SlideShare uma empresa Scribd logo

Paysage de la sécurité de l'information

Alain Huet
Alain Huet

Dispositions légales Institutions (belges) Stratégie (belge) de cybersécurité

Direito
1 de 17
Baixar para ler offline
1 Quel est le paysage de la sécurité de l'information ? 9 décembre 2014 Alain Huet Consulting huet.alain@skynet.be + 32 (0) 495 34.71.01 http://be.linkedin.com/in/AlainHuetConsulting © 2014. Alain Huet. All rights reserved. Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 2
2 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 3 Dispositions légales Belgique / Union Européenne Protection des biens vitaux Vie privée Propriété intellectuelle Criminalité Signature électronique Organisation de l'Autorité fédérale Hors Union Européenne © 2014. Alain Huet. All rights reserved. 4
3 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées Infrastructures critiques © 2014. Alain Huet. All rights reserved. 5 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées (1) Décision 2001/264 (19/3/2001) : Règlement de sécurité Loi (11/12/1998) : classification, habilitations, … AR (24/3/2000)  6 Vie privée © 2014. Alain Huet. All rights reserved. BE UE atteinte très grave TRES SECRET TRES SECRET UE atteinte grave SECRET SECRET UE atteinte CONFIDENTIEL CONFIDENTIEL UE effet défavorable (diffusion restreinte) RESTREINT UE  défense sûreté intérieure relations internationales potentiel économique ... intérêts de l'UE et des Etats membres
4 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées (2) Personnes Conditions d'accès Habilitation (security clearance) > Degré de classification Need to know Procédure d'habilitation Enquête de sécurité (vie privée) par service de renseignement Sûreté de l'Etat Service Général de Renseignement et de Sécurité (Défense) Systèmes Règlement EU (2001/264) : 3 étapes Evaluation (evaluation) laboratoires de contrôle agréés Ǝ? BELAC Certification (certification) autorité de certification Ǝ? Homologation (EN accreditation) autorité d'homologation : Autorité Nationale de Sécurité © 2014. Alain Huet. All rights reserved. 7 Dispositions légales BE / UE – Protection des biens vitaux Infrastructures critiques Directive 2008/114 (8/12/2008) : infrastructures critiques européennes Loi (1/7/2011) : infrastructures critiques belges AR (27/5/2014) Infractructures critiques UE : énergie, tansport BE : + finance, communications électroniques Fonctions vitales, santé, sécurité, bien-être économique / social Autorité sectorielle télécom : IBPT Exploitant d'infrastructure critique  plan de sécurité © 2014. Alain Huet. All rights reserved. 8
5 Dispositions légales BE / UE – Vie privée Traitement de données à caractère personnel Communications électroniques CCT 81 © 2014. Alain Huet. All rights reserved. 9 Dispositions légales BE / UE – Vie privée Traitement de données à caractère personnel Directive 95/46 (24/10/1995) : traitement de données personnelles Loi (8/12/1992) : traitement de données personnelles Loi (30/6/1994) : écoutes et enregistrement des communications Finalités déterminées, explicites, légitimes Proportionnalité : données pertinentes, non excessives Transparence Durée de conservation : non excessive Données sensibles (santé, …) Niveau de protection adéquat : mesures techniques / organisationnelles Préposé à la protection des données Commission de Protection de la Vie Privée (CPVP), comités sectoriels Déclaration à la CPVP Sanctions © 2014. Alain Huet. All rights reserved. 10
6 Dispositions légales BE / UE – Vie privée Communications électroniques Loi (13/6/2005) : communications électroniques Opérateurs Mesures de sécurité (techniques / organisationnelles) Services de sécurité gratuits Notification des incidents de sécurité  IBPT, CPVP, abonné Audit possible par l'IBPT ou organisme indépendant Conservation des données de trafic / géolocalisation IBPT Sécurité des télécommunications Coordination Supervision de la détection des problèmes Contrôle, recommandations, instructions  opérateurs © 2014. Alain Huet. All rights reserved. 11 Dispositions légales BE / UE – Vie privée CCT 81 CCT (26/4/2002) : contrôle des données de communication au travail Finalités 1 prévention de faits illicites (piratage, pédophilie, racisme, …) 2 protection des intérêts de l'employeur 3 sécurité technique des systèmes 4 respect des règles internes Proportionnalité : ingérence minimale dans la vie privée anomalie finalités 1-2-3  individualisation anomalie finalité 4  avertissement collectif  ...  individualisation Transparence information collective / individuelle Filtrage  Journalisation + contrôle © 2014. Alain Huet. All rights reserved. 12
7 Dispositions légales BE / UE – Propriété intellectuelle Directive 91/250 (14/5/1991) : programmes d'ordinateur Directive 96/9 (11/3/1996) : bases de données Directive 2001/29 (22/5/2001) : droits d'auteur - société de l'information Loi (10/4/2014) : propriété intellectuelle Droit d’auteur et propriété intellectuelle en questions Guide pour les communicateurs fédéraux - J. Folon SPF Personnel et Organisation, Décembre 2010 www.fedweb.belgium.be/fr/binaries/Brochure%20COMM%2020%20F_tcm119-112822.pdf © 2014. Alain Huet. All rights reserved. 13 Dispositions légales BE / UE – Criminalité Directive 2013/40 (12/8/2013) : attaques contre les systèmes d'information Loi (28/11/2000) : criminalité informatique Code pénal : art. 116-118 Directive 2006/24 (15/3/2006) : conservation des données de trafic Loi (30/7/2013) : conservation des données de trafic / géolocalisation Décision CJUE (8/4/2014) : annulation de la directive 2006/24 Faux informatique Intrusion Abus de droits d'accès Sabotage Distribution de données acquises illégalement Distribution de données nuisibles Défense / sûreté de l'Etat : communication à une puissance étrangère Conservation des données de trafic / géolocalisation © 2014. Alain Huet. All rights reserved. 14
8 Dispositions légales BE / UE – Signature électronique Directive 1999/93 (13/12/1999) Loi (9/7/2001) : signatures électroniques et services de certification Signature électronique : ne peut être refusée en justice Signature électronique avancée Certificat ... qualifié Signature électr. avancée + certificat qualifié ≈ signature manuscrite Prestataire de service de certification Contrôle : SPF Economie © 2014. Alain Huet. All rights reserved. 15 Dispositions légales BE / UE – Organisation de l'Autorité fédérale Loi (8/8/1983) : registre national des personnes physiques AR (12/8/1993) : sécurité de l'information  sécurité sociale AR (4/2/1997) : communication entre institutions de sécurité sociale Loi (15/8/2012) : intégrateur de service fédéral AR (17/3/2013) : conseillers en sécurité AR (10/10/2014): Centre pour la Cybersécurité Belgique Conseillers / services en sécurité de l'information : Direction Comités sectoriels Centre pour la Cybersécurité Belgique 16
9 Dispositions légales Hors Union Européenne US Safe Harbor Directive 95/46 : interdiction de transférer des données personnelles hors EEE sauf niveau de protection équivalent 2001 : accord Commission européenne / US Dept of Commerce Certification des entreprises US Principes Notification et libre choix des personnes Sécurité Traitement compatible avec le but déclaré Droit d'accès et de rectification US Patriot Act (2001) Mandat de perquisition numérique Données hébergées : US / hors US Sociétés : US et non US (si intérêts aux USA) © 2014. Alain Huet. All rights reserved. 17 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 18
10 Institutions • Autorité Nationale de Sécurité (ANS) • Commission de Protection de la Vie Privée (CPVP) • Computer Crime Unit • Institut belge des services postaux et des télécommunications (IBPT) • Sûreté de l'Etat • Service Général de Renseignement et de Sécurité (SGRS) • Centre de Crise • Computer Emergency Response Team (CERT.be) • Plate-forme de concertation sur la sécurité de l'information (BELNIS) • Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCentre) • Centre pour la Cybersécurité Belgique (CCB) © 2014. Alain Huet. All rights reserved. 19 Institutions Autorité Nationale de Sécurité (ANS-NVO) diplomatie.belgium.be/fr/sur_lorganisation/organigramme_et_structure/ans Affaires Etrangères ( OTAN, UE) Habilitation des personnes (infos classifiées) Homologation des systèmes (infos classifiées) © 2014. Alain Huet. All rights reserved. 20
11 Institutions Commission de Protection de la Vie Privée (CPVP) www.privacycommission.be Parlement fédéral Assistance sur la législation Autorisation, contrôle et inspection Information Traitement des plaintes Avis sur les règlements et normes © 2014. Alain Huet. All rights reserved. 21 Institutions Computer Crime Unit www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php Police judiciaire Federal Computer Crime Unit (FCCU) CCU régionaux (RCCU) © 2014. Alain Huet. All rights reserved. 22
12 Institutions Institut belge des services postaux et des télécommunications (IBPT) www.ibpt.be Sécurité des réseaux publics de télécommunication Centralisation et suivi des incidents de sécurité © 2014. Alain Huet. All rights reserved. 23 Institutions Sûreté de l'Etat justice.belgium.be/fr/service_public_federal_justice/organisation/services_e t_commissions_independants/surete_de_l_Etat Renseignement civil Habilitations © 2014. Alain Huet. All rights reserved. 24
13 Institutions Service Général de Renseignement et de Sécurité (SGRS) Renseignement militaire Protection des systèmes d'information militaires © 2014. Alain Huet. All rights reserved. 25 Institutions Centre de Crise www.ibz.be/code/fr/loc/crise.shtml SPF Intérieur Plans d'urgence Protection des infrastructures critiques Assistance aux autorités sectorielles © 2014. Alain Huet. All rights reserved. 26
14 Institutions Computer Emergency Response Team (CERT.be) www.cert.be Collecte d'informations sur les incidents de sécurité Assistance aux incidents Coordination du traitement des incidents majeurs Information et sensibilisation © 2014. Alain Huet. All rights reserved. 27 Institutions Plate-forme de concertation sur la sécurité de l'information (BELNIS) Concertation entre les institutions (fédérales) 2007 - Livre blanc sur la sécurité de l'information 2012 - Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 28
15 Institutions Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCentre) www.b-ccentre.be Initiative de la KUL Sensibilisation et formation Cyber Security Coalition : lien public / privé / académique www.cybersecuritycoalition.be © 2014. Alain Huet. All rights reserved. 29 Institutions Centre pour la Cybersécurité Belgique (CCB) Service du Premier Ministre Supervision de la stratégie infosec Coordination des autorités publiques Coordination public / privé / académique Adaptation du cadre légal Gestion de crise  CERT.be Standards et directives Evaluation et certification des systèmes (avec BELAC) Sensibilisation des utilisateurs (publics, privés, citoyens) © 2014. Alain Huet. All rights reserved. 30
16 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 31 Stratégie nationale de cybersécurité www.b-ccentre.be/wp-content/uploads/2013/03/cybersecustra_fr.pdf Objectifs stratégiques Cyberespace sûr, respectant les valeurs et droits fondamentaux Protection des infrastructures critiques contre la cybermenace Développement de capacités propres Approche Intégration + collaboration public / privé / académique Cadre légal Suivi de la cybermenace Amélioration de la protection Capacité de réaction Cybercriminalité Expertise et connaissance Développement technologique © 2014. Alain Huet. All rights reserved. 32
17 Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 33

Recomendados

Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'informationAlain Huet
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
A Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access ManagementA Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access Managementhankgruenberg
 
Intel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management JourneyIntel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management JourneyIntel IT Center
 
Infosafe ah iam 2015
Infosafe ah iam 2015Infosafe ah iam 2015
Infosafe ah iam 2015Alain Huet
 
Identity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling conceptsIdentity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling conceptsAlain Huet
 

Recomendados

Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'informationAlain Huet
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
A Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access ManagementA Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access Managementhankgruenberg
 
Intel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management JourneyIntel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management JourneyIntel IT Center
 
Infosafe ah iam 2015
Infosafe ah iam 2015Infosafe ah iam 2015
Infosafe ah iam 2015Alain Huet
 
Identity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling conceptsIdentity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling conceptsAlain Huet
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Internet et réglementation
Internet et réglementationInternet et réglementation
Internet et réglementationAgence10TIC
 
Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Hubert Herberstein
 
Actecil se-presente-cogito expo13
Actecil se-presente-cogito expo13Actecil se-presente-cogito expo13
Actecil se-presente-cogito expo13CCI Alsace Eurométropole
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018African Cyber Security Summit
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalEdatis
 
20141104 appsec surveillance
20141104 appsec surveillance20141104 appsec surveillance
20141104 appsec surveillanceCyber Security Alliance
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Kristof infopol fr[1]
Kristof infopol fr[1]Kristof infopol fr[1]
Kristof infopol fr[1]Jean-Louis Dalle
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3PRONETIS
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspectsBMMA - Belgian Management and Marketing Association
 
2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)Andre Meillassoux
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDFrenchTechCentral
 
Agents cnil 08 2018
Agents cnil 08 2018Agents cnil 08 2018
Agents cnil 08 2018Société Tripalio
 

Mais conteúdo relacionado

Semelhante a Paysage de la sécurité de l'information

Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Internet et réglementation
Internet et réglementationInternet et réglementation
Internet et réglementationAgence10TIC
 
Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Hubert Herberstein
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalEdatis
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3PRONETIS
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)Andre Meillassoux
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDFrenchTechCentral
 

Semelhante a Paysage de la sécurité de l'information (20)

Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Internet et réglementation
Internet et réglementationInternet et réglementation
Internet et réglementation
 
Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1
 
Actecil se-presente-cogito expo13
Actecil se-presente-cogito expo13Actecil se-presente-cogito expo13
Actecil se-presente-cogito expo13
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legal
 
20141104 appsec surveillance
20141104 appsec surveillance20141104 appsec surveillance
20141104 appsec surveillance
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Kristof infopol fr[1]
Kristof infopol fr[1]Kristof infopol fr[1]
Kristof infopol fr[1]
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatique
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)2012 10 A Meillassoux Cv It Lawyer (F)
2012 10 A Meillassoux Cv It Lawyer (F)
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNIL
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPD
 
Agents cnil 08 2018
Agents cnil 08 2018Agents cnil 08 2018
Agents cnil 08 2018
 

Paysage de la sécurité de l'information

  • 1. 1 Quel est le paysage de la sécurité de l'information ? 9 décembre 2014 Alain Huet Consulting huet.alain@skynet.be + 32 (0) 495 34.71.01 http://be.linkedin.com/in/AlainHuetConsulting © 2014. Alain Huet. All rights reserved. Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 2
  • 2. 2 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 3 Dispositions légales Belgique / Union Européenne Protection des biens vitaux Vie privée Propriété intellectuelle Criminalité Signature électronique Organisation de l'Autorité fédérale Hors Union Européenne © 2014. Alain Huet. All rights reserved. 4
  • 3. 3 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées Infrastructures critiques © 2014. Alain Huet. All rights reserved. 5 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées (1) Décision 2001/264 (19/3/2001) : Règlement de sécurité Loi (11/12/1998) : classification, habilitations, … AR (24/3/2000)  6 Vie privée © 2014. Alain Huet. All rights reserved. BE UE atteinte très grave TRES SECRET TRES SECRET UE atteinte grave SECRET SECRET UE atteinte CONFIDENTIEL CONFIDENTIEL UE effet défavorable (diffusion restreinte) RESTREINT UE  défense sûreté intérieure relations internationales potentiel économique ... intérêts de l'UE et des Etats membres
  • 4. 4 Dispositions légales BE / UE – Protection des biens vitaux Informations classifiées (2) Personnes Conditions d'accès Habilitation (security clearance) > Degré de classification Need to know Procédure d'habilitation Enquête de sécurité (vie privée) par service de renseignement Sûreté de l'Etat Service Général de Renseignement et de Sécurité (Défense) Systèmes Règlement EU (2001/264) : 3 étapes Evaluation (evaluation) laboratoires de contrôle agréés Ǝ? BELAC Certification (certification) autorité de certification Ǝ? Homologation (EN accreditation) autorité d'homologation : Autorité Nationale de Sécurité © 2014. Alain Huet. All rights reserved. 7 Dispositions légales BE / UE – Protection des biens vitaux Infrastructures critiques Directive 2008/114 (8/12/2008) : infrastructures critiques européennes Loi (1/7/2011) : infrastructures critiques belges AR (27/5/2014) Infractructures critiques UE : énergie, tansport BE : + finance, communications électroniques Fonctions vitales, santé, sécurité, bien-être économique / social Autorité sectorielle télécom : IBPT Exploitant d'infrastructure critique  plan de sécurité © 2014. Alain Huet. All rights reserved. 8
  • 5. 5 Dispositions légales BE / UE – Vie privée Traitement de données à caractère personnel Communications électroniques CCT 81 © 2014. Alain Huet. All rights reserved. 9 Dispositions légales BE / UE – Vie privée Traitement de données à caractère personnel Directive 95/46 (24/10/1995) : traitement de données personnelles Loi (8/12/1992) : traitement de données personnelles Loi (30/6/1994) : écoutes et enregistrement des communications Finalités déterminées, explicites, légitimes Proportionnalité : données pertinentes, non excessives Transparence Durée de conservation : non excessive Données sensibles (santé, …) Niveau de protection adéquat : mesures techniques / organisationnelles Préposé à la protection des données Commission de Protection de la Vie Privée (CPVP), comités sectoriels Déclaration à la CPVP Sanctions © 2014. Alain Huet. All rights reserved. 10
  • 6. 6 Dispositions légales BE / UE – Vie privée Communications électroniques Loi (13/6/2005) : communications électroniques Opérateurs Mesures de sécurité (techniques / organisationnelles) Services de sécurité gratuits Notification des incidents de sécurité  IBPT, CPVP, abonné Audit possible par l'IBPT ou organisme indépendant Conservation des données de trafic / géolocalisation IBPT Sécurité des télécommunications Coordination Supervision de la détection des problèmes Contrôle, recommandations, instructions  opérateurs © 2014. Alain Huet. All rights reserved. 11 Dispositions légales BE / UE – Vie privée CCT 81 CCT (26/4/2002) : contrôle des données de communication au travail Finalités 1 prévention de faits illicites (piratage, pédophilie, racisme, …) 2 protection des intérêts de l'employeur 3 sécurité technique des systèmes 4 respect des règles internes Proportionnalité : ingérence minimale dans la vie privée anomalie finalités 1-2-3  individualisation anomalie finalité 4  avertissement collectif  ...  individualisation Transparence information collective / individuelle Filtrage  Journalisation + contrôle © 2014. Alain Huet. All rights reserved. 12
  • 7. 7 Dispositions légales BE / UE – Propriété intellectuelle Directive 91/250 (14/5/1991) : programmes d'ordinateur Directive 96/9 (11/3/1996) : bases de données Directive 2001/29 (22/5/2001) : droits d'auteur - société de l'information Loi (10/4/2014) : propriété intellectuelle Droit d’auteur et propriété intellectuelle en questions Guide pour les communicateurs fédéraux - J. Folon SPF Personnel et Organisation, Décembre 2010 www.fedweb.belgium.be/fr/binaries/Brochure%20COMM%2020%20F_tcm119-112822.pdf © 2014. Alain Huet. All rights reserved. 13 Dispositions légales BE / UE – Criminalité Directive 2013/40 (12/8/2013) : attaques contre les systèmes d'information Loi (28/11/2000) : criminalité informatique Code pénal : art. 116-118 Directive 2006/24 (15/3/2006) : conservation des données de trafic Loi (30/7/2013) : conservation des données de trafic / géolocalisation Décision CJUE (8/4/2014) : annulation de la directive 2006/24 Faux informatique Intrusion Abus de droits d'accès Sabotage Distribution de données acquises illégalement Distribution de données nuisibles Défense / sûreté de l'Etat : communication à une puissance étrangère Conservation des données de trafic / géolocalisation © 2014. Alain Huet. All rights reserved. 14
  • 8. 8 Dispositions légales BE / UE – Signature électronique Directive 1999/93 (13/12/1999) Loi (9/7/2001) : signatures électroniques et services de certification Signature électronique : ne peut être refusée en justice Signature électronique avancée Certificat ... qualifié Signature électr. avancée + certificat qualifié ≈ signature manuscrite Prestataire de service de certification Contrôle : SPF Economie © 2014. Alain Huet. All rights reserved. 15 Dispositions légales BE / UE – Organisation de l'Autorité fédérale Loi (8/8/1983) : registre national des personnes physiques AR (12/8/1993) : sécurité de l'information  sécurité sociale AR (4/2/1997) : communication entre institutions de sécurité sociale Loi (15/8/2012) : intégrateur de service fédéral AR (17/3/2013) : conseillers en sécurité AR (10/10/2014): Centre pour la Cybersécurité Belgique Conseillers / services en sécurité de l'information : Direction Comités sectoriels Centre pour la Cybersécurité Belgique 16
  • 9. 9 Dispositions légales Hors Union Européenne US Safe Harbor Directive 95/46 : interdiction de transférer des données personnelles hors EEE sauf niveau de protection équivalent 2001 : accord Commission européenne / US Dept of Commerce Certification des entreprises US Principes Notification et libre choix des personnes Sécurité Traitement compatible avec le but déclaré Droit d'accès et de rectification US Patriot Act (2001) Mandat de perquisition numérique Données hébergées : US / hors US Sociétés : US et non US (si intérêts aux USA) © 2014. Alain Huet. All rights reserved. 17 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 18
  • 10. 10 Institutions • Autorité Nationale de Sécurité (ANS) • Commission de Protection de la Vie Privée (CPVP) • Computer Crime Unit • Institut belge des services postaux et des télécommunications (IBPT) • Sûreté de l'Etat • Service Général de Renseignement et de Sécurité (SGRS) • Centre de Crise • Computer Emergency Response Team (CERT.be) • Plate-forme de concertation sur la sécurité de l'information (BELNIS) • Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCentre) • Centre pour la Cybersécurité Belgique (CCB) © 2014. Alain Huet. All rights reserved. 19 Institutions Autorité Nationale de Sécurité (ANS-NVO) diplomatie.belgium.be/fr/sur_lorganisation/organigramme_et_structure/ans Affaires Etrangères ( OTAN, UE) Habilitation des personnes (infos classifiées) Homologation des systèmes (infos classifiées) © 2014. Alain Huet. All rights reserved. 20
  • 11. 11 Institutions Commission de Protection de la Vie Privée (CPVP) www.privacycommission.be Parlement fédéral Assistance sur la législation Autorisation, contrôle et inspection Information Traitement des plaintes Avis sur les règlements et normes © 2014. Alain Huet. All rights reserved. 21 Institutions Computer Crime Unit www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php Police judiciaire Federal Computer Crime Unit (FCCU) CCU régionaux (RCCU) © 2014. Alain Huet. All rights reserved. 22
  • 12. 12 Institutions Institut belge des services postaux et des télécommunications (IBPT) www.ibpt.be Sécurité des réseaux publics de télécommunication Centralisation et suivi des incidents de sécurité © 2014. Alain Huet. All rights reserved. 23 Institutions Sûreté de l'Etat justice.belgium.be/fr/service_public_federal_justice/organisation/services_e t_commissions_independants/surete_de_l_Etat Renseignement civil Habilitations © 2014. Alain Huet. All rights reserved. 24
  • 13. 13 Institutions Service Général de Renseignement et de Sécurité (SGRS) Renseignement militaire Protection des systèmes d'information militaires © 2014. Alain Huet. All rights reserved. 25 Institutions Centre de Crise www.ibz.be/code/fr/loc/crise.shtml SPF Intérieur Plans d'urgence Protection des infrastructures critiques Assistance aux autorités sectorielles © 2014. Alain Huet. All rights reserved. 26
  • 14. 14 Institutions Computer Emergency Response Team (CERT.be) www.cert.be Collecte d'informations sur les incidents de sécurité Assistance aux incidents Coordination du traitement des incidents majeurs Information et sensibilisation © 2014. Alain Huet. All rights reserved. 27 Institutions Plate-forme de concertation sur la sécurité de l'information (BELNIS) Concertation entre les institutions (fédérales) 2007 - Livre blanc sur la sécurité de l'information 2012 - Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 28
  • 15. 15 Institutions Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCentre) www.b-ccentre.be Initiative de la KUL Sensibilisation et formation Cyber Security Coalition : lien public / privé / académique www.cybersecuritycoalition.be © 2014. Alain Huet. All rights reserved. 29 Institutions Centre pour la Cybersécurité Belgique (CCB) Service du Premier Ministre Supervision de la stratégie infosec Coordination des autorités publiques Coordination public / privé / académique Adaptation du cadre légal Gestion de crise  CERT.be Standards et directives Evaluation et certification des systèmes (avec BELAC) Sensibilisation des utilisateurs (publics, privés, citoyens) © 2014. Alain Huet. All rights reserved. 30
  • 16. 16 Sommaire Dispositions légales Institutions Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 31 Stratégie nationale de cybersécurité www.b-ccentre.be/wp-content/uploads/2013/03/cybersecustra_fr.pdf Objectifs stratégiques Cyberespace sûr, respectant les valeurs et droits fondamentaux Protection des infrastructures critiques contre la cybermenace Développement de capacités propres Approche Intégration + collaboration public / privé / académique Cadre légal Suivi de la cybermenace Amélioration de la protection Capacité de réaction Cybercriminalité Expertise et connaissance Développement technologique © 2014. Alain Huet. All rights reserved. 32
  • 17. 17 Stratégie nationale de cybersécurité © 2014. Alain Huet. All rights reserved. 33