La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du 30-04-08 29% GUIDE PRATIQUE DES PREUVES Que faire en cas dintrusion dans le.

Présentations similaires


Présentation au sujet: "CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du 30-04-08 29% GUIDE PRATIQUE DES PREUVES Que faire en cas dintrusion dans le."— Transcription de la présentation:

1 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % GUIDE PRATIQUE DES PREUVES Que faire en cas dintrusion dans le Système dinformation ? Raphaël PEUCHOT - Avocat à la cour Alexandre DORT - Dominique MACHU- RSSI

2 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % GUIDE PRATIQUE DES PREUVES Partie 1 - Introduction Raphaël PEUCHOT - Avocat à la cour

3 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 2 Guide pratique des preuves Me Raphaël PEUCHOT, avocat au Barreau de Lyon 1. Opportunité probatoire 2. Régime de la preuve 3. Préconisations

4 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 3 Utilité juridique dune preuve : lopportunité probatoire ! Quoi prouver ? Pour quoi faire ? Deux niveaux de réponse: 1/ Premier niveau : un impératif juridictionnel - prouver les faits nécessaires à sa prétention - pour en convaincre un tiers : le juge - en retirer un bénéfice (condamnation)

5 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 4 Exemples de preuves de faits aux conséquences purement juridictionnelles Preuve dune intrusion informatique > Permet des poursuites pénales >> sous réserve : - de létablissement des faits dintrusion - de lidentification de leur auteur >> effets : incrimination pénale, jugement et prison. Preuve dune contrefaçon de logiciel > Conditions à la mise en œuvre dune procédure civile en interdiction >> sous réserve :- de la preuve des actes de contrefaçon - de la validité de la saisie pratiquée >> effets : interdiction des actes contrefaisants, indemnisation du préjudice

6 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 5 Quoi prouver ? Pour quoi faire ? Deux niveaux de réponse: 1/ Premier niveau : un impératif juridictionnel 2/ Second niveau : un impératif contractuel - prouver les faits susceptibles de justifier la mise en œuvre dun droit ou lexécution dune obligation - pour en convaincre son cocontractant - en retirer un bénéfice conforme au contrat

7 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 6 Preuve dun bug > déclenche la maintenance >> sous réserve : - de la qualification du bug - de son imputabilité au progiciel vendu >> effets : délais de réaction, correction, tests, contournement, etc. Preuve dun sinistre informatique > justifie la mise en œuvre de la couverture dassurance >> sous réserve :- de la caractérisation du sinistre (origine, conséquences)- de lapplicabilité de la police dassurance >> effets : indemnisation / action récursoire

8 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 7 2. Régime juridique de la preuve : le risque probatoire Il sagit de définir la valeur dune preuve. 3 régimes différents : - procédure pénale : liberté absolue de la preuve - procédure civile : liberté relative de la preuve - procédure prudhomale : liberté contrôlée de la preuve

9 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 8 Preuve dun fait délictueux 1/ Tous éléments de preuve sont a priori recevables - tous modes de preuve admis (ne pas confondre avec les irrégularités formelles ou procédurales de linstruction ou des PV) - préférer les preuves collectées par les agents assermentés (OPJ, APP, huissier, experts judiciaires) 2/ Le juge apprécie en dernier lieu la preuve avancée - intime conviction : règle probatoire du procès pénal (art. 427 Code de Procédure Pénale : liberté dappréciation de la valeur probante laissée au juge – Jurisprudence constante !)

10 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 9 Preuve au procès civil 1/ Preuve dun fait - liberté de la preuve légale (qui respecte les prescriptions légales en général) 2/ Preuve dun acte ou dune obligation - contrat : preuve littérale (écrit) et testimoniale - entre commerçants : liberté de la preuve - convention sur la preuve : liberté limitée

11 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 10 Preuve au procès prudhomal 1/ Respect des règles de surveillance technologique - information préalable du salarié - consultation des représentants du personnels - déclaration CNIL éventuelle 2/ Collecte des preuves - accord du salarié obtenu ou au moins sollicité - autorisation judiciaire

12 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page Préconisations : lopportunisme probatoire ! 1/ Identifier la finalité - toutes les fins ne justifient pas toutes les preuves 2/ Déterminer le mode de preuve le plus approprié - la preuve dun fait OUI, sa publicité NON ! 3/ Urgence ou précipitation ? - conservation, dépérissement, destruction …

13 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 12 CONCLUSION Probatio probatissima ! La meilleure preuve, cest encore laveu !

14 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % GUIDE PRATIQUE DES PREUVES Partie 2 - les infractions spécifiques au numérique Alexandre DORT

15 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 14 Monde réel = Monde virtuel Transposer pour comprendre que tout est identique. Les voies de communications diffèrent mais le routes et autoroutes physiques se retrouvent virtuellement sur la toile. Les buts sont les mêmes : - commerce, information, échanges, … 32 %... cest la progression du commerce en ligne par rapport au premier jour des soldes dhiver de 2007, telle que mesurée par la Fevad. Le chiffre daffaire du e-commerce est 3,5 fois supérieur un jour de soldes par rapport à un jour moyen. Les réseaux de communication et déchanges explosent de manière exponentielle avec la possibilité de contacts multiples et instantanés grâce à lInternet. 15,5 millions... Cest le nombre dinternautes abonnés au haut-débit que compte la France à la fin 2007, selon lArcep.

16 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 15 Transposition inversée : Les TIC apportent la contrainte de ce qui est écrit et donc définitif. Tous les échanges par le moyen de communications numériques laissent des traces. La nécessité de surveiller les flux et la conservation des logs de connexion est une obligation pour les entreprises. (cf. Jurisprudence 1) Le droit à limage et la communication dinformations concernant les personnes ou les entreprises sont soumises à des règles strictes. (cf. Jurisprudence 2)

17 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 16 Le Code pénal Art Abus de la cryptographie (utilisée pour faciliter ou commettre un crime ou délit) Art à Atteintes à la loi informatique et libertés « …y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel… » Art à 226-7, et Atteintes à la vie privée et au secret des correspondances. Art à et Atteintes aux systèmes de traitement automatisé de données et sabotage de tels systèmes (…accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé…)

18 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 17 Le Code pénal Art Pédo pornographie (diffuser, fixer, enregistrer ou transmettre) Art (2°), et Sollicitations sexuelles envers des mineurs. Art Diffusion de messages pornographiques, violents ou portant atteinte à la dignité humaine lorsqu'ils sont susceptibles d'être vus par un mineur Art Diffusion de procédés permettant la fabrication d'engins de destruction

19 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 18 Autres Codes et Lois L du Code de la consommation - Modification d'identifiants numériques (notamment IMEI de téléphones portables) L et suivants du Code monétaire et financier - Contrefaçon de cartes de paiement 79-1 à 79-6 de la Loi sur la liberté de la communication (n° ) - Contrefaçon de dispositifs de décodage de la télévision cryptée L al.2 du Code de la propriété intellectuelle - Contrefaçon de logiciels L à L du Code de la propriété intellectuelle - Contrefaçon de bases de données Larticle 24 de la Loi du 29 juillet 1881 sur la liberté de la presse précise : « notamment Lorsqu'il a été utilisé pour la commission de ces infractions des moyens de communication électronique et en particulier Internet »

20 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 19 Jurisprudence 1 : Entreprise = Fournisseur daccès … COUR DAPPEL de Paris, 14e Chambre, 4 février 2005 Publié le 1er mars 2005 SOMMAIRE Extrait de larrêt : SA BNP Paribas c/ Société World Press Online Conservation des données de connexion - Entreprise - Fournisseur daccès à linternet (oui) - Obligation de conservation et de mise à disposition (oui) Décision au format PDF Extrait de larrêt : "Considérant, par ailleurs, que la demande de la société WORLD PRESS ONLINE ne se heurte à aucune contestation sérieuse alors quen sa qualité, non contestée, de prestataire technique au sens de larticle 43-7 de la loi du 1er août 2000, la Société BNP PARIBAS est tenue, en application de larticle 43-9 de ladite loi, dune part, de détenir et de conserver les données de nature à permettre lidentification de toute personne ayant contribué à la création dun contenu des services dont elle est prestataire et, dautre part, à communiquer ces données sur réquisitions judiciaires ;

21 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 20 Jurisprudence 2 : protection des entreprises et de la vie privée … La discrétion simpose à un site syndical 12/01/05 Les obligations de discrétion et de confidentialité entraînent des limitations à la diffusion dinformations dun syndicat de salariés sur une entreprise, même si les informations sont diffusées sur un site internet extérieur. Telle est, en substance, la conclusion du TGI de Bobigny, dans un jugement du 11 janvier 2005 qui ordonne la suppression de quatre rubriques du site, sous astreinte de 600 euros par jour. La fédération CGT des sociétés détudes a ouvert un site contenant des rubriques qui, selon lentreprise visée, ne respectaient pas les règles de discrétion qui résultent du contrat de travail ou des règles de confidentialité figurant au code du travail. Les juges ont approuvé, en grande partie, les arguments de Secodip. Pour la diffusion en ligne dun tract, les juges ont estimé quelle était contraire à larticle L du code du travail qui réglemente les conditions de distribution de ce genre de communication. Est en cause le fait que ce document devient accessible à tout moment et à des personnes extérieures à lentreprise. Concernant la diffusion de rapports sur la rentabilité de lentreprise communiqués dans le cadre du comité dentreprise, le tribunal oppose au syndicat son obligation de discrétion inscrite dans larticle du code du travail. Le tribunal a également censuré la publication des salaires qui constituent des informations confidentielles, …jugementL

22 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 21 SOURCES ET REFERENCES Statistiques : Codes et Lois : Jurisprudence 1 : juridique/jurisprudence/cour-d-appel-de-paris-14e-chambre-4-fevrier html Jurisprudence 2 :

23 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % GUIDE PRATIQUE DES PREUVES Partie 3 – la collecte des preuves dans lentreprise Dominique MACHU – RSSI

24 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % Ca narrive que chez les autres ! La Sinistrabilité des SI (Etude 2006 du CLUSIF : échantillon de 400 entreprises ) Vol déquipements informatiques (160 entreprises) Introduction involontaire de virus (144 entreprises) Vols dinformation confidentielles (16 entreprises) Attaques logiques (16 entreprises) Atteinte à limage (12 entreprises) Sabotages déquipements (12 entreprises) Intrusions dans le SI (8 entreprises) Fraude informatique (8 entreprises)

25 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % GUIDE PRATIQUE DES PREUVES Partie 3 – la collecte des preuves dans lentreprise La malveillance Interne

26 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 25 La malveillance depuis l intérieur – Introduction : La conférence EuroCACS (European Computer Audit, Control and Security Conference ) qui sest déroulée à Stockholm (mars 2008) s'est achevée sur l'habituel constat désabusé : la majorité des risques provient de l'intérieur d'une entreprise: Evoquant le récent scandale de la Société générale avec les faux s de Jérôme Kerviel, les conférenciers ont rappelé les chiffres du cabinet ISCSA : « Malgré toute l'attention portée aux intrusions et aux virus, il y a 72% de chances que la prochaine attaque réussie provienne de l'intérieur. » le récent scandale de la Société générale avec les faux s de Jérôme Kerviel

27 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 26 La malveillance depuis l intérieur – les Etudes * PROFIL : Sexe masculin 17 à 60 ans 87% avaient des profils privilégiés ou administrateur 39 % des entreprises sondées ont subits une ou plusieurs attaques depuis lintérieur. Le cout de de ces attaques représentait 6% du CA Aux USA ce montant est évalué à 400 milliards de $ Commentai res du CERT : 75 % des vols dinformations confidentielles ont été réalisés par des employés 45 % dentre eux avaient déjà accepté un emploi « ailleurs » * Sources 2005 : CERT/US Secret Services - FBI

28 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 27 La malveillance depuis l intérieur – les constats Depuis un poste de lentreprise : - Fraude informatique - Usurpation didentité - Navigation sur des sites illicites - Vol dinformations confidentielles - Non respect de la réglementation - Destruction de données - Propagation de malwares -Entrave au fonctionnement du SI -…

29 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 28 La malveillance depuis lintérieur : les risques pour lentreprise Perte dactivité : 75% des entreprises dépendent de leur S.I. Défaut de conformité (audits – réglementations (FR CE US …) Théorie de la double peine pour lentreprise : risque salarié / risque légal Vol dinformations / vol de savoir faire Responsabilité pénale du chef dentreprise : infractions commises par le biais du système d'information de l'entreprise à partir d'un poste de travail Responsabilité professionnelle du DSI / RSSI (manquement à la sécurité) Incapacité à produire des preuves illicites : inefficacité dans la gestion des litiges avec les salariés

30 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 29 La malveillance depuis l intérieur : Les solutions Mettre en œuvre une politique de sécurité basée sur : la gestion des identités et des accès : qui accède à quoi ? - politique des mots de passe / renouvellement - gestion des absences et des départs (référentiel unique – ex : IAM) - clauses de confidentialité et secret professionnel dans le contrat de travail (ex: administrateurs) La traçabilité et le contrôle dactivité - outils de gestion des logs et des alertes - les audits de sécurité Une architecture sécurisée du S.I. - Cloisonnement et supervision des réseaux – contrôle de laccès (NAC) - Antivirus (multi-niveaux) – pare-feux (séparation des zones) - traçabilité et imputabilité - filtrage des accès web une politique dinformation et de dissuasion : - Informer / opposer / sensibiliser le personnel - Charte dusage du S.I. annexée au règlement intérieur - Communiquer – la sécurité ne doit plus être tabou

31 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 30 La malveillance depuis l intérieur : La charte dusage du S.I. Par principe pour lutilisateur du S.I. : « Tout ce qui nest pas interdit est autorisé ! » La Charte définie les règles dutilisation des moyens informatiques mis à la disposition du personnel Pour être opposable au salarié malveillant 4 conditions : - Annexée au règlement intérieur de lentreprise -Conformité avec le code du travail et la CNIL (proportionnalité, transparence, discussion collective (CE), secret de la correspondance.. ) -Définition de la frontière entre sphère professionnelle et privée - Vos traitements nominatifs et outils de traçabilité de lentreprise doivent être déclarés à la CNIL Ne pas oublier les plans de « sensibilisation à la sécurité des SI » de lensemble du personnel et des utilisateurs du SI ( Stagiaires, intérimaires..)

32 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 31 La malveillance depuis l intérieur : Cyber surveillance dans lentreprise Principe de base : Tout système informatique génère des traces ! Nous utiliserons ces traces pour imputer une action à un utilisateur qui a mis en péril la disponibilité et la sécurité du système dinformation en respectant le cadre : Respect du code du travail et de la loi du 6 Janvier 1978 (CNIL) : Transparence « Aucune information concernant un salarié ou candidat ne peut être collecté par un dispositif qui na pas été porté préalablement à sa connaissance » Code du travail - L121.8 Proportionnalité « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché » Code du travail L120-2 Discussion collective Le C.E doit être « informé et consulté, préalablement à la décision de mise en œuvre dans lentreprise, sur les moyens ou les techniques permettant un contrôle de lactivité des salariés»- Code du travail L

33 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 32 La malveillance depuis l intérieur – Collectes des preuves Journaux systèmes journaux applications Journaux bases de données Journaux sécurité Logs de connexion journaux systèmes Protection physique Contrôle des accès Vidéosurveillance Journaux applications Logs de connexion Logs des connexions Internet Journaux des courriels entrants/sortants Logs du réseau (sondes) Logs du parre-feu Logs des connections (télétravail – télémaintenance)

34 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du % GUIDE PRATIQUE DES PREUVES Partie 3 – la collecte des preuves dans lentreprise L attaque extérieure

35 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 34 Lattaque extérieure : quelques cas dintrusions dans le SI Compromission du site WEB Défaçage Botnet … Contamination des internautes, Redirection vers des sites pirates (attaques en forte progression !) Compromission des éléments de la DMZ Injection SQL (vol dinformations, didentités …) Introduction Codes malveillants (vol dinformations, didentités, pris de main à distance …) Rebond par le VPN de lentreprise

36 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 35 Lattaque extérieure : Réaction à lintrusion 1 – Assurer la continuité de lactivité de lentreprise : Une des premières réaction dun administrateur serait dintervenir sur le système compromit ( Obtention de l'adresse du pirate et riposte ; Arrêt du système; sisoler du réseau ; restaurer le système…). Si le fonctionnement de système compromit est vital pour le fonctionnement du SI, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts) que l'intrusion elle-même. (ex: site de vente en ligne, application métier critique …) l'indisponibilité du service pendant une longue durée peut être catastrophique. Une des solutions est dactiver le PRA et dutiliser les ressources de secours prévues. ! Attention de de ne pas activer un système compromit - il faut vérifier les modifications apportées aux données du système compromis par rapport aux données restaurées réputées fiables. En effet, si les données ont été infectées par un virus ou un cheval de Troie, leur restauration risque de contribuer à la propagation du sinistre Une fois le PRA opérationnel on isolera du S.I. le système compromit.

37 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 36 Lattaque extérieure : constitution/collecter les preuves 2 – Constituer et collecter les preuves : Constituer un dossier des preuves de l'intrusion Etablir un dossier regroupant les différentes traces et preuves de l'intrusion est un préalable impératif avant tout recours. L'absence d'éléments de preuves suffisamment probants pour identifier le responsable et qualifier la nature de ses agissements ne pourra faire aboutir le recours. Collecter les preuves - Sauvegardes les logs : applications impactées, systèmes dexploitation, systèmes de sécurité (routeurs, pare-feu, anti-virus, sondes réseaux …). - Sur le serveur compromit: réaliser une copie physique du disque dur dans son état au moment de la découverte de lintrusion (ex : à laide dun disque dur externe USB). l'absence de copie, l'altération des données provoquée une analyse sur le serveur rendrait inefficace toute procédure judiciaire.

38 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 37 Lattaque extérieure : Intervention de la police judiciaire 3 – Faire constater par la police judiciaire : Compétence sur Paris et la petite couronne : BEFTI Brigade d'enquêtes sur les Fraudes aux Technologies de l'Information Dépend de la Direction Régionale de la Police Judiciaire de la Préfecture de Police de Paris Tel : Compétences nationales: OCLCTIC Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication, Dépend de la Direction Centrale de la Police Judiciaire. Aussi point de contact international Tel : DST Direction de la Surveillance du Territoire Enquête sur les crimes et délits pouvant porter atteinte à la sûreté de l'Etat. Tel :

39 CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du Page 38 SOURCES ET REFERENCES Menace interne – Insider Threat CSI (CERT) CyberSurveillance dans lentreprise (CNIL) Les bons réflexes en cas d'intrusion sur un système d'information Quels recours en cas d'intrusions informatiques ? (Maitre FRANKLIN BROUSSE)


Télécharger ppt "CLUSIF / CLUSIR Rha GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du 30-04-08 29% GUIDE PRATIQUE DES PREUVES Que faire en cas dintrusion dans le."

Présentations similaires


Annonces Google