser au travers de cet v nement et je versifi e et qui a en commun celte ambition qui nous r u nit pendant ces deux jours Le soutien du Conseil r gional t moigne de la grande ambition que nous avons de faire de la r gion donc de cybers curit et de confiance num rique suis en mesure de vous annoncer la cr ation d un cluster r gional qui s appel lera pour le moment Cybers curit et confiance num rique I r unira l ensemble de nos partenaires et s appuiera naturellement sur Nord Pas de Calais une r f rence mondiale en mati re de cybers curit C est
326. onfront s au Cloud computing qui est exactement l antith se de cet univers Autre ph nom ne perturbant le droit p nal dans tous les pays s est constitu autour de l id e qui paraissait simple de territorialit Par d finition le cybermonde dilue peu pr s com pl tement tout principe territorial Face des donn es aussi troublantes il y a une sorte de chaos juridique Pour viter le chaos judiciaire les juges en tout cas en France ont toujours eu la m me d marche Dans un premier temps le juge qui est un sceptique par d finition par constitution va d abord vers ce qu il conna t Cela veut dire qu il ira moins vers ce qu il ne conna t pas C est le premier constat que l on peut fait sur la d marche des magistrats envers la cybercri minalit Depuis la loi informatique et libert qui remonte tout de m me plus de 45 ans traditionnellement les magistrats ont tent de passer le cybermonde naissant et florissant au crible des principes traditionnels de la proc dure p nale Autrement dit d appliquer des ph nom nes nouveaux des recettes anciennes Cela fonctionne de moins en moins La Cour de cassation particuli rement joue le r le de r gulation et passe aujourd hui ses audiences en mati re de cybercriminalit essayer de tout simplement parce que l on a appliqu non pas la facilit de la d tection des criminels mais les principes fondamentaux de la proc dure p nale
327. onoservices Imprimerie nationale Jean Marc RIETSCH Pr sident FEDISA R sum des interventions L crit lectronique a la m me valeur que le support papier au regard de la loi La question de sa conservation est donc strat gique pour les collectivit s et les entreprises Le passage la d mat rialisation n cessite un questionnement du client et une organisation s curis e quant au format de la donn e au mode de stockage un acc s privil gi et une migra tion it rative afin d accompagner l volution des standards et formats de fichiers l Les id es fortes ne faut pas confondre d mat rialisation et gestion lectronique de documents GED Le terme d ma t rialisation gt recouvre plusieurs op rations la num risation des documents proprement dite laquelle on l assimile le plus souvent mais galement l organisation des changes de documents num ris s et des processus m tiers qui en d coulent La question de la d mat rialisation rel ve donc autant du domaine juridique et technique que du domaine organisationnel l origine l archivage lectronique relevait des directions informatiques qui traitaient la question essentiellement sous l angle technique Orr la technique ne prend pas en compte toutes les probl matiques de la d mat rialisation notamment celles qui rel vent de l archivage proprement dit Depuis peu la collaboration entre informaticiens et
328. ons t l phone ou un courriel suffisent Nous disposons de messageries lectroniques qui fonctionnent tr s bien et surtout d outils qui nous permettent de communiquer depuis Lille par exemple Il faut que vous sachiez qu Eurojust ne peut pas s autosaisir Eurojust doit tre saisi par un procureur ou par un juge d instruction en tout cas par une autorit judiciaire On ne peut galement tre saisi que lorsqu un dossier a t ouvert en France lorsqu il y a une enqu te judiciaire On ne pourrait pas dire par exemple que la cybercriminalit est tr s importante en France et qu un dossier concernant cette forme de cri minalit doit tre ouvert Il faudrait que le procureur de Paris par exemple me dise J ai une enqu te pr liminaire qui est diligent e actuellement en France je parle d ailleurs d un dossier en particulier et je souhaite qu Eurojust infervienne puisqu un certain nombre de pays pour certains membres de l Union europ enne et pour d autres pays tiers sont impliqu s Je souhaiterais qu une coordination des poursuites puisse tre effectu e sous l gide ou avec l aide en tout cas d Eurojust 101 5e 102 Forum international de la cybers curit Dans un tel cas lorsque nous recevons un dossier nous l examinons bien videmment Nous pouvons alors d cider d organiser une r union avec les seuls membres nationaux d Eurojust afin de voir quel stade se
329. ons de moyens doser en fonction de la nature de la crise Prenons un exemple qui ne rel ve pas du cyberespace celui de la piraterie maritime Celle ci rel ve la fois du champ de la d fense car elle ap pelle la mise en uvre des moyens militaires c est le cas de l op ration Atalante mais elle rel ve galement du champ de la s curit car sa finalit est d arr ter des criminels qui agis sent en bande organis e et de les d f rer de vant des juridictions en est de m me dans la traque des narcotrafiquants ou en Guyane pour la France avec la lutte contre les orpail leurs clandestins l op ration men e est dans tous les cas ambivalente En quoi le cyberespace est il concern par cette notion de continuum 2 Il l est d abord par construction car il a t construit sans fronti re avec une infrastructure ce que l on appelle la couche mat rielle qui est internationale avec des liens et des n uds r partis sur l en semble de la plan te permettant d acheminer les donn es de faire fonctionner les syst mes automatis s de donn es Cela favorise une contraction espace temps qui est extraordi 5 Forum international de la cybers curit pour les qualifier Lorsque le FBI la garde ci vile espagnole et la police slov ne arr tent dans le cadre de l op ration Mariposa des individus qui ont compromis pr s de dix millions d ordinateurs ces machines lou es sur Internet
330. onses en terme de gouvernance globale Il doit renforcer l aspect d fensif des r seaux d expertise et de veille coordonn s au niveau national par l Agence Nationale de la S curit des Syst mes d Information ANSSI et des hauts fonctionnaires de la D fense et des minist res concern s Les services enqu teurs doivent tre mieux form s la cybercriminalit afin de valoriser une veille des indicateurs de fragilit ou de synergies mises en place par des cybercriminels l encontre des int r ts nationaux La veille num rique est aussi tributaire des p les recherche et d veloppement d velopp s par l tat Cette veille d intelligence conomique est la mesure entreprises les petites entreprises participent au maillage num rique du territoire l chelle europ enne l tat devrait pouvoir s appuyer sur un corpus l gislatif commun en cours d laboration 123 5 Forum international de la cybers curit 124 A6 Nouvelles formes de contlictualit s dans le cyberespace Intervenants Didier Danet Responsable du p le Action Globale et Forces Terrestres Centre de recherches des coles de SaintCyr Co tquidan Olivier Kempf Ma tre de conf rences Sciences Po Alliance g ostrat gique St phane Dosse Lieutenant colonel Minist re de la d fense Daniel Ventre Ing nieur CNRS titulaire de la chaire Cyberd f
331. ophique administrative ou commerciale 5 Forum international de la cybers curit en tant que personne ce qui m int resse dans la notion d identit c est de pouvoir apporter des l ments de r ponse la question existen tielle fondamentale qui suis je 2 Lorsque l aborde la question de l identit sur l angle du qui suis je la r ponse ne peut se trouver dans un identifiant dans une adresse elle n est pas d ordre technologique car c est vrai ment une question philosophique part en ti re Les r ponses pourraient tre par exemple d ordre culturel ou ventuellement religieux Il y a cinquante ans j tais d j Solange Ghernaouti et pourtant je n tais pas tout fait la m me et pas tout fait une autre que celle que je suis aujourd hui En fait la notion d identit est le plus souvent restreinte l iden tit nominative attribu e la naissance refl tant une certaine identit familiale mais aussi administrative et l gale en fonction de l tat civil et des lois du pays dont l individu est le ressortissant Tout cela pour vous dire que cette notion d identit est floue qu elle n est pas stable dans le temps que l identit n est pas h rit e donn e et g r e de fa on universelle et unique de par le monde Le cyberespace pose la probl matique de l identit num rique de mani re globale et universelle Une r ponse unique d ordre technologiqu
332. ormes ou sur leur t l phone Apple ou Google Andro d ont mis entre les mains de ces soci t s leur identit num rique et leurs donn es bancaires de mani re tr s peu s curis e Nous sommes des millions en France l avoir fait Vous le voyez le risque d une forme de pri vatisation de l identit est d j av r dans le monde num rique Pourtant selon moi pour garantir la protection des donn es personnelles et de la vie priv e sur Internet une gestion s curis e des identit s num riques est absolument indispensable Mesdames Messieurs il faut cesser de tergi verser et avancer vers une solution nationale et europ enne Le Gouvernement entend justement se saisir du probl me combler ce manque et jouer son tion des utilisateurs et de s curisation des changes fond es sur les usages en vigueur sera d finie pour juin 2018 J ai galement le plaisir de vous annoncer au jourd hui le lancement du projet Id num Dans le cadre des investissements d avenir l Etat le Groupe La Poste Euro Information c est dire le Cr dit Mutuel et le CIC ainsi que Pages Jaunes et SFR se sont unis pour cr er la soci t ld num Sa mission sera de f d rer en France le plus grand nombre d acteurs du Web afin de d finir et de promouvoir des solutions d identit s num riques universelles pour les profession nels comme pour les particuliers Plus pr cis ment je vous par
333. ort e par les nouveaux dispositifs d enseignement g n r s que confortent la pr sence et l importance des r ser vistes et autres volontaires dans la cyberd fense Le Consensus ans le concert europ en les domaines li s la cyberd fense sont multiples et D le safe and secure est devenu une pr ocupation constante Le service de d fense de l UE s est d s lors attach coordonner les efforts de chaque pays membre en vue de limiter la dispersion d velopper des ressources pour le cyberespace au sein de l UE et sen sibiliser l enjeu du cyberespace europ en En raison de la porosit des arm es avec les op rateurs priv s en particulier dans le cadre des missions civiles largement privil gi es par l UE l axe d effort a t celui des changes entre les pays et la cr ation de telles opportunit s In fine c est la notion de confiance g n rer qui soustend toute action et l change de ren seignements entre les pays En r sum r silience et protection des quipe ments d veloppement de capacit s communes changes d informations et process en coh rence sont autant de vecteurs d actions porteurs de l efficacit recherch e l Europe en tout tat de cause affirme le principe de la s paration stricte entre militaire et civil et veut garantir l observation des traditions nationales en mati re de cybers curit Il Des solutions Si la F
334. os partenaires Si vous voulez que nous allions en op ration avec vous si vous voulez que nous changions des choses tr s sensibles et que nous ayons besoin d changer pour tre efficace il faut que vous soyez capable de prot ger vos secrets Le d roulement de cette logique d bouche sur le besoin de faire des produits de chiffrement ce que nous faisons depuis tr s longtemps en France Tr s peu de pays au monde font leur propre chiffrement On a un long partenariat avec Thal s dans ce domaine l Nous disposons aujourd hui de personnes qui sont capables de tout concevoir depuis les algorithmes crypto graphiques que nous faisons avec l ANSSI jusqu aux composants de s curit Tr s peu de repr sent e ici par les grands ma tres d uvre qui savent la fois se refermer au niveau national quand il y a un fort besoin de souve rainet et s ouvrir parce qu ils ont en g n ral plusieurs pieds dans les pays les plus influents en mati re de d fense Denis FORTIER Nous avons entendu tout l heure divers point de vue sur le financement de la R amp D qui sont d ailleurs relativement convergents Comment la DGA agitellee Guillaume POUPARD Nous avons en effet au sein du minist re de la D fense un r le de financement plus g n ralement de pilotage Nous ne sommes pas uniquement des banquiers Dans tous les domaines nous confions des tudes amonts c est dire des travaux
335. oup pour cette intervention Je lais serai le repr sentant du Conseil de l Europe intervenir en dernier Je propose que monsieur le substitut g n ral de la R publique d mocratique du Congo nous dresse un tat des lieux de la cybercriminalit en Afrique et nous dise ce qu il attend de la coop ration internationale dans ce domaine Monsieur Dieudonn Tharcisse KANYAMA MBAYABU Messieurs mesdames il est vrai que tout l heure quand je suivais les propos des inter venants je me suis dis un moment donn que je n aurais que peu de chose dire En fait je r alise que les probl mes sont les m mes et nous laissent la possibilit d exprimer la fa on dont nous les appr hendons en Afrique A ce niveau tout r cemment il y a eu un tat des lieux de ce qui a t fait sur la cybercrimi nalit en Afrique On a travaill avec des pays qui avaient des l gislations en mati re de cybercriminalit notamment l Afrique du Sud le Cameroun le Maroc et le Niger Ces pays ont des lois cadres qui ont permis de r soudre plusieurs ph nom nes de mani re pratique D autres pays sont aujourd hui sans l gislation quait d autres pays dans lesquels d ailleurs se sp ciale par rapport la cybercriminalit c est 103 5e 104 Forum international de la cybers curit le cas de mon pays En fait en tant que juriste je ne peux pas dire que dans mon pays il y a un vide juridique Il existe de
336. ous avons publi s des guides techniques m thodologiques vous pouvez retrouver tous ces l ments la fois sur notre site internet et 5 Forum international de la cybers curit mandais si un hacker fac tieux ne pouvait pas pirater guide en en modifiant les recomandar tions Patrick PAILLOUX a serait un hacker fac tieux comme vous dites mais non ce qu on esp re c est que notre guide soit viral et qu on le retrouve par tout tout comme certaines donn es qui se re trouvent partout sur internet alors qu on ne voulait pas qu elles soient publi es Plus s rieusement depuis quinze jours je l ai relu plu sur notre stand n h sitez pas les utiliser Mon discours sur ce point n a pas boug d un sieurs fois pour v rifier si ce que l on disait avait du sens Ce sont en fait des r gles l mentaires I me semble donc compliqu pour millim tre depuis quelques ann es la s curit informatique c est du concret les attaques in formatiques sont une r alit et pas de la science fiction S curiser un syst me d informar tion ce n est pas impossible cela repose sur l application de r gles techniques de compor tements pas si difficiles mettre en uvre Cela n cessite aussi de faire appel des pres tataires des experts et des professionnels du m tier Ils sont nombreux ce forum et c est la derni re chose que je voulais faire les saluer aujourd hui les remercier d
337. out d veloppement du cybertraitement de la criminalit par la justice doit s accompagner de pr cautions Je voudrais pour conclure ces propos introductifs vous sugg rer de partager la r flexion d un rence C est enfin sur un troisi me facteur que c l bre blogueur am ricain Evgeny Morozov j aimerais bien insister S il y a bien une chose Je recommande et je n ai pas d int r ts dans 95 5 Forum international de la cybers curit 96 la maison la lecture de son dernier ouvrage qui porte un joli titre en anglais The Net delu sion gt et qui du c t fran ais a t traduit par Le c t sombre d internet l amateur de la guerre des toiles que je suis s en r jouit car il nous faut conjuguer deux choses vraiment importantes pour nos r flexions aujourd hui et demain D abord se m fier des cyberutopistes qui pensent que le net va g n rer tout seul les rem des aux difficult s qu il a contribu cr er ou d velopper Deuxi mement se m fier tout autant des ap tres du tout internet gt qui estiment qu un tel espace de libert ne doit en aucun cas tre contr l et surveill par les institutions des pays Je crois qu une fois que l on a compris ce dilemme on peut avancer et esp rer coop rer avec des outils efficaces Comme je suis magistrat et donc que j aime On voit bien que l on d couvre le fait que l on ne peut plus se passer d un r
338. pas qu aux experts de la s curit Malheureusement ce que l on constate c est que g n ralement ces r gles ne sont pas appliqu es et que des mesures de s curit beaucoup plus sophistiqu es ne servi de surveillance et de gardiennage Je veux dire par l que chacun doit assumer sa part de travail notamment en ne laissant pas les portes ouvertes Le r le de l tat dans ce domaine est de mettre en place les conditions permettant chacun de se prot ger y a videmment un important r le de sensibilisation et de formation et c est sur ces deux points que je souhaite insister aujourd hui Ceux qui suivent un peu notre domaine sa vent qu au mois d octo bre 2012 l ANSSI a publi pour appel commentaires un guide d hygi ne informa tique Ce guide se veut tre l alpha et l om ga de la s curit des syst mes d information Au trement dit ne pas appliquer les r gles de ce guide revient sortir de sa voiture en laissant les clefs sur le tableau de bord ou sur le contact J en profite pour signaler en utilisant cette analogie que si vous faites a votre compagnie d assurance ne vous remboursera sans doute pas y a s rement dans notre do maine un point creuser en utilisant cette ano logie On a essay de prendre en compte ces re marques mesure par mesure il y en a 40 On les a un peu modifi es mais on est rest sur le nombre Au premier type de remarques celles qui nous disent qu
339. pement d un r gime d impunit l Le cyberespace lieu d expres sion d une nouvelle conflictualit Un constat se doit d tre tabli quant l universalit du monde cyber La multiplication des ordinateurs smartphones et syst mes informatiques de tout genre touche la quasi totalit de la population mondiale ne serait ce que dans les gestes les plus simples de la vie quotidienne En effet une simple carte bancaire fait bel et bien partie de ce monde cyber La multiplication des acteurs est aussi un point essentiel souligner Pas moins de 7 milliards de t l phones mobiles sont aujourd hui en service sur la plan te l individu est d sormais un acteur strat gique Si auparavant il d l guait sa part de souverainet individuelle le cyberespace lui a rendu possible l exploitation de sa propre part de souverainet Le ph nom ne d inattribution des actions commises sur le cyberespace renforce cette possibilit donn e aux individus En effet on peut y agir de fa on opaque et cach e ce qui donne un sentiment d impunit Par extension une comparaison peut tre faite avec la dissuasion nucl aire on connait le d tenteur de l arme et les effets que l usage de celle ci pourrait occasionner Dans le monde cyber aucun de ces deux crit res n est rempli et il est tr s difficile d identifier l auteur d une attaque Estonie 2007 Stuxnet d couvert en 2010 La libert de man uvre qu il procure
340. permanent par la d finition et le suivi d indicateurs pertinents Des audits externes sont un plus 5 Forum international de la cybers curit B13 Quelle politique de s curit pour le syst me d information des collectivit s territoriales 2 Intervenants Maurice de BOSSCHER responsable technique Cre tic R my FEVRIER Commandant gendarmerie nationale ma tre de conf rence associ Universit de Paris 1 Herv FORTIN Responsable de la S curit des Syst mes d Information au Conseil g n ral de l Aisne Thierry HENNIART Responsable de la S curit des Syst mes d Information au Conseil r gional Nord pas de Calais Mich le MARET responsable du p le SSI d l gu e de l observatoire zonal SSI de la zone nord minist re de l int rieur R sum des interventions Avec la d mat rialisation de nombreux processus dont les appels d offres et le d ve loppement de l administration lectronique le syst me d information des collectivit s ter ritoriales s est fortement complexifi et diversifi Nous sommes face une prise en compte tr s in gale de cette probl matique suivant les collectivit s territoriales concern es I est alors important de savoir comment cette s curit peut tre appliqu e un ensemble h t rog ne de donn es et d applications et donc de d duire quelles lignes de gouvernance il est possible de mettre en uvre
341. pl mentaires pourraient tre cr s d ici 2015 Comment susciter et structurer une fili re industrielle dans le domaine de la cybers curit La France dispose d acteurs importants avec des grandes entreprises l image de Cassidian de Thal s de Bull de Sogeti ou d AlcateHucent sp cialis es exporter et gagner des parts de march l tranger ou nouer des partenariats l chelle internationale ou mondiale Si le march mondial est aujourd hui domin par des soci t s am ricaines isra liennes chinoises russes et indiennes la France pourroit si elle en a la volont ventuellement en par tenariat avec d autres pays europ ens d ve lopper une industrie compl te et souveraine dans le domaine de la s curit des syst mes d information la fois dans les secteurs des mat riels des logiciels et des services Il n est pas encore trop tard mais il faut s y engager Je plaide donc dans mon rapport pour une politique industrielle volontariste afin et renomm es pour leur expertise dans les domaines de la s curit des syst mes d infor mation On trouve galement en France un tissu de PME PMI innovantes l image de Prim x et d Arkoon en mati re de logiciels et produits de s curit ou de Sysdream d Atheos et de Devoleam en mati re de services Notre pays dispose ainsi de v ritables tr sors nationaux dans certains domaines cl s pour la d fense et la s c
342. place On a vu que ces dis cussions m nent une rupture des r formes dans beaucoup de pays Et surtout on l a vu Duba en d cembre dernier pendant le World Conference on international Telecommunications il y a un risque que ce d bat serve la division internationale Il y a un risque d une guerre froide dans le cyberespace comme l ont montr les d bats Duba G n ral Jacques HEBRARD Merci monsieur SEGER I me reste remercier l ensemble des intervenants pour les pr cieux clairages qu ils nous ont apport s dans le domaine de la coop ration internationale euro p enne et dans le volet judiciaire en particu lier 5 Forum international de la cybers curit 107 LES CENTRES DE DONNEES DANS LE MONDE 3 000 000 DOMMAGES MOYENS PAR CYBER ATTAQUE 2 500 000 UN PARTENAIRE POUR LES SOLUTIONS DE SECURITE SOLUTION DE CYBER S CURIT AVANC E De nos jours les gouvernements les institutions les entreprises et les autorit s publiques changent leurs informations gr ce des infrastructures IT et des r seaux de communication Parall lement le nombre de cyber attaques sophistiqu es augmente endommageant les donn es sensibles des syst mes d information Nous sommes fiers que les op rateurs du monde entier nous aient choisis pour nos excellentes comp tences en mati re de cyber s curit www cassidiancybersecurity com n Lg 7 gt s 2 s CASSIDIAN
343. points de vuln rabilit s au re gard de la politique de s curit tout en s assu rant de son application On peut faire une valuation assez rapide en quelques semaines fond e sur l analyse de risque c est ce que l on pr conise et de quelques semaines quelques mois pour une analyse beaucoup plus importante Jean Claude BOURRET Et aucune indication de prix 2 St phane JANICHEWSKI On value entre 10 20 du co t de l op ration des syst mes d information ce qu il faut affecter la s curit Cela n est pas n gligear ble mais pas hors d atteinte au vu des enjeux coles de SaintCyr Co quidan et vous avez lanc en 2012 avec monsieur SALVADOR la chaire de cyberd fense cybers curit entre les coles de Saint Cyr Co tquidan SOGETI et THALES Qu entendezvous lorsque vous parlez du cy berspace en tant qu espace duel Souvent en effet faire la distinction entre civil et combat tant entre syst me militaire et infrastructure ci vile entre attaque et d lit Quel est le point de vue militaire 2 G n ral ric BONNEMAISON Ce forum doit permettre de mieux comprendre la r alit de la cybers curit aujourd hui Je crois que le minist re de la d fense s inscrit to talement dans cette d marche comme le mon tre le nombre de militaires pr sents dans cette salle Le concept de continuum comme tous les concepts pourrait tre discut loisir entre sp cialistes mais ce serait pe
344. possible Donc je crois qu il est malsain de raconter des histoires aux citoyens et de les induire en erreur sur ces dispositions Elles sont destin es les prot ger oui mais de la m me fa on qu il y a toujours des gens qui font des fric frac dans les mai sons il y aura toujours des attaques et des fuites concernant les donn es personnelles On n atteindra pas la perfection mais on es saie d y arriver Ce texte on vous l a dit aussi renforce les obligations des responsables des traitements et des soustraitants question tr s difficile d ailleurs je ne vais pas entrer dans le d tail C est une question d ailleurs tr s juri dique celle des relations entre les responso bles du traitement et les soustraitants Parfois il y a tellement de soustraitants qu on ne sait plus qui tait le responsable du traitement Sur les sanctions comme on vous l a dit elles ont t consid rablement augment es Mais personnellement j ai quand m me sovu hait que ce soient des plafonds parce que un million d euros et 2 du chiffre d affaires c est quand m me consid rable L aussi il faut trou ver un juste quilibre entre la protection des donn es des citoyens et le fonctionnement de nos soci t s commerciales qui utilisent internet On ne peut accepter qu une l gislation telle ment lourde et tellement co teuse le march int rieur europ en ne soit plus comp titif et se fasse attaquer une fois de plus par les am
345. priv s Face au nombre croissant de demandes d identifica tion la probl matique est g n rale Nous fi nissons par utiliser bien souvent le m me mot de passe et il s agit g n ralement d un mot assez simple que l on utilise aussi bien pour des transactions qui ont peu de valeur que pour celles qui ont des valeurs importantes et pour lesquelles le risque est encore plus grand Tout ceci ne s op re ni dans un pacte r publi cain ni dans un cadre r glementaire de l identit d une personne physique Enfin l identit num rique d une personne physique dans un contexte professionnel par exemple les professionnels de sant ou encore les avocats l identit professionnelle en France pr curseur en la mati re s est d velopp e depuis le d but des ann es 1990 avec notamment le grand projet de Carte de Professionnel de Sant qui a accompagn la mont e en puis sance du projet SESAM VITALE d mat riali sation de plus d un milliard de feuilles de soins par an et qui garantit dans l ensemble du cyberespace sant la reconnaissance et l assurance que l internaute qui se trouve de l autre c t de la toile dispose des droits d un praticien qu il s agit d un vrai praticien et que cela pourra tre d montr dans le temps si n cessaire D s le d but des ann es 2000 l identit num rique a connu gale ment dans le secteur du transport une grande avanc e sous
346. qu a la diversit des formes d attaques La qualit de la d tection d pend en effet des capacit s d analyse des logs Il faudra parfois corr ler une r elle difficult quant la d tection et le suivi des menaces discr tes voluant pas pas La marge de progression en mati re de performances technologiques des SOC reste donc relativement importante Le club R2GS r flexion et recherche en gestion op rationnelle de la s curit a pour objectif de mettre en partage les pratiques entre les dif f rents professionnels du secteur Compos de 40 grandes organisations fran aises le club existant aujourd hui depuis 4 ans se d veloppe galement dans le reste de l Europe Royaume Uni Allemagne couvrant ainsi un r seau de plus en plus large De par son important travail sur l laboration de standards en mati re de SIEM le club aspire combler un manque structurel au niveau fran ais et m me mondial Car il faut des mod les des r f rentiels qui lient gouvernance SSI et terrain faut des points de rep re des indicateurs des r f rences Pour ce faire un benchmark s impose afin de disposer de chiffres fiables et de donn es de r f rences La mesure apparait comme la solution permettant d am liorer la pr vention il faut un observatoire volutif d di ces ques tions Sur ce point pr cis la France est en retard il se vendrait trois fois plus d outils SIEM au Roya
347. quant la fourniture d une centaine de patches par ans sur certains produits qui deviennent non main tenables Cette d marche doit inclure les assureurs et reposer sur une responsabilit vis vis du citoyen pour les syst mes critiques et un respect des certifications II L accompagnement manag rial du d veloppeur Les coles d ing nieurs devraient int grer m me si cela doit relever d une prescription tatique 15 20 heures consacr es l tude de la s curisation des codes afin de les int grer dans une forte logique Elles pr neraient le choix de codes propres avec des tests r currents mettant en valeur les cons quences des erreurs de programmation Cette interactivit impliquerait une forte r ceptivit des tudiants notamment si on y int gre des formations offensives et d fensives I faut galement mettre en place une mise niveau r guli re des chefs de projets et des 199 5 Forum international de la cybers curit 200 d veloppeurs en int grant le fait que la production de code s curis a une dimension conomique Cela est toutefois plus difficile pour les syst mes embarqu s aux ressources plus faibles qui posent un probl me de transposition C est un nouveau challenge en mati re de R amp D dans des contraintes de co ts acceptables Le chef de projet n a pas vocation se substituer au d veloppeur Il doit v rifier si ce qui est mis e
348. que majeure li e l application du droit dans le cyberespace est la n cessit d une adaptation des outils internationaux En effet la cybercriminalit s inscrit dans l internationalisation Nous ne sommes jamais s r de la nationalit des donn es saisies ni de leur lieu de stockage En mati re de cybercriminalit la relative inefficacit de l entraide judiciaire est constat e Dans ce domaine les d lais de transmission des informations d passent souvent les p riodes de conservation des donn es y a une n cessit de repenser l approche vis vis de la cybercriminalit pour se doter d outils efficaces La Belgique souhaitant tre active dans ce domaine s est dot e de dispositions permettant d agir unilat ralement sur d cision d un juge de fa on proc der en urgence une perquisition sur un serveur situ potentiellement l tranger La Belgique a pris le parti de d terminer que le Cloud est bas physiquement en Belgique laissant la charge des personnes poursuivies de prouver le contraire 5 Forum international de la cybers curit A22 Usurpation d identit quels risques 2 Quelles solutions amp Intervenants C cile DOUTRIAUX Avocate au barreau de Strasbourg Jean Paul PINTE Ma tre de conf rence Universit Catholique de Lille Bruno CHAPPART Directeur de la branche Authentification des personnes et des biens Imprimerie Nationale Mo
349. qui sous estiment le danger au regard de leur activit non strat gique Les et la multiplication des portails virtuels impactent de plus en plus de services tous les niveaux de l administration du pays l attente du public est tout autant d multipli e par les nouvelles pratiques soci tales et technologiques Le parc de la t l phonie individuelle et des ordinateurs concerne toutes les classes socioprofessionnelles Le d veloppement continu de la technologie efface les notions de temps et d espace et justifie l obligation d un service instantan d localis et individualis Le public attend des services de l tat et des collectivit s d tre r actifs et de produire une information fiable et s curis e Les courbes de croissances des intrusions en cybers curit suivent les m mes tendances l accroissement des connexions favorise aussi la multiplication de mise en r seaux d inteocuteurs publics avec des niveaux de vuln rabilit et de vigilance diff rents Pour les administrations centrales et strat giques les pr dateurs sont identifi s et les proc dures de s curit sont performantes En revanche l aune du territoire acteurs historiques les r seaux de l tat vont devoir penser une politique de s curit hors de leurs cadres La connexion des diff rents r seaux de l tat avec des collectivit s locales ou des services d centralis s n cessite un travail de sensibilisation
350. r er un univers fictif pour la cible Les protections contre ce type d attaque r sident dans l application des r gles l mentaires de s curit et une organisation en profondeur de la d fense du syst me I Les probl matiques es attaques r sident dans la mise en place d un serveur de commande et de contr le Le site internet de la victime va tre pollu par l installation d un programme visant inviter les victimes utiliser un site Une fois ces sollicitations mises en uvre l objectif est de compromettre au moins un ordinateur faisant partie d un r seau d une entreprise ou d une administration l id al tant de p n trer la machine d un utilisateur poss dant le maximum de droits d administration Ce tunnel sera utilis pour r cup rer un maximum d informations ou compromettre voire d truire des donn es La description des attaques de type APT qui ont affect diverses cibles tant des administrations que des entreprises permettent d tablir que les techniques utilis es ne sont pas de premier ordre s agit souvent d un mailing comportant des pi ces jointes porteuses du programme parasite qui invitent une r ponse et une interaction avec d autres acteurs de l entreprise assurant une propagation interne du malware Le degr de sophistication r side plut t dans la capacit isoler et saisir l environnement socioprofessionnel de la cible et son appareillage informatique les nom
351. r s nombreuses oc casions de partager les approches et les savoir faire de progresser dans la s curit du cyberespace La participation de pr s de 2400 acteurs pu blics et priv s au 5 me Forum International de la Cybers curit a t une excellente occasion de progresser sur le chemin de la s curit num rique et pour l avenir facilitera toujours plus sophistiqu es Selon le r f rentiel g n ral de s curit fran ais 80 des attaques informatiques peuvent tre bloqu es par une bonne hygi ne informatique et des mesures de s curit pr ventives 19 des attaques sont d tect es l aide de dispositifs proactifs de surveillance des r seaux et de d tection des agressions Ce sont ainsi 99 des attaques qui peuvent tre par es par une approche glo bale de la cybers curit Quant aux attaques une navigation s re dans les eaux dangereuses mais f condes du cyberes pace Luc Fran ois Salvador Pr sident Directeur G n ral du groupe Sogeti Membre du Comit Ex cutif de Capgemini 5 Forum international de la cybers curit 5e Forum international de la cybers curit Lille lundi 28 janvier 2013 Mots d accueil Pierre DE SAINTIGNON esdames et messieurs monsieur le Pr fet monsieur le Ministre qui nous vient du Cameroun je suis tr s d invit s o de participants associatifs ou qui agissent dans ce champs Je vous remercie tr s chaleureusement de vo
352. r ac teurs de cette soci t que nous sommes en train de construire Les identit s num riques sont un peu comme l arbre qui cache la for t elles ne peuvent tre r ellement appr hend es que si nous ana Afin de limiter mon intervention dans le temps de parole qui m est donn je vais m attacher aux cha nes de confiance dans le cyberes pace et dont les objectifs de l identit num rique visent favoriser l interop rabilit et l ouverture par exemple en permettant un in ternaute de pouvoir s identifier s authenti fier de mani re s re vis vis de diff rents syst mes ou applications Nous identitions aujourd hui trois grands types d identit s qui peuvent interagir entre elles suivant les besoins l identit d une personne physique dite r galienne C est celle qui est garantie par les tats Aujourd hui les techniques permettent un internaute de s authentifier via son identit num rique l identit num rique d une personne morale et dont les droits associ s impliquent la gestion lysons l ensemble de la cha ne de confiance qui est associ e chacun de ses usages des ouvertures des impacts juridiques sous jacents et des conditions d appropriation par les inter nautes Aujourd hui nous utilisons quotidiennement une multitude de mots de passe login voire des identit s num riques qui nous sont commu niqu es par des op rateurs
353. r des hackers identifi s Peuton imaginer comme on l a r v l pour certains fabricants de syst mes de protection priv s d antivirus etc qu ils ont r mun r des gens qui r alisent des attaques pour qu ensuite ils puissent voir l entreprise ou le minist re en question en leur disant vous voyez vous avez t p n tr par des hackers il est temps que vous achetiez mon produit l gt St phane JANICHEWSKI Oui il est bien s r possible de tester ou faire des tests de p n tration D ailleurs c est fait tr s r guli rement Je dirais que la question n est pas tellement dans le fait de savoir s il y a eu p n tration ou pas p n tration Aujourd hui tant donn e l volution de la me nace on sait que nous sommes dans un do maine de risques et qu il faut avoir une approche par rapport au risque la question en matiere de protection laquelle vous pou vez r pondre est d essayer de r duire le risque effets de propagation au sein de l entreprise ou au sein de l organisme public soient limit s galement C est la question aujourd hui celle d une d fense beaucoup plus syst mique beaucoup plus dynamique beaucoup plus en profondeur et qui suppose au passage non seulement des dispositifs techniques mais sur tout la mobilisation de tous les acteurs au sein de l organisme C est une notion cl chaque acteur est potentiellement une source de me nace par n gligence ou ventuellement
354. r des ordres d achat sans le consen tement de l utilisateur Selon le CLUSIF le placement d ordres d achats concurrencera bient t l appel de num ros surtax s Conclusion l ann e 2012 a donc t copieuse en v ne ments Pour Fran ois Paget Secr taire G n ral du CLUSIF et animateur de l atelier 3 du FIC d un c t les particuliers se retrouvent face un nombre croissant de menaces sur les mobiles Ces quipements encore av jourd hui peu prot g s vont devoir tre consi d r s diff remment par leurs propri taires insiste il De l autre ajoutetil les entreprises voient appara tre de nouveaux protagonistes aux c t s des cybercriminels et des hackti vistes la fin 2012 les tats ne sont plus sev lement vus comme protecteurs spectateurs ou victimes mais aussi et c est nouveau comme concepteurs de cyberarmes 5 Forum international de la cybers curit 117 5 Forum international de la cybers curit A4 Cyberd linaquance ou cybercriminalit organis e Quels sont les profils des cybercriminels 2 Intervenants P Bruno Chapuis Colonel charg de mission au STSI2 1 STSI Service des technologies et des syst mes d infor Gendarmerie nationale mation de la s curit int rieure Eric Freyssinet Lieutenantcolonel chef de la division de lutte contre la cybercrimina lit Gendarmerie nationale Val rie
355. r l application des r gles l mentaires de s curit informatique 1 IDS Intrusion Detection System m canisme destin rep rer des activit s anormales ou suspectes sur un r seau ou un h te 2 IPS Intrusion Prevention System est un outil permettant de dimi nuer les impacts d une attaque de d tecter un balayage automatis d un site Il permet de bloquer automatiquement des ports d acc s mais n a pas toujours la s lectivit attendue les APT tant difficiles parer il faut d velopper une d fense en profondeur au travers d une l vation des niveaux de protection dans les entreprises Enfin et en conclusion il appara t opportun de d velopper une politique de gouvernance de cybers curit et des outils de prospective afin d anticiper les cons quences d une ventuelle attaque Cela passe ventuellement par une d centralisation des r seaux afin de diminuer les risques Le d veloppement de la r silience au sein des entreprises et des administrations est d s lors un objectif fondamental 157 5 Forum international de la cybers curit 158 19 D mat rialisation et archivage Intervenants Thierry PIETTE COUDOL Avocat TPC Avocats Jean Louis BAJU Directeur du Centre de gestion de la fonction publique territoriale Alexandre BARBOT Responsable commercial s curit int rieure Sopra Group Emmanuel MICHAUD Directeur d l gu Chr
356. rait donc aboutir une censure du contenu d in ternet La deuxi me raison c est qu actuelle ment une campagne de propagande peut tre consid r e par ces tats comme une agres sion qui vise d stabiliser un r gime politique Pour nous ceci va l encontre de la libert d expression et peut tre finalement une exten sion des causes de conflictualit Jean Claude BOURRET Merci mon g n ral Nous allons continuer feuilleter le grand livre de la cybers curit avec monsieur Patrick PAILLOUX qui est direc teur g n ral de l ANSSI l Agence Nationale de la S curit des Syst mes d Information Monsieur PAILLOUX comment faire face aux menaces Et que fait l tat Patrick PAILLOUX Que fait l tat ou que peut faire l tat 2 Tout d abord par rapport quoi Quelle est la menace contre la s curit nationale telle que nous l analysons telle que nous la voyons tous les jours Je ne vais pas vous parler de sciencefiction mais je vais vous parler de ce que l on mesure concr tement tous les jours la premi re particularit c est que la menace laquelle nous sommes confront s est tr s asy m trique au sens o les acteurs qui menacent la nation peuvent tre de toute nature depuis des individus jusqu des tats en passant par une hybridation de la grande criminalit qui 41 5 Forum international de la cybers curit 42 s int resse de plus en plu
357. rance rige en priorit une strat gie industrielle cyber gt sous la gouvernance et l autorit du Premier ministre par le biais de l ANSSI elle ne m sestime pas la toile et son caract re primordial dans le nouvel espace de combat le cyberespace Depuis mai 2011 de nouvelles mesures ont t prises visant garantir la coh rence des ordres la vigilance sur internet et la pr paration des forces l ventualit de telles attaques Par ailleurs l accent est port sur la formation avec l instauration de modules de formations l cole des transmissions de Rennes l ESM St Cyr l ENSTA chez Suptelecom et l uni versit Bretagne sud avec la cr ation de l ENSIBS Enfin une r serve Sud ENSIBS est une cole d ing nieurs agr e par la CTI citoyen ne de volon d pendant de l Universit de Bretagne Sud taires vient ouvrir le volant des ressources humaines affect es cet effort L attaque cyber de 2007 en Estonie a fait prendre conscience non seulement par ce pays mais par toute l Europe de la vuln rabilit des r seaux num riques d tat Situ e la fron ti re de l est et de l ouest du vieux continent l Estonie a t d sign par l OTAN pour y implanter la coop rative Cyber D fense Center of Excellence CCDCOE D s 2009 ce pays a constitu sur la base du volontariat une ressource humaine compos e de sp cialistes en IT en sciences juridiques ainsi que des ana
358. ration du secteur Il en va du bon fonctionnement d un espace dans lequel se d ploie notre vie collective notre vie de citoyens de cr ateurs de consommateurs Voil pourquoi il est mes yeux fondamental que toutes les questions li es la cybers curit soient mises sur la table C est la meilleure mani re de garantir la fois les libert s fondamentales et l existence d un Internet ouvert et s r Je tiens saluer encore une fois l initiative du FIC et je vous souhaite tous de bons travaux Je vous remercie 19 5 Forum international de la cybers curit 20 Allocution de Fleur Pellerin MINISTRE D L GU E AUPR S DU MINISTRE DU REDRESSEMENT PRODUCTIF CHARG E DES PETITES ET MOYENNES ENTREPRISES DE L INOVATION ET DE L CONOMIE NUM RIQUE Mesdames et Messieurs e voudrais tout d abord vous remercier pour votre invitation c est un v ritable plaisir pour moi d tre pr sente aujourd hui Lille l occasion du Forum International de la Cybers curit Je tiens galement remercier l ensemble des participants de cette r union pl ni re dont le th me est complexe et stimulant Cyberes pace identit num rique thique et vie priv e vaste sujet Vous avez tous soulign quel point il est strat gique et actuel pour nouS Nous ne pouvons plus attendre pour y r pon dre C est le message que je suis venue vous transmettre et vous verrez que le
359. rche travers l Agence europ enne de D fense C est la fois peu parce que cela ne repr sente au niveau europ en que 10 de leur coop ration mais c est quand m me la concr tisation de la volont de travailler centaine de personnes Ce centre vient juste de se mettre en place Il faudra identifier les domaines pour lesquels un travail commun sera possible Je souhaiterais aussi indiquer que l on d veloppe de plus en plus de coop ration avec de plus en plus avec l Agence et dans des for mats tr s variables videmment notre enjeu est aussi de travailler troitement avec la base industrielle de d fense et je voudrais terminer par ce point l Il s agit des nord pendances la Commission dans le domaine de la s curit le domaine de la cybers curit tant bien s r beaucoup plus large car impliquant un grand nombre de directions g n rales technologiques J estime que non seulement on doit traiter ce sujet pour les technologies de d fense mais aussi d une mani re g n rale en Europe pour toutes les technologies strat giques Je pense que la cybers curit en est Nous avons lanc de notre c t une premi re tude sur l identification des priorit s technolo une Les composants les logiciels qui sont d ve lopp s en Inde les r alisations qui peuvent giques sur lesquelles les pays veulent coop rer en mati re de cyberd fense En parall le la Commissi
360. rd de transposer dans le domaine Cyber ce qui fonctionne dans le domaine de la s curit fonctionnelle l analyse du risque associ e l tat des lieux des mesures en place mettra en lumi re un niveau de confiance accorder au syst me La deuxi me phase consacrera l application du principe de la d fense en profondeur De mani re g n rale la dur e de vie d un syst me industriel est trop longue pour faire l objet d une int gration de cybers curit Il s agit alors avant tout de d finir des r gles comportementales inculquer et entretenir aupr s des diff rents acteurs qui travaillent avec les SCADAS en tenant compte de ce diff rentiel et de l int gration progressive de structures logicielles sur un ensemble h t rog ne En choisissant de vivre dans un environnement informatique permanent comme le souligne le d veloppement du Cloud il faut accepter un risque permanent Par analogie la vie implique l acceptation du risque de la maladie mais la crise survient si tout le monde est malade en m me temps La gestion du risque sanitaire vise viter cette atteinte simultan e et dans le pire des cas l extinction d une ecosph re Il en va de m me dans le domaine informatique 5 Forum international de la cybers curit 2 Les travaux de normalisation les plus avanc s ont t men s aux US depuis le d but de la d cennie Les travaux du comit ISA SP99 ont b n fici de l effort de recherc
361. re de pr vention on rappellera le dispositif l gislatif autorisant l exercice de cyberpatrouilles visant d tecter les changes ill gaux en mati re de jeux en ligne terrorisme et p dophilie L examen d un support pourra tre men pour conna tre les informations stock es comme par exemple l existence d images p dophiles sur un ordinateur ou encore les derniers appels contenus sur un t l phone portable ou les derni res transactions d une carte bancaire Toutefois depuis une dizaine d ann es la t che est devenue plus difficile car le volume et la nature des informations analyser sont de plus en plus importants et complexes Des moyens techniques ont t progressivement d velopp s 5 Forum international de la cybers curit moyens d investigation seront de nouveau n cessaires Avec la norme IPV6 le web des objets communicants l utilisation terme de la troisi me dimension l internationalisation des donn es stock es dans le cloud computing gt sera la r gle Mais personne ne saura exactement o elles se trouvent Il existe cependant des technologies pour traiter les informations stock es dans le cloud mais le d ploiement des logiciels doit tre r alis en partenariat avec les h bergeurs fran ais et trangers Un partenariat public priv comme les logiciels permettant de r v ler des informations apr s l effacement des donn es sur un disque dur ou encore des bases
362. re diff rentes fonctions au sein de l entreprise afin d englober tous les enjeux entre la sph re de l entreprise et la sph re priv e C est l ensemble du mailage informatique et des acteurs au sein de l entreprise et de leur vie priv e qui sont impliqu s 189 5 Forum international de la cybers curit 190 B6 Nouvelles technologies NOUVEAUX USAQES Intervenants Michel PICOT Journaliste BFM Business Dominique BOURRA Directeur Nano JV Pierre CALAIS Membre du directoire NETASQ vice pr sident Ing nierie et Op ra tions pr sident de l association R amp D SSI nouveaux risques Aur lien FRANCILLON Professeur s curit informatique et des r seaux EURECOM Chekib GHARBI Pr sidentdirecteur g n ral EuraRFID Alban SCHMUTZ Senior VP business Development amp Public Affairs groupe OVH R sum des interventions Internet des objets informatique ubiquitaire nanotechnologies web 3 voir 4 0 autant d innovations en cours d adoption ou bient t adopt es qui largissent le champ des pos sibles en mati re de cybercriminalit Quels sont les risques face ces nouvelles techno logies et surtout aux nouveaux usages qui en d coulent et les prospectives associ es ce sujet Les nouveaux risques e d veloppement de technologies ou d outils nouveaux est porteur de risques non identifi s u d
363. rent encore plus efficacement par del les fronti res La cadre de l Union europ enne est particuli rement favorable cette action avec les outils tr s pertinents que sont les agences de coop ration Europol et Eurojust et les outils de proc dures communs La cr ation tr s r cente du Centre europ en de lutte contre la cybercriminalit pour d fendre un internet libre s r et souverain en est une parfaite illustration Nous allons durant cette session pl ni re nous int resser aux perspectives du traitement judiciaire de la cybercriminalit l chelon europ en et international Pour nous clairer sur ce sujet nous avons r uni cet apr s midi cinq intervenants qui vont nous apporter successivement leur expertise en la mati re Monsieur Yves Charpenel a exerc depuis 1976 plusieurs fonctions au si ge puis au Parquet Il a notamment exerc les fonctions de conseiller technique au cabinet du Garde des Sceaux Il est aujourd hui premier avocat g n ral la Cour de cassation Monsieur Quill directeur adjoint d Europol est charg de la direction des op rations Il a une longue exp rience au sein de la Direction centrale de la police judiciaire et a occup divers postes dans le domaine international en mati re de lutte contre la criminalit organis e Je poursuis avec monsieur Dieudonn Tharcisse Kanyama Mbayama qui repr sente la magis trature de la R publique d mocratique du Congo Il est au
364. res Elles doivent se conformer aux l gislations et r glementations fran aises et europ ennes et l int rieur de ce cadre l gal tre personnalis es pour r pondre aux besoins sp cifiques de chaque entreprise en terme de s curit Ces chartes rappellent les r gles issues du Code p nal du droit de la presse de la loi Godfrain des textes relatifs la protection des donn es personnelles et mentionnent les outils de surveillance utilis s Elle doivent tre int gr es au r glement int rieur n goci es avec les partenaires sociaux syndicats et instances paritaires et port es la connaissance des personnels dans un souci de transparence Des s ances de formation d di es peuvent tre instaur es pour expliquer leur utilit et leur n cessit Le but recherch est que les collaborateurs soient en mesure de se les approprier qu ils comprennent l int r t pour l entreprise de mettre en place ces formes de contr le et ne les consid rent pas comme une limitation leur utilisation du sys me d information Ces chartes ont pour r le de cr er le droit positif dans l entreprise Il est donc primordial de faire attention au risque de leur obsolescence de les v rifier r guli rement de veiller leur formulation de mani re dicter des r gles g n rales qui puissent demeurer valides au del des volutions technologiques L utilisation d un identifiant et d un mot de passe personnel
365. rincipale de toute tude visant la mise en place de technologie nouvelles dans le cadre du d veloppement de la ville intelligente Les atteintes aux syst mes SCADA dont de nombreux exemples nous ont le constatons de plus en plus le piratage des syst mes centralis s de contr le peut avoir des cons quences importantes voire graves titre d exemple il est possible de citer les diff rentes perturbations de circulation importantes dans certaines grandes villes des tats Unis suite au piratage du syst me de gestion des feux tricolores ou de certains r seaux ferr s La deuxi me vuln rabilit concerne la marchandisation de l information En effet il est ais de constater que de nos jours toute information peut pr senter un int r t certain et que celle ci peut tre d tourn e vol e afin d tre revendue Une ma trise de la gestion et du contr le de ces informations doit donc tre une priorit au niveau de la s curit et n cessiter la mise en place non seulement de moyens technologiques mais aussi et surtout une formation adapt e pour les personnels ayant acc s aux diff rentes informations On ne peut pas ignorer le risque de fuite d informations sur l architecture les moyens de fonctionnement d un syst me automatis de gestion de l eau par exemple qui pourrait permettre une action terroriste Le cyberterrorisme et la cyberguerre sont des ph nom nes qui trouveraient un terrain propice de d velopp
366. riser le d veloppement du commerce lectronique Le second faciliter un usage plus large et plus efficace des technologies disponibles pour renforcer la pro tection de nos en treprises tion des sait pas toujours Bref nous personnelles et 1 des ad celle de la viepi N AVOns pas rougir de nos a ps v e de line performances sur le march fon aises du sec naute international bien au contraire teur innover et Sur le plan poli tique enfin cette soci t devra d finir un stan dard ouvert visant pr server notre souverainet nationale face aux alternatives trang res et non s curis es Surtout Id num n est que la premi re tape d un chantier global qui doit tous nous mobi liser Je voudrais ainsi qu elle soit comme une invitation ce que le secteur de la cybers cu rit se structure davantage La confiance nu m rique n en sera que plus forte La France souffre d une absence de v ritable politique industrielle dans le domaine ses ac teurs sont trop dispers s sa R amp D insuffisante Un effort de structuration est donc n cessaire produire de la valeur La France poss de de nombreux atouts dans le domaine de la cybers curit m me si on ne le sait pas toujours Bref nous n avons pas rougir de nos performances sur le march international bien au contraire Plusieurs de nos fleurons me viennent l es prit Thal s EADS
367. rit iiiiiiiiiiiiriiiriiiriirrrirrirrrirrrrrrrrrrrin 22 B19 D velopper des r seaux de r silience l chelon territoria san ses nn 223 Communiqu de presse Manuel VALLS et Fleur PELLERIN iiiiiiieeeeeeee ereere 226 EDITORIAL lors que plus aucun processus de notre soci t ne peut fonctionner sans des syst mes d information et r seaux num riques fiables et s rs l ins curit informatique s aggrave et s tend jusqu aux en treprises et administrations les mieux prot g es les attaques informatiques deviennent incessantes et tr s sophistiqu es perp tr es par des hackers des commandos du num rique de plus en plus ing nieux et organis s Comme l oc an dans les temps anciens le cyberespace qui apporte tant la soci t et l conomie est devenu le nou veau territoire de chasse des pirates corsaires et autres flibustiers les plus sophistiqu es s il est impossible de s en pr munir coup s r l entreprise peut consid rablement limiter leur impact si elle s est dot e d une s curit en profondeur et s est bien pr par e g rer la crise Ce qui en outre facilitera l identification et la poursuite judiciaire des agresseurs J observe qu un nombre croissant d organismes publics et d entreprises prennent en compte ce besoin de s curiser leur activit De plus en plus les dirigeants prennent conscience des enjeux et bien que les budgets soient rares
368. rit des t l communications o n 179 B3 Plans de continuit et reprise d activit la question du retour en mode d grad iiiicr 182 B4 Cybercriminalit bancaire et financi re iisesere reer 184 B5 E r putation quels risques pour les entreprises et les particuliers 2 187 B Nouvelles technologies nouveaux usages NOUVEAUX risques 190 BZ Cybers curit et sant 193 B8 Regards crois s sur les strat gies de cyberd fense 196 BO D veloppement informatique s curis comment int grer la s curit en amont 2 198 B10 la r silience internet allaan aaan aaea LEELEE L Lanna 201 B11 Mon tique et commerce en ligne quelle s curit pour les nouveaux moyens de paiement 203 B12 Quelle politique de s curit des syst mes d information adopter en entreprise 2 205 B13 Quelle politique de s curit pour le syst me d information des collectivit s territoriales 2 207 B14 Lutte informatique d fensive et Security Operation Center vers une cybers curit dynamique 210 B15 BYOD r seaux sociaux Les nouveaux risques en entreprises 213 B16 Le management des professionnels de la cybers curit 216 B17 La cybercriminalit un risque assurable 2 000iiiiiiiiiiiaaa 219 B18 Open data lib ration des donn es publiques et s cu
369. riv comme dans le secteur public il existe une classification des donn es qui tient compte de leur sensibilit pour un usage particulier Les uns et les autres motivent leurs collaborateurs sur l usage des donn es sensibles Mais dans le secteur priv il est plus difficile de faire endosser leurs responsabilit s aux directeurs m tiers notamment le marketing en cas de diffusion de certaines donn es En revanche certains vont veiller naturellement et par principe les pr server conscients que leur diffusion pourrait mettre en p ril l entreprise comme par exemple la diffusion des comptes de r sultat dans le domaine financier Pour viter le stockage intempestif de ces donn es il existe dans le secteur priv des solutions tech niques qui emp chent un t l chargement local ou sur un terminal Pour contr ler les orientations donn es le secteur priv a tendance mettre en uvre des outils de veille pour juger de sa r putation avec publication d un rapport annuel Il Les solutions juridiques On peut ne pas adh rer au BYOD et interdire l acc s aux r seaux sociaux sur le temps de travail mais cela devient plus compliquer pour l interdire sur le temps de pause L organisation de l usage des moyens num riques doit tre int gr e dans une charte Avant d autoriser l usage des moyens num riques il convient de proc der par tape 1 Autoriser l emploi des moyens num riques partir
370. rmatique mis sa disposition soit par une compromission des donn es per sonnelles contenues dans les fichiers Dans les deux cas il est recherch non seulement la le responsable pour emp cher la survenance de cette faute Une s curit d faillante pouvant engager la responsabilit tant civile que p nale du dirigeant la mise en place au sein de la structure d une s curit effective des syst mes d information est primordiale Il Des solutions la mise en place d une politique de s curit des syst mes d information doit partir d un r f rentiel La Direction g n rale de la modernisation a mis au point avec la Direction centrale de la s curit des syst mes d information un docu ment r f rentiel g n ral de s curit constituant un outil complet la disposition du responsable de la s curit des syst mes d information DSI Selon la taille de la collectivit territoriale pourra tre mis en place un DSI ou un RSSI et s il n existe aucune possibilit de cr er un poste sp cifique la s curit du SI doit correspondre minima une partie de l activit quotidienne d un agent La d finition d une politique tangible de s curit ne peut se r aliser que si elle implique l ensemble des agents et qu elle obtient un aval politique fort de la part de l ex cutif La mise en place d une politique coh rente de s curit du syst me d information doit s appuyer sur u
371. rs curit 148 d veloppement du march de la cybers curit Il Une structuration des acteurs qui fait d bat La structuration des prestataires de solutions de cybers curit a fait d bat comment garantir l innovation n cessaire quand le tissu industriel est tr s morcel quand les entreprises disposent de budgets de R amp D tr s faibles compar s notamment ceux des g ants am ricains 2 Dans ce contexte peu favorable l organisation de la politique industrielle repose sur deux conditions essentielles La premi re porte sur l obtention de financements publics pour stimuler la R amp D Ces financements peuvent tre europ ens via les projets qui rel vent du Septi me programme cadre FP7 actuel programme 2007 2013 g r par la Commission de l Union europ enne pour d velopper la recherche et le d veloppement technologique Les financements peuvent aussi tre nationaux via les Investissements d Avenir pour d velopper la recherche et soutenir les fili res d excellence les programmes d tudes amont gt de la Direction g n rale de l Armement DGA etc Ces m canismes ont l inconv nient d tre complexes notamment lorsqu ils doivent tre mis en uvre par des PME S agissant des suites que reste t il concr tement d une tude papier financ e par Bruxelles 2 La deuxi me condition porte sur la cr ation de consortiums au niveau europ en regroupant des PME et de grandes entreprises L obje
372. rs publics des tats la fois des services des tats et de leur collectivit locale 50 d entreprises dont 60 de grande taille 10 de grandes coles et d universit s et question tout fait essentielle pour ce qui nous concerne 10 g n ral parce que nous en avons eu l id e il y a six ans et qu avec beaucoup de t nacit beaucoup d engagement parfois dans l adversit nous avons su maintenir les quatre premi res Notre choix en organisant cette cinqui me dition est d ancrer d finitivement le FIC dans le rendez vous de notre r gion le rendez vous donn au monde sur ces questions aussi strat giques Revenant il y a quelques minutes d un voyage conomique en Chine je puis vous dire quel point ces questions sont absolument d terminantes Aujourd hui la cinqui me dition repr sente une tape particuli rement importante dans le contexte d une manifestation renforc e qui se 5 Forum international de la cybers curit avenir et organiser notre futur et c est dans ce cadrel naturellement que le FIC prend toute sa place On ne peut pas en effet parler de d veloppement conomique sans parler de protection de nos entreprises d intelligence conomique et donc de cybers curit et de veut tre un lieu de connaissance de rencontre et d changes sur les solutions Rien n aurait pu se faire sans le Conseil r gional bien s r mais aussi sans la Gendarmerie c
373. rte la mention d diteurs fiables Les logiciels achet s comprennent des composants trangers de programmation Leur profusion et leur origine ne permettent pas de v rifier la qualit de leur code Le probl me est aigu pour les automates dont la s curit n est pas la fonction premi re Le traitement des h pitaux fran ais montre une architecture reposant sur l int gration de produits standards et de SCADA mal programm s et sans analyse de risque La modification des programmes implique une perte de l agr ment de sant Les d monstrations 5 Forum international de la cybers curit de piratage de mat riels m dicaux pacemakers compris montrent les faiblesses de l assemblage de framework sans test significatif On doit relever l importance du cahier des charges En mati re de machines de production il convient d examiner l ajout de codes corrig s aux codes initiaux livr s avec la machine Il est difficilement acceptable que des applications int ressant des infrastructures de s curit et de transport vitales pour les syst mes et les personnes n im pliquent pas en cas de d ficience de s curit une incrimination civile et p nale significative Il faudra que les diteurs aient des comptes rendre Techniquement on peut comprendre un z ro day gt mais on ne peut tol rer la mise sur le march de produits non termin s test s sur des simples r gles commerciales et impli
374. s conduire des op rations dans le cyberespace Mais l enjeu est aussi d inscrire ces cyber op rations au sein des processus d anticipation strat gique et de planification op rationnelle ainsi la composante technique confi e la DGA a pour mission de connaitre et anticiper la menace de d velopper la recherche amont de d velopper les produits de haut ni veau de s curit enfin d apporter une exper tise m me de r pondre la crise informatique qui pourrait frapper le minist re de la D fense ou d autres composantes strat giques de la Nation J en viens maintenant la composante indus trielle de la cybers curit qui a fait l objet si j ai bien compris de la s ance pl ni re qui vient de se d rouler Disposer de ce que nous appelons une base industrielle et technolo gique de d fense performante est absolument essentiel et d autant plus dans ce domaine de pointe Je rappellerais ici que la strat gie du minist re de la D fense et plus g n ralement de l Etat pour d velopper cette base indus trielle repose sur plusieurs actions coordon n es Coop ration avec les grands organismes de 5 Forum international de la cybers curit esprit national de cyberd fense l image de celui que l on observe d j dans un pays comme l Estonie A cette fin nous avons no tamment mis en place un r seau de r serve ci 3 Luc Fran ois Salvador PD
375. s Nous sommes une des seules entreprises mettre votre compte et par cons quent votre identit Nous avons mis en place une industrie leader dans le domaine protection s curit par le biais du navigateur appel Google Chrome Mais je pense que notre responsabilit d passe l utilisation qu ont les gens de nos ser vices et la confiance qu ont les gens dans le web Comment la technologie r ussitelle prot ger les informations personnelles Nous travaillons avec une quipe d Harvard sur un projet appel Stop Badware qui a pour but de pr venir et d emp cher la prolif ration de virus et autre Malware Nous offrons un programme de navigation s curis appel API permettant n importe quel site ou navi gateur de cr er les moyens de protection que l on trouve dans Google Chrome pour avoir acc s nos services Je pense tout particuli rement la question de l identit Nous collaborons activement avec l organisation Open ID qui est but non lu cratif aux Etats Unis et qui a d velopp des technologies comme OAuth qui permettent Un utilisateur de se servir de ses identifiants pour se connecter en toute s curit La derni re chose que je voudrais dire avant de conclure est qu il faut s assurer que l acc s l gal par des chercheurs aux donn es person nelles de nos services soit r alis de mani re coh rente et vidente Ainsi nous pr cisons quels sont les typ
376. s va obligatoirement cr er un drain pour les contrefacteurs qui vont r aliser un site identique et vendre des contrefa ons en jetant un trouble dans l esprit du consommateur Le cyberespace est un nouveau vecteur que les contrefacteurs ont tr s rapidement adopt Il permet de proposer de multiples articles sans d tenir de stock et de sensibiliser un maximum de clients travers le monde l ensemble des possibilit s offertes par Internet est utilis les petites annonces les blogs les sites et galement les r seaux sociaux l adaptabilit des cyber 133 5 Forum international de la cybers curit 134 contrefacteurs est permanente et l arriv e massive des propositions de vente de contrefa ons sur des r seaux tels que Facebook ou Twitter le d montre Il Des solutions La premi re action des entreprises doit consister se prot ger par le d p t de leur marque dessins ou mod les Ces d p ts ne doivent pas se limiter la France m me si l objectif premier n est pas le d veloppement international Il est primordial d accompagner les TPE et les PME qui sont esseul es face la probl matique de la contrefa on En cas de violation des droits de propri t intellectuelle l action civile est la solution la plus utilis e Cette proc dure consiste rechercher la responsabilit du contrelacteur et mat rialiser les actes de contrefa on Apr s avoir recueilli les l
377. s le degr de p n tration dans les syst mes et les effets connus dans le temps En droit international l agression arm e est clairement d finie et elle entra ne le droit pour l tat qui en est victime d agir en l gitime d fense est en effet difficile de caract riser une attaque informatique au regard d une r ponse en situation de l gitime d fense tout en prenant en compte les crit res de la temporalit ou encore de la proportionnalit de la r ponse l attaque l agression informatique n est pas d finie par le droit international Sur la notion de jus in bello les conflits arm s internationaux et conflits arm s non intemationaux sont clairement d finis or les cyberattaques n engendrent pas de pertes humaines directes En 2008 le conflit entre la G orgie et la Russie a engendr des pertes humaines et des cyberatiaques ont t utilis es lors de ce conflit La cyberguerre peut elle donc tre consid r e comme une guerre part enti re ou n estelle pas qu un moyen de la guerre 2 Les m mes questions peuvent tre pos es sur la question du cyberterrorisme un groupe de hackers peutil tre consid r comme une 125 5 Forum international de la cybers curit 126 formation organis e alors que les hackers n agissent pas toujours avec des revendications politiques religieuses 2 Des arguments militent en faveur de la reconnaissance de l existence d une vraie notion
378. s pirates par la mise en place de r gles cybern tiques mais ce jour aucun accord n a pu tre finalis car les d cisions sont prises par consensus 56 tats membres La route pour arriver un accord est difficile car chaque tat d finit ses priorit s et il faut aplanir les nombreuses divergences I y a cependant un int r t commun des tats pour renforcer la revient aux tats de mettre en place un instrument juridique plus contraignant Les pays qui h sitent prendre parti groupe des 77 font l objet d op rations de s duction fourniture de technologies clef en main pour les attirer La Chine et la Russie pr conisent un transfert de gouvernance un organisme intergouvernemental Ces approches nettement diff renci es ont anim les d bats l occasion de la conf rence internationale des t l communications Duba en d cembre 2012 o la lutte d influence quant la place d Internet dans la soci t est apparue au grand jour s curit Les pistes pour y arriver existent promotion des n gociations bilat rales et internationales approche ascendante par une prise en compte des positions dites du plus petit d nominateur commun l instauration d une confiance sera un facteur d avanc es en la mati re Ces n gociations s av rent complexes mais l int r t des tats tant vident on ne peut que progresser IIl Internet zone de non droit ou de sur droit 2 Le droit d
379. s au domaine cyber Cette menace est videmment tr s internatio nale puisque dans ce domaine les fronti res n existent pas Pire les fronti res sont un car can pour les d fenseurs comme nous et plut t un avantage pour les attaquants Cette me nace est tr s pr sente notamment en mati re de cyberespionnage Malheureusement j ai d j eu plusieurs fois l occasion de le dire on ne compte plus les tr s grandes entreprises qui sont victimes de pillage technologique au tra vers de l espionnage informatique Ce n est malheureusement pas une menace th orique finalement s est significativement d grad e de puis le Livre Blanc de 2008 l tat ne peut bien s r pas rester inactif et il ne l est d ailleurs pas Un des bras arm s de l tat dans ce do maine c est l ANSSI sous l autorit du Premier ministre dont la mission est d organiser la d fense du pays M me si bien d autres ac teurs interviennent le minist re de l int rieur le minist re de la d fense le minist re en charge de l conomie num rique Ils sont tr s pr sents dans la salle y compris au plus haut niveau et ils auront l occasion de d tailler lar gement leur action mais bien une r alit aujourd hui Cette me nace est en perp tuelle volution Pour ceux qui suivent le domaine il ne se passe pas un J en profite pour r pondre la question de tout l heure est ce qu il y a des personnes au top de la technique Ou
380. s d avenir l Etat le Groupe La Poste Euro Information c est dire le Cr dit Mutuel et le CIC ainsi que PagesJaunes et SFR se sont unis pour cr er la soci t Id num Sa mission sera de f d rer en France le plus grand nombre d acteurs du Web afin de d finir et celle de la vie priv e de l internaute Sur le plan politique enfin cette soci t devra d finir un standard ouvert visant pr server notre souverainet nationale face aux alternatives trang res et non s curis es Surtout Id num n est que la premi re tape d un chantier global qui doit tous nous mobiliser Je voudrais ainsi qu elle soit comme une invitation ce que le secteur de la cybers curit se structure davantage La confiance num rique et de promouvoir des solutions d identit s num riques universelles pour les professionnels comme pour les particuliers n en sera que plus forte la France souffre d une absence de v ritable 5 Forum international de la cybers curit politique industrielle dans le domaine ses acteurs sont trop dispers s sa R amp D insuffisante Un effort de structuration est donc n cessaire J ajoute que le march de la s curit des syst mes d information et des r seaux pourrait repr senter de nouveaux march s notamment trangers dans le respect bien videmment de nos valeurs fondamentales En conclusion l objectif de cette politique doit 16 milli
381. s de certaines personnes les processus de l entreprise et les moyens techniques etc Il est compl t par le soin apport la pr paration et la conception du logiciel malveillant C est une attaque en profondeur qui vise pour les plus aboutis au contr le total du syst me d information et la modification des processus de l entreprise La difficult pour les programmes assaillants tant d mettre des signaux faibles discontinus dans le temps et n affectant que quelques cibles pour ne pas veiller l attention du RSSI Ces attaques sont mises en uvre par des acteurs aux profils diff rents sans occulter une dimension tatique Le d veloppement et la mise en uvre du virus stuxnet visant les centrales nucl aires iraniennes exigent un haut niveau de technicit que seul un Etat peut ma triser Les associations de crime organis ont tr s vite saisi l int r t de ce type d attaque afin de pouvoir toucher un maximum de victimes 5 Forum international de la cybers curit les attaques se diffusant principalement par les pi ces jointes contenues dans les emails Il faut donc mettre en place des outils de s curit sp cifique visant d celer la compromission l officier de s curit sens conna tre les failles de son syst me et ses vuln rabilit s devra positionner des sondes Il pourra organiser le contr le de fichiers bureautiques provenant des messageries v rif
382. s de r gle mentations pour garantir la s curit Je crois aussi que le cyber au del des menaces est aussi une opportunit formidable lorsque la France comme l Europe en g n ral traversent une crise conomique sans pr c dent depuis les ann es 30 Une crise sans doute mais tains magistrats y pensent d un futur code cyber pour l gif rer sur les questions li es au num rique Je ne sais pas si nous arriverons un code du num rique ou cyber mais lorsque l on a invent les voitures il n y avait pas de code de la route pr alable cette invention Pour le num rique c est un peu la m me chose car s il y a un certain nombre de do maines qui ont d j fait d ores et d j l objet de normes je crois que nous ne sommes qui est aussi une mutation conomique li e d j la r organisation du syst me de production la r volution industrielle li e au num rique Je crois justement qu il y a une op portunit pour la France en particulier de cr er de nouvelles fili res conomiques et in dustrielles m me d apporter un nouveau cycle de richesse de croissance un nouveau cycle de d veloppement avec de la valeur ajout e et pour lequel justement nous pouvons qu aux balbutiements qu au commencement de ce nouveau monde de normes qui appara t au fur et mesure de l mergence de novu velles technologies et de nouvelles possibilit s li es au num rique et au cyber Cela sera un d
383. s est dot e d un service d ex pertise technique dont les comp tences sont reconnues par ses homologues au niveau euv rop en et international On travaille sur tous les sujets dans le monde de l Internet comme sier op rationnel C est galement un dossier strat gique sur le plan politique parce que cette coop ration dans le cadre du dossier Google est un test par rapport au m canisme pressenti de colla boration galitaire entre autorit s pressenti dans le futur r glement europ en actuellement dans beaucoup d autres domaines Cette comp tence est la raison pour laquelle nous nous sommes vus confier au d but de l ann e 2012 par nos homologues le dossier Goo gle En effet d but 2012 Google a annonc une modification de sa politique de confiden tialit et a fusionn les politiques de confiden tialit d une soixantaine de ses services Le groupe de l article 29 qui est le groupe des en discussion au Parlement europ en Ce pro jet de r glement a t propos par la Com mission europ enne d but 2012 et il a vocation venir remplacer la directive de 1995 Dans les grandes lignes quels sont les points les plus importants de ce texte Tout d abord c est une simplification pour les en treprises vous savez qu en France quand vous traitez des donn es personnelles dans CNIL europ ennes a tout de suite d cid de se pencher sur cette nouvelle politique pour comprendre quelles
384. s et priv s appr hende globalement la notion de virus informatiques rares sont les non sp cialistes disposant d une vue d ensemble des dangers que courent les institutions et entreprises modernes au travers de leur syst mes d information Toutes les entreprises et institutions modernes constituent des cibles potentielles d attaques informatiques La diffusion des TIC ainsi que le niveau de technicit atteint par les menaces peut l gitimement sembler peu cr dible un non sp cialiste il n en demeure pas moins que l volution constat e du hacking en g n ral et de la personnalit de certains pirates militants en particulier ne peut qu inciter la prudence et la mise en place d une politique de SSI Il existe trois principaux types de malware susceptibles de compromettre le bon fonctionnement d un SI voire d en extraire frauduleusement des informations strat giques Les pirates individuels hackers sont le plus souvent des passionn s d informatiques ma trisant parfaitement les principales failles des diff rents types de r seaux existants qui se r partissent cyberpirates font des collectivit s des cibles en quatre cat gories selon le but recherch de choix car souvent insuffisamment prot g es Dans le cas d une collectivit territoriale de faille respectable on peut tr s bien envisager par exemple une attaque cibl e d internautes contrari s par une d cision ayant tra
385. s les administrations toutes les collectivit s toutes les entreprises qui veu lent pr server l extraordinaire opportunit 5 Forum international de la cybers curit Q qu offre le cyberespace en termes d acc s la culture au d veloppement conomique la communication Nous sommes ici rassem bl s pour partager de la comp tence de la connaissance Mais nous devons aussi parta ger une m me conscience R pondre la question comment c est bien Mais il faut aussi r pondre la question pourquoi 2 Quel sens veuton donner l avenir du cybe respace Sommes nous d sireux de cr er une thique du cyberespace une conscience cybercitoyenne Rien ne servirait l Homme de gagner le cyberespace s il venait y perdre son me C est cela l esprit FIC l tat d esprit du FIC C est un tat d esprit anim par le r alisme mais aussi porteur de confiance Je souhaite que ce 5 me FIC contri bue r pondre ces questions essentielles Agissons ensemble pour rester les ma tres d un cyberespace encore inachev sinon chacun de nous subira dans la solitude Tel doit tre le fil conducteur des s ances pl ni res et des ateliers auxquels nous allons participer Mesdames et messieurs je vous souhaite un bon FIC 20131 QO 11 5 Forum international de la cybers curit 12 Allocution de Manuel valls MINISTRE DE
386. s lois traditionnelles classiques qui permettent de r soudre le pro bl me Il serait toutefois plus indiqu d avoir des lois sp cifiques pour tre plus efficace dans la r pression de cette criminalit Au Cameroun en mati re de cybercriminalit on a pr vu une disposition l gale qui ouvre carr ment une porte sur la coop ration internationale L Afrique du Sud dans la section 90 de l acte 25 de 2002 prend en compte la nature internationale de la cybercriminalit en pr voyant la comp tence des autorit s juridictionnelles d s lors qu un lien existe avec l Afrique du Sud l Afrique du Sud est signataire de l accord d assistance mutuelle et du r seau de chefs de police de l Afrique de l Est Ce sont des dispositions plus ou moins parti culi res qui existent dans des tats et qui per mettent ce moment l de r soudre plus ou miner les niveaux de priorit On a envisag suite ces travaux la r daction d un ouvrage sur la th matique prioritaire de la cybercriminalit en Afrique On envisage galement celle de guides d information et de bonnes pratiques destination de groupes cibles et enfin la r daction d un mod le de charte de conduite dans le cyberespace destination par exemple des coles des lyc ens etc y a aussi un projet de convention africaine de lutte contre la cyber criminalit et pour la s curit C est en chantier mais nous esp rons que cela va vite voluer Qu attendons
387. s m tiers Toutefois le niveau d exigence pos peut tre en d calage avec la culture s curit de l entreprise d autant a difficult premi re consiste d finir la Or le risque z ro n existe pas La d finition et la formalisation d une politique de s curit aussi n cessaire qu elle soit dans toutes les structures pourrait ne concerner que les plus grandes entreprises Toutefois il est avanc que le dirigeant quelle que soit la taille de son organisation nourrit des inqui tudes sur la s curit de son syst me informatique C est d j un d but de politique de s curit Il Des solutions La politique de s curit des syst mes d information en entreprise est un acte de management qui que la tentation est de couvrir tous les risques exige la d finition d objectifs clairs qui doivent 5e 206 Forum international de la cybers curit tre partag s par les collaborateurs Elle implique donc la gestion des ressources humaines Cette exigence de clart conduit la n cessit de la formaliser ne serait ce que pour mieux savoir o l on veut aller Elle doit tre r vis e tous les 2 ou 3 ans Il faut alors distinguer e une partie hors technologie qui demeure constante quels sont les acteurs les r les les enjeux on est ici dans la gouvernance du sys t me d information e une partie qui apporte les solutions techniques
388. s militaire de paralysie des SI strat giques On peut l gitimement supposer que les SI des collectivit s territoriales deviendront de plus en plus des cibles comme les autres au fur et mesure que ces derni res int greront les nouvelles technologies dans leurs processus de gestion des flux informationnels Malheureusement du moins en ce qui concerne notre pays et en d pit de certains avertissements r guli rement lanc s par les services territoriaux d intelligence Economique IE notamment de la Gendarmerie Nationale cet tat de fait reste encore bien trop ignor des d cideurs locaux et le plus souvent des pouvoirs publics dans leur ensemble galement par analogie la vuln rabilit potentielle des grandes administrations de l Etat dont une partie de l activit intrins que consiste en un archivage m ticuleux de grandes quantit s d informations d ordre strictement personnel Tr sor Public h pitaux S curit Sociale etc Il Un ph nom ne nouveau les attaques contre les collectivit s territoriales Un ph nom ne totalement nouveau est apparu depuis deux ans l intrusion dans les SI des collectivit s territoriales S il s av re extr mement difficile de disposer de donn es quantitatives ce sujet du fait de la prudence compr hensible dont ces derni res font preuve de plus en plus d attaques deviennent n anmoins publiques notamment du fait de l app tence de journalistes de plus e
389. s plusieurs ann es sur ces ph nom nes qui entrent dans le concept de cybercriminalit et nous avions des quipes d enqu tes des fichiers qui taient sp cialis s Nous avons sou tenu de nombreuses enqu tes conduites dans les tats membres et impliquant 13 14 15 qui peuvent nous tre accord en toute modestie Europol soutient les enqu tes d tats membres en mati re de criminalit organis e incluant la cybercriminalit de la fa on suivante nous centralisons les renseignements qui nous sont communiqu s par les tats membres pour les tats membres avec des r sultats certains qui ont permis de d manteler ces r seaux de p do pornographes Dans un autre domaine nous travaillons depuis plusieurs ann es sur la fraude aux cartes bancaires pour laquelle internet est un support vident et id al R cemment en agglom rer dans une base de donn es et des siner les r seaux criminels ce qui est un pr alable leur d mant lement La question de la d tection d cembre dernier avec 13 Etats membres de l Union europ enne et 4 tats hors Union euro p enne nous avons aid d manteler un et du dessin de r seaux criminels concerne bien entendu la cybercriminalit Pour rentrer dans le vif du sujet Europol a t charg par la Commission europ enne le 28 mars 2012 de cr er le Centre europ en de lutte contre la r seau de fraude aux cartes de cr dit qui avait pr
390. s pos sibles nationales europ ennes ce pays On parlait tout l heure de ces at taques et de ce qu elles peuvent repr senter Patrick Pailloux a raison les menaces les risques ne conduisent pas uniquement des risques virtuels Moi comme parlementaire je me pose tous les jours la question de la pr paration de la France contre un cyber 11 septembre la question aujourd hui est l Les attaques ne sont pas simplement des attaques virtuelles avec des effets virtuels Les attaques qui peur vent tre introduites aujourd hui par un virus ou par n importe quelle attaque de type cybern tique peuvent avoir des d g ts et des effets mat riels gigantesques On peut s attaquer une centrale nucl aire un barrage notre r seau de transport faire d railler des trains On peut causer des d g ts immat riels impor tants imaginons une attaque contre la Banque centrale europ enne notre syst me bancaire ou tout simplement une attaque qui paralyserait la possibilit de faire des retraits d argent dans la ville de Paris uniquement On peut tout simplement paralyser du simple fait de l interconnexion de l interd pendance des syst mes num riques toute l organisation so ciale Le g n ral Bonnemaison l a dit tout l heure l appareil de d fense et de s curit mi litaire doit pr voir un certain nombre de d sta bilisations de cette nature le risque tant naturellement asym triq
391. s poursuites et sanctions puisqu un employeur ne peut faire proc der des investigations sur un outil personnel Une autre probl matique est celle des relations entre les diff rents services au sein de l entreprise la direction des ressources humaines DRH la direction des services informatiques DSI les responsables de la s curit des syst mes d information RSSI et les services juridiques et de contentieux Les objectifs les priorit s et les langages des uns et des autres diff rent Une meilleure coop ration est souhaitable car la s curit rel ve de plusieurs m tiers et ne peut d pendre efficacement des seuls RSSI C est un droit en cours d volution et en construction qui doit int grer la dimension internationale du Web et r pondre aux probl matiques du salari post l tranger de l entreprise sous trait e du si ge d une soci t localis e dans un pays avec une r glementation diff rente 5 Forum international de la cybers curit Il Des solutions Les chartes constituent le moyen le plus utilis pour assurer la s curit informatique des entreprises et encourager les bonnes pratiques elles quivalent un contrat entre le salari et son employeur sign par chacune des parties Pour avoir une valeur juridique donc tre opposables et pouvoir servir de fondement d ventuelles sanctions elles doivent satisfaire un certain nombre de crit
392. s risques Nous devons donc savoir anticiper ces volutions Par ailleurs la discr tion voire l anonymat permis par Internet la difficult tablir des preuves la facilit d utilisation les profits rapides et lev s sont autant de facteurs aggravants La cybercriminalit est pour les auteurs bien plus rentable et bien moins risqu e que les formes traditionnelles de d linquance Si les mobiles des d linquants restent les m mes vengeance jalousie envie perversit l app t du gain constitue le principal facteur explicatif du passage l acte La criminalit sur Internet est devenue une criminalit industrialis e organis e et mondialis e avec ses fournisseurs de services ses virus cl s en main ses entreprises innovantes ses interm diaires ses fournisseurs de fichiers de coordonn es bancaires ou d adresses mail Les donn es recueillies par les pirates font l objet d une v ritable conomie souterraine avec ses r seaux qui op rent vous le savez en Europe de l est aux Etats Unis en Chine ou en Allemagne C est ainsi une v ritable e division 5 Forum international de la cybers curit internationale du travail qui s est mise en place avec des apprentis et des vrais gt pirates informatiques des interm diaires qui pr tent leurs comptes aux cyberd linquants o encore des individus qui transforment les gains virtuels en argent r el La r ponse que nous devo
393. s voyez que tout est assez ouvert c est une vaste palette et c est l objectif On ne veut se priver d aucune source d approvisionnement Il y a une forme d opportunit La derni re 1 1 k brique c est vraiment les PME que l on soutient Denis FORTIER Comment s lectionnezvous ces PME 2 Guillaume POUPARD Nous les connaissons et travaillons en commun avec l ANSSI qui en a recens 400 en France dans le domaine Certaines sont tr s int ressantes Nous dialoguons essayons d avoir des march s tatiques un peu unifi s pour les aborder et pour faire une sorte de catalogue Denis FORTIER Merci Monsieur le s nateur vous vouliez ajouter quelque chose sur ce sujet Jean Marie BOCKEL Ce que dit Guillaume Poupard montre bien l importance majeure du r le de la DGA sur ces questions C est la raison pour laquelle j ai pr conis dans mon rapport un renforcement de vos moyens y compris humains sur lesquels nous avons eu des r ponses du gouvernement Le ministre pourra le confirmer et c est la richesse humaine qui en l occurrence a une grande valeur Il y aussi la question sensible des aspects offensifs Cette question est voqu e dans le livre blanc de 2008 mais toutes ses implications 85 5 Forum international de la cybers curit 86 ne sont pas encore clarifi es Comment identifier l auteur d une attaque informatique Les mesures de r torsion doiventelles se limiter
394. se Mais s il est recommand dans le veille technologique d exp rimenter des solutions dans des laboratoires de recherche Ces actions cadre de la s curit op rationnelle de mettre en place des indicateurs pour d tecter qui peut tre compromis volontairement ou involontai rement il est galement indispensable d ac corder sa confiance ses collaborateurs et de n cessitent certes un important effort d inves tissement de la part des entreprises Enfin la sensibilisation des jeunes d s le coll ge aux risques et la s curit num rique travailler dans un respect mutuel l largissement des recrutements aux candidats trangers constitue une piste de r flexion sup pl mentaire pour r soudre le probl me de la p nurie des comp tences Cette solution est d j adopt e dans plusieurs pays La question des salaires devrait galement tre prise en consid ration dans le recrutement afin de fid liser et rendre le m tier plus attractif D une mani re g n rale il faudrait am liorer la communication sur les m tiers de la s curit informatique afin de diffuser une image positive et moderne La formation est aussi au c ur de la probl matique de la p nurie des comp tences Il est urgent de l am liorer afin qu elle s adapte ces nouveaux m tiers qui reposent sur des connaissances et des comp tences tr s vari es permet de leur tr
395. se l chelle europ enne C est une probl matique mondiale mais il faut pr ciser que l Union euro p enne a un taux de p n tration de l Internet de 67 contre 30 dans l ensemble du monde ce qui fait de nous une des cibles videntes des cybercriminels gnement en mati re criminelle donne une vision assez exhaustive de ce qui se passe Cette position explique notre sollicitation par la Commission europ enne quant la confection d un document que nous produisons depuis plusieurs ann es qui est l tat de la menace dans l Union europ enne que nous appelons 97 5 Forum international de la cybers curit 98 organised crime for assessment La cyber criminalit faisait partie des priorit s d finies dans la derni re version de 201 1 Nous sommes en train de pr parer le SOCA serious and organised crime assessment Ses l ments font appara tre que le nombre des priorit s sur lesquelles nous allons devoir enqu ter dans l Union europ enne se r duit mais que la cyber criminalit reste l une des priorit s Cela nous conduit consid rer que le cybercrime doit faire partie de nos travaux forensic pour reprendre une terminologie anglo saxonne Ce forensic est partageable et nous sommes en train de cr er ce que nous appelons un cyberlab Ce soutien technique sera tr s important partager car dans ce domaine certains tats membres de l Union europ enne ont une f
396. ser le code malveillant et l attaque 1 Remise volontaire du mat riel Dans ce cas il n y a pas de probl me 2 S il n existe pas de charte ou en l absence de pr cision de cette derni re il sera difficile d agir sauf menace grave et imm diat La Cour de cassation ne retient dans l imm diate qu un risque terroriste Pour les autres infractions ce n est pas possible 3 Le juge des requ tes On pourra lui demander d autoriser la r cup ration du mat riel du col laborateur 5 Forum international de la cybers curit 215 5 Forum international de la cybers curit B16 Le management des professionnels de la cybers curit Intervenants Adel JOMNI enseignantchercheur Universit Montpellier 1 directeur du dipl me Cybercriminalit Droit S curit de l information et informatique l gale Philippe LANGLOIS Pr sident Directeur G n ral P1 Security Edoaurd JEANSON Directeur technique de l activit s curit groupe SOGETI Herv MOLINA Directeur de l audit Informatique Groupe Groupe La Poste Pierre Luc REFALO Directeur associ HAPSIS R sum des interventions Devant la difficult constat e de recruter des experts de la cybers curit il faut se ques tionner sur les sp cificit s des m tiers attach s cette sp cialit sur les sources et les modes de recrutement sur l attractivit du secteur et les moyens de l am liorer notamment travers l image des
397. ser sur la seule responsabilit du d veloppeur La qualit de la prescription en mati re de cahier des charges d architecture du produit et d int gration de la SSi dans les co ts est facteur d efficacit et d conomies La formation continue du d veloppeur un tutoring et un int ressement son environnement limitent les productions de codes vuln rables l Un environnement strat gique La responsabilit est essentiellement celle du prescripteur I doit d finir un environnement norm et d clin sur toute la gestion du projet comportant les r gles de codage d organisation et de principes architecturaux doit s parer la partie int gration qualification du d ve loppement afin d obtenir une diversit d outils sp cifiques de contr le de la qualit du code Il faut largir l approche des outils SSI par une prise en compte pr coce globale et encadrante des march s sensibles Outre les prescriptions techniques qui cr ent un contexte de confiance on peut y inclure un r gime d habilitation au critique et strat gique Elle s applique aux industriels dont la R amp D est strat gique dans une vision conomique globale l objectif final tant le monopole du code d un produit mon dialis l outillage des codes devrait tre une des pr occupations de la R amp D europ enne On ne peut demander aux prescripteurs et aux d veloppeurs de ma triser toutes les volutions rapides de langages de co
398. sion de ces r alit s et de leur proposer des recommandations Une nouvelle fois dans le domaine de la cyber s curit s inscrit en pr requis de r f rence la notion de confiance Une autre interrogation est relative au niveau de risque accept et acceptable Dans ce domaine tr s volutif l adaptation des syst mes de d fense doit tre permanente et la limite de l assurabilit ne trouve qu une seule fronti re la fausse d claration Il Les attentes l exemple provient d une compagnie d assurances sp cialis e BEAZIEY dont l expertise acquise outre atlantique peut tre transpos e au sein de l UE Dans le cadre de l identification du risque une seule entit pour l heure appara t comme impact e la soci t en charge du march et de son ex cution Si l approche des risques est un enjeu majeur pour les ann es venir en coh rence avec la valeur des pertes et vols de donn es et d objets elle n en demeure pas moins embryonnaire pour l heure sur le vieux continent Une tude diligent e par la 5e 220 Forum international de la cybers curit compagnie ZURICH montre ce sujet que seules 15 des entreprises valu es ont mis en place un d partement dit de risk mano gement Ill Les enjeux Les nouvelles menaces par leur caract re pro t iforme et leur propension percer et toucher l int grit des savoirs des entreprises l instar de
399. spect physique gt de l internet mais ne sont pas appliqu es Les comportements et les r gles de bon sens ont leur importance comme d ailleurs une politique de s curit l instar du risque engendr par une grande concentration sur un m me lieu de moyens infor matiques op rateurs et acteurs internet dans le m me centre d h bergement Pour mesurer la r silience d internet une solution consisterait casser des l ments l instar de ce qui se pratique en r sistance des mat riaux Cette solution n est pas possible compte tenu des enjeux conomiques pour les entreprises Il est donc n cessaire de mesurer la r silience sans faire d ing rence en se focalisant sur deux protocoles d internet que sont BGP Border Gateway Protocol et DNS Domain Name System l ments structurels d internet qui servent le construire et qui permettent son fonction nement l Observatoire de la r silience de l internet cherche avant tout scruter ce qui se passe sur l internet fran ais sachant que les diff rentes interne Les mesures propres la r silience informatique sont connues des sp cialistes et ne sont pas forcement propres internet Si elles ne sont pas parfaitement appliqu es c est par ignorance mais aussi parce qu elles entrai nent un co t La diversit g n tique est une bonne chose comme faire appel plusieurs constructeurs et quipementiers mais cette diversi
400. st mes d information Service du HFDS aupr s du Premier ministre St phane OMNES RSSI Adeo Services R sum des interventions Le c ur du probl me est la ma trise de l information Le Byod ne permet pas la maitrise de l information enregistr e et les r seaux sociaux ne permettent pas de maitriser l infor mation publi e Face cela la question centrale est la suivante Estil possible d une part de refuser l usage d outils num riques personnels pour le travail Byod et d autre part d autoriser l acc s aux r seaux sociaux aux salari s durant leur temps de travail Si l on accepte ces mesures comment g rer leur usage 2 Etat des lieux e BYOD est interdit dans le service public mais il est autoris dans certaines entreprises priv es Ainsi les responsables du secteur priv qui sont attentifs aux volutions compor tementales de la soci t estiment que le BYOD et les r seaux sociaux favorisent le commerce et que les salari s qui utilisent ces ressources y contribuent en qualit d actionnaires s rieux et responsables de l entreprise Le BYOD a des cons quences cach es qui tiennent au principe d galit dans le travail Le fait que chacun puisse venir avec ses propres outils plus ou moins sophistiqu s induit une discrimination entre les salari s Au bout du compte cela peut conduire des probl mes sociaux Un financement des moyens num riques personnels peut tre
401. st le mieux qualifi pour r pon ment dans une politique industrielle Le cybe respace fait appel des technologies duales La recherche de la tra abilit des attaques in t resse aussi l enqu teur confront une d marche forensique de recherche des preuves mat rielles de l infraction Tout ce qui est d couvert par les uns est utile aux autres dre S agissant de la seconde nous devons mieux ma triser l usage des r seaux sociaux au sein des arm es notamment lorsqu elles sont engag es dans des op rations Une image apparemment anodine peut r v ler l adver saire un dispositif la nature des moyens ou des armements engag s Jean Claude BOURRET Nous sommes confront s l irresponsabilit de certains qui ne comprennent pas que d s l instant o l on est sur le web c est la totalit du monde qui a acc s l information Mon g n ral je vous remercie Monsieur JANICHEWSKI vous tes directeur des activi t s de cybers curit au sein du groupe SOGETI et vous tes galement ing nieur g n ral de l armement Une question pour d marrer votre intervention si vous le voulez bien 5 Forum international de la cybers curit Dans le cadre d une approche technique tout est parfaitement dual Ce qui va changer c est l organisation pour mettre en place la d fense De ce point de vue j insisterais sur un point qui est tr s important Etant donn l intercon nexion g n
402. sur ce point 2 Didier TRUTT La France a norm ment d atouts Il ne faut pas oublier que la France a t pr curseur en mati re d identit num rique depuis plus de 30 ans que cela soit dans le secteur bancaire ou encore dans le secteur de la sant Ces r ussites se sont appuy es sur notre tissu indus quis que nous avons identifi s au regard de nos exp riences pr server le principe d un usage volontaire que le citoyen puisse l utiliser quand il en a besoin et disposer d une infor mation pr cise sur l usage qui est et qui sera fait de son identit num rique Il faut que cela soit facile d emploi presque aussi facile que triel de pointe En effet nous avons en France des industries leaders sur leur march que cela soit au niveau des fondeurs qui fabri quent les puces ou des soci t s de services d veloppant les logiciels Nous avons et ceci gr ce notamment la r ussite de grands pro l utilisation de votre carte bancaire ou de votre carte Vitale J ai d j mentionn l importance de l interop rabilit mais j insisterai aussi sur le fait que l interop rabilit n a de sens que si la confiance existe Ces exigences et les r ponses des proc dures et organisations appor t es ont fortement marqu la r ussite de projets comme celui du chronotachygraphe Enfin je terminerai sur l importance des jets sant transports une v ritable r flexion sur la mise
403. t entra ne des co ts n gociations moindres formation ressource humaine maitrise risque dans la confi guration du r seau 5 Forum international de la cybers curit B 11 Mon tique et commerce en ligne Intervenants Laurent PENOU Lyra Network Nathalie FEYT responsable de l activit Evaluation THALES Benjamin MARECHAL expert en moyens de paiement scripturaux Banque de France David NACCACHE cryptologue master Universit Paris 2 Patrick YVARS commissaire de Police chef de la Brigade des fraudes aux moyens de paiement BFMP R sum des interventions Le commerce en ligne s est largement d velopp au gr des nouvelles technologies Les transactions qui passent par la toile doivent tre s curis es car une faille dans le syst me entra ne des cons quences financi res des contentieux difficiles et une perte de confiance La question de la ma trise des risques li s l utilisation des cartes de paiement est alors clairement pos e ainsi que celle de la construction d une r ponse aux menaces qui garantit la confiance du client I Les probl matiques e questionnement porte habituellement sur vol d une carte bancaire En r alit pour 99 des points de compromission les dan gers ne viennent pas du net mais du commerce de la vraie vie C est dire que le commer ant ind licat qui re oit un paiement par carte ban caire dans son tablisse
404. t s par un virus introduit par un employ dans son r seau informatique Des cas similaires ne connaissent qu une publicit restreinte car leur r v lation par une entreprise victime d une telle attaque donne une image extr mement n gative La solution s articule en deux axes que sont la formation et la r activit La question de la formation int resse le champ universitaire mais galement l ducation des acteurs de l entreprise tous les niveaux Il faut ensuite actualiser cette formation aupr s des d cideurs et des managers pour qu elle soit diffus e le plus largement possible au sein des diff rentes strates de l entreprise Quant la r activit il convient d instaurer des proc dures de r actions et de d signer des responsables de l application de ces proc dures l acquisition de bons r flexes et la capacit de les mettre en uvre rapidement se travaille et se teste lors d exercices de simulation Par exemple la Banque de France pratique des tests de r activit dans le cas d une cyberattaque La composante normative pour se pr munir des risques s est appuy e sur la norme ISA 99 qui a initi un processus de standardisation Elle a pour double objectif de poser les bases d un cadre m thodologique permettant de b tir la cybers curit d une entreprise et de cr er un niveau de confiance en un syst me donn l approche normative repose sur deux id es majeures Il s agira d abo
405. t sur Europol o vous mettez aussi en exergue le vrai probl me de la formation Mais nous pouvons d j faire un constat de l importance que va prendre la formation universitaire ou sp cialis e dans le domaine de la cybercriminalit avec parfois une inqui tude Depuis le d but de ce forum on voque la difficult trouver des ing nieurs Je pense que le milieu universitaire qu il soit fran ais ou europ en a effectivement besoin 5 Forum international de la cybers curit d une v ritable prise de conscience dans ce domaine afin de pouvoir anticiper un besoin qui va tre croissant Michel QUILL Nous aurons l obligation de nous aligner sur les salaires du secteur priv ce qui risque de poser probl me Nous demanderons pour cela un budget cons quent la Commission euro p enne et je suis s r que nous l obtiendrons G n ral Jacques HEBRARD Je propose que nous passions d Europol Eurojust et je vais donc demander madame Sylvie PetitLeclair de nous faire une pr sentation succincte de cet organisme qui mon avis reste m connu Sylvie PETIT LECLAIR Merci mon g n ral Je suppose que tout le monde avant d arriver ici connaissait Europol d ailleurs ce matin j ai entendu citer au moins deux fois Europol mais jamais Eurojust alors que notre r le est bien compl mentaire En effet g n ralement si la police poursuit des malfaiteurs ces derniers doivent tout de m me tre j
406. t tous ceux qui dans une entreprise ou une administration sont la man uvre en mati re de s curit des syst mes d informar tion Ce sont les personnes vers lesquelles les informaticiens se tournent quand ils ont une question ce sont ceux qui comprennent le fond des choses qui sont capables d en d cortiquer les d tails autrement dit ce sont des gens qui on ne le fait pas en mati re de s curit informatique ce sont ceux qui sont car enseign es dans les coles d informatique dans les coles d ing nieur et dans les univer pables de r agir quand il y a un incident in formatique de b tir une architecture s curis e sit s I n y a rien de pire que de voir des jeunes sortir d coles d coles d ing nieur d universit s d IUT auxquels on n a pas ensei gn ces rudiments de la s curit et ces bonnes pratiques en mati re de s curit Il ne s agit pas d enseigner l alpha et l om ga des r gles de crypto mais juste ces r gles l mentaires de d rouler une d marche d homologation Ce r f rentiel d crit l ensemble des comp tences et des savoir faire n cessaires Ce r f rentiel s adresse aux coles aux universit s pour adapter si n cessaire leur cursus de for mation le cr er ventuellement s adresse videmment aux centres de formation profes Sans cette base l mentaire c est finalement assez logique que sur le terrain qu
407. t un partenariat entre les entreprises fran aises et europ ennes par exem ple dans le domaine sensible des quipements de c ur de r seau Enfin je pense utile d insister des industries Pour revenir sur le probl me de la politique industrielle et les relations entre l tat et l industrie une premi re remarque s impose la politique industrielle appelle des financements et des investissements concernant de nombreux secteurs Je pense qu il y a un investissement sur le r le de l tat en mati re de formation et de sensibilisation Il existe aujourd hui peu d in g nieurs sp cialis s dans la protection des sys t mes d information et les entreprises ont du mal en recruter I y aurait quatre cinq fois plus d offres d emplois disponibles que d ing nieurs sp cialement form s la s curit informatique Nous devrions mettre l accent sur la formation et d velopper les liens avec les universit s et les centres de recherche I me para t galement n cessaire de sensibiliser des utilisateurs afin de promouvoir une hygi ne informatique l mentaire pour faire au niveau tatique et industriel Auquel chacun doit contribuer Cet investissement doit d j cibler l tablissement et le d veloppement d une fili re technologique nationale et probo blement europ enne Si l on veut des technologies et des solutions conomiquement viables il est important d avoir un acc s un m
408. tamment pour lutter contre la fraude et contre les atteintes la vie priv e Ces dispositifs quels sontils 2 21 5 Forum international de la cybers curit 22 Concernant la fraude je n insisterai pas ce sont des choses bien connues Pour les trans actions les plus risqu es des outils de d tec tion ont t mis en place par les prestataires de syst mes de paiement Surtout l authentifi cation des porteurs ne cesse d tre renforc e je pense notamment au dispositif 3D Secure Enfin la Banque de France informe les uso gers sur les risques encourus et les bonnes pra tiques suivre En revanche contre les atteintes la vie priv e r le de catalyseur Car aucun service public ou commercial agissant isol ment n a la di mension suffisante pour mettre en place pour ses seuls usages une infrastructure d authenti fication s curis e destination du grand pu blic du fait notamment de son co t Le Gouvernement a ainsi annonc en d cem bre sa d termination renforcer la confiance entre les acteurs dans l espace num rique Une doctrine d identification et d authentifica et les ph nom nes d usurpation d identit beaucoup reste faire ce jour il n existe pas en France de projet national d identit nu m rique Car comment faisions nous jusqu pr sent 2 Amazon Google Apple tous ceux qui ont achet une application ou une chanson sur l une de ces platef
409. tant du projet de r gle ment il faut donner aux autorit s les moyens de faire appliquer les r gles Concr tement il s agit de leur permettre de sanctionner si les r gles ne sont pas respect es Vous savez sans doute que les pouvoirs de sanction financi re de la CNIL sont relativement limit s aujourd hui puisque l on peut donner un maximum de 150 000 d amende et 300 000 d amende en cas de r cidive Le projet de r glement pro pose un changement d chelle parce qu il permet des sanctions allant jusqu 2 du chif fre d affaire mondial consolid C est un chiffre suffisamment significatif pour sensibiliser les s curit publi s par la CNIL en 2010 et 2012 partie 1 partie 2 Ces guides sont tr s utiles pour d terminer les bonnes mesures prendre et mettre en place dans vos syst mes pour garantir la protection des donn es caract re personnel Myriam QUEMENER Merci beaucoup pour cette intervention 2013 sera certainement une cyber ann e parce qu il y a des volutions de pratiques des volutions l gislatives et cette n cessit comme je le disais en introduction d une coo 5 Forum international de la cybers curit 62 p ration publique priv e On ne peut pas tra vailler chacun dans son coin mais ensemble On a parl l instant de Google J ai le plaisir de pr senter maintenant Anthony House qui est directeur du d veloppement strat gique des affaires pu
410. termes d une certaine r gulation interne Il est un fait que certaines actions d cr dibilisent des groupes entiers au gr de groupe Anonymous n entrent pas dans le champs de l art hacktiviste Pourtant Anonymous revendique tre un groupe hacktiviste alors que pour certains il n est qu un groupe activiste parmi tant d autres Anonymous devient alors une sorte d agence de communication de l activisme sur internet L hacktivisme et son impact sur l activit conomique ou sur la r putation d une entreprise o d une institution engendrent une m diatisation de la cause d fendue Les hacktivistes visent ainsi mobiliser l opinion et obtenir le soutien des citoyens Sur le plan l gal les hacktivistes entretiennent ce qui leur semble juste en quit et non pas en r gle de droit Ils se r f rent deux textes fondateurs le manifeste du hacker et la d claration d ind pendance du cyberespace en 1996 Les hackers consid rent que leurs r gles d passent les fronti res En ce sens ils d rives plusieurs fois constat es On peut estimer que de nouveaux groupes plus locaux devraient voir le jour au d triment de la banni re Anonymous dont certains membres sont devenus pratiquement incontr lables L hacktivisme appara t galement comme une nouvelle forme d expression politique qui dans sa dimension virtuelle a de r els impacts Son avenir incertain pourrait s inscrire dans un partenariat
411. tes l interconnexion des r seaux favorise le lien entre terrorisme et informatique Il est tabli qu internet est aujourd hui un moyen utilis par les diff rentes mouvances pour communiquer des moyens ou des services de mobiliser des capacit s techniques pour mener des attaques sur les syst mes informatiques Si la convergence vers le tout IP gt met en vidence des fragilit s notamment au sein des infrastructures critiques faire du pros lytisme de la propagande donner des instructions crypt es ou transmises par st ganographie Il peut tre un moyen de terreur lorsqu il v hicule des contenus g n ralement censur s par la presse images insoutenables de mise mort d otages Internet facilite go lement les transferts financiers sans lesquels les r seaux ne sont pas encore assez intercon nect s pour d stabiliser les activit s d importance vitale En cons quence les terroristes ne s in t ressent pas encore ce type de cible mais on doit noter l mergence du concept de cyber guerilla la menace est diffuse et peut tre perp tr e par des groupes d individus restreints des attentats ne pourraient tre organis s Il Perspectives Pour l heure aucun acte ayant des cons quences physiques mort d hommes destructions n a t recens Le cyberterrorisme actif prendrait la forme d une attaque massive sur les syst mes informatiques qui pourrait avoir pour cons q
412. tilisent pas les bons outils de communication sur ces m dias r duit d autant sa visibilit et sa fiabilit pour ses interlocuteurs Les entreprises fran aises ne peuvent pas ignorer ce vecteur de la commu nication dans leur strat gie commerciale Les r seaux sociaux offrent aux entreprises quelle que soit leur taille une visibilit et une valorisation sur le march national et international Les m dia sociaux sont des caisses de r sonance pour les entreprises et les retomb es maitris es seront profitables aussi aux collaborateurs Pour celles qui d veloppent cet outil aupr s de leurs collaborateurs ce sont les lois de la gravit manag riale qui sont revisiter en cas de crise mais aussi sur les modes d cisionnels IL Les solutions Le droit fran ais ne connait pas de sp cificit s particuli res au domaine virtuel et au droit de l Internet En absence d un code de l internet o d un code des m dias sociaux les juges puisent dans l arsenal juridique les textes sus ceptibles d tres appliqu s Les atteintes l e r putation recouvrent les notions de diffamation d injure pour les personnes et de d nigrement pour les entreprises l atteinte la vie priv e se heurte l cueil de l exposition volontaire ou m me des diffamations I n existe pas de des personnes sur les r seaux sociaux de parties droit l oubli sur les r seaux sociaux En effet le nettoyage des bases est
413. tion n est pas tr s outill e pour r primer cette forme de criminalit cela pose un probl me La for mation doit imp rativement intervenir comme premier moyen pour lutter contre cette faiblesse Nous pensons qu il faut organiser la formation des formateurs pour qu leur tour ils puissent r percuter la m me formation d autres personnes qui sont dans la cha ne p nale de r pression Nous pensons galement qu au del de la for mation il faudrait galement penser au renfor cement des textes des outils qui peuvent servir de base la r pression parce que si ces outils sont inexistants a sera difficile d uvrer avec une certaine s r nit dans le domaine Enfin nous pensons que le projet de convention ofri caine est important pour nous dans la mesure o aujourd hui nous nous inspirons de ce qui tude a t men e tout r cemment pour d ter existe en Europe Il serait souhaitable d largir les conventions europ ennes afin que l Afrique puisse b n ficier des m mes avantages pour lutter ensemble contre un ph nom ne transfron talier G n ral Jacques HEBRARD Merci monsieur le substitut g n ral de cet tat des lieux et puis aussi de cette analyse au niveau du continent africain des probl mes li s la cybercriminalit C est aussi le r le de ce forum de permettre de fournir les outils ou de vous mettre en contact avec les sp cialistes 5 Forum interna
414. tional de la cybers curit 74 vitales il est indispensable de s assurer de la ma trise de certaines technologies fondamentales dans des domaines comme la cryptologie l ar chitecture mat rielle et logicielle et la production de certains quipements de s curit ou de d tection Garder cette ma trise c est prot ger nos entreprises et donc les emplois des Fran ais On ne doit pas n gliger non plus les enjeux conomiques et en mati re d emplois dans ce secteur de la d fense et de la s curit des sys t mes d information en forte croissance qui participe la comp titivit d un pays Selon souffre aujourd hui de plusieurs lacunes une trop grande fragmentation qui entra ne une concurrence destructrice entre les entreprises fran aises et entrave le d veloppement des PME une difficult d acc s la commande publique et un probl me majeur d acc s au financement pour les PME m me si divers m canismes existent comme celui des investissements d avenir un positionnement trop lt francofran ais pour assurer le d veloppement de groupes solides les chiffres mentionn s dans le plan France num rique 2020 la contribution du num rique l conomie fran aise repr senterait 3 7 de l emploi en France et contribuerait hauteur de 5 2 notre PIB Les technologies de l information et de la com munication auraient cr 700 000 emplois en 15 ans et 450 000 emplois sup
415. tional de la cybers curit La convention de Budapest sur la cybercriminalit offre un cadre pour la l gislation que n importe quel pays dans le monde pourrait suivre Nous avons r cemment analys les 193 pays membres des Nations unies et nous avons constat qu au moins 140 pays sont en train de r former leur l gislation ou ont d j r form leur l gislation sur la cybercriminalit Les deux Congo ne font pas partie de ces 140 pays Au moins 125 pays ont utilis la Convention de Budapest comme ligne directrice o au moins comme une source d inspiration Cependant beaucoup de pays ont besoin d aide pour mettre enti rement de la mati re en esp rant que les repr sentants de cette coop ration internationale pourront vous appuyer sur cette d marche n cessaire pour votre pays et voire continent Merci de cette intervention nous allons conclure le panel avec monsieur Alexander Seger qui va nous faire un point au niveau du Conseil de l Europe Alexander SEGER Merci Apr s une perspective fran aise une perspective de l Union europ enne une pers pective africaine voil notre exp rience avec le reste du monde Je suis responsable au Conseil de l Europe de la question cybercri minalit c est dire la Convention de Budapest qui n est pas limit e l Europe d ailleurs Le comit sur la cybercriminalit c est le comit qui comprend les parties la Convention et aussi les programmes
416. tions cybercriminelles 130 A9 Cyberespace et contrefa on 132 A10 La cybers curit des syst mes industriels 393 A11 DRH et cybers curit quelles obligations pour l employeur et le salari 2 138 A12 Smart cities Quelle s curit pour les villes de demain 2 141 A13 OTAN UE quelles alliances en mati re de cybers curit et de cyberd fense 144 A14 Existe il un march pour la cybers curit 2 147 A15 De l activisme l hacktivisme 1111iiicrr ccnn 149 A16 Quel parcours pour les particuliers et les entreprises victimes d actes criminels n la A17 Cybers curit quels enjeux pour les SCADAS nerg tiques 2 153 A18 Les APTs Advanced Persistent Threat vraie menace ou coup marketing 2 156 A19 D mat rialisation et archivage 5 51 158 A20 Technologies de l information et de la communication et ordre public 160 A21 Droit du cyberespace entre r activit et proactivit de la loi 162 A22 Usurpation d identit quels risques Quelles solutions 2 165 MMAIRE A23 Outsourcing comment externaliser en toute s curit 8 ice ceeeue 167 A24 Recrutement formation et entra nement des professionnels de la cybers curit 111500 169 A25 Les Collectivit s Territoriales face aux risques num riques FA B1 Cyber terrorisme mythe et r alit 176 B2 S cu
417. tique Il s agit l d un v ritable travail op rationnel rogatoire internationale soit une demande d en traide ou encore sugg rer la mise en place d une quipe commune d enqu te Ces r unions de coordination se d roulent le plus souvent en pr sence d Europol qui est pratiquement repr sent dans chaque dossier en tout cas dans les dossiers les plus importants Europol est invit participer aux r unions de coordination qui sont organis es dans nos locaux tout comme Europol nous invite lorsque des enqu teurs sont r unis autour d une table dans les tr s beaux locaux d Europol Tout ceci pour vous montrer qu il existe galement une coop ration au niveau des deux institutions un v ritable travail en symbiose ce qui me para t videmment important Au cours de ces r unions il peut d cid de mettre en place une quipe commune d enqu te mais aussi de fixer une date au cours de laquelle seront effectu es des op rations simultan es de police dont des interpellations des perqui sitions et notamment bien entendu dans le domaine de la cybercriminalit I m est arriv Je souhaitais en effet vous montrer qu Eurojust n est pas seulement une vitrine du Conseil de la Commission en tout cas de l Union euro p enne Cette agence a t install e pour par ticiper la lutte contre le crime organis Je pense vous avoir d montr qu elle est effecti vement la disposition de tous les
418. tre pr sence et vous convie ces d bais qui honor de votre pr sence Mon G n ral je suis tr s heureux de participer l ouverture du FIC en tant que premier Vice Pr sident de la r gion en charge de l conomie et premier adjoint au maire de Lille Alors autant vous dire que nous somme tr s heureux de vous savoir aussi nombreux l occasion de ce Forum international de la cybers curit au c ur de notre capitale historique des Flandres et de la r gion Nord Pas de Calais mais aussi pour deux jours capitale mondiale de la cybers curit et de la confiance num rique Nous serons 2 400 Quelques 80 journalistes nous rendrons visite au cours de ces deux seront aussi nombreux que riches Mon g n ral la r ussite de cet v nement ambitieux qui a n cessit une grosse pr paration repose sur Vous sur nous et ceux qui interviendront En tous les cas le gouver nement fran ais ne s y est pas tromp puisque Manuel VALLS le ministre de l Int rieur nous rendra visite ainsi que Jean Yves LE DRIAN ministre de la D fense Fleur PELLERIN le ministre d l gu aupr s du ministre du Redressement Productif en charge pr cis ment des questions li es l conomie num rique Alors pourquoi Le FIC Lille 2 D abord mon jours Nous recevons 379 partenaires et exposants 225 intervenants et 52 pays La repr sentation s tablit peu pr s de la mani re suivante 30 de d cideu
419. tropole en charge de l conomie num rique ville de Lille R sum des interventions Vid o protection intelligente g olocalisation Internet des objets Ces technologies sont de plus en plus pris es dans l optimisation des services de la ville de demain Comment anticiper et g rer les vuln rabilit s inh rentes ces technologies et leurs usages l Des villes de plus en plus intelligentes n existe pas aujourd hui de ville intelligente smart city proprement parler Cela dit l introduction des TIC dans la ville ouvre la voie de nouvelles fonctionnalit s de nouvelles mani res de g rer de gouverner et de vivre la ville qui fa onneront les villes de demain Ainsi de nombreux exemples existent en France de services urbains plus performants Par le terme services urbains on d signe l ensemble des services rendus par la collectivit sur son territoire pour les usagers qu il s agisse des transports de l eau de l assainissement des d chets de l nergie et des r seaux de t l communication l utilisation des technologies de l information et de la communication r pond deux objectifs principaux optimiser la gestion des services urbains et am liorer la qualit des services 1 Lutter contre les missions de Co2 conomiser et mieux g rer l nergie et les ressources d congestionner la ville diversifier l offre de transport fluidifier les d placeme
420. ts pour articuler les formation et de recrutement des professionnels Je ne doute pas que les r flexions conduites et les propositions faites au cours des deux journ es qui s ach vent serviront alimenter ces travaux exigences de protection des libert s et celle de protection de notre s curit Bien Ce groupe de travail aura pour mission de rendre ses conclusions dans un d lai entendu je n oublie pas le r le essentiel jou par la CNIL ou encore la CNCIS Un groupe de travail interminist riel en charge de la lutte contre cybercriminalit l issue des d bats sur la loi anti terroriste resserr Elles serviront de bases la d finition d une politique de s curit int grant pleinement les enjeux li s l Internet En venant clore ce forum c est donc des perspectives que je veux ouvrir j ai annonc l ouverture au sein du minist re de l Int rieur d un grand chantier sur la cybercriminalit D s le mois de janvier j ai lanc ces travaux D abord par un d placement conjoint avec Fleur PELLERIN il y a 15 jours au sein des services de police et de gendarmerie en charge de la lutte contre la cybercriminalit ensuite avec la proposition de travaux communs faite au minist re de la Justice Mais je veux aller plus loin encore J ai donc d cid la mise en place d un groupe de travail d di Les services des minist res de la Justice et de l Economie num rique seront b
421. u op rant et peu clair pour ceux qui nous coutent Je vais plut t donner la perception qu a le minist re de la d fense de ce rapprochement entre cybers curit et d fense C est une id e assez ancienne On pourrait remonter au d but du XX me si cle avec l ins tauration de l anc tre du SGDSN qui assurait d j une coordination civilo militaire de la d fense nationale Vous vous souvenez que l or donnance de 1959 a donn une d finition assez large de la d fense nationale puisqu elle a t qualifi e de globale Elle re groupait la d fense arm e la d fense civile qui tait charg e de la d fense de la popula tion de l ordre public et des institutions mais il y avait aussi la d fense conomique la d fense culturelle qui avait pour but de main tenir de pr server l esprit civique et les valeurs r publicaines Le Livre Blanc de 2008 a fait merger ce qui a t qualifi de strat gie de s curit natio 5 Forum international de la cybers curit aussi les relations internationales Je vais d velopper tout cela Je dirais d abord que le cyber introduit pour les arm es une nouvelle vuln rabilit Je dois dire que les syst mes de commande et de contr le aujourd hui vont jusqu au plus bas chelon de la hi rarchie Vous connaissez les syst mes tout en haut et peut tre que Patrick PAILLOUX en parlera mais je voudrais donner l exemple du syst me FELIN qui quipe auv
422. ue Chacun sait ce qui a pu se passer en lran il y a quelque temps Le fameux virus stuxtnet a pu d truire des cen trifugeuses iraniennes et retarder le programme nucl aire iranien Cette op ration n a pas pu se faire sans une pr paration en amont et du renseignement traditionnel Les am ricains ont beaucoup souffert avant et apr s le 11 sep tembre parce que beaucoup avait t investi dans le domaine du renseignement informo tique num rique en d laissant parfois le ter rain Je crois que c est pr cis ment l erreur ne pas faire Si le num rique et le cyber mon tent en puissance et vont prendre de plus en plus de place dans le domaine de la s curit on ne peut pas en particulier dans le domaine du renseignement abandonner la partie tradi tionnelle Nous devons r fl chir et penser l ar ticulation des deux composantes Le retex de ce qui s est pass e en Libye et bient t je l es p re le retex de ce qui se passe aujourd hui au Mali nous donnerons des informations sup pl mentaires pour nous am liorer dans ce do maine 5 Forum international de la cybers curit Pour conclure je crois que toute la nation doit faire un effort et se mobiliser L information au jourd hui et la pr paration sont fortes L ANSSI se d veloppe de plus en plus gagne en force y compris en ressources humaines pour pour voir faire face l ensemble des risques et des menaces l appareil d
423. ue l on appelle la police scientifique ou le que dans le secteur priv il existe des sp cialistes qui sont m me de nous faire beaucoup avan cer Cette coop ration avec le secteur priv prendra deux formes Une coop ration d j existante avec les grandes entreprises du secteur priv du domaine de l internet je pense Microsoft Google et d autres qui sont partageuses Nous pourrons b n ficier de leurs outils techniques qu elles peuvent nous faire partager et ce que nous allons faire sera b n fique pour elles ga lement Le deuxi me volet de cette coop ration avec le secteur priv sera le recrutement de personnels du secteur priv avec une comp tence technique qui nous fera beaucoup avancer La coop ration la lutte contre la cybercriminalit ne peuvent tre bas es vu la dimension du ph nom ne que sur la coop ration intemationale polici re et judiciaire les deux tant bien entendu tr s imbriqu es Interpol va cr er un centre qui couvrira le monde entier et qui va tre inaugur en septembre 2014 Singapour Bien entendu la coop ration entre nous est commenc e et elle sera obligatoire afin d viter notamment la duplication des moyens et le gas pillage des moyens financiers Je voudrais terminer sur une note d espoir mais en men tionnant qu il reste beaucoup faire mais je suis relativement optimiste G n ral Jacques HEBRARD Merci pour ce point tr s comple
424. uence une d sorganisation de la vie de la soci t en visant des infrastructures critiques banque finance nergie transports sant etc Les attaques contre les installations nucl aires ira niennes l aide du virus STUXNET ouvrent une nouvelle re m me si elles ont t imput es par les observateurs des services relevant d tats Les faits que l on pourraient qualifier voire des isol s La difficult dans la lutte contre le cyberterrorisme est de r aliser un subtil quilibre entre la mise en uvre de pouvoirs d enqu te et de surveil lance qui sont par d finition exorbitants du droit commun et un contr le accru des syst mes d information Le contr le syst matique par les gouvernements des communications de la grande masse des gens serait disproportionn par rapport un p ril terroriste encore n bur leux Les services sp cialis s ne sont pas for c ment favorables au contr le et la surveillance totale des r seaux via des mots cl s qui ne serait pas durablement efficace face aux stra t gies de contournement qui pourraient tre mises en uvre Il faut tre convaincu que l on ne saura pas emp cher certaines attaques La doctrine en t 177 5 Forum international de la cybers curit 178 mati re de cybers curit aurait pour objectif de chercher r duire l impact plut t que de chercher construire une ligne Maginot issue
425. ug s Il y a videmment un juge qui intervient la fin des investigations et des poursuites pour que les d linquants puissent effectivement tre sanctionn s Eurojust est n e d une id e qui a merg lors d un Conseil qui s est tenu en octobre 1999 Tampere en Finlande Il faut que vous sachiez que la coop ration judiciaire est beaucoup plus r cente que la coop ration polici re Au cours des 50 derni res ann es nous avons sign des conventions divers textes qui taient plus ou moins obligatoires plus ou moins bien 99 5e 100 Forum international de la cybers curit appliqu s mais en tout cas la coop ration judi ciaire n tait pas aussi aboulie que la coop ration polici re Donc des chefs de gouvernement des ministres ont au cours de ce Conseil euro p en de 1999 estim qu il tait important pour la coop ration judiciaire qu une agence sp cialement d di e cette coop ration judiciaire soit cr e C est finalement au d but de l ann e 2002 qu Eurojust a t officiellement inaugur e La Haye une agence provisoire s tant bri vement install e Bruxelles mais finalement pour des questions pratiques il a t vite admis que nous devions nous trouver proximit g o graphique physique d Europol Eurojust est en r alit une agence europ enne qui se trouve tre la disposition des magistrats pour favoriser la coop ration judiciaire pour
426. ui est directement li e d ailleurs la politique industrielle est vraiment une d marche d architecture On peut l appeler s curit by design Comme monsieur Jourdain nous en faisons depuis longtemps sans v ritablement le savoir Cette id e d ar chitecture est essentielle puisqu elle permet de dire dire que l on va penser d s le d part nos syst mes en fonction des imp ratifs de s curit Ce n est pas la peine de concevoir des syst mes que l on ne saura pas ensuite r aliser dans de bonnes conditions et ce n est pas la peine de s imaginer que l on va pouvoir apporter la s curit apr s Prenons un h licopt re de combat peut on le fabriquer et se poser ensuite la question de sa s curisation 2 C est totalement illusoire Nous travaillons sur l architecture pour ensuite poser des briques naturelles d velopper et le partage se fait pour des raisons de s curit Il y a des choses que l on fait en interne ta tique notamment les algorithmes cryptogra phiques parce que cela demeure plus efficace Nous le faisons avec l ANSSI La r alisation se fait parfois sur co d veloppement avec des industriels Cela est plus os parce que l on m lange des tatiques et des industriels pour travailler ensemble I y a des gens ici qui font 5 Forum international de la cybers curit cela avec nous et parfois nous faisons appel des briques qui viennent de logiciels libres Vou
427. ume Uni qu en France Un manque de sensibilisation des utilisateurs fran ais sur le sujet serait en cause Concr tement les chances de succ s d une attaque de type APT sont tr s minces si l attaquant ne parvient pas utiliser le facteur humain Rappelons que 70 des incidents de s curit sont dus des failles triviales o un manque de vigilance 211 Les cyber attaques des r seaux et syst mes d information sont quotidiennes et de plus en plus sophistiqu es Une approche classique de la s curit des r seaux n est plus suffisante Pr vention d tection et correction des vuln rabilit s en temps r el deviennent un compl ment indispensable de toute strat gie de cyber d fense efficace Les solutions de cyber s curit et le Centre Op rationnel de la S curit d Alcatel Lucent Vous aident prot ger vos r seaux informations et applications ainsi qu g rer et anticiper en temps r el les menaces en cours o venir Pour plus d information visitez notre site www alcatel lucent com AT THE SPEED OF IDEAS LA VITESSE DES ID ESTM Alcatel Lucent 5 Forum international de la cybers curit B15 BYOD r seaux sociaux les nouveaux risques en entreprise Intervenants J r me SAIZ Eric BARBRY Avocat la Cour d appel de Paris Directeur du p le Droit num rique Cabinet Alain Bensoussan Philippe LOUDENOT Fonctionnaire de s curit des sy
428. une ambition partag e par l ensemble des acteurs conomiques et sociaux de notre r gion qui sont r unis dans ce que l on appelle le sch ma r gional de d veloppement conomique s agit d une construction tr s nordiste o tous les acteurs sociaux conomiques politiques et consulaires sont ensembles main dans la main pour r fl chir leurs difficult s et r sister parfois la crise Elle a galement vocation concevoir notre les p les d j existants le p le d excellence ubiquitaire qui est pilot ou coordonn par Eura technologies mais aussi le p le num rique r gional et naturellement l Association RD2SI Euratechnologies les universit s et les centres de recherche Ce p le pourra mettre ses comp tences au service des entreprises au service des collectivit s et t moigner de notre savoir faire bien au del des fronti res du NordPas de Calais Naturellement ce p le est l annonce de ce que nous ferons partir du second semestre 5 Forum international de la cybers curit 10 2013 puisque nous l avons d cid et qu il nous reste six mois pour le construire le d finir l organiser Pour l heure c est la session 2013 du FIC que je voulais saluer en vous souhaitant de tr s bons travaux en vous disant par avance qu on se retrouvera peu pr s la m me poque l ann e prochaine pour un FIC nouveau qui tiendra le plus grand compte de ce que nous auro
429. uriser ce qui va dans le sens de la d mat rialisation de la num risation d actes civils d administration ou l gaux Nous avons besoin de pouvoir garantir que ces actes ne sont pas pirat s ou des faux Chacun de nous re oit des e mails avec des tentatives pour ob de soi que la question de la cybers urit et de tenir des comptes en banque ou pour remplir la cyberd fense est d autant plus centrale tel ou tel dossier pour donner un num ro de qu elle l est d s le d part Si vous lisez la lettre de missions du pr sident de la R publique Jean Marie Gehenno qui pr side la commis sion du livre Blanc la cyberd fense et la cy bers curit sont cit es comme l un des domaines principaux sur lesquels le pr sident je ne sais trop quoi On voit tr s bien qu avec le num rique il y a par d finition de nouveaux types d actes criminels de d linquance de terrorisme aussi contre lesquels nous devons nous prot ger Il va de soi que nous ne pour vons pas prot ger les renseignements les plus 47 5 Forum international de la cybers curit vitaux pour l tat fran ais de la m me mani re que les quelques donn es personnelles qui n ont pas de caract re strat gique pour l int r t de la nation Il y a l pour le l gislateur un certain nombre d enjeux notamment au niveau des normes des codes et de la loi On parle m me cer internationales et tous les domaine
430. urit collectivit territoriale et secteur priv et qui se refl te dans la richesse des intervenants et des participants pr sents ce forum traduit lui seul la diversit des menaces li es la r volution num rique Une r volution qui ne doit pas se faire au d triment des plus faibles des personnes les moins inform es des organisations les moins solides Pendant ces deux journ es les changes de bonnes pratiques ont t encourag s Je sais que de nombreux axes d action ont merg de vos r flexions Si le FIC a une telle notori t il le doit sa dimension internationale 40 nationalit s sont ici repr sent es Cette coop ration entre les pays est n cessaire pour lutter contre une criminalit qui ne conna t aucune fronti re Une cybercriminalit organis e en pleine volution r clame une action mieux coordonn e entre les pays Les formes actuelles de la cybercriminalit vous le savez sont tr s diverses atteintes aux syst mes de traitement automatis s des donn es escroqueries avec r cup ration des donn es personnelles atteintes sexuelles aux mineurs traites des tres humains prox n tisme usurpation d identit contrefa ons y compris de m dicaments Toutefois ces formes sont appel es voluer l augmentation du nombre de connexions le progr s des technologies les savoirs servent aussi les mauvaises intentions ne peuvent qu accro tre le
431. urit des syst mes d information Nous avons galement des savoir faire d excellence de soutenir le tissu industriel des entreprises fran aises notamment des PME proposant des produits ou des services importants pour la s curit informatique De m me qu il existe en France une base industrielle et technologique de d fense BITD je consid re qu il devrait exister une base industrielle et technologique en mati re cyber I s agit l mes yeux d un dossier qui devrait tre rig comme une priorit dans le cadre du Livre blanc sur la d fense et la s curit nationale du s minaire gouvernemental par exemple en mati re de cryptologie ou de cartes puces Toutefois le secteur des fournisseurs fran ais de solutions en s curit des syst mes d information et de la feuille de route pour le num rique que le Gouvernement devrait publier en f vrier pro chain Qu en estil hors de nos fronti res Comme 5 Forum international de la cybers curit Enfin en Allemagne des relations troites j ai pu le constater lors de mes d placements l tranger en France le partenariat avec le secteur priv en mati re de cybers curit est beaucoup moins d velopp qu aux Etats Unis au Royaume Uni ou en Allemagne Les autorit s am ricaines ont engag depuis d j plusieurs ann es une troite coop ration avec le secteur priv La Conf rence RSA r unit ainsi tous les
432. utres Anonymous n est pas le seul groupe hacktiviste pr sent sur internet I semble pourtant prendre une part m diatique importante emp chant certains d atteindre la notori t n cessaire 149 5 Forum international de la cybers curit 150 la publicit de leurs actions Par exemple en de certains agresseurs pr sum s du viol d une 1996 a eu lieu le plus grand rassemblement altermondialiste Seattle Un groupe du nom d Electrohippie a r alis des attaques par d ni de service sur l OMC Ces attaques qui sont habituellement utilis es par les Anonymous n ont eu qu une r percussion m diatique faible R cemment en Tunisie le groupe Takriz avait d fi la censure tunisienne sous le r gime du pr sident Ben Ali Il Les divergences et oppositions ventuelles Au m me titre que les op rations coup de poing on pourrait consid rer que les attaques par d ni de service modus operandi utilis par le femme en sont une illustration Cependant une consid ration objective du ph nom ne d montre que les groupes tant activistes qu hacktivistes n ont aucune reconnaissance l gale et qu ils ne sont compos s que de personnes autoproclam es qui ne repr sentent qu une part minime des soci t s modernes IIl Les attentes qui mergent des d bats D une mani re g n rale la cr dibilit du mouvement hacktiviste va voluer de mani re positive selon les
433. ux Je vous remercie 5 Forum international de la cybers curit Allocution de Kader Arif MINISTRE D L GU AUPR S DU MINISTRE DE LA D FENSE CHARG DES ANCIENS COMBATTANTS Monsieur le Pr fet Mesdames et Messieurs les lus Messieurs les Pr sidents Messieurs les officiers g n raux Mesdames Messieurs e Ministre de la D fense Jean Yves Le Drian est finalement retenu Paris par un contexte dont la gravit est connue de tous Il vous prie de l en excuser et m a de mand d tre avec vous ce matin pour cette 5 me dition du FIC le forum international de la cybers curit Je voudrais d abord en remercier les trois or ganisateurs la gendarmerie nationale qui a eu en 2007 l initiative de cet v nement im portant ainsi que la CEIS et enfin la r gion Nord Pas de Calais qui nous accueille cette ann e Je crois que nous sommes tous ici anim s par un m me constat la cybers curit est un sujet Comme le s nateur Jean Marie Bockel que je salue parmi nous l a fort bien relev dans son rapport la cybers curit est l affaire de tous civils et militaires acteurs publics et priv s et seule une d marche coordonn e et volonta riste permettra de faire face efficacement aux attaques pr sentes et venir La France a l ambition de se positionner parmi les nations leaders dans ce domaine au plan international Pour ce faire elle s est lanc e dans une d marche amb
434. v ritable tissu in dustriel qui jouit d une v ritable visibilit qui est tr s pr sent dans de nombreux pays dans le monde et qui poursuit son d ploiement Nous b n ficions l issu des r ussites et checs de ces projets d un v ritable bench mark de ce qu il faut faire et ne pas faire Mais je rappelle qu au del des technologies l enjeu c est la soci t que nous sommes en train de construire et je suis persuad que 5 Forum international de la cybers curit ments que ce soit l Union europ enne je d velopperai dans la suite de ma pr sentation le Conseil de l Europe avec la convention 108 qui est actuellement en train d tre galement r vis e ou l OCDE qui travaille la moderni sation de ses lignes directrices adopt es au d but des ann es 80 Pourquoi ces modifica tions Parce que le paysage technologique a volu et qu il est devenu n cessaire de mo derniser ces instruments nous avons la volont politique de d ployer en France les syst mes d identit num riques Myriam QUEMENER La transition est faite avec la CNIL donc Gwendal LE GRAND est chef du service de l expertise de la CNIL depuis avril 2007 A ce titre vous participez aux activit s du groupe des CNIL europ ennes dans le cadre du G29 Avant de rejoindre la CNIL vous tiez ma tre de conf rence l cole sup rieure de t l communication vous avez obtenu un Au
435. vers les d fa ages les spams g n rent un bruit de fond cyber qui occupe inutilement nos sp cialistes et rendent plus dif ficile la d tection des vraies attaques cibl es et dangereuses Une coop ration troite est d j lanc e avec ANSSI Elle est n cessaire pour mieux classi fier la menace et choisir la r ponse la mieux appropri e Estce que l on applique un traite et le continuum qu il y a entre une menace cyber et une attaque mat rielle convention nelle En France la doctrine n est pas aussi claire ment tablie mais le Pr sident de la R pu blique dispose finalement de toute son autorit pour appr cier la r ponse qui serait adapt e dans un tel cas Au niveau national beaucoup t fait que ce soit au minist re de l int rieur ou au minist re de la d fense et je pense que le Livre Blanc proposera un certain nombre de pistes En re vanche au niveau international il reste encore beaucoup faire Je ne vais pas dire que rien n a t fait mais il reste beaucoup faire la Convention de Budapest ratifi e par la France impose une trentaine d tats partie de coop rer dans la lutte contre la cybercrimi nalit Cela n engage malheureusement que les signataires qui sont d ailleurs tous des tats occidentaux et finalement a ne repose que sur la bonne volont Les conceptions tr s dif ment judiciaire diplomatique ou d un ordre politique
436. x sociaux d autres le seront sa place La police de Manchester est consid r e comme pionni re en mati re d utilisation de r seaux sociaux et les utilisations sont nombreuses renseignement d ordre public rassurer la population mais aussi recruter des futurs policiers l inscription de la Police sur les r seaux sociaux sur Twitter principalement a d but en 2010 et ce sans ligne de conduite pr cise l utilisation des m dias sociaux a permis le d but d un dialogue entre la police et la population Si au d but les avis ont t assez partag s au sein de la police force est de reconna tre que les r seaux sociaux ont t l un de rares moyens mis la disposition des policiers pour leur permettre de sortir de l ombre Aujourd hui la police de Manchester qui compte 60 comptes Twitter et 60 comptes Facebook ne pourrait plus se passer des r seaux sociaux Les m dias sociaux ont servi teindre des rumeurs qui circulaient sur le net Ils se sont r v l s des moyens d informations plus rapides que des m dias traditionnels comme la BBC Dans le cadre de la gestion de l ordre public la Police a pu tre au courant quasiment en 5 Forum international de la cybers curit temps r el de ce qui se passait au moment des pillages Twitter a m me servi pour identifier des meutiers Des risques existent cependant comme la fuite ventuelle de donn es En effet compte tenu de la contexture du net b
437. y 5 Forum international de la cybers curit 44 d tre le plus p dagogique possible et je suis tr s heureux de vous annoncer aujourd hui of ficiellement la publication du guide d finitif J imagine qu il voluera car j esp re bien que vous continuerez nous faire des remarques Vous avez ici le premier guide officiel de l ANSSI en mati re d hygi ne informatique qui bien s r comme l ensemble des documents que nous publions est librement t l chargear ble Vous pourrez le voir sur notre stand que je vous invite visiter Vous pouvez l utiliser le r utiliser il est d utilisation libre et on souhaite qu un maximum de personnes l utilisent Je r p te ce que je disais en octobre et je pense que je le r p terai encore et encore et encore descendre en dessous de ces recom mandations est probablement inacceptable pour quelqu un qui a des donn es s curiser Ces 40 r gles je souhaite aussi qu elles soient informatique J en recrute beaucoup et on me le reproche d ailleurs r guli rement d aspirer trop largement les experts De fait on n en forme pas assez probablement le quart de ce qu il faudrait Donc nous nous sommes attel s la t che de r diger un r f rentiel de forma tion qui ne vise pas les experts techniques ultra pointus sur tels et tels sujets de la cybers curit mais ce que nous avons appel des architectes r f rents Derri re ce jargon se car chen
438. yberespace comme ter ritoire est une id e forte partag e par les dif f rents acteurs mais qui n en n ont pas la m me d finition Le cyberespace est un enjeu mais aussi un espace pour les rivalit s de pou voir o la notion d autorit est tr s pr sente avec des acteurs ayant des formes nouvelles par rapport aux formes classiques Ce ne sont pas uniquement les tats mais aussi des ac teurs comme les hackers les pirates l labo ration d une r flexion strat gique par rapport au cyberespace n cessite galement une com pr hension des enjeux g opolitiques des rap ports de force des strat gies de contr le et de pouvoir la fois dans le cyberespace et en dehors de celui ci Le terme cyberespace tr s en vogue dans les ann es 90 et assimil un espace chappant toute r glementation avait disparu pour r appara tre pour des raisons inverses notam ment d enjeux de s curit Ce sont deux visions de repr sentation aussi dangereuses l une que l autre En mati re d Internet et d es pace num rique les fronti res ne sont pas claires notamment parce que l action d une au torit publique sur un op rateur bas sur un ter ritoire a potentiellement un impact sur les acteurs et les utilisateurs d autres territoires La g ographie du cyberespace n est pas eucli dienne Dans le monde de l Internet le fan tasme de la r introduction de la souverainet limit e par des fronti res clairement d limit es
Download Pdf Manuals
Related Search