La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Appréhension de la sécurité informatique par le droit: une approche imparfaite Jacques – Louis Colombani AVOCAT 21//01/09.

Présentations similaires


Présentation au sujet: "Appréhension de la sécurité informatique par le droit: une approche imparfaite Jacques – Louis Colombani AVOCAT 21//01/09."— Transcription de la présentation:

1 Appréhension de la sécurité informatique par le droit: une approche imparfaite Jacques – Louis Colombani AVOCAT 21//01/09

2 Appréhension de la sécurité informatique par le droit: une approche imparfaite La notion de réseau Un réseau est dune part composé déléments physiques qui jouent un rôle distinct dans la circulation des biens et des services, mais aussi désormais de la monnaie et de linformation sensible; Il est dautre part composé de liaisons matérielles ou immatérielles qui doivent être protégées contre les intrusions. La position française nautorisant que le chiffrage dintensité moyenne permet aux textes du code pénal (411-1 et 411-6) de sappliquer: il faut en effet pouvoir raisonnablement et légalement accéder aux flux pour savoir ce qui se passe sur son réseau.

3 Appréhension de la sécurité informatique par le droit: une approche imparfaite La notion de réseau Les réseaux ont fortement évolué passant dune architecture hiérarchisée de type GSM à une architecture complexe de type « Peer to Peer » (Annexe 1). La protection des réseaux sensibles se heurte parfois à la protection des données personnelles doù la nécessité: 1°) Dune charte dutilisation qui soit connue des salariés et acceptée; 2°) De la mise en place dune surveillance acceptable dans lentreprise; 3°) De la désignation dun correspondant CNIL dans lentrepprise Les principaux textes applicables et les autorités de contrôleLes principaux textes applicables et les autorités de contrôle

4 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôleLes autorités de contrôle Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques»)2002/58/CE Exemple: Les Témoins de connexion («cookies») Les témoins de connexion (cookies) sont des informations cachées échangées entre un utilisateur Internet et un serveur web, et sauvegardées dans un fichier sur le disque dur de l'utilisateur. Ces informations permettaient initialement la persistance d'informations entre deux connexions. Elles constituent aussi un outil de contrôle de l'activité de l'internaute souvent décrié. La directive prévoit que les utilisateurs doivent avoir la possibilité de refuser qu'un témoin de connexion ou qu'un dispositif similaire soit placé sur leur équipement terminal. Pour ce faire, les utilisateurs devront également recevoir des informations claires et précises sur la finalité et le rôle des cookies.

5 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôleLes autorités de contrôle LE CONTROLEUR EUROPEEN DE LA PROTECTION DES DONNEES Possède un site internet et est compétent popur juger de lapplication des textes précités. LA COMMISSION NATIONALE INFORMATIQUE ET LIBERTES Cet organisme offre aux entreprises depuis la réforme de la loi informatique et libertés la possibilité de sexonérer des déclarations systématiques par la mise en place dun correspondant

6 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôleLes autorités de contrôle LA COMMISSION NATIONALE INFORMATIQUE ET LIBERTES Cet organisme offre aux entreprises depuis la réforme de la loi informatique et libertés la possibilité de sexonérer des déclarations systématiques par la mise en place dun correspondant (Annexe 2).

7 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les autorités de contrôleLes autorités de contrôle La Haute Autorité en charge de contrôler le téléchargement illicite de films ou de musique Le site internet: internet.signalement.gouv.fr permet désormais au ministère de lintérieur de recevoir des plaintes directement

8 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales difficultés pour le contrôleur:Les principales difficultés pour le contrôleur: A/ Les attaques humaines dans lentrepriseA/ Les attaques humaines dans lentreprise Mettre en place une charte de sécurité et des contrôles adaptésMettre en place une charte de sécurité et des contrôles adaptés B/ Les attaques extérieures « automatiques »B/ Les attaques extérieures « automatiques » Mettre en place des logiciels adaptés qui ne causent pas eux-mêmes des dommages illicites (Fire wall/Fire wall)Mettre en place des logiciels adaptés qui ne causent pas eux-mêmes des dommages illicites (Fire wall/Fire wall) DANS TOUS LES CAS RECHERCHER LA REPONSE JURIDIQUE OU CONCRETE QUI CORRESPONDE AUX DOMMAGES CONSTATES

9 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaquesLes principales manœuvres ou attaques -Manipulations des programmes -Manipulations sur le terminal -Manipulations à lentrée ou à la sortie du terminal -Utilisation abusive des services informatiques -Manipulations de données à saisir à lentrée du système -Espionnage -Vol de données/dinformations -Destruction ou altération de données -Atteintes aux logiciels

10 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaquesLes principales manœuvres ou attaques Exemples: -Couper laccès du réseau (déni de service). -Ecouter la bande passante: Un pirate peut écouter le trafic réseau aux heures de connexion du personnel, il pourra lire tous les noms d'utilisateurs ainsi que leur mot de passe, le sniffing est facilité par le WIFI; -Analyser les flux « in » et « out » des machines à laide dun scanner;

11 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaquesLes principales manœuvres ou attaques Exemples: -Accès au réseau sous couvert de maintenance par un tiers -Trouver les mots de passe et code daccès (les fournisseurs privés connaissent très souvent les mots de passe de leurs clients, il existe des logiciels dits « routines »)

12 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaquesLes principales manœuvres ou attaques Exemples: Usurpation de l'adresse IP En changeant d'adresse IP, on peut se faire passer pour un autre ordinateur et obtenir des informations sensibles qui ne nous sont pas destinées. Usurpation de l'adresse Lors de la réception d'un courrier électronique, nous pouvons lire l'adresse de l'expéditeur. Mais, il est possible de changer l'adresse. Ainsi, un pirate peut vous envoyer un mail en usurpant l'adresse de votre supérieur. Usurpation WEB Phishing ou création de sites miroirs…

13 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les principales manœuvres ou attaquesLes principales manœuvres ou attaques Exemples: -Intrusion dune machine entre deux machines connectées (Man in the middle) -Attendre que la victime se connecte au réseau pour… prendre sa place sur la session -Etc…

14 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manœuvresLes réponses juridiques aux manœuvres -Lintrusion dans un système de traitement informatisé de données: Les actes d'intrusion informatique sont sanctionnés pénalement par larticle du Code pénal qui incrimine le fait « daccéder ou de se maintenir, frauduleusement, dans tout ou partie dun système de traitement automatisé de données »(STAD). Questions ouvertes: Le scannage des ports est–il interdit? Certaines actions peuvent ainsi être effectuées de manière parfaitement légitime (un administrateur scanne ses machines pour identifier les logiciels utilisés dans son entreprise, dans le cadre de la réalisation de tests dintrusion - ou par de simples curieux notamment des personnes soucieuses de la sécurité qui souhaitent vérifier quune machine hébergeant des données est bien sécurisée).

15 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvresLes réponses juridiques aux manoeuvres La destruction de données est également pénalement réprimée Il faut prendre des précautions (expert accompagnant lhuissier) pour ne pas altérer les machines que lon souhaite auditer.

16 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvresLes réponses juridiques aux manoeuvres Les atteintes aux biens REPONSE PENALE - Escroquerie: Cyberbraquage du président - Abus de confiance - Vol: problème du caractère immatériel des données

17 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvresLes réponses juridiques aux manoeuvres Les atteintes aux biens REPONSE CIVILE Article 1382 C. Civ Code de la propriété intellectuelle (contrefaçon)

18 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvresLes réponses juridiques aux manoeuvres Les atteintes aux personnes Pédophilie, risques denlèvements etc…

19 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvresLes réponses juridiques aux manoeuvres Les atteintes aux bases de données (Loi du 1 er juillet 1998) Les infractions propres à la CNIL La CNIL redoute la centralisation en « une seule main » par un identifiant unique des données relatives à un individu ou un groupe.

20 Appréhension de la sécurité informatique par le droit: une approche imparfaite Les réponses juridiques aux manoeuvresLes réponses juridiques aux manoeuvres Les infractions propres à la CNIL -Délit de création de fichiers clandestins -Délit denregistrement ou de conservation illicite dinformations nominatives -Divulgation illicite dinformations nominatives -Contravention dentrave au droit daccès et de communication de la CNIL

21 Appréhension de la sécurité informatique par le droit: une approche imparfaite MERCI! QUESTIONS?


Télécharger ppt "Appréhension de la sécurité informatique par le droit: une approche imparfaite Jacques – Louis Colombani AVOCAT 21//01/09."

Présentations similaires


Annonces Google