Rencontres Informatiques de Bretagne Des 14 et 15 novembre 2016 De la culture numérique @ la cybercriminalité nouvelle menace du XXI° siècle Rencontres Informatiques de Bretagne Des 14 et 15 novembre 2016
Les intervenants Olivier COLLET expert@cabinet-collet.org Service des renseignements départementaux de la gendarmerie 22 Mrs Emmanuel BAUD capitaine et officier Adjoint des renseignements avec Michel KERVELLA – Major 29 Mr HOURLIER – Adjudant chef du département 56 Mr Michel DAVID – Major et Chef de la Cellule rens Christophe DUPAS christophe.dupas@amossys.fr Sylvie PICON spicon@cs.experts-comptables.org
Notre agenda Introduction Evolution des technologies – évolution des menaces – actualité L’expert-comptable, des besoins communs et d’autres spécifiques … Des solutions pour tous les besoins mais avec méthode Conclusions
Pourquoi la cybersécurité ? Fort développement de la société de l’information (ouverture, dématérialisation, mobilité, services, …) Nous changeons d’époque et de monde => tous concernés : Etat, acteurs économiques, citoyens, … Avec Nouveaux environnements – internet, web, WiFi, Nouveaux modes de travail – mobilité, bureau/domicile Nouveaux outils – messagerie, ordiphones, réseaux sociaux Nouveaux risques – nouveaux opérateurs, mobilité, perte de matériels Or Les utilisateurs sont peu conscients des risques et peu/pas formés L’ouverture de ce monde fait perdre la tête (tiré par l’offre) La sécurité n’est pas la première préoccupation Attention à la réglementation
Evolution des technologies – évolution des menaces – actualité Du virus pour détruire à l’industrie du racket L’actualité des risques Les modes opératoires – la fraude sociale Les conséquences d’une attaque Quelques chiffres de la réalité Les signes d’alertes
Cyber-criminalité : une réalité
Y compris en région
L’humain le point faible
Malgré des signes évidents
Des règles simples à suivre
L’expert-comptable, des besoins communs et d’autres spécifiques … L’informatique outil de production du cabinet ! Le cabinet cible particulière Un métier de communication … L’expert-comptable et le secret professionnel L’expert-comptable : tiers de confiance Et source d’exemplarité
L’informatique, outil de production L’activité du Cabinet est une prestation dont l’outil de production est l’informatique : Un arrêt informatique un arrêt de production Une perte informatique des travaux a refaire Une insuffisance de moyens perte de Chiffre d’affaire Il faut donc s’assurer de la disponibilité et de la capacité de ses moyens informatiques : Capacité de résister à une attaque Capacité de repartir après une attaque réussie Capacités d’accroitre ses moyens de traitement Mais aussi gérer les simples pannes
Deux éléments distincts A quoi corresponds un taux de disponibilité ? Et en cas de panne majeure : Mettre en œuvre un plan de reprise d’activité => 82% des PME non préparées à un sinistre ne survivent pas à un crash important
Quel périmètre pour l’informatique? Moyens de communication Accès internet fixes Accès internet mobiles Interconnexion de sites Téléphonie « fixe » Téléphonie mobile traditionnelle Téléphonie Internet Les moyens matériels Serveurs Postes de travail Ordinateurs Portables Tablettes Téléphones mobiles Multifonctions, imprimantes et scanners Les moyens logiciels Logiciels systèmes Outils logiciels bureautiques Outils logiciels de production Applications et dispositifs de partage de données … Et aussi les hommes et les femmes du cabinet
Le cabinet, cible particulière Un cabinet d’expertise comptable est une cible particulière : Parce qu’il manipule une richesse sous forme de donnée numérique sujette au piratage Parce qu’il est particulièrement sensible à une paralysie de ses systèmes Parce que son système informatique doit être ouvert et donc exposé C’est aussi le détenteur de données d’autrui donc soumis à une responsabilité accrue.
Un métier de communication L’expertise comptable est un métier de communication : Mettre à disposition des outils de saisie accessibles via internet pour les clients et/ou les collaborateurs. Besoin d’authentification des connexions Se protéger des intrusions, usurpations Echanger des données en recevant des flux ou en envoyant des documents. Recevoir des documents en toute sécurité Authentifier les émetteurs Se placer dans un contexte de productivité et d’automatismes
L’EC et le secret professionnel Article 226-13 du code pénal Devoir de discrétion : Article 147 du code de déontologie Mais aussi des obligations morales : Confiance Crédibilité Image de marque Pérennité Mettre en œuvre les moyens appropriés, c’est une obligation : Ne pas échanger des données de clients sur les réseaux publics comme Internet. Protéger les données contre le vol, par exemple crypter les portables et pas seulement les téléphones et tablettes Déployer des moyens selon la sensibilité des clients ou de la mission Protéger les écrans Sensibiliser les collaborateurs à la discrétion, en particulier dans les lieux publics et surtout dans les transports
L’EC : tiers de confiance Un tiers de confiance qui produit des documents et doit sécuriser sa production : Contre les éventuelles malversations de ses clients Contre des usurpateurs Contre la mauvaise foi des tiers En supervisant les travaux du Cabinet Faciliter les relations avec les clients et tiers : Garantir l’origine d’un message Produire des documents qui peuvent circuler avec leurs éléments de sécurité => Utilisation de certificats électroniques : Signexpert personnel pour signer et sceller les documents Cachet cabinet pour la production courante D’autres solutions pour les collaborateurs
L’EC source d’exemplarité Les outils utilisés par le Cabinet seront considérés comme fiables par les clients. Il est donc essentiel d’analyser ses pratiques. Et au-delà de la simple exemplarité, il peut exister des missions d’accompagnement des clients.
Des solutions pour tous les besoins Rappel de l’étendue des risques Comment analyser sa vulnérabilité Comment mesurer et pondérer les risques Quelles types de solutions Peut être besoin d’aide Et ne jamais oublier la force de l’humain pour se défendre
Prestataire d’audit PASSI Carte d’identité Société de conseil et d’expertise axée exclusivement sur la cybersécurité Fondée en janvier 2007, totalement indépendante (les dirigeants sont les actionnaires) 45 salariés dont 40 docteurs/ingénieurs Une adresse : 4 bis allée du Bâtiment - 35000 RENNES « Apporter des réponses de sécurité pour chaque étape de la vie d’un projet, d’une organisation » Prestataire d’audit PASSI Qualifié ANSSI CESTI Agréé ANSSI Accrédité COFRAC Certificateur Agréé ARJEL
MISSIONS Audit Conseil Evaluation Etudes Logiciels innovants Tests d’intrusion Audits techniques Audits de conformité Audits SCADA Gestion des risques SSI Sécurité des SI industriels Confiance numérique CESTI agréé et accrédité CSPN et Critères Communs Agrément cryptographie Logiciels innovants Etudes CERT-AMOSSYS Etudes en Cybersécurité Preuves de concepts Conférences Encadrement de thèses Investigation numérique Analyse de codes malveillants Retro-conception Remédiation de SI Logiciels ad-hoc de sécurité défensive et offensive Outillage des laboratoires d’AMOSSYS
Pourquoi la cybersécurité ? Fort développement de la société de l’information (ouverture, dématérialisation, mobilité, services, …) Nous changeons d’époque et de monde => tous concernés : Etat, acteurs économiques, citoyens, … Avec Nouveaux environnements – internet, web, WiFi, Nouveaux modes de travail – mobilité, bureau/domicile Nouveaux outils – messagerie, ordiphones, réseaux sociaux Nouveaux risques – nouveaux opérateurs, mobilité, perte de matériels Or Les utilisateurs sont peu conscients des risques et peu/pas formés L’ouverture de ce monde fait perdre la tête (tiré par l’offre) La sécurité n’est pas la première préoccupation Attention à la réglementation
Quels risques ? Légaux Techniques Concurrentiels Financiers Une réglementation existante peu connue Données personnelles, données médicales, données de défense, … ANSSI (www.ssi.gouv.fr), qualifie les produits/prestataires CNIL (www.cnil.fr), Ministères, … Techniques Concurrentiels Les concurrents nous suivent Financiers
Que faire pour se protéger ? Se poser, réfléchir Dans l’instant, mesurer – audit de sécurité Organisationnel Technique Dans le temps, se connaître – analyse de risque Quels sont mes trésors ? Quelles sont les menaces ? Quels sont les risques que j’accepte ? Comment couvrir ces risques ? Solution technique - produits qualifiés … Solution organisationnelle – formation, … Se situer dans un processus d’amélioration permanente
Conclusions
Tous concernés, des solutions La menace a évolué plus vite que le rythme que la société se numérise, et les ripostes existent. Elle est maintenant globale avec des formes multiples et une industrialisation des méthodes. Mais des solutions existent et sont accessibles à toutes les entreprises. La principale solution reste Donc formation de tous !
Expert-Comptable, Expert-Cyber ? L’Expert Comptable ne dois pas devenir un expert de la Cybercriminalité mais il doit en connaitre les mécanismes et parades pour lui et ses clients. Il doit aussi être conscient, lui et ses collaborateurs, de son statut particulier vis-à-vis des données qu’il détient pour le compte de ses clients.
Et une évolution réglementaire Le nouveau règlement européen sur la protection des données personnelles. Publié le 4 mai, applicable le 24 mai 2018 : Identification directe ou indirecte des personnes Responsabilité des sous-traitants Conservation limitée des données Plus de déclarations préalables mais obligation de démontrer à posteriori le respect des obligations. Protection by design, études d’impacts, évaluation risques Registre des traitements pour tous, gestion de crise Le délégué à la protection des données La profession est concernée à de multiples titres, nous en reparlerons … [Pour information nous mettrons le livre blanc du Cabinet Mathias en téléchargement]