Quelles sont les obligations à charge du gestionnaire d’un système informatique ?
Qu’est-ce que le pentesting ?
Qu’est-ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
par Alexandre CASSART et Pauline LIMBREE (Lexing) et Mélanie GAGNON (MGSI)
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comment tirer avantage du piratage éthique ?
1. Sécurité informatique : entre obligations et
opportunités. Comment tirer avantage du
piratage éthique?
Mélanie Gagnon - MGSI
Alexandre Cassart- Lexing
Joachim Parmentier - Lexing
Pauline LIMBREE- Lexing
2. www.earlegal.beGroupe Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Groupe Larcier et Lexing Belgium
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines plus
tard : https://creactivity.lexing.be/earlegal/
Un fil rouge
Quatre questions
2
3. Groupe Larcier / Lexing www.earlegal.be
Quelques chiffres relatifs à la cybercriminalité
en Belgique
3
4. Groupe Larcier / Lexing www.earlegal.be4
Augmentation de 15 % entre 2017 et 2018
+ 200 000 infractions via internet non signalées
5ème risque le plus importants en 2019
5. www.earlegal.beGroupe Larcier / Lexing
Programme
Quelles sont les obligations à charge du gestionnaire
informatique ?
Qu’est ce que le pentesting ?
Qu’est ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
5
6. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.
7. Groupe Larcier / Lexing www.earlegal.be
Quelles sont les obligations à charge du
gestionnaire d’un système informatique ?
7
10. www.earlegal.beGroupe Larcier / Lexing
Toute information se
rapportant à une personne
physique identifiée ou
identifiable
Ex : nom, numéro
d'identification, données de
localisation, plaque
d’immatriculation,
identifiant en ligne, adresse
IP, résultats médicaux, e-
mails, affiliations.
RGPD : si donnée à caractère personnel
11. www.earlegal.beGroupe Larcier / Lexing
RGPD : une approche par les risques
« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de
la nature, de la portée, du contexte et des finalités du traitement ainsi que des
risques, dont le degré de probabilité et de gravité varie, pour les droits et
libertés des personnes physiques, le responsable du traitement et le sous-
traitant mettent en œuvre les mesures techniques et organisationnelles
appropriées afin de garantir un niveau de sécurité adapté au risque, y
compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la
disponibilité et la résilience constantes des systèmes et des services de
traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère
personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident
physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement
l'efficacité des mesures techniques et organisationnelles pour assurer la
sécurité du traitement. »
11
12. www.earlegal.beGroupe Larcier / Lexing
RGPD : quelques mesures concrètes
12
Sensibiliser les utilisateurs ;
Authentifier les utilisateurs ;
Gérer les habilitations ;
Tracer les accès et gérer les incidents ;
Sécuriser les postes de travail ;
Protéger le réseau informatique interne ;
Sécuriser les serveurs ;
Sécuriser les sites web ;
Sauvegarder et prévoir la continuité d’activité ;
Archiver de manière sécurisée;
Encadrer la maintenance et la destruction des données ;
Gérer la sous-traitance ;
Sécuriser les échanges avec d’autres organismes ;
Protéger les locaux ;
Encadrer les développements informatiques ;
Chiffrer, garantir l’intégrité ou signer ;
…
;
17. www.earlegal.beGroupe Larcier / Lexing
Éventuellement, le Cybersecurity Act pour
les produits, services et processus TIC
17
RGPD NIS Cybersecuri
ty Act
18. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Quelles
obligations
de sécurité
« New-C »
doit-elle
respecter?
RGPD
Éventuellement,
Cybersecurity Act lors
du choix des appareils
médicaux
A priori NIS
19. Groupe Larcier / Lexing www.earlegal.be
Qu’est-ce que le pentesting ?
19
20. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
« New-C »
aimerait tester
se sécurité
informatique
par une
démarche
encadrée.
21. www.earlegal.beGroupe Larcier / Lexing
Pentesting : définition
Pentesting ou « tests de pénétration », est un moyen efficace
d'identifier et d'atténuer les vulnérabilités, avant qu'un hacker ne les
exploite. L'objectif des tests de pénétration est d'identifier les
faiblesses et de les signaler aux personnes en charge du système, afin
de prendre les mesures appropriées et améliorer le niveau de sécurité
des informations.
Grâce au pentesting, une société obtient une vue indépendante et
objective sur la sécurité de l'information, avec des données concrètes
et fiables sur les vulnérabilités et les impacts.
21
22. www.earlegal.beGroupe Larcier / Lexing
Pentesting : définition
Security testing in which evaluators mimic real-world attacks in an
attempt to identify ways to circumvent the security features of an
application, system, or network. Penetration testing often involves
issuing real attacks on real systems and data, using the same tools
and techniques used by actual attackers. Most penetration tests
involve looking for combinations of vulnerabilities on a single system
or multiple systems that can be used to gain more access than could
be achieved through a single vulnerability.
Source : NIST SP800-115
22
23. www.earlegal.beGroupe Larcier / Lexing
Pentesting : pourquoi, quoi et quand ?
Pourquoi ?
Évidemment, la sécurité de l’information mais aussi…
Respect du RGPD (art. 32 Sécurité du traitement)
Data breach… Sanctions…
Quoi ?
Tests d’intrusion du système informatique : applications, réseaux, site web,
réseaux téléphoniques/VoIP, passerelle e-mail, etc.
Peut inclure les tests d’intrusion physique, ingénierie sociale
Quand ?
Approche basée par les risques…
Données accessibles sont confidentielles ou sensibles (données financières,
de santé, code utilisateur et mot de passe, données stratégiques d’entreprise,
etc.)
23
24. www.earlegal.beGroupe Larcier / Lexing
Pentesting : pourquoi, quoi et quand ?
Data breach… Sanctions…
L’autorité de contrôle en Allemagne a sanctionné un site internet d’une
entreprise d’agroalimentaire parce qu’elle n’avait pas protégé les dossier de
candidatures de postulants en ligne. Amende de 100.000€ pour violation des
articles 5 et 32 RGPD
L’ICO a notifié British Airways de l’intention de les sanctionner d’une amende
de plus de 204€ million car du fait de leur mauvaise sécurité (concernant les
log in, les moyens de paiement et les détails de voyages).
24
25. www.earlegal.beGroupe Larcier / Lexing
Pentesting : comment ?
Démarche encadrée
Démarche d’audit de sécurité en suivant un protocole stricte
Contrat détaillé par écrit (art. 28 RGPD)
Scope précisé
Journalisation complète des actions (permettant un suivi et une
reproduction des tests)
Règles d’engagements (ce qui est permis ou non de faire)
Ex : arrêt du test dès que des données personnelles sont accessibles
26. www.earlegal.beGroupe Larcier / Lexing
Pentesting : comment ?
Sous-traitant
Société externe agit pour le compte du responsable de traitement
(le client) et est donc sous-traitant
Sous-traitant n'effectue que les tâches demandées par le responsable
de traitement
Attention !
On ne s’improvise pas pentesteur. Grands risques pour vos systèmes.
Soyez prudent avec les outils libres d’accès en ligne…
27. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
« New-C »
aimerait tester
se sécurité
informatique
par une
démarche
encadrée.
« New-C » sous-traite le
test sécurité (Pentest) à
une société externe
experte
« New-C » procède à la
mise en œuvre des
recommandations
Elle s’assure d’avoir un
contrat écrit détaillé avec
le sous-traitant
28. Groupe Larcier / Lexing www.earlegal.be
Qu’est-ce que le piratage éthique ?
28
29. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
« New-C » aimerait
que sa sécurité
informatique soit
testée le plus
régulièrement
possible et selon
les méthodes
utilisées par les
hackers.
30. www.earlegal.beGroupe Larcier / Lexing
Un exemple parmi d’autres
APD : 317 fuites de données signalées en 6 mois
(contre 13 en 2017!)
CNIL : 1200
30
31. www.earlegal.beGroupe Larcier / Lexing
Introduction
31
Sociétés spécialisées
dans les tests
d’intrusion
(supra)
Pirates éthiques
Identification de vulnérabilités informatiques en
externe
Mission
identique :
feindre une
attaque
32. www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : concept
32
Pirate failleIntrusion
Système
informatique
Dexia
Invitation
?
33. www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : une forme particulière
33
failleDexia
Intrusion
Système
informatiqueInvitation
Communauté
informatique
Pirate
Programme de Bug Bounty Hunting
35. www.earlegal.beGroupe Larcier / Lexing
Le piratage éthique : synthèse
35
Piratage éthique
Pirate
désintéressé
Pirate
intéressé
Programme de
Bug Bounty
Hunting
Contrat de test
d’intrusion
Dans un cadre Hors de tout cadre
38. www.earlegal.beGroupe Larcier / Lexing
Autorisation : en pratique – politique de divulgation
coordonnées des vulnérabilités
38
* Bien déterminer les limites de l’autorisation explicite + les résultats escomptés + les risques acceptés
39. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.
Afin de tester régulièrement la résilience de son
système, New-C recourt fréquemment au hacking
éthique
Rapport des hackers :
• Introduction via réseau wifi :
• Introduction via une adresse IP :
• Introduction via le système de mot de passe :
Actions de New-C :
• les adresses IP ont été sécurisées ;
• le personnel a été formé et conscientisé (session de
PC ouverte, badges/clés qui trainent, etc.) ;
• les routeurs WIFI ont été placés à l’abris des regards
;
• …
40. Groupe Larcier / Lexing www.earlegal.be
Quelles réactions en cas d’attaque ?
40
41. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur … mais une attaque a eu lieu
Trois cliniques décident
de se regrouper au sein
d'une même structure
« New-C ». Elles
fusionnent leurs bases
de données et
souhaitent sécuriser le
mieux possible leur
système
d'information.
Afin de tester régulièrement la résilience de son
système, New-C recourt fréquemment au hacking
éthique
Rapport des hackers :
• Introduction via réseau wifi :
• Introduction via une adresse IP :
• Introduction via le système de mot de passe :
Actions de New-C :
• les adresses IP ont été sécurisées ;
• le personnel a été formé et conscientisé (session de
PC ouverte, badges/clés qui trainent, etc.) ;
• les routeurs WIFI ont été placés à l’abris des regards
;
• …
42. www.earlegal.beGroupe Larcier / Lexing
3 corps de règles
42
1. Notification
• Sur base du RGPD
• Sur base de la loi du 7
avril 2019 (directive NIS)
• Sur base de la loi sur les
communications
électroniques (IBPT)
2. Plainte pénale
• Plainte aux services de
police (RCCU)
• Plainte avec constitution
de partie civile (juge
d’instruction)
3. Cessation - civil
• Mesures provisoires
• Actions en cessation
Lecho.be
Service audiovisuel de l’UNamur
43. www.earlegal.beGroupe Larcier / Lexing
1. Notification
43
RGPD NIS Communications
72 h Sans retard Sans délai
Si risque : À l’APD
Si impact significatif/négatif :
- au CCB (CSIRT national);
- à l’autorité sectorielle ou à
son CSIRT sectoriel
- au Centre de crise du SPF
Intérieur
À l’APD (qui avertit l’IBPT)
Si risque élevé : aux personnes
concernées /
Si affecte négativement vie
privée ou DCP :
au particulier
Sanctions administratives et
pénales
Sanctions administratives ou
pénales /
Formulaire en ligne sur site
APD
Plate- forme de notification
(https://nis-incident.be/fr/)
APD informe l’IBPT
44. www.earlegal.beGroupe Larcier / Lexing
2. Sur le plan pénal - Violation de données : quelles
infractions?
44
Hacking
interne
Hacking
externe
Sabotage
Faux en
écritures
Faux
informati
que
Fraude
informati
que
Extorsion Abus de
confiance
Vol
46. www.earlegal.beGroupe Larcier / Lexing
Dépôt de plainte
Zone de police compétente
Informations à fournir :
Type de SI contaminé?
Système d’exploitation du SI?
Présence antivirus?
Propriétaire du SI?
Mode de contamination?
Etc.
Selon type d’attaque, transmission à la
RCCU/FCCU
46
49. www.earlegal.beGroupe Larcier / Lexing
3. Sur le plan civil - Mesures d’urgence / Action au fond
49
Action en cessation
Sur base de la
violation d’un secret
d’affaires
Référé
Mesures
provisoires
Contre tiers :
Hébergeur,
Moteur de recherche
(déréférencement)…
Possibilité de
réparation
50. www.earlegal.beGroupe Larcier / Lexing
Violation de données = violation du secrets d’affaires ?
Conditions cumulatives :
Informations secrètes,
valeur commerciale parce qu'elles sont
secrètes,
dispositions raisonnables destinées à les
garder secrètes (ex : clauses contrat)
Exemples de secret d’affaires contenant
des données à caractère personnel
• profils des consommateurs
• informations relatives aux clients et aux fournisseurs
• Études cliniques
51. www.earlegal.beGroupe Larcier / Lexing
Au civil et au pénal : possibilité de réparation
51
Infraction
pénale
Faute civile
Dommage
Lien causal
Lien causal
Prouver
responsa
bilité
Prouver
$$$
52. www.earlegal.beGroupe Larcier / Lexing
Résumé des actions : pénal - civil
52
Au pénal Au civil
Action contre une
personne identifiée
Action contre X
Action contre une
personne identifiée
Action contre X