O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Cybersécurité et rgpd

Cyber extend our reach to instant services worlwide but also put us physically at risk from malevolent individuals and organizations. Cyber today, physical tomorrow, the risk was never so big that intelligence gathered throughout networks be used against us, as a society, as individals.
The featured presentation attempts to present the vulnerabilities, the threats and elements of coutermeasures.
It positions data protection regulation in this later category and examines how RGPD can help protecting us in the phygital world.

  • Seja o primeiro a comentar

Cybersécurité et rgpd

  1. 1. http://www.personalinteractor.eu Sécurité des données, sécurité des systèmes Les règles de base de l’hygiène informatique Dominique VERDEJO Personal Interactor 1
  2. 2. http://www.personalinteractor.eu L’OBJECTIF : TOUJOURS PRÉCÉDER LA PROGRESSION DE LA MENACE “No battle was ever won according to plan, but no battle was ever won without one.” –Dwight D. Eisenhower (1890-1969) ● Président des Etats Unis (1953 - 1961) ● Chef d’Etat Major des Armées (1945 - 1948) ● Planificateur de l’opération OVERLORD 6/6/44 ● Chef de l’OTAN en 1950 ● Compagnon de la libération ■ Plus le 6 juin 2044* à Colleville sur mer 2
  3. 3. http://www.personalinteractor.eu Sommaire La sécurité, un état d’esprit La menace La réponse Le RGPD et le CLOUD ACT Références bibliographiques Biographie Page 3
  4. 4. http://www.personalinteractor.eu La sécurité: un état d’esprit Page 4 Disponibiité pour les autresIntégrité pour soi Confidentialité pour tous
  5. 5. http://www.personalinteractor.eu Sécurité Globale • Définition de l’INHESJ en 2003 : – Capacité d’assurer à une collectivité donnée et à ses membres un niveau suffisant de prévention et de protection contre les risques et les menaces de toutes natures et de tous impacts, d’où qu’ils viennent, dans des conditions qui favorisent le développement sans rupture de la vie et des activités collectives et individuelles • Cette définition recouvre de fait : – sécurité économique, – sécurité sanitaire, – sécurité informatique et numérique (données, réseaux…), – sécurité du territoire, aérienne et maritime, – sécurité civile… Page 5
  6. 6. http://www.personalinteractor.eu LA MENACE Au fur et à mesure que l’Internet s’immisce dans notre quotidien, les impacts sur le monde physique “traditionnel” apparaissent plus clairement, atteintes à la réputation, extorsions de fond, altération de l’intégrité des personnes et des biens. Cybernétique, du grec ancien κυβερνητικός, kybernêtikós (« relatif au pilotage, au gouvernement ») Page 6
  7. 7. http://www.personalinteractor.eu Etat des menaces en France • Le Livre blanc sur la défense et la sécurité nationale a défini en 2013 les nouvelles vulnérabilités qui pèsent sur le territoire national et sur la population. • La France et par extension l’Europe doivent ainsi se préparer à faire face : – au terrorisme – aux attaques majeures contre les systèmes d’information – à l’espionnage et aux stratégies d’influence – aux grands trafics criminels – aux nouveaux risques sanitaires et naturels – à des risques technologiques accrus – à la menace de missiles balistiques Page 7
  8. 8. http://www.personalinteractor.eu Le terrorisme Le terrorisme est la guerre qui s’invite dans les frontières des pays en paix sous deux formes essentielles : • Les menaces physiques – Trans-nationales, mobiles, organisées • Les menaces logiques, la cybercriminalité – Atteinte aux systèmes d’information (Ministère des Finances, MINAR, Estonie 2007) – Atteinte aux systèmes d’exploitation (Centrales Iraniennes, StuXnet) – Atteinte aux systèmes de sécurité physique informatisés, contrôle d’accès, vidéo,etc.(Dahua 2017) – Utilisation des objets connectés (Mirai 2016) Page 8
  9. 9. http://www.personalinteractor.eu Nous sommes en Cyberguerre Les attaques sur les systèmes d’information relèvent de la préparation du conflit Le directeur de l'Anssi, le gendarme français de la sécurité informatique, Guillaume Poupard, redoute une "succession d'attaques massives surprises", estimant que tous les éléments techniques sont réunis pour un "cyber-Pearl Harbor" La France se dote de capacités offensives dans le domaine Cyber « Fin 2017, des connexions anormales sur le serveur de la messagerie internet du ministrère des Armées ont été constatées. Ces connexions ont révélé qu’un attaquant cherchait à accéder directement au contenu de boites mails de 19 cadres du ministrère parmi elles, celles de quelques personnalités sensibles. Sans notre vigilance, c’est toute notre chaî ne d’alimentation en carburant de la Marine nationale qui aurait été exposée. Cette tentative d’attaque a duré jusqu’en avril 2018.” Page 9
  10. 10. http://www.personalinteractor.eu Les croyances • L’univers “Cyber” est dématérialisé – En tant que moyen de contrôle à distance, l’Internet permet d’actionner des objets physiques ou de les rendre inopérants. • Une attaque est toujours isolée et ponctuelle – En tant que moyen de renseignement, l’Internet permet de s’informer sur les personnes, les biens, les organisations. Les attaques les plus dangeureuses passent inaperçues et sont persistantes (Advanced Persistant Threats, APT) • Les attaques cyber sont très techniques – En tant que moyen de communication, l’Internet est devenu le principal media d’influence pour véhiculer vrais et fausses nouvelles et attaquer la réputation des personnes et des institutions • La protection des données ne concerne que les données informatiques – Le support des fichiers est multiple: papier, informatique, microfilms, photos, vidéo Page 10
  11. 11. http://www.personalinteractor.eu Menaces sur les particuliers • Cibles – PC – Smartphone – Objets de proximité (Personal Area Network, PAN) – Les objets connectés (IoT) • Source de menaces – pirates, malveillance commune • Menaces – vol de données personnelles et/ou sensibles – Usurpation de moyens de paiement – chantage et extorsion de fonds (email) – destruction de données – usurpation d’identité – attaque en réputation – dommages physiques (pace maker) et utilisation abusive Page 11
  12. 12. http://www.personalinteractor.eu Menaces sur l‘Entreprise • Détournement de fonds (Président) • Extorsion de fonds (Wannacry, Petya) – 220 millions d’€ de pertes de CA pour St Gobain • Vols de brevets • Atteinte aux moyens de production • Destruction des données (Not Petya) • Vols des données clients et fournisseurs – Brèches sur très grands collecteurs de données • Amendes de non conformité* • Atteinte aux systèmes d’information (DDoS) • Exploitation abusive des serveurs (Minage) 50% des entreprises françaises touchées en 2017! Page 12
  13. 13. http://www.personalinteractor.eu Impacts financiers des cyberattaques sur les entreprises Page 13 Source : Download the Allianz Risk Barometer 2019 report
  14. 14. http://www.personalinteractor.eu Menaces sur les Opérateurs d’Infrastructure Vitale (OIV) • Les cibles – Administrations, Armées, Justice, Recherche & Espace – Santé, gestion de l’eau et de l’alimentation – Energie, communications, transports, finance, industrie • Les menaces – Atteinte au potentiel de guerre économique, de sécurité ou de survie de la nation – Atteinte à la santé ou à la survie de la population Page 14
  15. 15. http://www.personalinteractor.eu LA REPONSE Anticiper, réagir Page 15 Protection des systèmes Protection des données Protection des données à caractère personnel
  16. 16. http://www.personalinteractor.eu Protection des systèmes
  17. 17. http://www.personalinteractor.eu L’Agence Européenne pour la sécurité des réseaux et de l’information (ENISA,2004-) Promouvoir la culture NIS (Network & Information Security) en Europe Page 17 https://etl.enisa.europa.eu/# /
  18. 18. http://www.personalinteractor.eu L’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI, 2009-) – Défense du secret national, des infrastructures d’importance vitale, du potentiel scientifique et technique de la nation (LPM) – Opérateurs de Services Essentiels et Fournisseurs de Services Numériques (Directive NIS) Page 18 source images : wavestone
  19. 19. http://www.personalinteractor.eu Sensibilisation par la formation L’ANSSI propose aussi des quiz de formation aux concepts de la sécurité des sytèmes d’information Page 19 https://secnumacademie.gouv.fr/
  20. 20. http://www.personalinteractor.eu La loi de programmation militaire 2019-2025 • Moyens accrus pour le renseignement et la lutte dans le Cyberespace – 1,6 milliard d’euros consacrés à la lutte dans le cyberespace – 1 000 cyber combattants supplémentaires d’ici 2025 (4000 en tout) – renforce les capacités des armées en matière de prévention, de détection et d’attribution des cyberattaques – instaure un système de détection recourant à des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information Page 20
  21. 21. http://www.personalinteractor.eu Le centre des opérations cyber • La tour de contrôle Cyber est le CSIRT (Computer Security Incident Response Team) – Prévenir les attaques (surveillance réseau) et communication – Centraliser les demandes d’assistance et les analyses – Réagir, corréler, traiter – Coordonner les échanges avec les autres CSIRT • Le CSIRT de l’ANSSI est le CERTA • Le réseau EU des CSIRT est géré par l’ENISA Page 21 https://www.cert.ssi.gouv.fr
  22. 22. http://www.personalinteractor.eu Protection des particuliers, entreprises et collectivités • Cybermalveillance : pour ceux qui n'ont pas accès à l’ ANSSI • Création le 30 mai 2017 Page 22
  23. 23. http://www.personalinteractor.eu Cybermalveillance.gouv.fr Page 23 https://stopransomware.fr/ https://internet-signalement.gouv.fr
  24. 24. http://www.personalinteractor.eu Réponses individuelles: en résumé • Maintenir ses logiciels et OS à jour • Etre attentifs aux liens que l’on suit avant de cliquer dans le corps d’un email • Soigner le choix et la protection de ses identifiants et mots de passe • Utiliser l’authentification à deux facteurs • Vérifier régulièrement si l’on n’est pas victime d’une brèche (https://haveibeenpawned.com) Page 24
  25. 25. http://www.personalinteractor.eu Protection des données personnelles « L’anonymat au sein de l’espace public dans l’avenir tendra à disparaitre si l’individu est confronté à la fois à la biométrie banalisée, fonctionnant à la volée, à la vidéosurveillance et à la géolocalisation. » Pierre Piazza, Maître de conférences en sciences politiques à l’université de Cergy-Pontoise, Cahiers Innovation et Prospective N°1, Vie privée à l’horizon 2020, CNIL
  26. 26. http://www.personalinteractor.eu Le RGPD • Paru au journal officiel de l’UE le 27 avril 2016 • Entré en action le 25 mai 2018, à l’échelle EU • Prolonge la loi Informatique et Liberté de 1978 sans la remplacer • Il inverse la logique de “déclaration des fichiers” en obligation de protection des fichiers et de mise en conformité • Responsabilise le propriétaire des données et ses sous-traitants (fini la directive 95/46/CE) Donne de nouveaux droits aux personnes • Consacre l’entrée dans l’age de la “République numérique” Page 26
  27. 27. http://www.personalinteractor.eu Les deux piliers du RGPD Page 27 Principes sur les traitements Licéité, Loyauté, transparence, finalité, proportionnalité des données, conservation Sécurité des données Responsabilité Droits des personnes Information/Communication Accès Rectification/Effacement Opposition Limitation du traitement Portabilité Principes de confidentialité Privacy by design Privacy by default Privacy Impact Assessment MESURES DE SECURITE Protection des données à caractère personnel contre Accès illégitime, Modification non désirée, Perte temporaire ou définitive JURIDIQUE TECHNIQUE
  28. 28. http://www.personalinteractor.eu Le RGPD Page 28
  29. 29. http://www.personalinteractor.eu Le RGPD en pratique • Constituez le registre de vos traitements de données – cartographie des traitements de toutes natures • Cartographiez et triez vos données – cartographie des données personnelles de toutes natures • Respectez les droits des personnes (nouveaux et anciens) – Information, accès, rectification/effacement, – opposition,Limitation, portabilité • Sécurisez vos données Page 29
  30. 30. http://www.personalinteractor.eu Le RGPD pour les collectivités locales • Plus de dématérialisation, plus de données à caractère personnel – gestion interne des services – fichiers de personnels – fichiers d’administrés (aides, élections, associations, téléservices) • Des données parfois sensibles – caractère ethnique, religieux,philosophique, syndical, social “nul administré ne pourrait concevoir que la puissance publique protège moins ses droits que telle ou telle entreprise privée” Page 30
  31. 31. http://www.personalinteractor.eu Le RGPD et les documents papier • Les données à caractère personnel sur papier doivent être traitées comme les DCP numériques – cartographiées soigneusement – conservées pendant un temps limité – obtenues avec un consentement démontrable – proportionnées au traitement – protégées (sécurité physique) – tracées (quand et comment les DCP onté été recueillies) – accessibles (délai d’un mois pour les produire) – détruites si elles sont obsolètes • Elles font l’objet des mêmes obligations de déclaration à la CNIL en cas de vol ou de perte – 72H Page 31
  32. 32. http://www.personalinteractor.eu CLOUD Act US vs RGPD, un échange de politesses • Clarifying Lawful Overseas Use of Data (Clarifier l’utilisation légale des données à l’étranger) • Voté par le congrés US 2 mois avant l’entrée en vigueur du RGPD • Fait suite au PATRIOT ACT de GW Bush, post 2001 • Accès aux données personnelles de tout citoyen quelquesoit sa nationalité, du moment qu’elles sont stockées sur un serveur appartenant à une société US – En particulier, les GAFAM Conseil : trouvez un hébergeur EU pour vos DCP Page 32
  33. 33. http://www.personalinteractor.eu Conclusion • Le bon sens prévaut en matière de sécurité • Deux précautions valent mieux qu’une pour protéger vos données (authentification à deux facteurs, vérifier avant de payer) • L’humain est le maillon faible et doit être sensibilisé • La sécurité est globale où elle n’est pas • Les objets connectés sont des sources de menaces • Les entreprises et collectivités doivent se responsabiliser et se protéger – cyber aujourd’hui, physique demain – Sur Internet tout se corrèle Page 33
  34. 34. http://www.personalinteractor.eu Références • Livres – La Cyberguerre (Vuibert) – RGPD, le comprendre et le mettre en oeuvre (Datapro) • Standards – ISO 27001 – ISO 31000 • Lois – Informatique et libertés de 78 – Règlement Général pour la Protection des Données – Loi de Programmation Militaire (LPM) – Directive Européenne NIS – Loi pour la Confiance dans l’Economie Numérique Page 34
  35. 35. http://www.personalinteractor.eu Bibliographie • ANSSI, 42 règles d’hygiène informatique • AFNOR, Guide de protection des données personnelles • Guide pratique RGPD PME CNIL & BPI • http://www.anssi.gouv.fr • http://www.cybermalveillance.gouv.fr • http://enisa.europa.eu • La loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la directive NIS dans la législation nationale • La loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 • La lois de programmation militaire 2014-2019 • Kit de sensibilisation Cybermalveillance • https://stopransomware.fr • https://internet-signalement.gouv.fr Page 35
  36. 36. http://www.personalinteractor.eu Biographie • Titulaire d’un DEA en Intelligence Artificielle de l’Université d’Orsay, début de carrière dans le développement logiciel au sein de la division simulateurs de THALES en 1985. • Depuis 2000 spécialisé dans l’architecture et l’intégration de systèmes de sécurité et de vidéosurveillance. • Architecte du premier système de vidéosurveillance urbaine sur IP/sDSL à Epinay sur Seine en 2004. • Auditeur de la 21ème Session Nationale de l’INHESJ (2010) • membre du Syndicat du Conseil en Sûreté • Membre du réseau Cybermalveillance • Etude, audit, homologations sur tous les projets de systèmes d’information pour la sécurité globale • Contact: – +33 6 08 57 92 20 – dominique.verdejo@personalinteractor.eu Page 36

    Seja o primeiro a comentar

    Entre para ver os comentários

  • eunikaml

    Feb. 18, 2019
  • JabAdams

    Jan. 24, 2020

Cyber extend our reach to instant services worlwide but also put us physically at risk from malevolent individuals and organizations. Cyber today, physical tomorrow, the risk was never so big that intelligence gathered throughout networks be used against us, as a society, as individals. The featured presentation attempts to present the vulnerabilities, the threats and elements of coutermeasures. It positions data protection regulation in this later category and examines how RGPD can help protecting us in the phygital world.

Vistos

Vistos totais

326

No Slideshare

0

De incorporações

0

Número de incorporações

1

Ações

Baixados

7

Compartilhados

0

Comentários

0

Curtir

2

×