Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
TRANSFORMATION NUMERIQUE : ENJEUX DE SECURITE ET DE DEFENSE Général d’armée (2S) Marc Watin-Augouard Directeur du Centre de recherche de l’EOGN
2
Savoir et cyber… © MWA - 2014 « Tout ce que je sais, c’est que je ne sais rien, tandis que les autres croient savoir ce qu’ils ne savent pas » « Il peut se faire que je me trompe et ce n’est peut être qu’un peu de cuivre et de verre que je prends pour de l’or et des diamants…Ainsi mon dessein n’est pas d’enseigner ici la méthode que chacun doit suivre pour bien conduire sa raison mais seulement faire voir en quelle sorte j’ai tâché de conduire la mienne. » Socrate, à Athènes lors de son procès en 399 av J.C Descartes, Discours de la méthode, 1637 à La Haye
3
Les sources du cyberespace © MWA - 2014 Les visionnaires Les sécuritaires LeslibertairesLeslibertaires
4
Les visionnaires © MWA - 2014 Vannevar Bush : Hypertext Douglas Engelbart : Augmentation Robert Wiener : Cybernétique John Von Neumann : l’ordinateur moderne
5
Les sécuritaires © MWA - 2014 CentraliséDécentraliséDistributif Typologies des réseaux : naissance de la toile Paul Baran 1926 - 2011 Paul Baran 1926 - 2011
6
Les libertaires © MWA - 2014 Contre-culture américaine NéocommunalisteNéocommunaliste
7
The Cyclades computer network Louis Pouzin © MWA - 2014
8
Machines connectées © MWA - 2014 4 1969 100 1976 1 000 1984 10 000 1989 1 000 000 1992 10 millions 1996 1 milliard 2001 10 milliards 2016 30, 50, 80, 212 milliards 2020 © MWA - 2014
9
Contraction du temps © MWA - 2014 1 700 générations pour maîtriser le langage 300 générations pour maîtriser l’écriture 30 générations pour maitriser l’imprimerie 2 générations pour passer de l’analogique au numérique 1 génération pour la transformation numérique
10
C’était hier… © MWA - 2014 1997 2001 2002 2005 2006
11
L’infiniment grand Des origines de l’humanité jusqu’à 2003 = 2 jours d’Internet Les pages web = 200 000 l’Empire State Building © MWA - 2014 Production de données : 8x10 21 en 2015 10 24 en 2030 Capacité des machines x 1 000 Capacité des algorithmes x 43 000 En 15 ans, vitesse globale de calcul x 43 millions Adresses IPv6 = 700 milliards de milliards/mm²
12
L’infiniment petit Taille des transistors : 1970 = 12 micromètres 2013 = 12 nanomètres © MWA - 2014 Ordinateur biologique : ordinateur dans la cellule vivante (ADN) Ordinateur quantique
13
Les leviers de la transformation numérique © MWA - 2014 L’informatique dans les nuages (le cloud computing) Les méga-données (le Big Data) Les objets connectés La réalité augmentée La robolution L’impression « 3 D » NBIC ( Nano-Biotechnologies, Informatique, sciences Cognitives ) La technologie Blockchain
14
Géographie du cyberespace © MWA - 2014 La carte des serveurs racine http://www.cablemap.info/
15
Géographie du cyberespace © MWA - 2014 La carte des câbles marins http://www.cablemap.info/
16
Géographie du cyberespace © MWA - 2014 La carte des câbles marins en Afrique Source CEIS – l’essor numérique en Afrique de l’Ouest - novembre 2015
17
Géographie du cyberespace © MWA - 2014 Capillarité des réseaux Internet au Sénégal Source CEIS – l’essor numérique en Afrique de l’Ouest - novembre 2015
18
Géographie du cyberespace © MWA - 2014 La carte de l’écoulement transatlantique des données La carte de l’écoulement transatlantique des données
19
Géographie du cyberespace © MWA - 2014 La carte des flux des données européennes
20
Géographie du cyberespace © MWA - 2014 La géographie des connexions La géographie des connexions
21
Géographie du cyberespace La géographie des Data Centers La géographie des Data Centers © MWA - 2014
22
Géographie du cyberespace La géographie des Réseaux sociaux La géographie des Réseaux sociaux © MWA - 2014
23
Géographie du cyberespace © MWA - 2014 Territoires, gisements de terres rares Territoires, terreau de l’innovation Territoires exclus Territoires « poubelles »
24
Géopolitique du cyberespace © MWA - 2014 Souveraineté des données ? Souveraineté de la cybersécurité ? Souveraineté du droit ?
25
Gouvernance et Internet © MWA - 2014 Gouvernance de l’Internet Gouvernance sur Internet Echec de la conférence de Dubaï 6th World Conference on International Telecommunications (3 – 12 décembre 2012) Echec de la conférence de Dubaï 6th World Conference on International Telecommunications (3 – 12 décembre 2012)
26
Gouvernance de l’Internet © MWA - 2014 ICANN Internet Corporation for Assigned Names and Numbers – ICANN Association du droit californien IANA Fonction Internet Assignement Numbers Authority – IANA Tutelle du Doc Emancipation en 2016 ?
27
Gouvernance de l’Internet © MWA - 2014 ISOC Internet Society – ISOC Créé par Vinton Cerf et Bob Kahn en 1992 Approche communautaire des normes, protocoles, et infrastructures techniques IAB Tutelle de l’Internet Architecture Board – IAB Internet Research Task Force – IRTF Internet Engineering Task Force – IETF
28
Gouvernance de l’Internet © MWA - 2014 W3C World Wide Web Consortium W3C Créé par Tim Berners Lee en 1994 Organisme de standardisation Un seul Web partout et pour tous
29
Remise en cause de la domination américaine © MWA - 2014 Résolution 56/183 du 21 décembre 2001 – AG ONU – Sommet Mondial de la Société de l’Information SMSI - Genève - décembre 2003 - Tunis - novembre 2005 - New York - décembre 2015 : SMSI + 10 Forum annuel sur la Gouvernance de l’Internet – IGF - Brésil - décembre 2015
30
Remise en cause de la domination américaine © MWA - 2014 Affaire Snowden Déclaration de Montévidéo (octobre 2013) Forum Net Mondial à Sao Polo (avril 2014) Gouvernance Multistakeholders
31
Balkanisation du Cyberespace © MWA - 2014 la Liberté Balkanisation politique / la Liberté la Neutralité Balkanisation économique/ la Neutralité
32
Le retour de l’Etat face aux prédateurs du cyber espace Le retour de l’Etat face aux prédateurs du cyber espace © MWA - 2014 La lutte contre la cybercriminalité Une stratégie de cybersécurité : La cyberdéfense
33
L’adaptation du droit aux actions des prédateurs © MWA - 2014 Nouvelle technologie Nouvel usage Nouveau mésusage Nouvelle législation Nouvelle infraction
34
La cybercriminalité : de quoi parle-t-on ? Cyber-infractionsCyber-infractions Infractions facilitées par le cyber -Traitement illégal de données à caractère personnel. -Atteinte aux Systèmes de Traitement automatisés de données. cible Le cyberespace est la cible des cyberdélinquants. -Infractions de contenu. -Escroqueries, chantage, abus de confiance. Le cyberespace est le vecteur, l’amplificateur de la délinquance. © MWA - 2014
35
La cybercriminalité : de quoi parle-t-on ? Les infractions selon deux critères : -le moyen -la cible Les infractions selon deux critères : -le moyen -la cible © Myriam Quemener
36
La cybercriminalité, criminalité du XXIème Siècle © MWA - 2014
37
Les cibles de la cybercriminalité © MWA - 2014 individu Identité Intimité Intégrité physique et psychique Patrimoine financier entreprises Compétitivité Patrimoine immatériel Image Patrimoine financier état Souveraineté
38
Cybermenaces sur les entreprises © MWA - 2014 Déni de service. Escroqueries, fraudes etc. Sabotage (SCADAS). Attaque en rebonds. Atteinte à l’e-réputation (réseaux sociaux). Vol, modification de données (propriété intellectuelle, avantage compétitif). © MWA - 2014
39
- loi relative à l’informatique, aux fichiers et aux libertés (1978) - loi Godfrain (1988) - loi relative à la sécurité quotidienne (2001) - LOPSI (2002), - loi pour la sécurité intérieure (2003) - loi Perben II (2004) - loi pour la confiance dans l’identité numérique (2004) - loi relative à la prévention de la délinquance (2007) - LOPPSI (2011) - loi relative à la protection de l’identité (2012) - la loi sur l’égalité réelle entre la femme et l’homme (2014) - loi renforçant la lutte contre le terrorisme (13 novembre 2014) - loi sur le renseignement (24 juillet 2015) - loi relative à l’informatique, aux fichiers et aux libertés (1978) - loi Godfrain (1988) - loi relative à la sécurité quotidienne (2001) - LOPSI (2002), - loi pour la sécurité intérieure (2003) - loi Perben II (2004) - loi pour la confiance dans l’identité numérique (2004) - loi relative à la prévention de la délinquance (2007) - LOPPSI (2011) - loi relative à la protection de l’identité (2012) - la loi sur l’égalité réelle entre la femme et l’homme (2014) - loi renforçant la lutte contre le terrorisme (13 novembre 2014) - loi sur le renseignement (24 juillet 2015) Un corpus « Mille feuilles » © MWA - 2014
40
- Viol (article 222-24 8°), agression sexuelle (article 222-28 6°), traite des êtres humains (article 225-4-2 3°), prostitution de mineurs ou de personnes particulièrement vulnérables (article 225-12-2 2°), corruption de mineur (article 227-22), atteinte sexuelle sur mineur de quinze ans (article 227-26 4°) - Viol (article 222-24 8°), agression sexuelle (article 222-28 6°), traite des êtres humains (article 225-4-2 3°), prostitution de mineurs ou de personnes particulièrement vulnérables (article 225-12-2 2°), corruption de mineur (article 227-22), atteinte sexuelle sur mineur de quinze ans (article 227-26 4°), « lorsque la victime a été mise en contact avec l’auteur des faits grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communication électronique ». - Harcèlement moral (article 222-33-2-2 créé par loi n°2014-873 du 4 aout 2014 art. 41) - Harcèlement moral (article 222-33-2-2 créé par loi n°2014-873 du 4 aout 2014 art. 41) « lorsque les faits ont été commis par l’utilisation d’un service de communication public en ligne » - Proxénétisme (article 225-7 10°) - Proxénétisme (article 225-7 10°) « grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communication électronique. » Pédopornographie (article 227-23) - Pédopornographie (article 227-23), « lorsqu’il a été utilisé pour la diffusion de l’image ou de la représentation du mineur à destination d’un public non déterminé, un réseau de communication électronique ». Diffusion de procédés destinés à la fabrication d’engins explosifs - Diffusion de procédés destinés à la fabrication d’engins explosifs (article 322-6-1 2 ème alinéa) ; Provocation ou apologie du terrorisme - Provocation ou apologie du terrorisme (article 421-2-5 alinéa 2 créé par l’article 4 de la loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme). Contrefaçon - Contrefaçon (articles L.521-10, L.615-14, L.623-32, L.716-9, L.716-10 du code de la propriété intellectuelle) sur un réseau de communication au public en ligne. Vente de médicaments falsifiés (article L. 5421-13 4° du code de la santé publique) - Vente de médicaments falsifiés (article L. 5421-13 4° du code de la santé publique) « lorsque les délits de publicité, offre ou vente de médicaments falsifiés ont été commis sur un réseau de télécommunication à destination d’un public non déterminé ». - Viol (article 222-24 8°), agression sexuelle (article 222-28 6°), traite des êtres humains (article 225-4-2 3°), prostitution de mineurs ou de personnes particulièrement vulnérables (article 225-12-2 2°), corruption de mineur (article 227-22), atteinte sexuelle sur mineur de quinze ans (article 227-26 4°) - Viol (article 222-24 8°), agression sexuelle (article 222-28 6°), traite des êtres humains (article 225-4-2 3°), prostitution de mineurs ou de personnes particulièrement vulnérables (article 225-12-2 2°), corruption de mineur (article 227-22), atteinte sexuelle sur mineur de quinze ans (article 227-26 4°), « lorsque la victime a été mise en contact avec l’auteur des faits grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communication électronique ». - Harcèlement moral (article 222-33-2-2 créé par loi n°2014-873 du 4 aout 2014 art. 41) - Harcèlement moral (article 222-33-2-2 créé par loi n°2014-873 du 4 aout 2014 art. 41) « lorsque les faits ont été commis par l’utilisation d’un service de communication public en ligne » - Proxénétisme (article 225-7 10°) - Proxénétisme (article 225-7 10°) « grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communication électronique. » Pédopornographie (article 227-23) - Pédopornographie (article 227-23), « lorsqu’il a été utilisé pour la diffusion de l’image ou de la représentation du mineur à destination d’un public non déterminé, un réseau de communication électronique ». Diffusion de procédés destinés à la fabrication d’engins explosifs - Diffusion de procédés destinés à la fabrication d’engins explosifs (article 322-6-1 2 ème alinéa) ; Provocation ou apologie du terrorisme - Provocation ou apologie du terrorisme (article 421-2-5 alinéa 2 créé par l’article 4 de la loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme). Contrefaçon - Contrefaçon (articles L.521-10, L.615-14, L.623-32, L.716-9, L.716-10 du code de la propriété intellectuelle) sur un réseau de communication au public en ligne. Vente de médicaments falsifiés (article L. 5421-13 4° du code de la santé publique) - Vente de médicaments falsifiés (article L. 5421-13 4° du code de la santé publique) « lorsque les délits de publicité, offre ou vente de médicaments falsifiés ont été commis sur un réseau de télécommunication à destination d’un public non déterminé ». Circonstances aggravantes
41
Article 226-16 Code pénal Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet d’une des mesures prévues au 2° du I de l’article 45 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Article 226-17-1 Code pénal créé par l’ordonnance n°2011-1012 du 24 aout 2011 Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance des dispositions du II de l’article 34bis de la loi n°78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Article 226-18 Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende. Article 226-16 Code pénal Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet d’une des mesures prévues au 2° du I de l’article 45 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Article 226-17-1 Code pénal créé par l’ordonnance n°2011-1012 du 24 aout 2011 Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance des dispositions du II de l’article 34bis de la loi n°78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Article 226-18 Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende. Loi Informatique et libertés
42
- L’accès ou le maintien frauduleux dans un STAD (323-1CP). - L’entrave au fonctionnement d’un STAD (323-2 CP). - La protection pénale des données (323-3 CP). - La protection particulière des systèmes de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat. - La lutte contre la prolifération (323-3-1 CP). - La pluralité des acteurs (323-4 CP). - La loi Godfrain et le cyberterrorisme (422-1 CP). - Loi Godfrain et irresponsabilité pénale des acteurs de la cyberdéfense ou du rens. (L.2321-2 du code de la défense, 323-8 CP). - L’affaire « Bluetouff », illustration jurisprudentielle de la loi Godfrain. - L’accès ou le maintien frauduleux dans un STAD (323-1CP). - L’entrave au fonctionnement d’un STAD (323-2 CP). - La protection pénale des données (323-3 CP). - La protection particulière des systèmes de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat. - La lutte contre la prolifération (323-3-1 CP). - La pluralité des acteurs (323-4 CP). - La loi Godfrain et le cyberterrorisme (422-1 CP). - Loi Godfrain et irresponsabilité pénale des acteurs de la cyberdéfense ou du rens. (L.2321-2 du code de la défense, 323-8 CP). - L’affaire « Bluetouff », illustration jurisprudentielle de la loi Godfrain. Loi Godfrain © MWA - 2014
43
Infractions de contenus - Délits réprimés par la loi du 29 juillet 1881 et « commis par tout moyen de communication au public par voie électronique ». - Atteinte à la réputation. - Contenus à caractère terroriste. - Atteinte à la dignité ou à la personnalité. - Contenus à caractère pédophile. © MWA - 2014
44
Paragraphe 8 du I de l’article 6 de la loi pour la confiance dans l’économie numérique : L’autorité judiciaire peut prescrire en référé ou sur requête, aux hébergeurs ou, à défaut, aux fournisseurs d’accès, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne. Article 6-1 de la loi pour la confiance dans l’économie numérique (créé par l’article 12 de la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme) : Lorsque les nécessités de la lutte contre la provocation à des actes terroristes ou l’apologie de tels actes relevant de l’article 421-2-5 du code pénal ou contre la diffusion des images ou des représentations de mineurs relevant de l‘article 227-23 du même code le justifient, l’autorité administrative peut demander à toute personne mentionnée au III de l’article 6 de la présente loi article ou aux personnes mentionnées au 2 du I de l’article 6 de retirer les contenus qui contreviennent à ces mêmes articles 421-2-5 et 227-23. Elle en informe simultanément les personnes mentionnées au 1 du I de l’article 6. Paragraphe 8 du I de l’article 6 de la loi pour la confiance dans l’économie numérique : L’autorité judiciaire peut prescrire en référé ou sur requête, aux hébergeurs ou, à défaut, aux fournisseurs d’accès, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne. Article 6-1 de la loi pour la confiance dans l’économie numérique (créé par l’article 12 de la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme) : Lorsque les nécessités de la lutte contre la provocation à des actes terroristes ou l’apologie de tels actes relevant de l’article 421-2-5 du code pénal ou contre la diffusion des images ou des représentations de mineurs relevant de l‘article 227-23 du même code le justifient, l’autorité administrative peut demander à toute personne mentionnée au III de l’article 6 de la présente loi article ou aux personnes mentionnées au 2 du I de l’article 6 de retirer les contenus qui contreviennent à ces mêmes articles 421-2-5 et 227-23. Elle en informe simultanément les personnes mentionnées au 1 du I de l’article 6. Mesures de retrait, de blocage ou de déréférencement des contenus © MWA - 2014
45
Infractions facilitées par internet Les escroqueries. Les trafics de produits contrefaits. Le chantage, l’extorsion. © MWA - 2014
46
La lutte contre la cybercriminalité Les acteurs publics La gendarmerie nationale. Le préfet Cyber. La police nationale. La cyber-douane. La Direction générale de la concurrence, de la consommation et de la répression des fraudes – DGCCRF. © MWA - 2014
47
La lutte contre la cybercriminalité Les acteurs publics Élaboration d’une stratégie ministérielle contre les Cybermenaces. Le préfet Cyber Coordination de l’ensemble des composantes chargées de la cybersécurité au ministère de l’Intérieur. Mise en œuvre d’un plan ministériel. Constitution d’un point d’entrée et de contact pour les acteurs extérieurs au ministère. Création de réponses dans le domaine de la cybersécurité en lien avec l’Anssi, le Mindef et le MAE. © MWA - 2014
48
La lutte contre la cybercriminalité Les acteurs publics Le dispositif national La gendarmerie nationale Le réseau déconcentré IRCGN et C3N Le dispositif interministériel NTech, C-NTech et premiers intervenants Participation à l’OCLCTIC © MWA - 2014
49
La lutte contre la cybercriminalité Les acteurs publics L’OCLCTIC – sous direction de la lutte contre la cybercriminalité La police nationale BEFTI – préfecture de police Le réseau des investigateurs en cybercriminalité © MWA - 2014
50
La lutte contre la cybercriminalité Les acteurs publics Service national des douanes judiciaires Cyberdouane Service national des enquêtes Centre de surveillance du commerce électronique DGCCRF © MWA - 2014
51
La lutte contre la cybercriminalité Les acteurs Internationaux EC3 - Euro Cyber Crime Center Interpol Eurojust © MWA - 2014
52
La lutte contre la cybercriminalité Les acteurs internationaux Interpol : Interpol global complex for innovation – IGCI – Singapour 3 Axes - Sécurité numérique. - Renforcement des capacités de formation. - Appui opérationnel et soutien aux enquêtes. 3 Axes - Sécurité numérique. - Renforcement des capacités de formation. - Appui opérationnel et soutien aux enquêtes. 5 domaines - Renforcement de la cybersécurité et lutte contre la cybercriminalité. - Développement de la PTS en lien avec le numérique. - Recherche sur les cyberattaques. - Partenariat public/privé. - Gouvernance de la sécurité d’Internet. 5 domaines - Renforcement de la cybersécurité et lutte contre la cybercriminalité. - Développement de la PTS en lien avec le numérique. - Recherche sur les cyberattaques. - Partenariat public/privé. - Gouvernance de la sécurité d’Internet. © MWA - 2014
53
La lutte contre la cybercriminalité Les acteurs Internationaux EC3 - Euro Cyber Crime Center 3 Priorités - Fraude en ligne par des organisations criminelles. - Exploitation sexuelle des mineurs sur Internet. - Attaques contre els infrastructures critiques et les SI de l’UE. 3 Priorités - Fraude en ligne par des organisations criminelles. - Exploitation sexuelle des mineurs sur Internet. - Attaques contre els infrastructures critiques et les SI de l’UE. 3 Focal Points - Cyborg : enquête sur la cybercriminalité. - Twins : abus de l’enfance en ligne. - Terminal : fraude à la carte bancaire. 3 Focal Points - Cyborg : enquête sur la cybercriminalité. - Twins : abus de l’enfance en ligne. - Terminal : fraude à la carte bancaire. © MWA - 2014
54
La lutte contre la cybercriminalité Les acteurs Internationaux Eurojust Coopération transfrontalière contre la cybercriminalité Animation du réseau des équipes communes d’enquête © MWA - 2014
55
Investigation dans le cyberespace Police judiciaire : les techniques spéciales d’enquête Interception de correspondances émises par voie de télécommunication. Réquisitions judiciaires de données informatiques. Perquisitions et saisies. Enquête sous pseudonyme. Sonorisation et captation de données informatiques. Géolocalisation en temps réel. © MWA - 2014
56
Actions dans le cyberespace Police administrative Blocage et retrait des sites illicites. Techniques de renseignement. Perquisitions informatiques (état d’urgence). © MWA - 2014
57
De la cybercriminalité à la cyberconflictualité 2007 : Estonie 2008 : Géorgie 2006 – 2010 : Stuxnet 2013 : Target 2012 : Aramco 2014 : Aciérie RFA - Sony etc. etc. etc. etc. etc. etc. etc. etc. etc. etc. etc. © MWA - 2014 2015 : TV5 Monde
58
Les cyberattaques en temps réel map.ipvicking.com © MWA - 2014
59
Les textes fondateurs de la cyberdéfense © MWA - 2014 Livre blanc sur la défense et la sécurité nationale 2008 Stratégie de cybersécurité 2011 Rapport d’information du sénateur Bockel 2012 Livre blanc sur la défense et la sécurité nationale 2013 Loi de programmation militaire du 18 décembre 2013
60
De la cyberdélinquance à la cyberconflictualité Intérêts fondamentaux © MWA - 2014 Individuel Collectif Cyberconflictualité Cyberterrorisme Cyberdélinquance Sécurité quotidienne
61
Le Continuum Sécurité Intérieure Sécurité Intérieure Défense - Vigipirate, Harpie. -Action de l’Etat en mer (piraterie, narcotrafic). -Posture permanente de sécurité aérienne. -Opérations extérieures. Zone hybride © MWA - 2014
62
Les caractéristiques du continuum Un territoire unifié Des méthodes similaires Un marché commun : le dark web Un « prêt de main forte » Un « brouillage des pistes » -Ce n’est pas un champ de bataille. -Ce n’est pas une Zone de Sécurité Prioritaire. -Attaque par Ddos. -Crapuleuse. -Terroriste. -« Etatique ». -Défacement. -e-réputation. -Provocation et apologie. -Subversion. -Action par « tiers attaquant ». -Crime organisé, mafia. -Groupe paramilitaire. -Qui ? -Pourquoi ? © MWA - 2014
63
Les exigences du continuum - Une organisation maillée - Une stratégie Ressources Humaines - Une Recherche/ Développement centrée sur les sciences forensiques - Une coopération public/privé renforcée – Rôle particulier des assurances - Le partage du renseignement : le RIC et le ROC Pompier Soldat Gendarme -Formation -Recrutement, gestion des carrières -Preuves -Attributions © MWA - 2014 Diplomate
64
Le discontinuum des voies et moyens Séparation des pouvoirs Le discontinuum des voies et moyens Séparation des pouvoirs Autorité judiciaire Police judiciaire Action offensive Police administrative Code de la défense Code la sécurité intérieure Code de la défense Code la sécurité intérieure Procédure pénale Soldat Pompier Gendarme Exécutif © MWA - 2014
65
Parallélismes entre judiciaire et administratif Parallélismes entre judiciaire et administratif © MWA - 2014 1/51/5
66
Parallélismes entre judiciaire et administratif Parallélismes entre judiciaire et administratif © MWA - 2014 2/52/5
67
Parallélismes entre judiciaire et administratif Parallélismes entre judiciaire et administratif © MWA - 2014 3/53/5
68
Parallélismes entre judiciaire et administratif Parallélismes entre judiciaire et administratif © MWA - 2014 4/54/5
69
Parallélismes entre judiciaire et administratif Parallélismes entre judiciaire et administratif © MWA - 2014 5/55/5
70
Le discontinuum juridique Droit Commun Droit des conflits armés Cyber dans la guerre Guerre dans le cyber © MWA - 2014
71
Droit des conflits armés et cybercriminalité Droit des conflits armés et cybercriminalité Cyberconflit Cyber-délinquance Cyber-terrorisme Cyberguerre Droit des conflits armés Cyber-criminalitéCyber-criminalité
72
Cyberguerre et principes du droit des conflits armés Principe d’humanité. © MWA - 2014 Principe de neutralité. Principe de discrimination. Principe de proportionnalité. Principe de non-perfidie.
73
La cyberdéfense offensive et le droit commun La cyberdéfense offensive et le droit commun © MWA - 2014 Rapport de l’Assemblée du parlement du conseil de l’Europe (08/06/15): “Les Etats membres devraient s’entendre sur un niveau commun d’incrimination des cyberattaques de grande ampleur […]” Article 323-8 du CP : Le présent chapitre n'est pas applicable aux mesures mises en œuvre, par les agents habilités des services de l'Etat désignés par arrêté du Premier ministre parmi les services spécialisés de renseignement mentionnés à l'article L. 811-2 du code de la sécurité intérieure, pour assurer hors du territoire national la protection des intérêts fondamentaux de la Nation mentionnés à l'article L. 811-3du même code.l'article L. 811-2 l'article L. 811-3 Article 694-4-1 du CPP : La loi permet au Garde des Sceaux de ne pas donner suite à une demande d’entraide pénale internationale pour des faits commis hors des frontières par des agents des services de renseignement, dès lors que cette mesure est de nature à porter atteinte aux intérêts fondamentaux de la Nation. 1/21/2
![La cyberdéfense offensive et le droit commun La cyberdéfense offensive et le droit commun © MWA Rapport de l’Assemblée du parlement du conseil de l’Europe (08/06/15): Les Etats membres devraient s’entendre sur un niveau commun d’incrimination des cyberattaques de grande ampleur […] Article du CP : Le présent chapitre n est pas applicable aux mesures mises en œuvre, par les agents habilités des services de l Etat désignés par arrêté du Premier ministre parmi les services spécialisés de renseignement mentionnés à l article L.](http://images.slideplayer.fr/33/10202626/slides/slide_73.jpg "du code de la sécurité intérieure, pour assurer hors du territoire national la protection des intérêts fondamentaux de la Nation mentionnés à l article L du même code.l article L l article L Article du CPP : La loi permet au Garde des Sceaux de ne pas donner suite à une demande d’entraide pénale internationale pour des faits commis hors des frontières par des agents des services de renseignement, dès lors que cette mesure est de nature à porter atteinte aux intérêts fondamentaux de la Nation. 1/21/2.")
74
© MWA - 2014 Article 323-3-1 du CP : Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique (LPM), d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.articles 323-1 à 323-3 Article L 2321-2 du code de la défense: Pour répondre à une attaque informatique qui vise les systèmes d’information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l’Etat peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque. 2/22/2 La cyberdéfense offensive et le droit commun La cyberdéfense offensive et le droit commun
75
Général d’armée (2S) Marc Watin-Augouard Directeur du Centre de recherche de l’Ecole des officiers de la gendarmerie nationale Questions ? © MWA - 2014
77
Entreprises et cybersécurité : horizon 2020 © MWA - 2014 Accompagner le changement du métier de RSSI. Renforcer la R&D. Faire de la donnée un élément centrale de la stratégie des entreprises. Mettre en place des plates-formes d’informations et des outils d’alerte. Développer une veille sociétale. Garder le contrôle de la cybersécurité en interne. Développer la culture cyber dans l’entreprise.
78
L’hygiène informatique © MWA - 2014 I – Connaître les système d’informations et les utilisateurs. III – Authentifier l’utilisateur. VI – Sécuriser les équipement terminaux. V – Protéger le réseau interne de l’internet. II – Maîtriser les réseaux. IV – Mettre à niveau les logiciels. VII - Sécuriser l’intérieur du réseau. Guide sur www.ssi.gouv.fr
79
L’hygiène informatique © MWA - 2014 X – Surveiller les systèmes. IX – Organiser la réaction en cas d’incidents. XII – Sensibiliser. VIII – Contrôler l’accès aux locaux et la sécurité physique. XI – Faire auditer la sécurité. XIII – Sécuriser l’intérieur du réseau. Respect de l’hygiène informatique : 40 règles = 85% des risques évités
Présentations similaires
