earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?

Sécurité informatique : entre obligations et
opportunités. Comment tirer avantage du
piratage éthique?
Mélanie Gagnon - MGSI
Alexandre Cassart- Lexing
Joachim Parmentier - Lexing
Pauline LIMBREE- Lexing

www.earlegal.beGroupe Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Groupe Larcier et Lexing Belgium
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines plus
tard : https://creactivity.lexing.be/earlegal/
Un fil rouge
Quatre questions
2

Groupe Larcier / Lexing www.earlegal.be
Quelques chiffres relatifs à la cybercriminalité
en Belgique
3

Groupe Larcier / Lexing www.earlegal.be4
 Augmentation de 15 % entre 2017 et 2018
+ 200 000 infractions via internet non signalées
5ème risque le plus importants en 2019

Programme
Quelles sont les obligations à charge du gestionnaire
informatique ?
Qu’est ce que le pentesting ?
Qu’est ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
5

Notre fil conducteur
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.

Quelles sont les obligations à charge du
gestionnaire d’un système informatique ?
7

Quelles
obligations
de sécurité
« New-C »
doit-elle
respecter?

Deux législations à respecter
9
RGPD NIS Cybersecuri
ty Act

Toute information se
rapportant à une personne
physique identifiée ou
identifiable
Ex : nom, numéro
d'identification, données de
localisation, plaque
d’immatriculation,
identifiant en ligne, adresse
IP, résultats médicaux, e-
mails, affiliations.
RGPD : si donnée à caractère personnel

RGPD : une approche par les risques
« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de
la nature, de la portée, du contexte et des finalités du traitement ainsi que des
risques, dont le degré de probabilité et de gravité varie, pour les droits et
libertés des personnes physiques, le responsable du traitement et le sous-
traitant mettent en œuvre les mesures techniques et organisationnelles
appropriées afin de garantir un niveau de sécurité adapté au risque, y
compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la
disponibilité et la résilience constantes des systèmes et des services de
traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère
personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident
physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement
l'efficacité des mesures techniques et organisationnelles pour assurer la
sécurité du traitement. »
11

RGPD : quelques mesures concrètes
12
 Sensibiliser les utilisateurs ;
 Authentifier les utilisateurs ;
 Gérer les habilitations ;
 Tracer les accès et gérer les incidents ;
 Sécuriser les postes de travail ;
 Protéger le réseau informatique interne ;
 Sécuriser les serveurs ;
 Sécuriser les sites web ;
 Sauvegarder et prévoir la continuité d’activité ;
 Archiver de manière sécurisée;
 Encadrer la maintenance et la destruction des données ;
 Gérer la sous-traitance ;
 Sécuriser les échanges avec d’autres organismes ;
 Protéger les locaux ;
 Encadrer les développements informatiques ;
 Chiffrer, garantir l’intégrité ou signer ;
 …
 ;

RGPD : l’analyse d’impact et l’obligation
de notification
8 cas obligatoires
13

La directive NIS : si OSE ou FSN
14
ty Act

La directive NIS : si OSE ou FSN
15

NIS : une approche par les risques
16

Éventuellement, le Cybersecurity Act pour
les produits, services et processus TIC
17
ty Act

Quelles
obligations
de sécurité
« New-C »
doit-elle
respecter?
RGPD
Éventuellement,
Cybersecurity Act lors
du choix des appareils
médicaux
A priori NIS

Qu’est-ce que le pentesting ?
19

« New-C »
aimerait tester
se sécurité
informatique
par une
démarche
encadrée.

Pentesting : définition
Pentesting ou « tests de pénétration », est un moyen efficace
d'identifier et d'atténuer les vulnérabilités, avant qu'un hacker ne les
exploite. L'objectif des tests de pénétration est d'identifier les
faiblesses et de les signaler aux personnes en charge du système, afin
de prendre les mesures appropriées et améliorer le niveau de sécurité
des informations.
Grâce au pentesting, une société obtient une vue indépendante et
objective sur la sécurité de l'information, avec des données concrètes
et fiables sur les vulnérabilités et les impacts.
21

Pentesting : définition
Security testing in which evaluators mimic real-world attacks in an
attempt to identify ways to circumvent the security features of an
application, system, or network. Penetration testing often involves
issuing real attacks on real systems and data, using the same tools
and techniques used by actual attackers. Most penetration tests
involve looking for combinations of vulnerabilities on a single system
or multiple systems that can be used to gain more access than could
be achieved through a single vulnerability.
Source : NIST SP800-115
22

Pentesting : pourquoi, quoi et quand ?
Pourquoi ?
Évidemment, la sécurité de l’information mais aussi…
Respect du RGPD (art. 32 Sécurité du traitement)
Data breach… Sanctions…
Quoi ?
Tests d’intrusion du système informatique : applications, réseaux, site web,
réseaux téléphoniques/VoIP, passerelle e-mail, etc.
Peut inclure les tests d’intrusion physique, ingénierie sociale
Quand ?
Approche basée par les risques…
Données accessibles sont confidentielles ou sensibles (données financières,
de santé, code utilisateur et mot de passe, données stratégiques d’entreprise,
etc.)
23

Pentesting : pourquoi, quoi et quand ?
Data breach… Sanctions…
L’autorité de contrôle en Allemagne a sanctionné un site internet d’une
entreprise d’agroalimentaire parce qu’elle n’avait pas protégé les dossier de
candidatures de postulants en ligne. Amende de 100.000€ pour violation des
articles 5 et 32 RGPD
L’ICO a notifié British Airways de l’intention de les sanctionner d’une amende
de plus de 204€ million car du fait de leur mauvaise sécurité (concernant les
log in, les moyens de paiement et les détails de voyages).
24

Pentesting : comment ?
Démarche encadrée
Démarche d’audit de sécurité en suivant un protocole stricte
Contrat détaillé par écrit (art. 28 RGPD)
Scope précisé
Journalisation complète des actions (permettant un suivi et une
reproduction des tests)
Règles d’engagements (ce qui est permis ou non de faire)
Ex : arrêt du test dès que des données personnelles sont accessibles

Pentesting : comment ?
Sous-traitant
Société externe agit pour le compte du responsable de traitement
(le client) et est donc sous-traitant
Sous-traitant n'effectue que les tâches demandées par le responsable
de traitement
Attention !
On ne s’improvise pas pentesteur. Grands risques pour vos systèmes.
Soyez prudent avec les outils libres d’accès en ligne…

« New-C »
aimerait tester
se sécurité
informatique
par une
démarche
encadrée.
« New-C » sous-traite le
test sécurité (Pentest) à
une société externe
experte
« New-C » procède à la
mise en œuvre des
recommandations
Elle s’assure d’avoir un
contrat écrit détaillé avec
le sous-traitant

Qu’est-ce que le piratage éthique ?
28

« New-C » aimerait
que sa sécurité
informatique soit
testée le plus
régulièrement
possible et selon
les méthodes
utilisées par les
hackers.

Un exemple parmi d’autres
APD : 317 fuites de données signalées en 6 mois
(contre 13 en 2017!)
CNIL : 1200
30

Introduction
31
Sociétés spécialisées
dans les tests
d’intrusion
(supra)
Pirates éthiques
Identification de vulnérabilités informatiques en
externe
Mission
identique :
feindre une
attaque

Le piratage éthique : concept
32
Pirate failleIntrusion
Système
informatique
Dexia
Invitation
?

Le piratage éthique : une forme particulière
33
failleDexia
Intrusion
Système
informatiqueInvitation
Communauté
informatique
Pirate
Programme de Bug Bounty Hunting

Le piratage éthique : une forme particulière
34
Programme de Bug Bounty Hunting

Le piratage éthique : synthèse
35
Piratage éthique
Pirate
désintéressé
Pirate
intéressé
Programme de
Bug Bounty
Hunting
Contrat de test
d’intrusion
Dans un cadre Hors de tout cadre

Quel est l’intérêt de faire pirater sa
propre entreprise?
36

Quel est le risque de faire pirater sa
propre entreprise?
37

Autorisation : en pratique – politique de divulgation
coordonnées des vulnérabilités
38
* Bien déterminer les limites de l’autorisation explicite + les résultats escomptés + les risques acceptés

« New-C ». Elles
de données et
mieux possible leur
système
d'information.
Afin de tester régulièrement la résilience de son
système, New-C recourt fréquemment au hacking
éthique
Rapport des hackers :
• Introduction via réseau wifi :
• Introduction via une adresse IP :
• Introduction via le système de mot de passe :
Actions de New-C :
• les adresses IP ont été sécurisées ;
• le personnel a été formé et conscientisé (session de
PC ouverte, badges/clés qui trainent, etc.) ;
• les routeurs WIFI ont été placés à l’abris des regards
;
• …

Quelles réactions en cas d’attaque ?
40

Notre fil conducteur … mais une attaque a eu lieu
« New-C ». Elles
de données et
mieux possible leur
système
d'information.
Afin de tester régulièrement la résilience de son
système, New-C recourt fréquemment au hacking
éthique
Rapport des hackers :
• Introduction via réseau wifi :
• Introduction via une adresse IP :
• Introduction via le système de mot de passe :
Actions de New-C :
• les adresses IP ont été sécurisées ;
• le personnel a été formé et conscientisé (session de
PC ouverte, badges/clés qui trainent, etc.) ;
• les routeurs WIFI ont été placés à l’abris des regards
;
• …

3 corps de règles
42
1. Notification
• Sur base du RGPD
• Sur base de la loi du 7
avril 2019 (directive NIS)
• Sur base de la loi sur les
communications
électroniques (IBPT)
2. Plainte pénale
• Plainte aux services de
police (RCCU)
• Plainte avec constitution
de partie civile (juge
d’instruction)
3. Cessation - civil
• Mesures provisoires
• Actions en cessation
Lecho.be
Service audiovisuel de l’UNamur

1. Notification
43
RGPD NIS Communications
72 h Sans retard Sans délai
Si risque : À l’APD
Si impact significatif/négatif :
- au CCB (CSIRT national);
- à l’autorité sectorielle ou à
son CSIRT sectoriel
- au Centre de crise du SPF
Intérieur
À l’APD (qui avertit l’IBPT)
Si risque élevé : aux personnes
concernées /
Si affecte négativement vie
privée ou DCP :
au particulier
Sanctions administratives et
pénales
Sanctions administratives ou
pénales /
Formulaire en ligne sur site
APD
Plate- forme de notification
(https://nis-incident.be/fr/)
APD informe l’IBPT

2. Sur le plan pénal - Violation de données : quelles
infractions?
44
Hacking
interne
Hacking
externe
Sabotage
Faux en
écritures
Faux
informati
que
Fraude
informati
que
Extorsion Abus de
confiance
Vol

Au pénal : démarches
45
Réparation (si
coupable
identifié)
…ENQUÊTE…

Dépôt de plainte
Zone de police compétente
Informations à fournir :
Type de SI contaminé?
Système d’exploitation du SI?
Présence antivirus?
Propriétaire du SI?
Mode de contamination?
Etc.
Selon type d’attaque, transmission à la
RCCU/FCCU
46

Exemple d’informations à fournir: ransomware
47

Signalement
48
http://www.cert.be/ suspect@safeonweb.be
tromperie, arnaque, fraude ou escroquerie:
https://meldpunt.belgie.be/meldpunt/fr/bienvenue

3. Sur le plan civil - Mesures d’urgence / Action au fond
49
Action en cessation
Sur base de la
violation d’un secret
d’affaires
Référé
 Mesures
provisoires
Contre tiers :
Hébergeur,
Moteur de recherche
(déréférencement)…
Possibilité de
réparation

Violation de données = violation du secrets d’affaires ?
Conditions cumulatives :
Informations secrètes,
valeur commerciale parce qu'elles sont
secrètes,
dispositions raisonnables destinées à les
garder secrètes (ex : clauses contrat)
Exemples de secret d’affaires contenant
des données à caractère personnel
• profils des consommateurs
• informations relatives aux clients et aux fournisseurs
• Études cliniques

Au civil et au pénal : possibilité de réparation
51
Infraction
pénale
Faute civile
Dommage
Lien causal
Lien causal
Prouver
responsa
bilité
Prouver
$$$

Résumé des actions : pénal - civil
52
Au pénal Au civil
Action contre une
personne identifiée
Action contre X
Action contre une
personne identifiée
Action contre X

Nous vous remercions
pour votre attention

earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?

Semelhante a earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ? (20)

Mais de Lexing - Belgium

Mais de Lexing - Belgium (20)

earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?