1
Forum International sur la Cybercriminalité 2009
Actes du FIC 2009 Lille – 24 mars 2009
2
Forum International sur la Cybercriminalité 2009
Sommaire SYNTHÈSE DES PLÉNIÈRES ................................................................................................... 8
Intervention de Madame le Ministre de l’Intérieur ............................................................... 10 Discours introductifs ............................................................................................................. 16 Conférence plénière d’ouverture / La protection des systèmes d’information : véritable enjeu de sécurité nationale ................................................................................................... 21 Présentation des organisations représentées ...................................................................................21 Les enjeux de l’extraterritorialité........................................................................................................22 La sensibilisation et la formation aux risques ....................................................................................23 Les moyens mis en œuvre en France ...............................................................................................24
Comment les acteurs territoriaux participent à la sécurisation de l’espace numérique . 26 Une information sur le numérique indispensable .............................................................................26 L’assistance aux collectivités locales ................................................................................................27 Le monde associatif et les problématiques sécuritaires....................................................................28 Le rôle de protection des collectivités locales vis-à-vis de leurs administrés ...................................28 Les processus de protection des données informatiques au sein d’une communauté urbaine........29 L’enjeu juridique de la sécurité numérique ........................................................................................31 Les risques numériques, un combat permanent .............................................................................31
Le numérique et l’enfance : approche et prévention .......................................................... 33 Première table ronde : quels sont les dangers aujourd’hui ? État des lieux .....................................33 Échanges avec la salle ......................................................................................................................36
Le numérique et l’enfance : approche et prévention .......................................................... 37 Seconde table ronde : Quels outils pour mener le combat ? ...........................................................37 Échanges avec la salle .....................................................................................................................40
Le numérique et l’enfance : approche et prévention .......................................................... 41 Troisième table ronde : le rôle des adultes dans la prévention .........................................................41 Échanges avec la salle ......................................................................................................................44
Lille – 24 mars 2009
3
Forum International sur la Cybercriminalité 2009
SYNTHÈSE DES ATELIERS .................................................................................................... 45 1. Nomadisation : quels besoins pour quels risques ? ...................................................... 46 La sécurité, affaire de technique mais aussi de comportement ........................................................46 Nomadisation libre ou contrainte : les bonnes pratiques...................................................................47
2. Établissements bancaires : la politique de sécurité des SIC en question .................... 49 Une vision systémique.......................................................................................................................50
3. La Norme ISO 27001 .......................................................................................................... 53 Le déploiement d’un SMSI.................................................................................................................54 Le SMSI, un système de management plutôt qu’une norme de sécurité..........................................54 La sécurité des actifs primaires .........................................................................................................54 L’engagement de la direction dans la mise en place d’un SMSI.......................................................54 L’apport de la PSSI à l’entreprise ......................................................................................................55
4. Cyberconflit – cyberdéfense : la guerre sur le Net.......................................................... 57 Cyberconflit, cybercriminalité et cyberterrorisme : définitions ...........................................................57 La guerre informatique offensive .......................................................................................................58 Caractérisation difficile des attaques.................................................................................................59 Sécurité intérieure..............................................................................................................................59 Échanges avec la salle ......................................................................................................................60
5. Le téléphone portable : risque, opportunité et gestion de la flotte au sein de l’entreprise .............................................................................................................................. 61 Sécurité des téléphones mobiles.......................................................................................................62 Fin de vie des téléphones portables..................................................................................................62 Géolocalisation ..................................................................................................................................63 Téléphones NFC et puces RFID .......................................................................................................63
6. Signature électronique : utilité, limites, conséquences? ............................................... 64 Signature électronique : un outil pour la sécurité ..............................................................................64 Signature électronique : une existence juridique mature ..................................................................65 Signature électronique : quelles perspectives ? ................................................................................65
7. Psychologies de l’utilisateur et du délinquant des technologies numériques............. 67 Digital natives versus digital migrants ...............................................................................................68 Évolution du rapport à la connaissance.............................................................................................68 Échanges avec la salle ......................................................................................................................69 Lille – 24 mars 2009
4
Forum International sur la Cybercriminalité 2009
8. NTECH : les outils informatiques développés par les enquêteurs ................................ 70 Former les agents..............................................................................................................................70
9. L’internet de demain : quelles menaces et quels risques ? .......................................... 74 Professionnalisation et amplification des menaces...........................................................................75 Solutions envisageables ....................................................................................................................75 Recherche & Développement............................................................................................................76 Échanges avec la salle ......................................................................................................................76
10. Microsoft : 2centre, le futur projet européen de Centres d’excellence sur le cybercrime pour la formation, la recherche et l’éducation ................................................ 79 Cadre européen ................................................................................................................................80 Formation des forces de l’ordre.........................................................................................................80 Participation des universités ..............................................................................................................81
11. Clusif : Divulgation de données : mise en place du chiffrement au sein des PME.... 82 Comment mettre en place une solution de chiffrement dans l’entreprise ? ......................................83 Nomadisme et sécurité : enjeux et recommandations pour une PME ..............................................83 Échanges avec la salle ......................................................................................................................84
12. Évolution des normes : devoirs et responsabilités des chefs d’entreprises ............. 86 Responsabilité grandissante .............................................................................................................86
13. Biométrie : quelles applications pour l’entreprise ? .................................................... 90 Un potentiel énorme ..........................................................................................................................90 Un cadre précis..................................................................................................................................91
14. Outils de veille : recherche, traitement, exploitation des informations en toute sécurité ................................................................................................................................... 93 Intérêt et risques de la veille ..............................................................................................................94 Veille sécuritaire ................................................................................................................................94 Échanges avec la salle ......................................................................................................................95
15. Cybercriminalité : risques et mesures pour l’économie nationale et les entreprises 97 Menaces et mesures correspondantes .............................................................................................98 Implication croissante des entreprises dans la sécurité ....................................................................99 Plans de continuité d’activité (PCA) et Plans de reprise d’activité (PRA) .........................................99 Attentes en matière législative...........................................................................................................99 Échanges avec la salle ....................................................................................................................100
SIGLES .................................................................................................................................. 101 Lille – 24 mars 2009
5
Forum International sur la Cybercriminalité 2009
Intervenants MICHELE ALLIOT- MARIE................................................................................................................. 10 PIERRE DE SAINTIGNON.................................................................................................................. 15 ROLAND GILLES ............................................................................................................................... 16 JEAN-MICHEL BÉRARD.................................................................................................................... 17 JACQUES BARROT........................................................................................................................... 17 SYLVAIN KLECZEWSKI .................................................................................................................... 19 CHRISTIAN AGHROUM ..................................................................................................................... 19 TIMOTHY BOERNER ......................................................................................................................... 19 COLONEL STANISLAS DE MAUPEOU ............................................................................................ 19 EMMANUEL SARTORIUS.................................................................................................................. 20 RICHARD OLSZEWSKI...................................................................................................................... 24 JEROME CLAUZURE......................................................................................................................... 24 CLAUDE COLLIN ............................................................................................................................... 25 ANTOINE COUDRE............................................................................................................................ 26 PIERRE MASCLET............................................................................................................................. 26 ANNIE ZANI ........................................................................................................................................ 27 PHILIPPE LEGAND ............................................................................................................................ 29 FRANÇOIS MARCEL ......................................................................................................................... 29 JACQUES HENNO ............................................................................................................................. 31 DOMENICO VULPIANI ....................................................................................................................... 31 ISABELLE OUELLET ......................................................................................................................... 31 DIDIER CHANAL ................................................................................................................................ 32 CAMILLE MARTINI............................................................................................................................. 32 COMMANDANT ALAIN PERMINGEAT ............................................................................................. 33 JULIA VON WEILER .......................................................................................................................... 33 SERGENTE JOSÉE LAFLAMME....................................................................................................... 35
Lille – 24 mars 2009
6
Forum International sur la Cybercriminalité 2009
LAURENT BAUP ................................................................................................................................ 35 LIONEL THOUMYRE.......................................................................................................................... 36 CAROLE GAY..................................................................................................................................... 36 FREDERIC GÉRAUD DE LESCAZES ............................................................................................... 37 ANTOINE GILLES .............................................................................................................................. 37 PIERRE-YVES LEBEAU..................................................................................................................... 38 DEBORAH ELALOUF ........................................................................................................................ 39 PASCALE GARREAU ........................................................................................................................ 39 FRANÇOIS BISSON ........................................................................................................................... 40 VERONIQUE FIMA-FROMAGER ....................................................................................................... 40 JEANNE-MARIE HEBBINCKUYS ...................................................................................................... 41 SOLANGE BELKHAYAT-FUCHS ...................................................................................................... 44 SERGE LE ROUX ............................................................................................................................... 44 SEBASTIEN VILLAIN ......................................................................................................................... 45 JULIEN ORSOLINI ............................................................................................................................. 45 LOÏC KERBOEUF............................................................................................................................... 45 DANIEL GUINIER ............................................................................................................................... 47 ALAIN FAUVARQUE.......................................................................................................................... 48 PAOLO COMPAGNONE .................................................................................................................... 48 GILLES DUTEIL.................................................................................................................................. 49 DOMINIQUE CIUPA............................................................................................................................ 50 SEBASTIEN BOMBAL ....................................................................................................................... 53 LAURENCE IFRAH............................................................................................................................ 53 STANISLAS DE MAUPEOU.............................................................................................................. 54 CHRISTIAN AGHROUM ..................................................................................................................... 54 MIKE HARING .................................................................................................................................... 54 GUILLAUME TISSIER ........................................................................................................................ 54 GEORGES GIRARD ........................................................................................................................... 56
Lille – 24 mars 2009
7
Forum International sur la Cybercriminalité 2009
YANN SERRA..................................................................................................................................... 56 CHEF D’ESCADRON NICOLAS DUVINAGE .................................................................................... 57 ROMAIN RABOIN............................................................................................................................... 58 GUILLAUME LAROCHE DE ROUSSANE ......................................................................................... 58 JEAN-LIONEL LACCOURREYE........................................................................................................ 58 BENOIT GOSSE ................................................................................................................................. 59 DOMINIQUE GUENAUX..................................................................................................................... 59 MAITRE BENOIT LOUVET................................................................................................................. 60 JEAN-LUC TARDY ............................................................................................................................. 60 ARNAULD DUBOIS............................................................................................................................ 61 PASCAL AGOSTINI ........................................................................................................................... 61 ISABELLE TISSERAND ..................................................................................................................... 64 SERGE SOUDOPLATOFF ................................................................................................................. 64 JEAN-PAUL PINTE ............................................................................................................................ 64 NICOLAS SADIRAC ........................................................................................................................... 65 ODILE AMBRY ................................................................................................................................... 65 CHEF D’ESCADRON NICOLAS DUVINAGE .................................................................................... 66 DAVID CASSEL.................................................................................................................................. 66 GUY VONCKEN.................................................................................................................................. 67 CAPITAINE PATRICK TESTUZ ......................................................................................................... 67 CHRISTOPHE MONNIEZ ................................................................................................................... 67 LIDIJA KOMLEN NIKOLIC................................................................................................................. 68 NICOLAS ARPAGIAN ........................................................................................................................ 70 MICHEL RIGUIDEL............................................................................................................................. 71 OLIVIER QUINIOU.............................................................................................................................. 71 FRANCK VEYSSET............................................................................................................................ 71 DAVID DELANNOY ............................................................................................................................ 71 DOMINIQUE DESCHAMPS................................................................................................................ 72
Lille – 24 mars 2009
8
Forum International sur la Cybercriminalité 2009
AMIRAL GIRARD ............................................................................................................................... 73 JEAN-CHRISTOPHE LE TOQUIN...................................................................................................... 75 RADOMIR JANSKY............................................................................................................................ 76 LIEUTENANT-COLONEL ÉRIC FREYSSINET .................................................................................. 76 LOUIS-JOSEPH BROSSOLET .......................................................................................................... 77 RICHARD OLSZEWSKI...................................................................................................................... 77 PASCAL LOINTIER ............................................................................................................................ 78 LAURENT PERRUCHE ...................................................................................................................... 79 CHARLES DAUMALE ........................................................................................................................ 79 CHRISTOPHE ROQUILLY ................................................................................................................. 81 LAURENT ASSELIN........................................................................................................................... 82 BLANDINE POIDEVIN........................................................................................................................ 82 MYRIAM QUEMENER ........................................................................................................................ 82 COLONEL JOËL FERRY ................................................................................................................... 82 JANE WINN ........................................................................................................................................ 83 FREDERIC BERGÉ ............................................................................................................................ 84 GUILLAUME DESGENS-PASANEAU ............................................................................................... 84 FABIEN DHAINAUT ........................................................................................................................... 85 ANDRE DELAFORGE ........................................................................................................................ 86 JEAN-PAUL PINTE ............................................................................................................................ 87 JEAN-FRANÇOIS MONTEIL.............................................................................................................. 88 SEBASTIEN VILLAIN ......................................................................................................................... 88 DOMINIQUE CIUPA............................................................................................................................ 89 SYLVAINE LUCKX ............................................................................................................................. 90 GERARD PESCH................................................................................................................................ 91 CORINNE NOËL ................................................................................................................................. 91 CHRISTIAN BOIREAU ....................................................................................................................... 91
Lille – 24 mars 2009
9
Forum International sur la Cybercriminalité 2009
SYNTHÈSE DES PLÉNIÈRES
Lille – 24 mars 2009
10
Forum International sur la Cybercriminalité 2009
Intervention de Madame le Ministre de l’Intérieur
[Texte intégral] MICHELE ALLIOT- MARIE Ministre de l’Intérieur, de l’Outre-mer et des Collectivités territoriales Mesdames, Messieurs, La cybercriminalité d’aujourd’hui se distingue de celle d’hier d’abord par son étendue. Criminels et délinquants ont compris qu’ils pouvaient, grâce au monde virtuel, reproduire et amplifier ce qu’ils faisaient dans le monde réel. C’est vrai des atteintes à la vie privée, devenues un nouvel enjeu avec la multiplication des réseaux sociaux sur Internet. C’est vrai des escroqueries en lignes ou des attaques racistes et antisémites. C’est vrai de la pédophilie et de la pédopornographie, qui vise des enfants et des adolescents de tous âges. C’est vrai de l’espionnage industriel. Au cours des trois dernières années, près de 500 agressions économiques d’origine informatique ont été relevées par nos services. C’est vrai du terrorisme, qui utilise Internet pour répandre sa propagande, diffuser des modes d’emploi d’explosifs ou pirater des sites stratégiques. Le seul point commun aux formes diverses de la cybercriminalité est l’usage du réseau. Pour lutter contre la délinquance et la criminalité sur le terrain réel, nous disposons d’une gamme d’outils diversifiés et éprouvés. Pour relever le défi de la cybercriminalité, il nous faut des moyens adaptés, dans le cadre d’une approche globale de la lutte contre la cybercriminalité. Ma priorité a été de renforcer nos capacités d’action contre la cybercriminalité. J’ai pris l’an dernier un certain nombre d’engagements devant vous. Je les ai tenus. Améliorer la formation des enquêteurs d’abord, en quantité et en qualité. J’ai décidé le doublement en trois ans du nombre de cyber-enquêteurs de la police et de la gendarmerie.
Lille – 24 mars 2009
11
Forum International sur la Cybercriminalité 2009
En créant la certification d’Investigateur en Cybercriminalité, j’ai amélioré le niveau de formation des cyber-enquêteurs au sein de l’Office de Lutte contre la Criminalité liée aux Technologies de l’Information. Le titre d’Investigateur en cybercriminalité correspond à une certification de niveau bac + 3 et bac + 4. Il sanctionnera une formation de quatre semaines au sein de l’office tout en valorisant l’expérience acquise dans des fonctions exercées sur le terrain pendant trois années minimum. Les enquêteurs formés par la police ont atteint le nombre de 200 à la fin de l’année 2008. Ils seront 300 à la fin de l’année 2009. Parallèlement, le nombre de NTECH, formés par la gendarmerie en partenariat avec l’université, atteindra 214 fin 2009. En complément de ce dispositif, des « correspondants NTECH » au sein des brigades seront formés par la gendarmerie nationale. Des instruments nouveaux ont été mis en place. Une plate-forme nationale de signalement des sites et contenus illicites sur Internet est hébergée par l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information. Jusqu’alors, le signalement automatique n’était possible que pour les sites à caractère pédopornographiques. Depuis janvier dernier, elle donne aux internautes les moyens de signaler automatiquement toute forme de malversation constatée sur Internet. Plus de 450 000 connexions ont été enregistrées depuis le début de l’année. Près de 12 500 signalements ont été effectués. Pour mieux cibler les investigations, j’ai créé un groupe dédié aux escroqueries sur Internet au sein de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication de la police judiciaire. Ce groupe permet, grâce à l’expertise de policiers et de gendarmes, de centraliser les informations relatives aux escroqueries, facilite les recoupements entre différentes plaintes recueillies sur l’ensemble du territoire national. Pour aller au-delà de ces premiers résultats, il faut modifier la législation. J’ai donc fait inscrire dans le projet de LOPPSI des mesures visant à renforcer notre action. La CNIL a été saisie pour ce qui la concerne et le Conseil d’État pour l’ensemble du projet de loi. L’usurpation d’identité sur Internet sera mieux sanctionnée. Usurper l’identité d’autrui par courrier est interdit par la loi. Ce n’est pas le cas pour l’usurpation d’identité sur Internet. Et pourtant, la diffusion sur Internet est plus large que celle que peut connaître le courrier. Le blocage des contenus à caractère pédopornographique par les fournisseurs d’accès à Internet est prévu dans le projet de loi.
Lille – 24 mars 2009
12
Forum International sur la Cybercriminalité 2009
Il n’est pas tolérable que des sites hébergés à l’étranger puissent diffuser de tels contenus sur Internet. J’ai donc mené la concertation avec les fournisseurs d’accès pour que soit inscrit dans la loi le principe du blocage de ces sites et contenus. La possibilité de captation de données numériques à distance permettra aux enquêteurs, par exemple, de saisir en temps réel des données au moment où elles s’affichent sur l’écran d’un pédophile ou d’un terroriste. Mesdames, Messieurs, Renforcer nos moyens humains, matériels et juridiques est un préalable et une nécessité. Ce n’est pas suffisant. Une approche globale est indispensable à la lutte contre la cybercriminalité. Une approche fondée sur la coopération internationale. Contre une menace qui ignore les frontières, nous ne pouvons pas agir seuls. Je veux encourager le dialogue, les échanges et les actions communes avec nos partenaires extérieurs. L’existence même de ce Forum International sur la Cyberciminalité s’inscrit dans cette perspective. Je tiens à en féliciter les organisateurs. Le guide méthodologique sur les bonnes pratiques face à la cybercriminalité est le résultat concret d’une coopération entre les cyber-enquêteurs français et belges. Je m’en félicite. Á l’échelle de l’Union européenne, j’ai fait adopter par le Conseil des ministres de l’Union la création d’une plate-forme européenne de signalement des infractions relevées sur Internet. Financée par la Commission européenne, hébergée par Europol, elle sera mise en place cette année et fonctionnera à partir de dispositifs de signalement nationaux. J’entends également poursuivre notre coopération bilatérale dans ce domaine. Ainsi, lors de ma récente visite aux États-Unis, j’ai obtenu que nous travaillions à la connexion de cette future plate-forme avec la plate-forme américaine. Les contacts avec mon homologue lors du sommet franco-russe ouvrent aussi des perspectives. Une approche globale, c’est aussi une approche qui associe l’ensemble des acteurs de la chaîne de sécurité. Cela suppose des structures de dialogue pour favoriser les échanges.
Lille – 24 mars 2009
13
Forum International sur la Cybercriminalité 2009
- J’ai créé un Conseil de sécurité économique au sein du ministère de l’Intérieur parce que nous devons mieux travailler ensemble à l’identification des menaces. En son sein, un groupe dédié à l’insécurité économique nous fait avancer la réflexion dans ce domaine. - Un Conseil national du numérique, chargé de la concertation avec l’ensemble des acteurs du numérique, sera mis en place par le gouvernement dans le cadre du plan France numérique 2012. J’ai souhaité qu’y figure un groupe chargé des questions de sécurité, associant tous les acteurs de l’Internet, y compris les utilisateurs. Criminologues, juristes, fournisseurs d’accès à Internet, chefs d’entreprises pourront y travailler ensemble. Au-delà des structures, c’est un nouvel état d’esprit que j’entends créer en renforçant le partenariat avec les entreprises. La protection des entreprises contre l’ingérence et l’espionnage industriel est un enjeu de sécurité nationale. C’est particulièrement vrai à l’heure de la crise économique et financière. Protéger les entreprises, c’est protéger notre tissu économique et donc nos emplois. Voilà pourquoi j’appelle chacun à la vigilance et à une politique volontariste d’intelligence économique, défensive pour lutter contre les ingérences étrangères, active pour appuyer les secteurs sensibles ou stratégiques. J’incite à prendre en compte tous les pôles d’excellence de notre patrimoine économique, industriel et scientifique : qui pourrait ainsi penser que 2/3 des situations avérées d’ingérence économique recensées depuis deux ans concernent la filière agro-industrielle ? C’est forte de ces convictions qu’à l’été dernier, j’ai demandé à chaque préfet de région d’élaborer un plan triennal d’intelligence économique dans leur région. Ces plans, que je viens d’approuver, représentent une démarche cohérente au profit des entreprises comme des structures de recherche et, tout particulièrement, des pôles de compétitivité. J’attends maintenant que les préfets de région fassent vivre ces plans, en étroite liaison avec tous les services concernés de l’État et, au premier chef, les services de la DCRI. Les entreprises sont un enjeu de la lutte contre la cybercriminalité. Elles doivent en devenir des acteurs à part entière. La crise économique aggrave les risques de la compétition internationale. Plus que jamais, l’intelligence économique est une arme indispensable pour faire face aux prédateurs et pour donner aux acteurs de la vie économique les munitions nécessaires. Mon objectif est donc de donner force et visibilité au secteur de l’intelligence économique.
Lille – 24 mars 2009
14
Forum International sur la Cybercriminalité 2009
Cette volonté politique reconnaît l’importance de la recherche d’informations stratégiques. Cette volonté politique implique également, il faut le répéter, une évolution de certaines méthodes utilisées dans l’univers de l’intelligence économique. C’est pour cela que j’ai introduit deux orientations dans la LOPPSI. D’abord, soumettre les sociétés et leurs dirigeants à une procédure d’agrément. Dans cette procédure, l’avis d’une commission consultative nationale sera sollicité. Cette commission associera naturellement les acteurs professionnels. C’est la garantie de décisions objectives, conscientes des réalités économiques, loin des réflexes et des routines de l’administration française. Ensuite, pour éviter certaines pratiques, je veux aussi réduire les risques de trafics d’influence. Le projet de loi proposera donc un délai de 3 ans avant que les fonctionnaires civils et militaires ayant exercé dans un service de renseignements ne puissent exercer d’activités privées. Je sais que ces propositions suscitent de nombreux commentaires. Les uns les considèrent comme insuffisantes, les autres comme excessives. Je laisse à chacun le soin de trouver une cohérence dans ces critiques. Moi ce qui m’intéresse, je le rappelle, c’est de donner à l’intelligence économique la place qui doit être la sienne. Une place d’importance, vous l’avez compris, ce qui suppose que le secteur dispose d’entreprises ambitieuses et fortes ! Mesdames, Messieurs, Ministre de l’Intérieur, en charge de la protection des Français, je refuse de laisser nos concitoyens et nos entreprises sans défense face à une menace protéiforme, internationalisée et de plus en plus sophistiquée. Internet est un formidable espace de libertés. En luttant contre la cybercriminalité, je veux faire d’Internet ce qu’il n’aurait jamais dû cesser d’être : un espace d’échanges, de diversité et de dialogue d’échelle mondiale. Je vous remercie.
Lille – 24 mars 2009
15
Forum International sur la Cybercriminalité 2009
Discours introductifs
PIERRE DE SAINTIGNON Premier adjoint au maire de Lille, vice-président en charge du développement économique, de l’emploi, des nouvelles technologies et de la formation permanente pour le conseil régional du Nord – Pas – de Calais (France) En ce 24 mars 2009, la ville de Lille est heureuse d’accueillir le 3e Forum international sur la cybercriminalité (FIC). Notre ville s’affirme comme une Eurométropole riche de trois atouts : sa position géographique, le dynamisme de tous les acteurs de la vie économique et la prise en compte par les collectivités des enjeux territoriaux de ces nouvelles technologies. La position géostratégique de la ville de Lille en fait un pôle de référence en terme de sécurité, à l’entrée de l’Europe du Nord. Elle accueille dans ce cadre quatre grands commandements militaires (la force terrestre, le corps de réaction rapide France – dans le cadre de l’OTAN –, la zone de défense NordPicardie et la gendarmerie Nord – Pas-de-Calais). Notre maire, Martine Aubry, a initié « Lille, la défense et l’Europe », une mission facilitant les échanges, les analyses et la formation autour des problématiques de défense et de sécurité. Les acteurs institutionnels, économiques, universitaires, scientifiques, sociaux et culturels ont l’habitude de travailler ensemble, dans des initiatives qui répondent aux enjeux de demain : le développement d’Internet, la dépendance croissante des entreprises et de la société aux nouvelles technologies de l’information et de la communication (NTIC) et toutes les formes de lutte contre l’ingérence dans la vie privée, l’espionnage industriel et les autres menaces. La prise en compte par les collectivités des enjeux territoriaux de ces technologies de communication nouvelles contribue à créer un espace public de droit, de service public et de solidarité. Le projet EuraTechnologies, inauguré ces jours-ci à Lomme, a vocation à héberger un cyper-pôle d’excellence contre la criminalité numérique et traduit la volonté de la métropole d’être un centre avancé dans la technologie de l’information et de la communication. La ville, la Communauté urbaine et la Région soutiennent toutes les initiatives concourant à la protection des données stratégiques, économiques et personnelles, notamment l’initiative S@ntinel1. Sur le terrain il sera nécessaire d’intensifier les actions suivantes : - partager l’expérience des acteurs des NTIC - sensibiliser et former à tous les aspects et enjeux de la cybercriminalité - promouvoir les solutions techniques et comportementales avec tous les partenaires
1
Association créée en janvier 2009 dont l’objet est de sensibiliser les entreprises, les collectivités territoriales, les établissements publics ou toute personne morale à la criminalité numérique Lille – 24 mars 2009
16
Forum International sur la Cybercriminalité 2009
- encourager la recherche scientifique et technologique - encourager les échanges entre les universités, les entreprises et les organismes publics - œuvrer afin de faire évoluer les politiques régionale, nationale et européenne dans ce domaine. L’enjeu de ce forum est de pouvoir relever les problématiques de demain, de faciliter l’activité économique des citoyens, pour que les NTIC soient placées au service de l’homme. ROLAND GILLES Général d’armée. Directeur général de la Gendarmerie nationale – Paris (France) Toutes les grandes familles professionnelles – policière, judiciaire, industrielle, associative… – concourant à la co-production de la sécurité numérique en France mais aussi à l’étranger, sont réunies pour évoquer un sujet européen et transverse. Elles témoignent de la place acquise par la répression de la cybercriminalité au sein de notre stratégie globale de sécurité. A la confluence de ces organisations, la Gendarmerie nationale s’est penchée très tôt sur des menaces, liées à la cybercriminalité, qui croissent pour devenir des phénomènes émergés. La réalité de l’ancrage d’Internet dans un espace culturel singulier – échappant au mode classique de répression des phénomènes criminels – nécessitait la mise en œuvre d’une stratégie de sécurité efficace. Il était nécessaire que la Gendarmerie acquière une intelligence de cette aire numérique, afin d’offrir des solutions préventives et répressives. Cette intelligence en mouvement s’exerce d’abord au plan central, en étroite collaboration avec la Police nationale. Le service technique de recherche judiciaire et de documentation de la gendarmerie et, plus particulièrement son institut de recherche criminelle, agit de concert, avec l’Office central de répression contre les violences faites aux personnes et l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). L’intelligence s’exerce ensuite au plan local et fait apparaître une articulation entre espace numérique et territoires. Dans un premier temps, des correspondants ont donc été formés aux NTIC et implantés dans chaque gendarmerie. Aujourd’hui, sur l’ensemble du territoire, 600 correspondants nouvelles technologies (NTech), épaulés par 200 enquêteurs, permettent aux Français un accès égal au droit à la sécurité numérique. Cet enjeu national répond aussi à la politique européenne de sécurité. La répression de la cybercriminalité demande à nos États de trouver des dénominateurs communs pour lutter de manière homogène face à des criminels qui se jouent des frontières ou de l’absence de frontières. La coordination policière doit pouvoir s’appuyer sur une harmonisation des législations au-delà des frontières. Ce forum doit permettre de dégager des synergies face à une criminalité qui cherche à confisquer ces nouveaux espaces numériques, en y infusant une insécurité que nous devons combattre collectivement.
Lille – 24 mars 2009
17
Forum International sur la Cybercriminalité 2009
JEAN-MICHEL BÉRARD Préfet de région Nord-Pas-de-Calais, Préfet du Nord, Préfet de zone de défense Nord – Lille (France). Le nombre de personnes et d’entreprises inscrites, la qualité des intervenants et l’intérêt des médias montrent à quel point le Forum international de la cybercriminalité est un moment enraciné et important dans la lutte contre la cybercriminalité. La lutte ne doit pas être réservée à certains experts ou spécialistes, qui agiraient uniquement dans un monde virtuel et technologique. En effet, la cybercriminalité affecte les plus faibles (les adolescents et les enfants), mais elle menace aussi la pérennité des entreprises, des collectivités et la santé des personnes, par des conséquences matérielles, financières et concrètes. Il est donc nécessaire que l’État, autant que les utilisateurs d’Internet, privés ou professionnels, fassent preuve d’une vigilance permanente et que s’affirme une lutte déterminée, par la prévention, la protection, la recherche et la répression. Au-delà des échanges, le message doit être partagé avec le concitoyen. Tout appareil d’échanges de données est sensible à ces pirateries. Cependant, il ne faut pas entretenir une peur extrême de l’usage de ces outils, que ce soit Internet ou ses produits technologiques dérivés. Il faut être informé des risques, adopter et adapter les outils techniques et juridiques aux défis de la cybercriminalité. Cet effort conséquent doit être renouvelé de manière permanente. JACQUES BARROT Vice-président, Commission européenne (Enregistrement vidéo) Ce 3e Forum international sur la cybercriminalité est devenu le rendez-vous de référence international sur ce fléau des temps modernes. En contribuant à nous rapprocher, les nouvelles technologies sont un outil formidable de communication, mais elles ouvrent aussi aux criminels de nouvelles possibilités. Afin de pouvoir agir ensemble contre la cybercriminalité, une meilleure connaissance du monde numérique est nécessaire. Dans ce cadre, l’Europe doit jouer un rôle important et apporter une réponse adaptée. En 2007, la Commission européenne a présenté le projet intitulé « Vers une politique générale en matière de lutte contre la cybercriminalité ». Les deux principales priorités de ce projet sont d’une part de lutter contre la violence sexuelle exercée contre les enfants par le biais d’Internet et d’autre part de déjouer les attaques massives visant les systèmes d’information, notamment en agissant contre l’usurpation d’identité. Sur le plan législatif, les deux décisions cadres du Conseil européen sur ces deux priorités visent à renforcer la coopération judiciaire en matière pénale, en mettant en place des outils et des procédures efficaces qui rendent répréhensibles des actes tels que l’accès illicite à des systèmes d’information et
Lille – 24 mars 2009
18
Forum International sur la Cybercriminalité 2009
l’atteinte à l’intégrité des systèmes et des données. Afin d’intensifier cette collaboration, l’État doit désigner des points d’impact nationaux, opérationnels 24 heures sur 24 et 7 jours sur 7. Le cadre législatif doit être régulièrement adapté. Le développement de la cybercriminalité étant parallèle au développement informatique, les nouvelles attaques se multiplient, notamment à l’encontre des organes vitaux des infrastructures d’information. Cela a été récemment le cas en Estonie et en Lituanie (2007-2008). Un texte sera proposé en septembre 2009, en vue d’adapter les décisions-cadres aux nouvelles réalités et pour améliorer la coopération entre les États membres. Afin d’encourager la coopération transfrontalière, une plate-forme européenne de signalement va être mise en place et centralisera les procès-verbaux des infractions cybercriminelles dressés dans les différents États membres de l’Union européenne. Un crédit budgétaire de 300 000 € sera affecté à EUROPOL (European Police Office) pour la mise en œuvre de cette plate-forme. La Commission européenne soutient également la collaboration entre le public et le privé, qui doivent pouvoir échanger des informations actualisées sur les activités de cybercriminalité. En septembre 2008, une réunion a été organisée pour trouver les moyens de renforcer la collaboration dans l’Union européenne. Des propositions concrètes ont été validées en novembre par le Conseil des ministres de la Justice et des Affaires Intérieures. Afin d’encourager la formation des enquêteurs en matière de cybercriminalité, la Commission propose de mettre en place une plate-forme européenne de formation en partenariat avec les États membres, EUROPOL, le Collège européen de police (CEPOL), le secteur privé et les universités. Enfin, une coalition financière européenne, combinant les efforts publics et privés visant à rendre plus difficile la perception des profits moteurs de la diffusion pédopornographique a été lancée le 3 mars 2009.
Lille – 24 mars 2009
19
Forum International sur la Cybercriminalité 2009
Conférence plénière d’ouverture / La protection des systèmes d’information : véritable enjeu de sécurité nationale Présentation des organisations représentées SYLVAIN KLECZEWSKI Animateur. Directeur de la communication à la Chambre régionale de commerce et d’industrie (CRCI)Lille (France) Chaque intervenant peut-il présenter les missions de son organisme ? CHRISTIAN AGHROUM Commissaire divisionnaire, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) – Paris (France) La mission de l’OCLCTIC de police judiciaire est de centraliser l’information et de la redistribuer. Cette mission est à la fois tactique – car les enquêteurs ont des compétences nationales – et stratégique. L’OCLCTIC a la responsabilité de porter les idées et les lois en collaboration avec les ministères. TIMOTHY BOERNER Spécialiste en recherche criminelle, United State secret service – Francfort (Allemagne) La tragédie du 11 septembre 2001 a conduit les analystes criminels à collaborer avec les enquêteurs américains, notamment le FBI, mais aussi avec des agents internationaux et notamment les Français. Ensuite, en octobre 2002, ont été créées des unités nationales de cybercriminalité qui travaillent avec l’ensemble des unités de ce genre dans le monde entier. COLONEL STANISLAS DE MAUPEOU Chef du Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), Secrétariat général de la Défense nationale (SGDN), Direction centrale de la sécurité des systèmes d’information (DCSSI) - Paris (France) La SDGN est un des services du Premier ministre en charge des aspects de sécurité et de défense dans le cadre duquel la DCSSI a pour enjeu de veiller à la sécurité de l’information.
Lille – 24 mars 2009
20
Forum International sur la Cybercriminalité 2009
EMMANUEL SARTORIUS Haut fonctionnaire de défense et de sécurité auprès du ministère de l’Économie, de l’Industrie et de l’Emploi – Paris (France) Dans chaque ministère, un haut fonctionnaire de défense et de sécurité est chargé de la prévention et de la gestion de crise. Il doit y mener une politique de sécurisation des systèmes d’information. Dans le cadre du livre blanc2, le ministre de l’Économie est chargé plus particulièrement de la sécurité économique qui englobe les notions de résilience3 et de continuité de l’activité.
Les enjeux de l’extraterritorialité Sylvain KLECZEWSKI Au cœur de la globalisation, quel est l’impact de l’extraterritorialité ? Christian AGHROUM La première conséquence de l’extraterritorialité provient d’une nécessité double : l’internaute doit comprendre qu’il n’est plus isolé, mais surtout que l’agression qu’il va subir est extraterritoriale et anonyme. C’est exactement ce qui complique le travail des enquêteurs et rend indispensable la collaboration des différents services politiques et de police. Sylvain KLECZEWSKI Quelle est la conséquence de l’extraterritorialité sur le e-commerce ? Emmanuel SARTORIUS Le e-commerce, vecteur de croissance économique, a représenté 20 milliards d’euros en 2008 pour la France. L’extraterritorialité ne permet pas à la législation nationale de s’appliquer et autorise notamment le développement de la fraude fiscale – par le non-paiement de la TVA –, du commerce de produits dangereux – médicaments et pièces détachées – ainsi que des fraudes à la carte bleue – par le phishing4. A présent, il existe un observatoire de la sécurité des cartes bleues à la Banque de France. Sylvain KLECZEWSKI Avez-vous une idée précise de ce que représente la fraude au niveau international ? Timothy BOERNER Au niveau international, par an, des milliards de dollars sont détournés par la fraude. Le plus souvent, ce n’est pas le fait d’individus isolés, mais d’organisations très structurées.
2
Livre blanc sur la défense et la sécurité de l’État : Document de référence pour les 15 prochaines années, validé en juin 2008 par le président de la République 3 Le phénomène de résilience est la capacité de la nation à rebondir sur la crise et à revenir à un fonctionnement normal (institutions, économie) 4 Technique d’usurpation d’identité pour soutirer des informations personnelles Lille – 24 mars 2009
21
Forum International sur la Cybercriminalité 2009
La sensibilisation et la formation aux risques Sylvain KLECZEWSKI Comment peut-on sensibiliser les utilisateurs à ces risques ? Emmanuel SARTORIUS L’éducation des entreprises et des particuliers aux risques des transactions commerciales est primordiale. Dans le domaine professionnel, les grandes entreprises possèdent tous les moyens de se protéger. La difficulté reste néanmoins plus importante pour les PME, qui possèdent des moyens financiers et donc techniques plus limités. Un effort d’éducation doit être réalisé, également auprès du public, notamment au travers de conférences de sensibilisation. Sylvain KLECZEWSKI Le danger est-il de croire qu’Internet est un monde strictement virtuel ? Christian AGHROUM En effet, le monde virtuel n’existe pas. La problématique d’Internet est bien réelle sous la forme de la cyberpornographie, de l’espionnage industriel, du phishing et des millions d’euros qui échappent aux entreprises. Colonel Stanislas de MAUPEOU Je ne partage pas l’optimisme selon lequel les grandes entreprises sont mieux protégées des risques. Le code Conficker, que nous combattons actuellement, montre que l’appréciation du risque est faussée dans les grandes entreprises, notamment en raison de l’hétérogénéité et de l’éclatement du parc de l’entreprise. De plus, le système informatique irriguant la société rend impossible toute différenciation entre le monde virtuel et le monde réel. Sylvain KLECZEWSKI Comment les choses se passent-elles en dehors de la France ? Timothy BOERNER L’Europe est une expérience intéressante car les différents pays collaborent. Cependant, le nombre des pays présents au sein de l’Union rend nécessaire la formation de tous et notamment des politiques. L’organisation de ce type de forum autour de discussions entre les différents acteurs de l’espace numérique est primordiale. La lutte contre les trafics de drogue et la pédopornographie qui utilisent Internet est un combat quotidien.
Lille – 24 mars 2009
22
Forum International sur la Cybercriminalité 2009
Les moyens mis en œuvre en France Sylvain KLECZEWSKI En France, sommes-nous naïfs par rapport aux attaques ? Christian AGHROUM En comparaison avec l’Europe, la France n’a pas à rougir ni de ses outils législatifs ni de sa motivation. La plate-forme européenne est notamment née d’une idée française. Tous les éléments qui permettent aux États européens de travailler ensemble sont autant d’éléments qui font progresser la France. Cependant, les efforts doivent se poursuivre, en prenant en compte que les investissements, aussi importants soient-ils, sont faibles par rapport au préjudice causé5. Dans des cas de fraude où joue l’extraterritorialité, une coopération permet des avancées considérables. Emmanuel SARTORIUS En termes techniques, même si la lutte contre les attaques cybercriminelles est bien entamée, la France, doit néanmoins intensifier la formation de tous les utilisateurs. Colonel Stanislas de MAUPEOU Tout de même, en France, le taux de détection des attaques informatiques, dans le gouvernement et dans l’administration, est inférieur à celui de nos homologues européens. Par comparaison, il existe cinq CERT6 en France alors qu’il y en a 18 en Allemagne et 17 en Grande-Bretagne. Sylvain KLECZEWSKI Il faut donc poursuivre les efforts. La maîtrise de l’information, autant en terme de répression que d’accompagnement des utilisateurs d’Internet, est-elle primordiale ? Colonel Stanislas de MAUPEOU La fluidité de l’information ne rend pas le monde plus complexe, mais le rend plus incertain, en particulier en terme de valeur de l’information, ce qui accroît la nécessité de maîtriser cette information. De plus, la transmission des données est au cœur de l’activité économique et rend l’amélioration de la sensibilisation primordiale. Un portail7 orienté vers le grand public et les PME a été créé dans cette intention. Cependant, la sensibilisation ne suffit pas, il faut aussi que les entreprises fassent l’effort d’acheter les produits de sécurité et de suivre les recommandations des audits. L’information qui irrigue toutes les couches de la société ne doit pas devenir toxique. Christian AGHROUM Les entreprises ne doivent pas non plus utiliser la crise comme alibi pour réduire leur budget de sécurité. Écarter la sécurité au profit d’autres postes de travail aurait un effet incommensurable, les conséquences d’une effraction pouvant retentir à plus ou moins long terme.
5
En moins de deux ans, les trois opérateurs téléphoniques ont subi une fraude de 8 millions d’euros. Les CERT (Computer Emergency Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous (source Wikipédia) 7 www.secu-info.gouv.fr 6
Lille – 24 mars 2009
23
Forum International sur la Cybercriminalité 2009
Sylvain KLECZEWSKI Comment s’est traduite la prise de conscience des pouvoirs publics ? Colonel Stanislas de MAUPEOU Le point de départ réglementaire a été le décret du 23 février 2006, complété par l’arrêté du 2 juin 2006, qui met en lumière 12 secteurs d’activité d’importance vitale au fonctionnement même de notre société. Auxquels peut s’ajouter Internet qui est devenu aussi une infrastructure vitale. Or, pour des raisons d’interopérabilité et de coûts, les utilisateurs se servent davantage de protocoles Internet fragiles. Emmanuel SARTORIUS Dans le cadre de la mise en place des Directives nationales de sécurité (DNS) dans l’industrie, la communication électronique et l’audiovisuel, les scénarios d’attaques occupent une place importante. Sylvain KLECZEWSKI Les pôles de compétitivité utilisent beaucoup les technologies, quels en sont les dangers ? Emmanuel SARTORIUS Ces pôles de compétitivité mettent en valeur des compétences et communiquent sur des savoir-faire, ce qui rend les entreprises vulnérables. Les interconnexions et échanges d’information entre ces entreprises partenaires trouvent leurs limites en terme de concurrence. Sylvain KLECZEWSKI Au niveau du politique, quels sont les autres moyens pour que la collaboration soit plus efficace ? Timothy BOERNER Étant donné que les attaques cybercriminelles affectent le marché mondial, il est absolument nécessaire que les politiques, les services de polices et l’ensemble des personnes qui travaillent à la prévention des crimes collaborent au niveau international. Sylvain KLECZEWSKI Nous effectuons un tour de table final sur la coopération internationale. Emmanuel SARTORIUS Il ne faut pas légiférer, mais plutôt renforcer la collaboration bilatérale entre les Etats. Colonel Stanislas de MAUPEOU Les échanges techniques, au travers de la collaboration entre les CERT, permettent une action rapide. Christian AGHROUM Les outils qu’offre la législation sont suffisants, à condition de les mettre en place dans les pays les plus sensibles. Le Conseil de l’Europe doit faire en sorte que la Convention de Budapest8 soit davantage signée. En France, il est nécessaire de renforcer la collaboration avec la Russie et l’Ukraine, mais aussi avec les pays d’Afrique, en insistant sur la formation.
8
Qui offre des outils pour la lutte contre la cybercriminalité Lille – 24 mars 2009
24
Forum International sur la Cybercriminalité 2009
Comment les acteurs territoriaux sécurisation de l’espace numérique
participent
à
la
RICHARD OLSZEWSKI Animateur - Conseiller communautaire délégué à la prévention des risques de Lille métropole communauté urbaine (LMCU) – Lille (France) Nous présenterons au cours de cet échange le positionnement des collectivités locales, des établissements publics, voire du monde associatif qui dématérialisent leurs actions et travaillent en réseau. Ils sont confrontés à des risques de plus en plus avérés. Ce travail de réflexion doit pouvoir aboutir à la mise en place de protocoles concrets.
Une information sur le numérique indispensable JEROME CLAUZURE Délégué général de l’Association française des utilisateurs de télécommunications (AFUTT), Marne-laCoquette (France) L’AFUTT a été créée en 1969 pour faire face au retard du développement du téléphone en France. Depuis, elle s’intéresse davantage à la numérisation et à Internet et s’est donné trois missions principales : - l’information et la pédagogie : du public et des entreprises - l’intermédiation dans la communication électronique : l’AFUTT reçoit et instruit les plaintes de consommateurs - la concertation et la régulation du marché électronique entre tous les utilisateurs. La présence de l’AFUTT au Forum international sur la cybercriminalité se justifie par le nombre d’utilisations qu’elle représente : 57 millions d’utilisateurs du téléphone et 20 millions d’internautes. Les individus, les collectivités et les entreprises sont confrontés au défi d’une société d’hyper-information, résumée dans le Web 2.0 qui échappe à toute règle conventionnelle. Le consommateur tente de se forger une nouvelle identité numérique qui induit le risque d’une fracture numérique à trois niveaux : - celui de l’individu : dans la cellule familiale, la compréhension des outils n’est pas uniforme - celui de la collectivité : les collectivités par rapport à leurs administrés - celui de l’entreprise : les collaborateurs sont confrontés à la virtualisation du poste de travail ; l’ubiquité des usages engendre une problématique de sécurité.
Lille – 24 mars 2009
25
Forum International sur la Cybercriminalité 2009
Richard OLSZEWSKI Existe-t-il aussi une fracture sociale ? Jérôme CLAUZURE En effet, il existe une fracture sociale en matière de risques et de cyberdélinquance. Depuis un an, l’AFUTT dénonce les arnaques par spam et sms, en alertant notamment les services de police et en collaborant également avec l’OCLCTIC. Les arnaques touchent d’abord les personnes fragilisées socialement. Plusieurs millions de victimes ont été recensés et la plate-forme 33 700, après trois ou quatre mois de mise en œuvre, a enregistré 200 000 à 300 000 signalements ayant occasionné 200 000 à 250 000 fermetures de services illégaux (par l’OCLCTIC et les opérateurs). Richard OLSZEWSKI Les associations d’aide aux victimes sont d’ailleurs peu sensibilisées au profil de ces victimes ? Jérôme CLAUZURE Les administrés démunis face à ces actes illégaux s’adressent d’abord à leurs collectivités locales, qui ont un rôle pédagogique majeur à jouer. Elles ont néanmoins besoin de relais et de moyens humains et techniques pour dresser la cartographie des compétences numériques dans les collectivités.
L’assistance aux collectivités locales CLAUDE COLLIN Président de l’Institut gestion et prévention des risques (IGPR) - France L’IGPR a été créé en 1991 (association loi 1901) avec pour objectif d’offrir une assistance aux collectivités locales et, notamment, aux maires, qui disposent de pouvoirs de police. L’informatisation est le système nerveux des collectivités sous la forme de la vidéosurveillance, mais aussi des systèmes techniques (tels que la climatisation), ou des systèmes embarqués (tels que les ordinateurs portables). La volonté des collectivités de renforcer la protection de leur système informatique se heurte à la faiblesse des moyens dont elles disposent. A ce constat s’ajoute celui de la vulnérabilité du système. En cas de crise, comme une inondation, un système d’alerte se met en marche. Quelles seraient les conséquences si ce système ne fonctionnait pas ? La question de la sécurité des données se pose également : par exemple, lors de départs de personnel à la retraite avec le risque de fichiers embarqués. Il est nécessaire de réfléchir à la protection de ces données. La création d’un groupe qui étudiera la vulnérabilité de la sécurisation des systèmes de communication est en projet au sein de la communauté urbaine de Lille. Richard OLSZEWSKI La diffusion hertzienne de films provenant de caméras de vidéosurveillance constitue-t-elle un détournement de la fonction première de cet outil ?
Lille – 24 mars 2009
26
Forum International sur la Cybercriminalité 2009
Claude COLLIN Les bandes de vidéosurveillance peuvent être conservées au maximum 24 heures, cela pose néanmoins des problèmes de protection des personnes et de liberté individuelle. Il est nécessaire de créer, dans les collectivités, une nouvelle intelligence sur ce thème.
Le monde associatif et les problématiques sécuritaires ANTOINE COUDRE Directeur de l’association Sécurité emploi service (SES) – Roubaix (France) L’association SES est, depuis 20 ans, un acteur majeur de la sécurité, en contact permanent et de manière dématérialisée (mail, réseau, sms, téléphone…) avec les mairies, l’intercommunalité, les acteurs institutionnels de l’État (Pôle emploi, Caisses d’allocations familiales, etc.), les associations… Ces différents acteurs sont confrontés à des problématiques sécuritaires à différents niveaux. Par exemple, les appels d’offres dématérialisés sont difficiles à mettre en œuvre en raison des délais qui ne peuvent être respectés et des personnes non formées aux risques liés à la sécurité des données. En tant qu’acteur de la sécurité, l’association SES attend la mise en place de protocoles uniques, de spécialistes qui viendraient former ces personnes sur le terrain. En effet, des enquêtes révèlent que certaines actions liées à un manque de connaissances peuvent être pénalement condamnées : par exemple le traitement de bases de données non sécurisées ou l’absence de déclaration à la CNIL. Certains des acteurs, notamment du monde associatif, n’ont pas accès aux informations en matière de sécurité, ce qui les place parfois en dehors de la loi. Les entreprises ont davantage de moyens financiers et peuvent se tenir informées des évolutions en termes de sécurité informatique. Le secteur associatif et non marchand, aux pratiques archaïques, aurait davantage besoin des partenaires institutionnels. Richard OLSZEWSKI Comment peut-on mieux sensibiliser le monde associatif à la sécurité numérique ? Antoine COUDRE Les acteurs institutionnels doivent commencer par se réunir afin de réfléchir aux solutions à apporter au monde associatif.
Le rôle de protection des collectivités locales vis-à-vis de leurs administrés PIERRE MASCLET Président de l’Association des maires du Nord, vice-président de l’Association des maires de France, maire d’Arleux (France) L’Association des maires du Nord regroupe 622 des 652 maires de la région. Ses missions consistent à écouter, former, informer les élus locaux en lien permanent avec le monde associatif. La révolution
Lille – 24 mars 2009
27
Forum International sur la Cybercriminalité 2009
numérique a conduit les élus locaux à numériser notamment l’état civil, la paie, la vidéosurveillance, les bases élèves… Cependant certains ignorent que ces applications sont connectées au réseau. La dématérialisation est un enjeu réel puisqu’elle permet la rationalisation des procédures, une transmission plus rapide et la préservation d’hectares de forêts. L’Association des maires de France encourage l’accélération des procédures de dématérialisation basées sur le volontariat. Les moyens financiers et humains sont au cœur du dispositif et les collectivités ne sont pas à l’abri de pratiques malhonnêtes de la part des prestataires. Une des premières actions à mener est la vulgarisation d’un langage ésotérique pour permettre ensuite aux élus locaux, au travers d’un cahier des charges, d’être capables de choisir un prestataire, du matériel et d’assurer la sécurité autour des communications électroniques. Richard OLSZEWSKI Il s’agit donc tout d’abord de combler la fracture numérique. Serait-il possible de voir des techniciens dans les groupements de communes ? Pierre MASCLET La mutualisation des moyens techniques et scientifiques au profit des communes pourrait s’opérer au travers d’un réseau public ou en association. Il existe déjà le « Réseau de villes et villages numériques » créé par un fonds commun européen et régional, dans lequel des techniciens apportent des outils avec un langage simple.
Les processus de protection des données informatiques au sein d’une communauté urbaine ANNIE ZANI Directrice des systèmes d’information – Lille métropole communauté urbaine (LMCU) – Lille (France) La LMCU est un établissement public, créé par la loi de 1966, qui regroupe 85 communes, soit 1,1 million d’habitants. La LMCU a pour particularité d’être composée notamment de quatre communes rassemblant 40 % de sa population totale et d’être frontalière de la Belgique. Elle est chargée du développement du territoire, sous la forme de l’urbanisation et de la gestion des transports. Depuis la loi de 1999, elle a pu acquérir de nouvelles compétences, notamment dans le développement économique, la valorisation du territoire, l’aménagement d’aires d’accueil des gens du voyage ou l’organisation d’événements. Elle a également acquis une responsabilité accrue en matière d’habitat. La direction des systèmes d’information regroupe 140 personnes responsables de l’informatique des 2 300 agents de la LMCU. Le contexte d’intervention de la LMCU En tant qu’établissement public, la LMCU est pleinement concernée par la cybercriminalité puisqu’elle fournit des services en ligne aux mairies et aux citoyens. La LMCU est également dépositaire de données confidentielles. Enfin, elle a la responsabilité morale de prévenir les 2 300 agents qu’elle
Lille – 24 mars 2009
28
Forum International sur la Cybercriminalité 2009
emploie des risques présentés par la circulation ou le téléchargement de fichiers, la diffusion de documents confidentiels ou les copies illicites. La prévention des risques en trois exemples : La dématérialisation des marchés publics La LMCU héberge en interne une plate-forme de marchés publics. Elle doit remplir des exigences de haute disponibilité, d’intégrité et de confidentialité, qui permettent la traçabilité des échanges et le respect des délais. Si ces contraintes n’étaient pas respectées, la LMCU pourrait s’exposer à des recours des candidats à l’appel d’offres. L’accès à l’infrastructure La collectivité est dépositaire d’un grand nombre de données confidentielles, mais le système d’information doit néanmoins s’ouvrir. De nombreux dispositifs de sécurisation de l’infrastructure sont appliqués et renouvelés en permanence (Firewall, Antivirus, Proxy…). Toutes les données sont dupliquées, la messagerie comprise, et le réseau est segmenté. Enfin, les adresses sont filtrées et la connexion extérieure rendue possible grâce à des cartes à puces. La responsabilité individuelle des agents La LMCU a le devoir d’informer les agents sur les risques liés à l’utilisation de la communication numérique. En effet, 80 % des risques proviennent de l’interne. Les travaux en cours et prospective Un audit structurant a permis de conclure que la sécurité des systèmes d’information était une notion intégrée mais qu’il restait des choses à faire. Le recrutement d’un responsable de la sécurité des services d’information est notamment en cours. Parallèlement, seront mises en place des politiques de mots de passe et de sauvegarde. Il est également prévu de simplifier l’utilisation de la signature électronique. La sécurité des systèmes d’information ne s’arrête pas au réseau et au poste de travail (l’électricité). Actuellement, toute la sécurité de la LMCU est gérée en interne, il est envisagé d’en externaliser une partie. De la salle (Philippe LEGAND, responsable pédagogique, ENA) Combien de marchés publics dématérialisés avez-vous par an ? Annie ZANI Tous les dépôts de candidatures sont dématérialisés mais seulement une trentaine de réponses ont été faites par Internet. La complexité de la clé numérique est trop importante.
Lille – 24 mars 2009
29
Forum International sur la Cybercriminalité 2009
L’enjeu juridique de la sécurité numérique PHILIPPE LEGAND Responsable pédagogique – École nationale d’administration (ENA) – Strasbourg (France) La sécurité numérique pose la question sous-jacente de la sécurité juridique. La dématérialisation n’est pas seulement source de problèmes techniques mais aussi juridiques, rarement abordés. La dématérialisation pose notamment des problèmes de contrôle de légalité. L’externalisation des contrôles suppose de pouvoir valider la signature numérique dont l’incontestabilité n’a pu encore être démontrée. La comptabilité publique demeure alors sous forme papier car le visa du comptable est obligatoire. De même, la dématérialisation pose un problème en termes de paiement d’un prestataire. Le paiement ne peut être réalisé sous cette forme car de nouveau, le comptable public refuse un visa dématérialisé. La validation peut donc se faire uniquement en interne. Il existe donc des vides juridiques qui provoquent des risques de procédures judiciaires. La dématérialisation dans les marchés publics pose aussi un problème de visibilité de la publicité. La certification obligatoire que la publicité a été suffisante – en cas de litige – conduit beaucoup de procédures de marché à rester sous forme papier. Enfin, la dématérialisation de l’archivage pose un problème structurel voire d’organigramme. Doit-on sauvegarder uniquement de manière dématérielle ou sous les deux formes ? Qui doit décider de ce qui doit être conservé ? La ville de Francfort a mis dix ans pour dématérialiser l’intégralité de son état civil, pour être finalement confrontée à l’impossibilité de lire les supports – le suivi des machines n’ayant pas été réalisé en parallèle. En cas de destruction volontaire des archives, le contrevenant est soumis à une amende de 30 000 euros, pour un acte de négligence il le sera à hauteur de 15 000 euros. Les risques juridiques engendrés supposent une considération particulière de la dématérialisation.
Les risques numériques, un combat permanent FRANÇOIS MARCEL Doctorant en thèse sur les risques numériques et juriste en cabinet d’avocats Nous vivons dans un monde dématérialisé qui offre un gain de temps mais induit aussi des risques tant juridiques que techniques ou de fractures. Il a été souligné la nécessité et l’importance de tous les acteurs. La problématique de sécurisation de l’espace numérique doit nous conduire à repenser la sécurisation des espaces privé et public dans une conciliation des enjeux de liberté et de sécurité. La sensibilisation des acteurs est pertinente mais prendra nécessairement du temps. Richard OLSZEWSKI Quelle est la politique de sécurisation encadrant les passeports numériques ? Pierre MASCLET Le niveau de sécurité doit être équivalent à celui des registres d’état civil et des listes électorales. Les
Lille – 24 mars 2009
30
Forum International sur la Cybercriminalité 2009
flux de données seront plus importants mais nos agents ont été formés. Les passeports biométriques arriveront dans le Nord fin avril. Il serait bon de conclure que le maillage des communes permet une proximité exceptionnelle et que le travail des maires est de repositionner l’humain au cœur de l’espace numérique. Richard OLSZEWSKI Nous tenterons de publier un guide de conseils de telle sorte que nous participions à la sécurisation du territoire numérique.
Lille – 24 mars 2009
31
Forum International sur la Cybercriminalité 2009
Le numérique et l’enfance : approche et prévention Première table ronde : quels sont les dangers aujourd’hui ? État des lieux JACQUES HENNO Animateur – Journaliste indépendant, auteur, conférencier, spécialiste des nouvelles technologies – Paris (France) Le panel d’experts présents autour de cette table nous permettra de réaliser les dangers auxquels sont confrontés nos enfants aujourd’hui sur Internet. DOMENICO VULPIANI Directeur du service de la Polizia postale e delle comunicazioni (en charge de la poste et des communications)
En quelques années plus de 10 000 sites pédopornographiques ont été découverts, notamment dans des pays dont la loi informatique est moins stricte. Malgré la collaboration entre tous ces pays, certains sites Internet, dont la migration est extrêmement rapide, restent inaccessibles. La loi de 2006 a permis de créer un centre national contre la pornographie infantile sur Internet. Ce centre peut mettre les sites abusifs sous séquestre, en coupant la connexion à la frontière. Un suivi d’Internet exercé quotidiennement avec la participation des usagers et des associations a permis de dresser une liste noire. La police italienne lutte aussi contre les fraudes, dont les enfants sont les premières victimes. En 2006, l’Italie a créé un commissariat online qui permet à tous les citoyens, italiens mais aussi du monde entier, de signaler les abus ou de déposer une plainte. La plate-forme française évoquée par la ministre de l’Intérieur affiche les mêmes priorités illustrant l’importance d’une collaboration internationale dans la lutte contre la cybercriminalité. Jacques HENNO Nos enfants doivent avoir accès aux nouvelles technologies tout en prenant la mesure des risques. Quel est le modus operandi des prédateurs sexuels sur Internet ? ISABELLE OUELLET Analyste en cybercriminalité. Bureau de coordination des enquêtes sur les délits informatiques. Sûreté du Québec – Montréal (Canada) L’exhibition d’images à caractère pédopornographique provient soit de l’extorsion d’images soit de l’auto-victimisation. L’extorsion d’images consiste à menacer une personne de diffuser des images compromettantes sur Internet en vue d’obtenir des faveurs sexuelles. Cette pratique de plus en plus courante fait de nombreuses victimes particulièrement chez les jeunes femmes. La plupart du temps, les victimes ne se
Lille – 24 mars 2009
32
Forum International sur la Cybercriminalité 2009
rendent pas compte de la gravité de l’acte de diffusion de ces images pornographiques même si elles en éprouvent de la honte. L’auto-victimisation est la diffusion personnelle d’images osées sur Internet ou sur les téléphones mobiles (les « sextos »). Ces images intimes devenues publiques demeurent une source permanente de victimisation. S’en suit une diffusion souvent incontrôlée par les adolescents qui peuvent alors se retrouver accusés de pornographie juvénile. Des sites comme www.cyberaide.ca – le site canadien de signalement des enfants exhibés sur Internet – lancent régulièrement des campagnes de prévention pour lutter contre cette exhibition intempestive. DIDIER CHANAL Directeur des missions sociales – Fondation pour l’enfance – Paris (France) Visionner ou collectionner des images pédophiles sont des comportements extrêmement graves et dangereux qui contribuent à des actes innommables sur des enfants et amènent parfois au passage à l’acte sur ces mêmes enfants. Afin de protéger les victimes et de leur donner la parole, la Fondation pour l’enfance se constitue partie civile dans les procès contre les cybercriminels. Depuis 2003, la fondation se consacre particulièrement aux dossiers liés à l’article 227-23 du code pénal9. La représentation et l’identification des victimes participent à la volonté d’accentuer la répression et de montrer la gravité de tels actes. La fondation constate en effet qu’une proportion importante de personnes visionnant des images pédopornographiques passe ensuite à l’acte. La condamnation financière, davantage que l’emprisonnement, permet une prise de conscience des actes commis ainsi que l’enrayage d’un processus qui pourrait avérer des actes encore plus graves. La Fondation pour l’enfance agit aussi sur la prévention des populations en finançant notamment une enquête auprès des enfants français de 8 à 16 ans destinée à connaître leur comportement face à Internet et leur vision du danger. Les résultats de cette enquête seront publiés début 2010. CAMILLE MARTINI Juriste et bénévole de l’Association contre la prostitution des enfants – Paris (France) Créée il y a 23 ans pour lutter contre le tourisme sexuel auprès des enfants, l’Association contre la prostitution des enfants (ACPE) concentre aujourd’hui son action sur trois volets d’intervention : - la prévention à travers la sensibilisation des pouvoirs publics, des formateurs, des éducateurs et des professionnels du tourisme - le soutien à des foyers de réinsertion au Cambodge et aux Philippines - la constitution de partie civile dans les procès de pédophilie et de cybercriminalité. Le nombre d’affaires impliquant des cybercriminels, qu’ils soient consommateurs ou producteurs, ne cesse de s’accroître. Internet leur permet de s’extraire de l’emprise du droit et représente un formidable 9
Sur la réalisation (www.legifrance.gouv.fr)
et
la
diffusion
d’images
à
caractère
Lille – 24 mars 2009
pornographique
impliquant
des
mineurs
33
Forum International sur la Cybercriminalité 2009
moyen de recrutement des mineurs : 80 % des enfants chattant sur Internet ont déjà été approchés pour des faveurs sexuelles. Trois individus français ont récemment été arrêtés pour avoir élaboré sur Internet un projet d’enlèvement, de séquestration, de torture et de viol d’une fillette de sept ans. C’est grâce à la dénonciation, via Interpol, de policiers belges infiltrés sur le forum de discussion que les autorités françaises ont pu réaliser cette interpellation. Internet faisant tomber les frontières de ces sévices, il est nécessaire de développer une collaboration internationale. 10 % des affaires dont le projet a été interrompu dévoilent des actes encore plus graves commis antérieurement. Il ne faut pas oublier que derrière une image pédopornographique se trouvent au moins un mineur abusé et un abuseur. COMMANDANT ALAIN PERMINGEAT Chef de la division de lutte contre la cybercriminalité au Service technique de recherches judiciaires et de documentation de la gendarmerie nationale (STRJD) – Rosny sous Bois (France) Le Service technique de recherches judiciaires et de documentation de la gendarmerie nationale (STRJD) travaille à l’identification des diffuseurs d’images pédopornographiques pour, ensuite, identifier les auteurs de ces images. Il est nécessaire de souligner la gravité qui se cache derrière le terme de pédopornographie. En effet, si la pornographie, peut être synonyme de consentement et même de divertissement, il est indispensable de rappeler que la pornographie d’un enfant est un viol et doit être traitée comme une scène de crime. Le STRJD, à l’aide d’un logiciel spécifique, identifie 500 diffuseurs d’images pédophiles par jour. Une procédure est ensuite menée dans le but d’aboutir à une arrestation. Des précautions supplémentaires sont néanmoins prises car une même connexion peut être utilisée par d’autres personnes que l’abonné. Le principal objectif du STRJD reste l’arrestation des agresseurs d’enfants. En effet, 15 à 30 % des diffuseurs d’images sont aussi des agresseurs. Le service a déjà pu arrêter des personnes ayant formé le projet de passer à l’acte. Un arrêté autorisera bientôt la cyber-infiltration, notamment sur des forums pédophiles hébergés à l’étranger. Comme l’Italie, la France travaille sur le projet CIRCAMP10 qui consiste à bloquer l’accès aux sites pédophiles hébergés hors d’Europe aux internautes français. JULIA VON WEILER Psychologue clinicienne et directrice du bureau Innocence en danger – Cologne (Allemagne) Les enfants abusés sont affectés de trois manières différentes : - l’adolescent ou l’enfant est abusé chez lui et ses photos sont mises en ligne - l’adolescent ou l’enfant est approché par Internet pour produire de la pornographie sans contact physique - l’adolescent ou l’enfant est volontaire.
10
CIRCAMP : COSPOL Internet related child abusive material project Lille – 24 mars 2009
34
Forum International sur la Cybercriminalité 2009
Une étude allemande s’est penchée sur le comportement de ces enfants. Ceux âgés de 10-11 ans avouent aisément qu’ils ont été filmés car ils n’en connaissent pas l’implication. Dès qu’ils sont plus âgés, ils ont tendance à nier, se sentant responsables et honteux. Les psychologues doivent comprendre que ces enfants ne veulent pas imputer la faute à une personne dont ils peuvent être proches. Pour mieux gérer de telles situations, les psychologues sont entraînés à considérer différemment les victimes. Pour lutter contre les abus, il est nécessaire de créer des outils de prévention non répressifs destinés à une population connaissant les risques et en jouant. En Allemagne, ce sont les adolescents qui construisent leurs propres outils.
Échanges avec la salle Jacques HENNO Pouvez-vous nous donner une estimation du nombre d’enfants victimes de violences après avoir noué un premier contact avec les pédophiles ? Alain PERMINGEAT Nous n’avons pas d’estimation chiffrée par défaut de dépôt de plaintes. Jacques HENNO Les enfants portent-ils davantage plainte aujourd’hui ? Isabelle OUELLET Non. Ils considèrent encore trop souvent que les faits sont consentis. Julia VON WEILER En Suède, près de 40 % des filles et 18 % des garçons approchés ont ensuite été impliqués dans des relations sexuelles. Ils ne l’avouent pourtant pas, ne considérant pas cet acte comme un crime. De la salle Monsieur Chanal, où vont les dommages et intérêts des procès pour lesquels vous vous portez partie civile ? Didier CHANAL Les dommages et intérêts servent à financer les missions sociales de la Fondation pour l’enfance.
Lille – 24 mars 2009
35
Forum International sur la Cybercriminalité 2009
Le numérique et l’enfance : approche et prévention Seconde table ronde : Quels outils pour mener le combat ? SERGENTE JOSEE LAFLAMME Experte en prévention – Bureau de la surveillance du territoire, Sûreté du Québec – Québec (Canada) La Sûreté du Québec est la police nationale qui exerce sa juridiction sur toute la province. Dans le cadre de notre mandat, qui est de prévenir et de réprimer la criminalité sous toutes ses formes, nous avons mis en place l’« Objectif Cyberbranché ». Il fait suite aux demandes pressantes et aux inquiétudes grandissantes du grand public, ainsi qu’à la méconnaissance de ces phénomènes par nos membres. Nous avons constitué ce répertoire d’informations et d’outils, en vue d’établir une base de référence sur notre intranet. Cela relève d’une volonté de prévention et de sensibilisation de 5 000 policiers sur un immense territoire. LAURENT BAUP Juriste et chargé de mission Legal Counsel forum des droits sur l’Internet – Paris (France) L’objectif du Forum des droits sur l’Internet, organisme de co-régulation mis en place en 2001, est de rassembler les acteurs de la toile (fournisseurs d’accès Internet, de logiciels d’exploitation…) autour de recommandations communes pour l’information du grand public. La protection des enfants s’articule autour des leviers juridique, technique et pédagogique. La France possède une législation forte qui évolue en permanence, mais laisse encore apparaître des manques (anorexie, blocage des sites pédophiles…). D’autre part, il est nécessaire de revoir l’application des outils juridiques et d’uniformiser ces règles au niveau international. Sur le plan technique, la France est dotée de dispositifs de signalement (OCTCLIC11, AFA12) qui peuvent encore s’enrichir d’expériences comme le croisement des bases de données mené en Grande-Bretagne. Nous observons par ailleurs une amélioration des logiciels de contrôle parental. Le levier pédagogique reste celui auquel il est important de s’atteler aujourd’hui, en visant en premier lieu les éducateurs. En effet, la France accuse un retard sur l’apprentissage du comportement à adopter sur Internet, qui pourrait entrer dans le cadre des cours d’instruction civique. Face à l’ampleur de la tâche, l’État ne peut pas gérer seul la régulation d’Internet. La France doit prendre la mesure de l’importance du phénomène et se doter d’outils plus charpentés.
11 12
OCLCTIC : Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication AFA : Association des fournisseurs d’accès et de services Internet Lille – 24 mars 2009
36
Forum International sur la Cybercriminalité 2009
LIONEL THOUMYRE Directeur de la prévention et de la sécurité, Myspace France – Paris (France) Myspace, réseau social créé aux États-Unis en 2003, est représenté en France depuis 2006. Les réseaux sociaux sont aujourd’hui gérés par des entreprises qui ont notamment le devoir d’agir en matière de protection de l’utilisateur. Myspace appréhende la protection de ses utilisateurs selon un mode collaboratif : la co-vigilance (État, parents, société civile, entreprises). Les responsables des réseaux sociaux ayant pris connaissance des usages des utilisateurs, il est alors possible de remédier aux dangers qu’ils peuvent rencontrer sur Myspace. La vigilance de Myspace repose sur quatre piliers. Le pilier normatif consiste notamment à rappeler les règles en vigueur sur l’espace aux moments-clés de son utilisation, comme l’interdiction d’accès aux moins de 13 ans ou des garanties privatives proposées aux mineurs. Les trois autres piliers de vigilance permettent d’asseoir le premier. Techniquement, des systèmes de repérage sont capables d’identifier des enfants trop jeunes ou d’éviter l’usurpation d’identité. Les utilisateurs peuvent également maîtriser leurs données et donner l’alerte sur des contenus illicites. Le troisième pilier consiste à informer les utilisateurs des enjeux de l’utilisation d’un tel réseau social. Enfin, le pilier réactif désigne la coopération de Myspace avec les forces de l’ordre en cas de litige. CAROLE GAY Responsable des affaires juridiques et réglementaires – Association des fournisseurs d’accès et de services Internet (AFA) – Paris (France) L’AFA a mis en place en France, en 1998, une hotline qui porte le nom de « Point de contact ». Ce service d’assistance en ligne permet à l’internaute de signaler un contenu illicite. Aujourd’hui, il existe 33 hotlines de ce type dans 29 pays. De plus, les membres de l’AFA ont signé une « charte contre les contenus odieux » et doivent porter certaines pages Internet à la connaissance des autorités. Les trois contenus prioritaires sont la pornographie enfantine, la haine raciale ou sexuelle et les contenus choquants pouvant être vus ou perçus par un mineur. Les membres de l’AFA se sont en outre engagés à rendre les logiciels de contrôle parental gratuits, faciles d’utilisation et de qualité. Nous continuons à en améliorer les listes de restriction : blanche pour les enfants et noire pour les adolescents, elles peuvent limiter l’utilisation de certaines applications et la consultation de sites.
Lille – 24 mars 2009
37
Forum International sur la Cybercriminalité 2009
FREDERIC GÉRAUD DE LESCAZES Responsable des affaires publiques et juridiques, Microsoft France – Paris (France) L’union de tous – pouvoirs publics, utilisateurs, fournisseurs d’accès Internet, associations, entreprises… – doit permettre de mieux utiliser Internet et de tendre vers une attitude responsable. La responsabilité particulière de Microsoft repose sur sa présence dans chaque compartiment de l’univers numérique. En amont de chaque projet, une réflexion est menée pour intégrer les problématiques de l’enfance. Microsoft propose des outils de contrôle parental du système d’exploitation sous forme de plages horaires limitant le temps imparti à l’enfant ou de contrôle de la liste de contacts sur la messagerie instantanée. Le dialogue avec les associations de parents d’élèves et de protection de l’enfance a permis à l’entreprise de créer des outils de réponse adéquats. La technologie et la pédagogie se sont alors révélés indispensables et complémentaires. En effet, les parents ne sont pas toujours familiers de cet univers ; des guides et des sites web qui leurs sont dédiés sont nécessaires. Microsoft a également mis en place, à destination des forces de l’ordre le logiciel Child exploitation tracking system. L’évolution permanente des usages – notamment des moteurs de recherche – source de tous les risques, doit être au centre des réflexions sur la protection des jeunes face à Internet. ANTOINE GILLES Chef de produit – Profil Technology – Montrouge (France) Les enfants étant relativement bien protégés, Profil Technology s’est davantage tourné vers les adolescents. Cinq grandes failles ont été répertoriées avant de construire le contrôle parental : - les sites pédopornographiques, - les sites incitant à la pédophilie, - les sites communautaires ou sites web 2.0, - les contacts directs par mail ou messagerie instantanée, - les réseaux sociaux. Le contrôle parental a été bâti sur la mise en place de listes blanches et listes noires ; celles-ci ont permis la création de l’outil de blocage des contacts, notamment des sites liés à MSN. Les sites pédopornographiques étant aisément recréés après avoir été bloqués, cet outil est complété d’une intelligence artificielle qui reconnaît rapidement le contenu d’un site.
Lille – 24 mars 2009
38
Forum International sur la Cybercriminalité 2009
PIERRE-YVES LEBEAU Capitaine de police, chef de la plate-forme nationale de signalements – Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) – Paris (France) La campagne de communication diffusée début 2009 a conduit à une montée en puissance du site www.internet-signalement.gouv.fr, le dispositif de signalement de l’État pour les contenus illicites d’Internet. L’activité de la plate-forme a été multipliée par cinq enregistrant un nombre record de 1000 signalements par semaine. Cet outil n’est plus exclusivement lié à la lutte contre la pédopornographie, mais s’attaque à une multitude de contenus préjudiciables pour les mineurs (sexuels, violents, incitatifs à la haine raciale, sectaires…). Ce dispositif de signalement possède une double raison d’être : - montrer la présence de l’État sur Internet et affirmer qu’il ne s’agit pas d’un espace de liberté absolue mais astreint aux normes - offrir un service central – l’organisation judiciaire traditionnelle étant basée sur une logique territoriale – capable de canaliser l’information et de la redistribuer vers les organes compétents Il répond à des demandes fortes de contrôle des internautes et des professionnels de l’Internet.
Échanges avec la salle Jacques HENNO Comment expliquez-vous que les utilisateurs d’Internet protègent davantage leur ordinateur que leurs enfants ? Carole GAY Les logiciels ne sont pas suffisants ; l’implication des parents est indispensable. Ces derniers sont peu informés des fonctionnalités des logiciels de contrôle parental et sont donc rapidement gênés dans leur navigation. Ils préfèrent donc désinstaller le logiciel. Jacques HENNO M. Lebeau vous avez affirmé que les logiciels de filtrage par liste noire fonctionnent moins bien que ceux de la liste blanche, comment est-ce possible ? Pierre-Yves LEBEAU Les multiples contenus d’Internet peuvent être jugés nuisibles par certains parents et non par d’autres ; certains sites de propagande sectaire ne sont donc pas sur la liste noire, par exemple. La liste noire des logiciels constitue un moyen parmi d’autres pour les parents de contrôler l’usage d’Internet de leurs enfants ; mais elle ne dégage en aucun cas les parents de leur responsabilité et de la nécessité de leur présence aux côtés de leur enfant.
Lille – 24 mars 2009
39
Forum International sur la Cybercriminalité 2009
Le numérique et l’enfance : approche et prévention Troisième table ronde : le rôle des adultes dans la prévention DEBORAH ELALOUF Directrice de Tralère, partenaire en charge de la création des programmes et des actions de sensibilisation d’Internet sans crainte – Paris (France) Internet sans crainte est le programme national de sensibilisation des jeunes aux risques et enjeux de l’Internet représentant la France au sein du programme Safer Internet Plus de l’Union européenne. Sa mission consiste à initier les enfants et leur entourage à un usage responsable d’Internet. Les études récentes dénotent une tendance à une autonomie accrue des jeunes et à des parents de plus en plus désemparés, à la fois admiratifs de la technique des jeunes et craintifs face à un outil qui leur échappe. Les jeunes soulignent également que leurs parents ne leur semblent pas très concernés. PASCALE GARREAU Directrice de la communication, Internet sans crainte – Paris (France) Par ailleurs les jeunes sont en demande de formation. Ils se considèrent comme la première génération confrontée à l’inversion des rôles avec des parents de plus en plus demandeurs d’un apprentissage de l’utilisation d’Internet. Les jeunes se prononcent en faveur de logiciels de contrôle parental efficaces et adaptés aux connaissances des adultes. Les parents posent peu de questions contrairement aux enfants en demande d’encadrement, notamment à l’école où ils souhaiteraient avoir des professeurs mieux aguerris. Déborah ELALOUF Internet sans crainte veut exercer une triple approche en direction des parents, des enfants et des éducateurs et instaurer le débat. www.internetsanscrainte.fr, alimenté par les acteurs du monde Internet, offre des actualités pour les parents, des réponses à leurs questions, des espaces dédiés aux enfants, selon leur âge et des espaces d’échanges parents/enfants. Le nouvel enjeu du programme, en collaboration avec les institutions, est de réaliser des outils d’information pour les parents (brochures). Un des grands objectifs du site Internet est de lancer le débat entre parents et enfants afin que les parents trouvent aussi leur place sur Internet. Pascale GARREAU Deux niveaux de problèmes transparaissent dans les prises de parole des enfants sur le site : - un problème de langage, les parents souffrant de lacunes et d’un manque d’information, qui handicape la communication entre parents et enfants - un problème technique, les parents ne parvenant pas à exercer leur autorité sans savoir ni comprendre ce que font leurs enfants sur Internet.
Lille – 24 mars 2009
40
Forum International sur la Cybercriminalité 2009
Sur le site Internet, un quiz permet aux parents de prendre conscience des connaissances de leurs enfants face aux risques d’Internet. La connaissance des enfants des dangers d’Internet n’aboutit pourtant pas à une mise en pratique des règles de sécurité. [Diffusion d’un dessin animé : L’exposé] Les questions que soulèvent Internet, auprès des enfants autant que des parents tournent autour des problématiques de communication et sont donc au coeur de l’éducation. FRANÇOIS BISSON Agent expert en prévention, Service de police – Lévis Québec (Canada) Le service de police de Lévis a mis en place le programme « Vous NET pas seuls » à destination des parents. Quel rôle jouent-ils dans la prévention des jeunes ? Sont-ils réellement organisés ? Ont-ils les connaissances suffisantes pour le faire ? Le nom de notre programme a un double sens : d’une part, les jeunes ne sont jamais seuls sur Internet et d’autre part, nous pouvons aider et orienter les parents, qui ne sont donc pas seuls. Depuis un an et demi, nous présentons des vidéos et des diaporamas dans des entreprises, car les salariés sont souvent parents. Ces présentations abordent : - la criminalité, car les parents ne conçoivent souvent pas les conséquences criminelles - le chat, parce que les parents ne comprennent pas le langage des jeunes - les côtés positifs d’Internet et de certains sites - la problématique des photos numériques, de leur impact sur le jeune et des éventuelles intimidations qui peuvent être exercées sur lui - l’inscription sur les sites, qui implique la transmission d’informations personnelles - le fait qu’en se trompant d’un mot ou d’un lien, on puisse naviguer sur des sites à caractère pornographique. En somme, nous aidons les parents à comprendre l’utilisation d’Internet, pour qu’ils soient plus présents et attentifs à l’utilisation que nos jeunes font d’Internet. VERONIQUE FIMA-FROMAGER Directrice d’Action Innocence France – Paris (France) Action Innocence France poursuit trois missions : la sensibilisation de l’enfant aux dangers d’Internet, l’accompagnement des parents et la prévention à destination des enfants, des parents et des professionnels de l’enfance. Selon l’étude Norton Online Living, 26 % des parents ne savent pas quels usages leurs enfants font d’Internet. Ces derniers semblent pourtant demander plus d’éducation à Internet. Si les nouvelles technologies induisent une fracture intergénérationnelle, elles peuvent aussi être sources de lien social entre générations. Il est donc essentiel que les parents expliquent à leurs enfants que l’usage d’Internet doit respecter certains codes.
Lille – 24 mars 2009
41
Forum International sur la Cybercriminalité 2009
L’éducation des enfants doit aujourd’hui intégrer les nouvelles technologies. La difficulté est que les parents sont censés donner des conseils qu’ils n’ont eux-mêmes pas reçus lorsqu’ils étaient enfants. Bien qu’ils aient une conscience générale des risques encourus par leurs enfants, ils sont encore loin de la réalité. La non-maîtrise technique de l’outil ne doit pas empêcher les parents d’expliquer ce qu’est Internet, d’un point de vue humain, social et civique. Entre une interdiction stricte et un trop grand laxisme, ils doivent accompagner l’enfant dans la découverte d’Internet. Il ne faut en aucun cas laisser un enfant de moins de dix ans naviguer seul sur le Web ; même une recherche anodine peut conduire à des images violentes. JEANNE-MARIE HEBBINCKUYS Présidente de l’École de grands-parents Européens – Lille (France) L’objectif des écoles de grands-parents est de développer le lien intergénérationnel et de maintenir les aînés dans la vie actuelle. Face au numérique, les grands-parents sont soit réfractaires soit désireux d’adopter un outil qui leur permettra de rester en contact avec leurs familles. Le colloque « Génération branchée », organisé en décembre 2008, a révélé une inquiétude plus grande des grands-parents que des parents vis-à-vis de l’usage d’Internet. Par exemple, les parents suivent rarement la recommandation de placer l’ordinateur dans un lieu passant. Ils suppriment également le contrôle parental, en raison des problèmes de connexion qu’il provoque. De plus, ils semblent moins conscients que leurs aînés que la multiplication des outils de communication réduit le temps consacré aux devoirs. Malgré les inquiétudes liées à son utilisation, Internet participe néanmoins à l’éducation des enfants en les poussant à la créativité et à la persévérance dans leurs recherches. Le dialogue en famille est primordial et les jeux ou sites représentent autant de nouvelles occasions de partager. Ankama, éditeur du jeu DOFUS, souligne le paradoxe de parents qui paient à leurs enfants un abonnement à un jeu sur Internet et critiquent ensuite le temps passé sur ce jeu. Si les parents connaissaient le contenu du jeu vidéo, ils pourraient jouer avec leurs enfants et passer du temps ensemble. L’implication des parents dans le dialogue est primordiale pour la protection des enfants qui seront les adultes de demain. L’objectif est également d’essayer de faire prendre conscience aux enfants qu’il existe une vie en dehors d’Internet et de les écarter ainsi des dangers de la toile. Jacques HENNO Comment peut-on remédier à une permissivité trop vite octroyée sans brimer la curiosité des enfants ? Déborah ELALOUF J’ai rencontré le cas d’une famille où un jeune avait publié trop d’informations sur Facebook. Afin de contrôler la diffusion de ces informations, les parents se sont introduits comme ami dans le réseau de l’enfant. Le dialogue aurait sans doute constitué une réponse plus appropriée. Les enfants ont besoin d’un espace de vie privée qui ne doit pas exclure les limites indispensables à poser.
Lille – 24 mars 2009
42
Forum International sur la Cybercriminalité 2009
François BISSON Les parents doivent être sensibilisés à la fois aux dangers d’Internet et à leur propre responsabilité de surveillance de l’usage d’Internet par leurs enfants.
Échanges avec la salle De la salle Dans un centre de jeunes en difficulté j’ai créé un blog pour les enfants que les adultes veulent absolument consulter. Comment les en empêcher et préserver un espace consacré aux enfants? Pascale GARREAU Vous pouvez créer un blog pour les adultes qui sera leur lieu d’expression. Déborah ELALOUF Le blog pourrait aussi permettre aux jeunes de tenir leur propre ligne éditoriale, que les adultes se contenteraient de commenter. Ainsi, les enfants resteraient propriétaires de leurs paroles et de leur blog. De la salle J’ai entendu les termes de prévention, permission, contrôle, autorité… Nous n’avons pas évoqué celui de fratrie. Aujourd’hui la majorité des ventes concerne l’ordinateur portable, outil transportable par tous les utilisateurs, qui échappe de fait au contrôle parental. Quels axes pouvez-vous donner aux parents pour la prévention des dangers et la gestion de l’utilisation par toute la famille ? Véronique FIMA-FROMAGER Il est possible de créer des sessions et des profils d’utilisateurs sur un même ordinateur et de gérer le temps de connexion. Dans la fratrie, les plus grands doivent également être responsabilisés face aux plus petits en leur octroyant par exemple la mission d’expliquer. Pascale GARREAU Le programme TV, ainsi que les jeux vidéo suivent la même problématique : nous retrouvons des plus petits face à des jeux ou des émissions adaptés aux plus grands. François BISSON La porte de la maison restera cependant toujours la limite que la police ne pourra jamais dépasser. Le rôle des parents y est donc primordial puisqu’ils sont les seuls à pouvoir contrôler l’usage d’Internet de leurs enfants. Jeanne - Marie HEBBINCKUYS Développer d’autres activités à réaliser ensemble constitue également une bonne solution aux difficultés liées à l’usage d’Internet par les enfants. Par ailleurs, les adultes se doivent d’être exemplaires avant d’imposer des règles aux enfants.
Lille – 24 mars 2009
43
Forum International sur la Cybercriminalité 2009
SYNTHÈSE DES ATELIERS
Lille – 24 mars 2009
44
Forum International sur la Cybercriminalité 2009
1. Nomadisation : quels besoins pour quels risques ?
SOLANGE BELKHAYAT-FUCHS Modérateur / Rédactrice en chef, CNIS-Mag – Paris (France). Résumé Les atouts du télétravail (meilleure productivité, moindre impact environnemental, meilleure qualité de vie…) incitent les entreprises à s’intéresser à ce nouveau mode de travail, qu'il soit maîtrisé ou contraint. Cependant, les questions sur la sécurité des données restent, à juste titre, un de leurs principaux freins. Il existe toujours plus de solutions technologiques de sécurisation des réseaux privés virtuels (RPV ou VPN) et elles sont toujours plus pointues. Cependant, elles doivent impérativement aller de pair avec un accompagnement des utilisateurs, afin qu’ils adoptent de bonnes pratiques. La mise en place d’un réseau RPV implique toute une série de choix, de la connectivité (nature du réseau, accès, authentification…) à la réduction des fuites des données. Pour les télétravailleurs permanents ou fréquents, un protocole de protection des informations échangées (Ipsec) peut convenir. Pour les connexions occasionnelles, un protocole (dit SSL ou TLS) de protection des échanges sur Internet est préconisé. Ces recherches doivent englober les supports ultra-portables comme iPhone et Blackberry qui sont pour l’instant très peu protégés. Summary The advantages of teleworking (increased productivity, reduced environmental impact, better quality of life...) are prompting companies to take an interest in this new style of work, whether chosen or imposed. Yet, questions of data security remain, quite rightly, one of their main reasons for hesitation. There are more and more technological solutions for securing virtual private networks (VPN) and these are more and more thorough. It is however vital for the users to be accompanied, to ensure that they adopt better practises. Installation of a VPN network implies a whole series of choices, from connectivity (type of network, access, authentication...) to reducing data leakage. For full-time or frequent teleworkers, Internet protocol security (IPSec) could be suitable. For occasional connection, an Internet transport layer security protocol (known as SSL or TLS) is recommended. This research should include ultraportable media such as iPhone and Blackberry, which are at present very badly protected.
La sécurité, affaire de technique mais aussi de comportement SERGE LE ROUX Vice-président de l’Association française du télétravail et des téléactivités (AFTT) – France Pendant des années, le télétravail a été un sujet tabou en France, jusqu’à ce que les politiques s’en emparent et lui donnent de l’ampleur : réduction de la pollution, augmentation de la productivité, amélioration de la qualité de vie sont autant d’atouts environnementaux, économiques et sociaux offerts par le télétravail. La pratique de l’activité salariée hors de l’enceinte de l’entreprise est souvent perçue par l’employeur comme risquée alors qu’elle peut au contraire inciter à davantage de confiance : le
Lille – 24 mars 2009
45
Forum International sur la Cybercriminalité 2009
travail de bureau basé sur le respect des normes laisse place au télétravail, basé sur le dialogue professionnel.
Nomadisation libre ou contrainte : les bonnes pratiques SEBASTIEN VILLAIN Consultant en sécurité, SPIE Communications – France On distingue le télétravailleur maîtrisé, pour qui la situation de nomadisation est choisie, anticipée, gérée, du télétravailleur forcé, qui découvre les joies du travail à domicile sous la contrainte : accident de ski, fermeture des accès à l’entreprise, pandémies… JULIEN ORSOLINI Responsable technique, RSA – France Dans les deux cas, mettre en place une solution nomade implique de choisir : la nature du réseau, les moyens d’y accéder (ADSL, Wi-Fi, 3G…), les modes d’authentification des utilisateurs (le login / mot de passe a d’ailleurs montré ses limites), les protocoles de protection des informations échangées (IPsec par exemple). Il faut de surcroît protéger ces postes nomades (par des firewalls notamment), de même que les extensions du serveur de l’entreprise. S’il faut déployer le modèle à grande échelle, traçabilité, reporting (qui s’est connecté et quand ?) et dépannage à distance viendront compléter la démarche. LOÏC KERBOEUF Check Point – France Pour des postes en télétravail maîtrisé (poste déporté à temps plein ou laptop nomade de commerciaux par exemple), la technologie IPsec sera adaptée. En revanche, dès lors que les connexions sont épisodiques (pour un travailleur en astreinte qui doit se connecter un vendredi soir chez des amis), la technologie SSL est préconisée, car elle permet de se connecter à un portail captif d’authentification qui donne accès à certaines applications. Des contrôles d’intégrité de ce poste inhabituel devront être effectués et autoriser ou non certaines actions (comme imprimer). Quelle que soit la technologie élue, il ne faut pas omettre de vérifier qu’elle est reconnue par les fournisseurs de services et contourner le problème le cas échéant par de « l’encapsulation ». La sécurité des VPN (Virtual Private Networks ou réseaux privés virtuels - RPV) doit aujourd’hui concerner tous les supports y compris les ultra-portables iPhones et Blackberries très demandeurs de solutions de sécurité, et pour cause. Sébastien VILLAIN Le profil de sécurité, établi en tenant compte à la fois de l’utilisateur et du périphérique, donne des droits. Reste à vérifier que le contrôle établi ne devienne pas obsolète pendant la session VPN-RPV, notamment si elle dure longtemps . Solange BELKHAYAT-FUCHS La virtualisation, dont on entend beaucoup parler, peut-elle sécuriser un client nomade ?
Lille – 24 mars 2009
46
Forum International sur la Cybercriminalité 2009
Loïc KERBOEUF Un grand travail est en cours pour cloisonner l’environnement de travail sécurisé du poste d’où s’établit la connexion. Sébastien VILLAIN et de la salle Méfions-nous des imprimantes qui gardent en mémoire les impressions ou qui s’autoconfigurent sur le premier IP détecté : l’interdiction d’imprimer en nomade est parfois la bonne solution. Tous les intervenants La fuite des données ou DLP (Data Loss ou Leakage Prevention) est une autre conséquence de la nomadisation. Plans de prison dérobés, données volées par des salariés débauchés… le RSSI doit y remédier d’abord par des solutions technologiques (degrés de sensibilité, chiffrement des données, export refusé vers des clés USB, authentification à deux facteurs…). Mais ces dernières ne pourront rien si l’individu « entre le clavier et la chaise » ne coopère pas : de la formation à la surveillance, les idées sont nombreuses pour l’y inviter. Quoi qu’il en soit, le facteur humain est capital pour la nomadisation, car un salarié accompagné intégrera la sécurité comme l’une des composantes de sa mission. Pour conclure, toutes ces solutions ne sont jamais complètes et sont souvent coûteuses, la piste de la caractérisation renforcée des données n’est pas à négliger.
Lille – 24 mars 2009
47
Forum International sur la Cybercriminalité 2009
2. Établissements bancaires : la politique de sécurité des SIC en question
DANIEL GUINIER Modérateur / Docteur ès sciences certifié CISSP – ISSAP – ISSMP – MBCI, expert judiciaire près la Cour d'appel de Colmar – OSIA Strasbourg (France). Résumé Le système de sécurité des établissements bancaires repose sur un ensemble de règles et de normes strictes et sur la triple dimension que constituent l’homme, l’organisation et les technologies. Des mesures préventives de protection des données et de sensibilisation de tous les acteurs permettent, en interne, de veiller au bon fonctionnement et à la bonne utilisation du système d’information. Le système de sécurité doit sans cesse s’adapter ; de nouvelles techniques apparaissent, telles que le phishing ou les keyloggers qui menacent, entre autres, le monde bancaire. Si les risques de fraudes venant de l’extérieur paraissent plus évidents que les risques venant de l’intérieur même de la structure, ces derniers sont tout aussi importants. Les cas des traders contournant à mauvais escient les systèmes de sécurité, par exemple, sont emblématiques. Dans 70 % des cas, le risque vient de l’interne. Seul un examen approfondi des identités et des diplômes du futur employé permet de s’assurer de ses bonnes intentions. Le crime organisé a compris que ce type d’attaques engendrait moins de risques que d’autres trafics. Grâce à la corruption, ils trouvent des complicités internes ou financent les études de jeunes gens brillants pour infiltrer les banques. Ce type de fraudes semble s’accroître, même si aucune donnée statistique ne peut confirmer cette tendance. En effet, les banques, par peur de ternir leur image, refusent généralement de porter plainte. Summary The security system of the banking institutions is based on a set of strict rules and standards, and on the triple dimension formed by man, organisation and technology. Preventive measures can be taken, such as protecting data or making the concerned employees aware of the problem. This will allow, internally, correct operation and use of the information system which must be safeguarded. The security system must be continually evolving; new techniques are appearing, such as phishing or keyloggers, which threaten, among others, the banking world. If the risk of external fraud may seem more obvious than risks emanating from inside the structure itself, the latter are just as important. In 70% of the cases, the risk comes from inside. Only a thorough examination of the identity and diplomas of a future employee allows his good intentions to be ensured. It has become clear to organised crime that such types of attack carry less risk than other trafficking. Thanks to corruption, they can find internal accomplices or they can finance the studies of brilliant young people so as to infiltrate the banks. This type of fraud seems to be on the increase, even if no statistics can confirm this trend. Indeed, as a general rule, banks refuse to press charges, for fear of tarnishing their reputation.
Lille – 24 mars 2009
48
Forum International sur la Cybercriminalité 2009
Une vision systémique Daniel GUINIER La vision systémique de la sécurité comprend trois dimensions en interaction : les hommes, l’organisation et les technologies. La politique de sécurité est un ensemble formel de normes et de règles. L’expérience de l’affaire Jérôme Kerviel a fait apparaître la nécessité d’un cadre de référence. Avant que la fraude ne soit qualifiée, des transactions inquiétantes avaient été signalées mais les contrôles n’avaient rien identifié : la Politique de sécurité des systèmes d’information (PSSI) était donc défaillante. Il est impératif de revoir les trois dimensions évoquées et particulièrement les hommes : les traders sont isolés et se comportent « en petits maîtres de leur petit monde » quand tout les pousse à la prise de risques. ALAIN FAUVARQUE Responsable de la sécurité des systèmes d’information, Crédit du Nord – France La politique de sécurité de notre banque s’articule selon cinq axes : - la gouvernance de la sécurité et l’encadrement des risques; - la sensibilisation de l’ensemble des collaborateurs (chaque acteur étant un élément du dispositif d’alerte); - la protection des données, capital de l’entreprise; - l’audit et le contrôle pour vérifier la conformité des solutions informatiques et l’utilisation du système par les collaborateurs; - le suivi et le pilotage pour s’adapter en permanence aux évolutions avec, notamment, une cellule de veille sécuritaire Nous veillons à ce que cette politique évolue et s’adapte, en fonction des menaces et des réglementations. PAOLO COMPAGNONE Chef de la police fiscale, Guardia di Finanza – Italie Puisqu’il est difficile de violer les systèmes centraux des banques, les fraudeurs utilisent la technique du phishing – ou hameçonnage. Il est plus facile d’attaquer les clients et de voler leur identité électronique ou leurs coordonnées bancaires. Dans ce type de cas, les fraudeurs trompent les clients en leur proposant certains avantages par exemple. L’une des solutions pour faire face à ce problème peut être l’utilisation d’un mot de passe à usage unique, dont la durée de vie est de 60 secondes. En 2008, nous avons démantelé à Milan un réseau qui s’étendait sur l’Europe centrale et orientale. Si, en 2008, le nombre de transactions par hameçonnage est resté modeste – entre 2 000 et 3 000 –, elles représentent au total un montant de 3 millions d’euros.
Lille – 24 mars 2009
49
Forum International sur la Cybercriminalité 2009
GILLES DUTEIL Docteur en sciences de gestion, directeur du groupe européen de recherche sur la délinquance financière et criminalité organisée, expert judiciaire près la Cour d’appel – France Les banques sont une cible privilégiée du crime organisé. En effet, contrairement au trafic de stupéfiants, l’espérance de gain prend largement le pas sur les risques que les fraudeurs encourent et la probabilité d’arrestation. Mais si la menace venant de l’extérieur paraît plus évidente, 70 % des fraudes sont pourtant commises par des personnes internes à la structure. Outre les traders fous, il s’agit du crime organisé qui peut utiliser la corruption. De cette façon, une personne sert de « cheval de Troie ». Il est arrivé par exemple que des vigiles déposent des keyloggers pour aspirer les données de l’entreprise qu’ils surveillaient. Certaines organisations financent les études de brillants étudiants pour qu’ils infiltrent les banques et apprennent tout de leur système anti-blanchiment. En définitive, si l’entreprise est victime d’une fraude interne, c’est qu’elle en a offert l’opportunité à ses employés. Pour cette raison, les banques anglaises répètent : « Know your employee ! » De la salle Comment éviter que des personnes malveillantes ne pénètrent dans l’enceinte de la banque ? De la tribune Il est impératif, lors de l’embauche, d’effectuer une vérification méthodique, bien que coûteuse, du curriculum vitae. Les faux documents sont la voie d’accès dans le système et la banque. Certaines banques mènent même des entretiens déstabilisants pour vérifier les intentions des postulants. Récemment, chez HSBC France, une personne, embauchée sous une fausse identité, a effectué des virements bancaires illégaux. Les personnels extérieurs peuvent représenter un risque et, a fortiori, ceux de maintenance et de nettoyage qui, généralement, travaillent en dehors des heures habituelles de travail. De la salle Existe-t-il des statistiques de ces fraudes ? De la tribune Les chiffres sont inexistants en France, car une entreprise victime de ce type d’attaque ne le déclare généralement pas. En effet, les banquiers craignent pour leur image et pour les conséquences d’une telle annonce.
Lille – 24 mars 2009
50
Forum International sur la Cybercriminalité 2009
3. La Norme ISO 27001
DOMINIQUE CIUPA Modérateur / Directeur de la publication, MAG-SECURS. Résumé La norme ISO 27001 décrit les critères d’exigence pour la mise en place d’un Système de management de la sécurité de l’information (SMSI). Un SMSI est une démarche transverse à l’entreprise, elle concerne toutes les activités et doit aider à la réalisation des objectifs business de la société. Sa mise en œuvre débute par l’identification des actifs primaires de l’entreprise, données importantes sans lesquelles elle n’existerait pas, puis par l’appréciation des risques et de leur probabilité d’occurrence. La direction décide ensuite d’un seuil d’alerte et des mesures à prendre pour répondre aux besoins de sécurité identifiés. Le système déployé doit être adapté aux besoins de sécurité de l’entreprise ; l’apport d’un consultant peut en cela être précieux pour ne pas définir un outil trop lourd. Enfin, les managers s’engagent fortement lors de la mise en œuvre d’un système conforme à la norme 27001. En retour, une Politique de sécurité du système d’information (PSSI) apporte à l’entreprise des règles de bonne conduite, l’aidant ainsi à gérer son quotidien. Grâce à des processus de contrôle réguliers des mesures mises en œuvre, l’entreprise entre dans une dynamique d’amélioration du système en continu. Summary The ISO 27001 standard defines the criteria required to set up a security management information system (SMIS). An SMIS is a cross-departmental approach; it concerns all activities, and must contribute to the achievement of the company business objectives. To implement it, one has first to identify the primary assets of the company, important data without which it would not exist, and then to evaluate the risks and their occurrence probability. Management then determines an alert threshold and the measures to be taken in response to the security requirements identified. The system deployed should be suited to the security requirements of the company: a consultant’s input can be precious in this respect in order to avoid a tool that is too onerous. Finally the managers are heavily involved during the implementation of a system compliant with the 27001 standard. Conversely, an information security management system (ISMS) gives the company some rules of good practice, and thus helps it to manage its day-to-day business. Through regular control processes of the measures put into place, the company is engaged in a strategy of continual improvement of the system.
Les interventions des orateurs suivants ont été regroupées : LUC PETITPRE, Responsable sécurité des systèmes d’information, Crédit Mutuel Nord Europe (CMNE) – Lille (France) PERRINE DILIGENT, Directrice de Byward Information Security – Londres (Grande-Bretagne) FABRICE PRUGNAUD, Vice-président Europe Moyen-Orient Afrique, LOG LOGIC – Paris (France)
Lille – 24 mars 2009
51
Forum International sur la Cybercriminalité 2009
Le déploiement d’un SMSI Le Crédit Mutuel Nord Europe met en œuvre un Système de management de la sécurité l’information (SMSI) dans chacun de ses cinq pôles (sans viser particulièrement la norme ISO 27001). Byward Information Security accompagne les entreprises dans la mise en place d’un SMSI conforme à la norme ISO 27001. Certifiée depuis octobre 2007, la société faisait partie des dix premières entreprises françaises à l’être ; la France a un retard terrible par rapport au reste du monde. LOG LOGIC est fournisseur de solutions de collecte des traces informatiques, pour une traçabilité intégrale de ce que fait le système et pour automatiser les reporting de conformité. Les processus, pour être conformes aux engagements de la norme ISO 27001, doivent pouvoir être vérifiés au jour le jour ; la difficulté étant de rester conforme dans la durée.
Le SMSI, un système de management plutôt qu’une norme de sécurité Le SMSI est comparable à un système de management de la qualité. Grâce à la construction d’un processus de contrôle régulier des mesures de sécurité mises en œuvre, le SMSI permet à la société d’identifier les leviers d’amélioration. L’entreprise s’engage ainsi dans une dynamique lui permettant d’améliorer le système en continu. Ce système est transverse à l’entreprise : l’organisation, la sécurité, la sécurité des ressources humaines et la conformité. C’est pour cette raison que l’on parle de sécurité du système d’information, plutôt que du système informatique. L’informatique n’a en fait pour finalité que de servir les entités business.
La sécurité des actifs primaires L’annexe b de la norme 27005, relative à la gestion des risques, identifie les actifs primaires de l’entreprise : les informations et les fonctions. C’est aux besoins de sécurité de ces informations primaires – les fichiers clients, l’ensemble des paramètres d’un serveur, etc. – que le SMSI doit répondre et non pas aux besoins de sécurité des machines. Lors du déploiement d’un SMSI dans une filiale du Crédit Mutuel, la démarche d’appréciation de risques a ainsi débuté par un inventaire des actifs importants à sécuriser. En fonction des risques identifiés et de leur probabilité d’occurrence, la direction a défini un seuil d’alerte et les mesures à prendre. Souvent, la valeur d’une société est estimée selon la valeur de ses équipements et très peu selon celle des données sans lesquelles l’entreprise n’existerait pourtant pas. Il faudrait pouvoir estimer cette valeur, notamment pour justifier auprès de la direction générale des moyens de protection nécessaires. Protéger ses données, c’est protéger son entreprise.
L’engagement de la direction dans la mise en place d’un SMSI Le risque provient de l’exploitation d’une vulnérabilité par un élément menaçant tel qu’un employé maladroit ou mal formé, un hacker extérieur, etc.
Lille – 24 mars 2009
52
Forum International sur la Cybercriminalité 2009
La norme 27005 propose, après l’analyse du risque, deux étapes : l’estimation du risque (estimation chiffrée de la perte encourue) et l’évaluation du risque (estimation du niveau de perte que l’entreprise accepte de supporter). Comment se déroule l’évaluation du risque ? Lors de la mise en œuvre d’un système conforme à la norme 27001, les managers s’engagent fortement sur la façon dont ils vont couvrir le risque et sur le seuil qu’ils vont supporter. Sans cet engagement fort de la direction, il est difficile d’entrer dans une telle démarche. Le RSSI13 apporte aux managers une visibilité qui leur permet de mettre en place des moyens en conséquence. La défense doit être proportionnelle à l’attaque ; il faut pour cela bien étudier les besoins et l’historique des attaques, pour ne pas mettre en place un projet trop lourd à déployer.
L’apport de la PSSI14 à l’entreprise Le traitement du risque comprend différents éléments : l’acceptation, la réduction, le transfert du risque. Il existe un quatrième point, difficile à appréhender dans la norme : le risque avoidance, c'est-à-dire l’évitement du risque. Une fois le risque apprécié, l’entreprise peut décider de renoncer à l’activité correspondante pour l’éviter. Cette option est rarement proposée à l’entreprise. La PSSI apporte un cadre et des règles de bonne conduite à l’entreprise, la guidant vers la réalisation de ses objectifs. La plupart des PME ne font pas grand-chose dans ce domaine, la PSSI les aiderait pourtant à gérer leur quotidien. La norme ISO 27001 demande la réalisation d’un audit interne ; celui-ci impose de définir des enregistrements démontrant l’opérationnalité des mesures mises en place, d’élaborer des tableaux de bord et de les soumettre à la direction. La mise en place d’un SMSI assure la pérennité de l’entreprise, parce qu’elle pousse notamment à se poser les bonnes questions.
13 14
Responsable de la sécurité du système d’information Politique de sécurité du système d’information Lille – 24 mars 2009
53
Forum International sur la Cybercriminalité 2009
4. Cyberconflit – cyberdéfense : la guerre sur le Net
SEBASTIEN BOMBAL Modérateur / Responsable sécurité opérationnelle, AREVA – Paris (France). Résumé De nouvelles menaces stratégiques apparaissent avec le développement d’Internet et du cyberespace. D’origine étatique, criminelle ou terroriste, elles mobilisent un ample répertoire d’actions, qui comprend autant l’utilisation du déni de service que la combinaison d’attaques physiques et informatiques. Pouvant atteindre les capacités économiques et militaires d’un pays, les attaques informatiques représentent un enjeu stratégique majeur pour les départements de défense, notamment parce qu'il il est extrêmement difficile d’en identifier les auteurs. Si un État n’est pas identifié comme l’auteur d’une attaque, une riposte ne peut être légalement menée. De manière générale, les stratégies de défense sont privilégiées sur les stratégies offensives, bien que l’armée américaine envisage de se doter de capacités offensives de lutte informatique. Celle-ci est encore interdite actuellement et il n’est pas envisagé de l’ouvrir aux acteurs privés dans le futur. En France, des plans de vigilance et de réaction aux crises ont été mis en place pour faire face à ces nouvelles menaces informatiques. Cependant, il est encore nécessaire de développer les exercices de simulation et d’inciter les entreprises et les individus à sécuriser leur système, pour éviter leur utilisation par une tierce personne. Summary The development of Internet and cyberspace brings new strategic threats. Whether of state, criminal or terrorist origin, they form a sizable repertoire of actions, which include using denial of service as much as combined physical and cyber attacks. Cyber attacks, as they can affect the economic and military capacity of a country, represent a major strategic issue for defence ministries, especially as it is extremely difficult to identify the perpetrators. If a State cannot be identified as the perpetrator of an attack, no legal response is possible. Generally speaking, defensive strategies are favoured over offensive strategies, although the American military is envisaging endowing itself with offensive capabilities for cyber warfare. At present, the latter is still prohibited and there are no plans to open it to the private sector at a future date. In France, vigilance and incident response plans have been introduced in order to confront these new cyber threats. However, it is still necessary to develop simulation exercises and to encourage companies and private individuals to secure their systems in order to avoid use by a third party.
Cyberconflit, cybercriminalité et cyberterrorisme : définitions LAURENCE IFRAH Criminologue, chercheur à l’Institut de criminologie, Université Paris II – Paris (France) Les acteurs des cyberconflits et de la cybercriminalité sont souvent les mêmes personnes.
Lille – 24 mars 2009
54
Forum International sur la Cybercriminalité 2009
STANISLAS DE MAUPEOU Colonel, chef du CERTA, Secrétariat général de la défense nationale (SGDN) – Paris (France) On définit un conflit en fonction de l’implication d’un État et d’un nombre de 1 000 morts par an. Par conséquent, il est encore difficile de parler de cyberconflit. CHRISTIAN AGHROUM Commissaire divisionnaire, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication– Paris (France) Les cyberguerres existent déjà, mais le cyberterrorisme n’est encore qu’une hypothèse.
La guerre informatique offensive MIKE HARING Sergent d’État-major, expert de la gendarmerie royale canadienne, division du Québec Les principaux outils des attaques actuelles sont les botnets, machines zombies qui inondent de requêtes un serveur jusqu’à sa paralysie. Cela implique que des millions d’ordinateurs sont utilisés sans autorisation par une tierce personne. GUILLAUME TISSIER Directeur risques opérationnels, Compagnie européenne d’intelligence stratégique (CEIS) – Paris Au sujet de la guerre électronique, la nouvelle doctrine de l’agence de sécurité nationale américaine inclut la guerre informatique offensive. Les États-Unis se préparent à l’utilisation d’armes informatiques, notamment des botnets. Stanislas de MAUPEOU Que chacun assure la sécurité de son propre système est un facteur plus important que le nombre d’ordinateurs mobilisés dans une attaque informatique. Aujourd’hui, la priorité reste la défense des réseaux, avant la lutte informatique offensive (LIO), qui ne peut en aucun cas être menée par des agents privés. La défense des réseaux doit concerner tous les secteurs d’activités d’importance vitale. La défense doit d’abord être formée à mener des attaques informatiques offensives avant d’envisager un partage précis des tâches avec les renseignements et l’Agence nationale de sécurité des systèmes d’information (ANSSCI) dans ce domaine. Laurence IFRAH Comme de nombreux civils interviennent dans le cyberespace, la défense est privilégiée plutôt que la riposte.
Lille – 24 mars 2009
55
Forum International sur la Cybercriminalité 2009
Mike HARING L’utilisation de botnets ne permet pas d’identifier l’auteur de l’attaque, il est donc difficile de procéder à une riposte.
Caractérisation difficile des attaques L’arme principale : le déni de service Stanislas de MAUPEOU Il est nécessaire de se concentrer sur le déni de service – l’attaque la plus simple et la plus fréquente – avant d’envisager celles qui sont plus sophistiquées. Guillaume TISSIER Les Supervisory control and data acquisition (SCADA), automatismes industriels peu contrôlés, sont les plus vulnérables par rapport aux attaques classiques. En les utilisant, les cyberconflits pourraient entraîner des morts réelles. Un encadrement juridique imprécis Guillaume TISSIER Il est difficile d’attribuer une attaque à un État et de se déclarer en situation de légitime défense. Bien qu’une attaque informatique sur des cibles civiles, telles que les centrales nucléaires ou les digues, soit illégale, les États-Unis pensent qu’elle serait moins létale qu’une attaque conventionnelle. Mike HARING La différence entre les systèmes judiciaires de droit civil et de common law est un obstacle à l’élaboration de définitions juridiques communes.
Sécurité intérieure Sécurité intérieure et défense extérieure Christian AGRHOUM La cyberguerre est une guerre militaire, économique, sociale et culturelle, dans laquelle les enjeux de sécurité intérieure et de défense extérieure se rejoignent et dans laquelle les partenariats public-privé sont particulièrement pertinents. Gestion de crise Stanislas de MAUPEOU En France, la gestion de crise s’articule autour de centres opérationnels permanents et d’une cellule interministérielle établie en cas de crise. De la même façon, il existe des plans de vigilance et des plans de réaction. Actuellement, les entreprises ne s’exercent pas assez à ces derniers. Mike HARING Le Canada a réalisé des simulations avec les États-Unis, à la suite desquelles il est apparu qu’il est difficile de déterminer si les perturbations informatiques relèvent d’une attaque, d’un acte criminel, ou
Lille – 24 mars 2009
56
Forum International sur la Cybercriminalité 2009
d’un problème de réseautique. On ne peut pas prévoir précisément les attaques à venir, elles combineront sûrement des éléments physiques et informatiques. Laurence IFRAH Aux États-Unis, certaines entreprises doivent publier la liste des attaques dont elles ont été victimes. Cela les oblige à renforcer leur système de sécurité, sans diminuer le nombre d’attaques.
Échanges avec la salle GEORGES GIRARD Rédacteur en chef de la Revue Défense Nationale Internet est une infrastructure vitale pour notre pays. Par conséquent, la légitime défense s’applique en cas d’attaque. Stanislas de MAUPEOU La réaction à une attaque peut relever de la défense réactive et pas nécessairement d’une action offensive, qui par ailleurs reste interdite. YANN SERRA Journaliste de l’hebdomadaire 01informatique Des simulations de cyberattaques ont-elles déjà été menées en Europe ? A partir de quel moment saiton qu’une attaque est une déclaration de cyberguerre ? Laurence IFRAH Il n’est possible d’identifier une attaque comme une déclaration de cyberguerre que lorsque l’État qui la provoque nous en informe.
Lille – 24 mars 2009
57
Forum International sur la Cybercriminalité 2009
5. Le téléphone portable : risque, opportunité et gestion de la flotte au sein de l’entreprise
CHEF D’ESCADRON NICOLAS DUVINAGE Modérateur / Chef du département informatique – électronique à l’Institut des recherches criminelles de la gendarmerie nationale (IRCGN) – Paris (France). Résumé Le téléphone portable devient un outil d’importance croissante au sein de l’entreprise. Les smartphones15 permettent aux employés de travailler à distance et en toutes circonstances. Les Mobile device management (MDM) contrôlent à distance l’ensemble des terminaux mobiles d’une entreprise. La géolocalisation, au moyen des cartes SIM, ou de systèmes GPS intégrés à un téléphone, ou à un véhicule, donne plus de réactivité à l’entreprise et permet le suivi en temps réel de ses marchandises. Les téléphones Near field communication (NFC), en reconnaissant les puces RFID, améliorent et rendent plus rapide les échanges d’informations entre l’entreprise et ses employés. A terme, ils pourront intégrer dès leur conception des applications monétiques, billettiques, ou de smartposters. D’autres applications peuvent lui être ajoutées en fonction des besoins spécifiques des entreprises. Ces nouvelles technologies, amenées à se développer, représentent néanmoins un renforcement des risques environnementaux et sécuritaires. En stockant et en transmettant davantage d’informations, un téléphone infiltré est une menace non négligeable pour les entreprises. Le renouvellement continu des parcs téléphoniques produit une grande quantité de terminaux mobiles qui sont recyclés ou revendus et dont la destruction des données constitue un enjeu critique. Summary The mobile phone is an increasingly important tool within a company. Smartphones enable employees to work remotely and in all kinds of circumstances. Mobile Device Management (MDM) enables remote control of all the mobile terminals of a company. Geolocation by means of SIM cards or telephone or vehicle-integrated GPS systems make a company more reactive and allow real-time monitoring of their products. Near Field Communication phones (NFC), as they recognize RFID tags, facilitate faster and improved exchange of information between the company and its employees. In the long run, electronic payment, ticketing and SmartPoster applications could be inbuilt at design level. Other applications could be added, depending on the companies’ specific requirements. These new technologies, bound to grow, represent nonetheless increased environmental and security risks. Because they store and transmit more information, infiltrated telephones are not insignificant threats to companies. Continual renewal of telephone equipment generates a large number of mobile terminals which are recycled or resold, and hence, data destruction constitutes a critical issue.
15
Téléphone portable couplé à un Personal digital assistant (PDA) permettant l’installation d’applications additionnelles au téléphone Lille – 24 mars 2009
58
Forum International sur la Cybercriminalité 2009
Sécurité des téléphones mobiles ROMAIN RABOIN ATLAB pôle audit d’ATHEOS – Paris (France) ATLAB, composé d’une dizaine de personnes, réalise des audits dans le domaine de la sécurité pour tous types et tailles d’entreprises et développe une Recherche et développement (R&D) sur les smartphones et les systèmes d’exploitation. Les intrusions dans les téléphones portables, qui stockent de plus en plus d’informations, sont une menace réelle. Un téléphone compromis, en se connectant au réseau de l’entreprise, peut lui transmettre un logiciel malveillant. GUILLAUME LAROCHE DE ROUSSANE Consultant sécurité à l’European security expertise center (ESEC), Groupe CAPGE-MINI / SOGETI – Paris (France) L’ESEC est spécialisé dans la sécurité des entreprises. Un smartphone est un outil de travail à distance de taille réduite, dont l’utilisation s’étend à tous types d’employés. Les éditeurs traditionnels ont adapté leurs solutions (antivirus, firewall, etc.) aux terminaux mobiles mais leur efficacité reste limitée par l’utilisation de terminaux de marque différente. Les solutions Mobile Device Management (MDM) permettent, aux entreprises de déployer des applications et de les paramétrer dans tous ses terminaux mobiles par un point d’accès unique. Le support informatique peut prendre contrôle à distance du téléphone en cas de problème. La licence du serveur MDM coûte 10 000 euros et 100 euros par terminal, mais le retour sur investissement s’opère en moins d’un an. Romain RABOIN Cet outil étant peu utilisé, peu de recherches portent sur sa sécurisation.
Fin de vie des téléphones portables JEAN-LIONEL LACCOURREYE Directeur France REGENERSIS – Paris (France) REGENERSIS est présent dans toute l’Europe et compte 1800 collaborateurs. Il répare et prend en charge les MP3, les GPS et surtout les téléphones portables en fin de vie. Sa clientèle est composée d’entreprises, d’opérateurs et de distributeurs, pour qui la directive européenne relative aux Déchets d’équipements électriques et électroniques (DEEE) établit des obligations de gestion de fin de vie des téléphones portables. REGENERSIS recycle les téléphones inutilisables, efface totalement les données de ceux qui peuvent encore servir et les revend. Environ 20 millions de téléphones neufs sont vendus en France chaque année, surtout pour des raisons de renouvellement, ce qui représente un risque environnemental élevé.
Lille – 24 mars 2009
59
Forum International sur la Cybercriminalité 2009
Géolocalisation BENOIT GOSSE Société DEVERYWARE (Géolocalisation) – Paris (France) DEVERYWARE regroupe 20 personnes et propose une plate-forme de géolocalisation à des intégrateurs ou éditeurs de logiciels. Elle permet aux entreprises d’être plus réactives, en indiquant le collaborateur le plus proche du client. Le suivi en temps réel des véhicules et des marchandises, est un rempart contre le vol, ainsi qu’un outil précieux dans l’élaboration de rapports d’activité complets. Un téléphone peut être localisé, soit par la position de sa carte SIM dans le réseau (la précision varie alors en fonction du nombre d’antennes sur le terrain), soit par un système GPS intégré. La géolocalisation ne peut être utilisée que pour des téléphones d’entreprise et la Commission nationale de l’informatique et des libertés (CNIL) exige une attestation de consentement de l’employé. Même pour les parcs de téléphones hétérogènes, la géolocalisation est un système unique. Seuls les systèmes GPS peuvent actuellement être localisés à l’étranger. La géolocalisation par carte SIM est facturée à l’acte. Les GPS impliquent un coût d’investissement du matériel, un coût de communication de 8 euros par mois et un coût de service de 15 euros par mois.
Téléphones NFC et puces RFID DOMINIQUE GUENAUX Gérant, société ORFIDEE (Applications pour le couplage « Téléphones NFC et étiquettes RFID) Suresnes (France) ORFIDEE compte 10 salariés, spécialisés dans les téléphones Near field communication (NFC) sachant lire les puces Radio frequency identification (RFID). Les employés de maintenance utilisant un téléphone NFC peuvent se connecter à une puce RFID présente sur certains équipements, qui leur précise les travaux à réaliser. Eux-mêmes peuvent directement informer l’entreprise que le travail a bien été effectué et reporter le nombre d’heures qu’ils y ont passé. La fin de vie des puces RFID n‘est pas réglementée et les ondes émises à sa lecture n’ont pas d’impact sur l’utilisateur du téléphone. Le téléphone NFC peut intégrer dès sa fabrication des applications générales telles que monétiques (porte-monnaie électronique), billettiques (tickets de transports), ou smartposter (réception d’informations supplémentaires en s’approchant d’une affiche). D’autres applications peuvent être ajoutées au téléphone en fonction de besoins spécifiques des entreprises. Il est très facile de se procurer un téléphone NFC, qui coûte 200 euros sans forfait. Une puce RFID coûte entre quelques centimes et 1.50 euros. Romain RABOIN Le téléphone NFC, en tant qu’instrument de paiement, représente un risque si un logiciel compromet ses informations.
Lille – 24 mars 2009
60
Forum International sur la Cybercriminalité 2009
6. Signature électronique : utilité, limites, conséquences?
MAITRE BENOIT LOUVET Modérateur / Avocat au barreau de Paris (France). Résumé Les transmissions permanentes entre interlocuteurs via Internet donnent à la signature électronique de plus en plus d’importance. Le rôle principal de cette dernière est d’authentifier l’émetteur et de garantir l’intégrité du contenu. La signature électronique est d’ailleurs le socle de l’architecture globale du droit électronique. Il existe deux types de signature électronique : la signature électronique simple et la signature électronique sécurisée, présumée fiable et qui ne concerne que les signatures d’actes authentiques (huissiers, notaires…). Toutes les entreprises peuvent mettre en place des signatures électroniques facilement, à différents coûts d’entrée (archivage ou message). Cependant, il faut s’assurer de la fiabilité des procédures et des politiques de certification, car elles seules seront discutées devant le juge. Summary Permanent transmission between contacts via Internet lends increasing importance to electronic signatures. The primary role of the latter is to authenticate the sender and to guarantee content integrity. Moreover, the electronic signature is the foundation stone of the global architecture of electronic law. There are two types of electronic signature: the simple electronic signature and the secure electronic signature, which is presumed reliable and which only concerns the signature of certified documents (bailiffs, notaries...). Any company can easily set up electronic signatures, with various entry costs (archiving or message). However, the reliability of certification policies and procedures must be ensured as these alone will be debated in a court of law.
Signature électronique : un outil pour la sécurité JEAN-LUC TARDY Ingénieur Supélec, consultant en système d’information et en organisation, expert près de la Cour d’appel – Paris (France) Aujourd’hui, l’envoi permanent de messages via Internet et la dématérialisation croissante des documents (déclaration d’impôt, émission des factures…) nécessitent de renforcer la sécurité des transmissions pour conserver la confiance entre l’émetteur et le destinataire. La signature électronique, comme sur un papier, a deux fonctions fondamentales qui sont l’identification du signataire et la garantie de l’intégrité du document (comme un scellé). Cependant, selon les diverses applications, la mise en place de la signature électronique est plus ou moins complexe. Il existe des systèmes de reconnaissance basés sur un algorithme simple (certificat de sécurité) et d’autres, comme les clés privées ou publiques, plus complexes. Pour satisfaire la sécurité technique, la signature électronique reste un élément parmi d’autres, comme l’horodatage, la protection du contenu…
Lille – 24 mars 2009
61
Forum International sur la Cybercriminalité 2009
ARNAULD DUBOIS Président Directeur général, Dhimyotis – Villeneuve d’Ascq (France). Dhimyotis pratique quatre métiers complémentaires : l’authentification (s’assurer de l’émetteur), le chiffrement (rendre confidentiel), la signature électronique (vérifier mails ou documents) et l’archivage légal (conserver). L‘authentification est le métier le plus important dont dépendent les autres : la solution Dhimyotis, intégrée dans les systèmes d’exploitation (Windows, Mac) et dernièrement dans le navigateur Mozilla, permet au destinataire d’un mail de vérifier de façon automatique et sécurisée l’émetteur et le site et de chiffrer et valider les informations.
Signature électronique : une existence juridique mature Benoît LOUVET Il y a 15 ans, la signature électronique revêtait une notion exclusivement technique. Or, depuis l’établissement de la directive communautaire, la signature électronique a valeur légale. La notion de signature électronique est complexe. PASCAL AGOSTINI Associé cabinet Éric CAPPRIOLI, Avocat à la cour de Paris – Docteur en Droit (France) Pour les juristes, l’écrit électronique, revêtu d’une signature électronique, doit être recevable légalement. La loi du 13 mars 2000 redéfinit les fonctionnalités de la signature électronique (identification et consentement du signataire, intégrité du contenu dans le temps) et en fait une preuve recevable devant le juge. En 2004, la loi pour la confiance dans l’économie numérique stipule que la signature électronique peut satisfaire la validité de l’acte (« original sous forme électronique », Code Civil). Ainsi, l’architecture globale du droit électronique est fondée sur la signature électronique. Deux types de signature électronique existent et sont recevables devant le juge : la signature électronique simple décrite comme un procédé d’identification simple assurant le lien avec l’acte auquel elle s’attache - et la signature électronique sécurisée présumée fiable qui ne concerne que les signatures d’actes authentiques (huissiers, notaires…). Les entreprises peuvent donc déployer des procédés de signature électronique si la politique de certification est fiable, car seule cette dernière sera retenue devant le juge. Benoît LOUVET La signature électronique repose sur des technologies déjà anciennes et est de plus mature sur le plan juridique. Elle est de plus en plus présente (cartes bancaires, factures…) mais comment les entreprises peuvent-elles s’en servir?
Signature électronique : quelles perspectives ? Arnauld DUBOIS L’identification permet de signer factures, contrats, œuvres intellectuelles (droits d’auteur, musique…) Si la signature électronique est simple d’utilisation, son installation requiert une entreprise qualifiée (la nôtre est certifiée). Le certificat numérique ou signature électronique coûte 50 € par personne et par an en usage illimitée.
Lille – 24 mars 2009
62
Forum International sur la Cybercriminalité 2009
Jean-Luc TARDY L’archivage électronique porte le document archivé à vue de tous, son accès est facilité. Les failles de sécurité de l’archivage et de la signature électronique doivent être évitées grâce à un process établi. Benoît LOUVET Le coût de la signature électronique dépendra de la finalité : assurer l’intégrité de l’archivage (faible coût car peu de signatures) ou bien vérifier l’identification des personnes sur tout un réseau comme la carte de santé (coûts élevés). Cependant, il ne faut pas oublier les économies que la signature électronique peut engendrer. Pascal AGOSTINI Nous trouvons sur le marché une offre corporate pour les entreprises : elle assure l’identification des échanges au sein d’un même réseau. De la salle Quelle est la pérennité du document avec une signature électronique (dans 200 ans par exemple)? Benoît LOUVET Le législateur a raccourci les délais de prescription, ce qui va dans le sens de la signature électronique. Avant, le délai de droit commun était de 30 ans aujourd’hui il est de 5 ans. Les fichiers n’ont pas tous les mêmes droits de prescription et de pérennité car cela dépend de leur format. Pascal AGOSTINI Il est important d’avoir aussi un outil de gestion de la preuve.
Lille – 24 mars 2009
63
Forum International sur la Cybercriminalité 2009
7. Psychologies de l’utilisateur et du délinquant des technologies numériques
Mme Isabelle TISSERAND Modérateur / Docteur de l’EHESS, coordinatrice du Cercle européen de la sécurité des systèmes d’information – Paris (France). Résumé Les rapports entre cyberespace et délinquance sont d’actualité car largement discutés avec la loi HADOPI (Haute Autorité pour la Diffusion des Oeuvres et la protection des Droits sur Internet) ou encore situés au centre de romans vendus à grand tirage. Les sciences sociales ont observé la récente explosion de l’Internet. De cette étude, elles distinguent deux catégories d’individus : les digital natives et les digital migrants. Les natives, ceux de la génération née avec un clavier dans les mains, ont développé de nouvelles dispositions physiques, psychiques ou sociales. Cette anthropologie de l’homo numericus permet de mieux comprendre les comportements déviants, voire cybercriminels. En effet, c’est la conception même d’un système qui est mis à l’épreuve : la connaissance se partage, la hiérarchie semble se disloquer, un nouveau rapport à l’information émerge. Ces bouleversements peuvent entraîner des déviances, comportements qui s’écartent de la déontologie communément admise. Des expériences pédagogiques singulières tentent d’exploiter le potentiel et la créativité de jeunes qui se sont livrés au piratage informatique. Il s’agit d’exploiter au mieux leurs dispositions et de leur en faire comprendre la portée. Mais le portrait robot du cybercriminel a bien évolué depuis quelques années. Faute de données fiables et de moyens de grande ampleur, qu'il soit hacker isolé, cyberterroriste intégré dans une mafia ou cyberguerrier au service d’un État, son profil est difficile à définir. Summary The links between cyberspace and delinquency are very topical, having been widely debated with the HADOPI law (High Authority for the Distribution of Works and Copyright Protection on Internet) or indeed placed at the centre of mass-circulation novels. Social science has observed the recent explosion of Internet. Those studies have allowed two categories of individuals to be distinguished: digital natives and digital immigrants. Natives, those belonging to the generation born with a keyboard in its hands, have developed new physical, psychological or social aptitudes. This anthropology of homo numericus allows us to better understand deviant or even cybercriminal behaviours. Indeed, it is the very design of a system that is being put to the test: knowledge is being shared, hierarchy seems to be disrupted, a new relationship with information is emerging. Such turmoil can lead to deviancy, behaviour which strays from commonly accepted ethics. Unusual educational experiments are attempting to exploit the potential and creativity of young people who have engaged in computer piracy. It’s a matter of making the most of their talents and having them understand their value.
Lille – 24 mars 2009
64
Forum International sur la Cybercriminalité 2009
But the profile of the cybercriminal has changed considerably over the past few years. In the absence of reliable data and large-scale means, his profile is hard to define, whether he be a solitary hacker, cyber terrorist belonging to a mafia, or cyber warrior in the service of a State.
Digital natives versus digital migrants ISABELLE TISSERAND Docteur de l’EHESS, coordinatrice du Cercle européen de la sécurité et des systèmes d’information – Paris Suite à l’explosion du nombre d’internautes, les sciences sociales sont invitées à définir le profil de l’homo numericus et à s’interroger sur les origines de la cybercriminalité. L’anthropologie numérique distingue deux catégories : les digital natives qui sont les personnes nées avec l’informatique et les digital migrants qui se sont adaptés à l’usage quotidien de l’informatique. De nouveaux faits culturels sont apparus, tels que l’hyper-informatisation ou les variations dans le développement cognitif. On retrouve de nouvelles dispositions chez le native, qui sont physiques, psychiques ou sociales. Par exemple, on constate une grande plasticité intellectuelle ou encore la résistance à d’autres horaires. Les comportements déviants sont ceux qui s’écartent du code de déontologie et trouvent leur origine dans l’abondance d’informations ou dans le triangle pouvoirs/plaisir/performances. Tout cela est animé par une interrogation de fond sur la robustesse des environnements, des systèmes et du monde en général.
Évolution du rapport à la connaissance SERGE SOUDOPLATOFF Enseignant chercheur, directeur du développement de Almatropie – Sèvres (France) Internet est en train de bouleverser le monde, en faisant basculer les anciennes formes, qui n’avaient pas d’outils technologiques correspondants. En effet, c’est un monde dans lequel il n’y a plus de chef, plus de causalité et plus de relation de cause à effet. En préférant une forme de consensus, on rejette « les rois et les lois ». Une boucle constante entre la technologie et l’usage permet à l’un et à l’autre de s’alimenter, en faisant avancer la technologie : l’usage influence la technologie, qui influence l’usage, qui… La technologie n’est ni dieu ni diable et, d’un rapport hiérarchique vertical, nous passons à un réseau, considéré comme horizontal. Le rapport à la connaissance a lui aussi changé. Comme le prouve l’essor de l’open source, nous sommes passés dans un régime de connaissance nouveau – ni individuel, ni collectif – qui est global. En résumé : La science, c’est ce que les pères apprennent à leurs fils ; la technologie, c’est l’inverse. JEAN-PAUL PINTE Docteur en information scientifique et technique, maître de conférences, expert en veille et intelligence compétitive au sein du laboratoire d’ingénierie pédagogique de l’université catholique – Lille (France) J’essaie de suivre les évolutions d’Internet, de manière à entrer dans le quotidien de mes étudiants. Avec ces derniers, j’ai mis en place des cellules de veille pédagogique, durant lesquelles nous traitons
Lille – 24 mars 2009
65
Forum International sur la Cybercriminalité 2009
des pratiques informationnelles. L’éclatement de l’information, consécutif à l’avènement des réseaux sociaux, rend perméable la frontière entre vie privée et vie professionnelle. Il est impossible d’effacer cette information qui demeure sur la Toile. Nous analysons les outils mis à notre disposition et apprenons à traiter l’information, en évitant par exemple une « googlisation » de celle-ci. Si mes étudiants comprennent les outils et les limites du Web, ils pourront transférer ce savoir au sein de l’entreprise. NICOLAS SADIRAC Directeur de l’école d’expertise informatique (EPITECH) – Paris Après avoir pratiqué le hacking, je suis devenu directeur d’une école qui forme des experts en technologies de l’information. Parmi nos élèves, 70 % déclarent avoir pratiqué un acte de piratage et nous leur apprenons toutes les techniques pour accéder au cyberespace. Nous veillons à canaliser les comportements déviants, notamment en ringardisant les phénomènes de piratage. Nous cherchons à exploiter leur créativité, non à leur apporter un savoir. En effet, notre démarche pédagogique est singulière puisque dans cette école, ouverte en permanence, tous nos cours sont en ligne. Le concours Security Quest est l’occasion de les tester, puisqu’il s’agit de pirater notre propre site. Nous ne constatons qu’un nombre très limité de transgressions dans cette école, le comportement de nos élèves est généralement sans danger. ODILE AMBRY Présidente de l’ISOC, Chapitre français de l’Internet society La cybercriminalité est au cœur de l’actualité : le roman Millenium, de Stieg Larson, propose un éloge du hacking blanc et l’on discute à l’Assemblée nationale la loi HADOPI. Depuis quelques années, le profil du cybercriminel a changé, son spectre s’est étendu jusqu’aux groupes organisés, voire à certains États. De plus, les chiffres ne sont pas fiables, car ils proviennent d’entreprises privées qui, généralement, vendent des solutions. Peu de mandats sont donnés à des structures publiques et les entreprises refusent souvent de porter plainte, pour préserver leur image. Pour traiter ce problème, ne faudrait-il pas imposer une obligation de dépôt de plainte et conditionner le remboursement éventuel des dégâts à cela ?
Échanges avec la salle De la salle Quelle frontière existe-t-il entre créativité et délinquance ? Serge SOUDOPLATOFF Toute innovation commence par une désobéissance et nous devons observer les jeunes et leurs comportements. En ce qui concerne l’open source, on rencontre une nouvelle manière d’aborder les choses, que je comparerais à celle des Franciscains.
Lille – 24 mars 2009
66
Forum International sur la Cybercriminalité 2009
8. NTECH : les outils informatiques développés par les enquêteurs
CHEF D’ESCADRON NICOLAS DUVINAGE Modérateur / Chef du département électronique - informatique à l’Institut de recherches criminelles de la gendarmerie nationale (IRCGN) – Paris. Résumé Les unités de sécurité intérieure en charge de la lutte contre la cybercriminalité sont souvent freinées dans leur mission par les difficultés techniques ou un manque de connaissances en informatique. Les enquêteurs développent leurs propres outils de lutte : logiciels de détection de contenu illicite ou guides de bonnes pratiques sur les procédures à suivre. Confrontées à l’augmentation annuelle du nombre d’infractions courantes, la cellule d’investigations criminelles d’Arras et la RCCU de Tournai ont ainsi conçu ensemble un guide à destination des enquêteurs des brigades. Avec la pratique, certains enquêteurs développent eux-mêmes leurs logiciels, open source ou propriétaires, en levant les obstacles qu’ils pouvaient rencontrer avec les outils existants. Ces logiciels permettent de détecter les contenus à caractère pédo-pornographique et/ou de copier le contenu de l’ordinateur d’un suspect ou d’une victime, sans en altérer le disque dur. Summary Internal security units in charge of the fight against cybercrime are often hindered in their mission by technical difficulties or by the lack of computer expertise. Investigators are developing their own weapons: illicit content detection software or good practices guides. Faced with the yearly increase in the number of common infractions, the criminal investigation unit of Arras and the RCCU of Tournai have thus joined forces to devise a guide intended for brigade investigators. By practising, some investigators can develop their own software, open source or proprietary, removing obstacles encountered with existing programs. Such software allows content of a child pornography nature to be detected and/or the computer content of a suspect or victim to be copied without affecting the hard disk.
Former les agents Nicolas DUVINAGE Les outils développés par les enquêteurs peuvent être des logiciels ou des guides de bonnes pratiques. DAVID CASSEL Enquêteur en technologie numérique, chef de la cellule d’investigations criminelles – Arras (France) La France et la Belgique sont toutes deux confrontées à l’augmentation annuelle du nombre d’infractions courantes. Pour pallier les dysfonctionnements des outils numériques utilisés par les unités territoriales qui ralentissent la lutte contre les cyberdélinquants, la cellule d’investigations criminelles d’Arras et la RCCU de Tournai ont conjointement réalisé un guide de bonnes pratiques. Le projet a bénéficié de fonds européens.
Lille – 24 mars 2009
67
Forum International sur la Cybercriminalité 2009
L’outil, diffusé en format papier et version Pdf, s’adresse aux agents qui reçoivent les plaintes, comme aux magistrats. 39 enquêteurs relais, appelés correspondants NTech, ont été formés pour sensibiliser les enquêteurs des brigades à son utilisation. GUY VONCKEN Ingénieur, Police Grand-Ducale – Luxembourg (Luxembourg) On a beau émettre des critiques sur les outils existants, les nouvelles versions ne les prennent jamais en compte et présentent les mêmes défauts que les anciennes. C’est pour cette raison que j’ai choisi de développer mon propre logiciel : Guymager. Mais il n’est généralement pas facile pour un concepteur privé de prendre contact avec la gendarmerie et lui soumettre un nouvel outil. Ce logiciel doit faciliter la copie des disques durs, en toute sécurité. Il est un outil open source, créé pour la police mais accessible à tous (y compris aux criminels). CAPITAINE PATRICK TESTUZ Officier concepteur, département électronique-informatique à l’Institut de recherches criminelles de la gendarmerie nationale (IRCGN) – Paris (France) La réflexion sur ce phénomène de violence lié à l’enfant se caractérise par le terme pédophilie et a incité les forces de gendarmerie à réagir et à trouver des moyens modernes de lutte contre ce fléau. Le logiciel Moyen automatique de recherche d’images non autorisées (M.A.R.I.N.A) a été conçu pour être utilisé à grande échelle dans la gendarmerie, qui n'a pas de connaissance particulière en informatique. Cet outil d’aide à la perquisition permet de détecter et de copier un contenu à caractère pédo-pornographique. Il permet une analyse rapide du disque dur perquisitionné sans en altérer le contenu. Le logiciel s’articule autour d’une base de connaissance où sont stockées des signatures d’images et de films pédophiles connus et répertoriés au sein du Centre national d'analyse d'images pédophiles (CNAIP) d'Interpol, du département informatique électronique de l’Institut de recherche criminelle de la gendarmerie nationale et d'autres forces de l'ordre. Ce logiciel est gratuit, mais il est réservé aux forces de police européennes et n’est pas open source. CHRISTOPHE MONNIEZ Enquêteur ICT, FCCU – Bruxelles (Belgique) J’ai mis au point un Boot CD, en open source, permettant l’acquisition technico-légale de disques durs ; il s’agit d’un CD que l’on insère dans l’ordinateur d’un suspect ou d’une victime mais qui n’en altère pas le disque dur. Il existait déjà certains outils de ce type, sous Linux notamment, mais qui risquaient d’altérer le disque dur et qui, par ailleurs, ne pouvaient être utilisés qu’avec un clavier américain. Forensic Boot CD, est assez unique ; il propose une quinzaine d’outils pour réaliser des copies technicolégales.
Lille – 24 mars 2009
68
Forum International sur la Cybercriminalité 2009
Nicolas DUVINAGE Les juges d’instruction privilégient-ils les outils développés par des enquêteurs ou les logiciels commerciaux ? LIDIJA KOMLEN NIKOLIC Special prosecutor office for cyber crime, District prosecutor office – Belgrade (République serbe) Les juges demandent seulement à être persuadés du bien fondé de la solution et de sa fiabilité technique. L’outil peut être pertinent, qu’il soit commercial ou non. Néanmoins, l’avocat de la défense peut revendiquer l’utilisation d’un outil commercial. En Serbie, les officiers de police n’ont pas encore développé leurs propres outils, par conséquent, nous utilisons des logiciels commerciaux. Ces derniers s’inscrivent plus couramment dans un référentiel de qualité. Capitaine Patrick TESTUZ Les outils que nous développons suivent un circuit de validation ; ce processus peut constituer un argument supplémentaire pour justifier de la qualité du produit. Par ailleurs, nous sommes entrés dans une démarche d’accréditation par la COFRAC. Nicolas DUVINAGE Quelles sont les raisons du choix de l’open source ? Et ne serait-il pas pertinent dans certains cas de rendre accessibles les outils aux entreprises ? Christophe MONNIEZ L’open source permet de conserver un large choix de solutions ; si une solution ne fonctionne pas, une autre peut être utilisée. Capitaine Patrick TESTUZ Il n’est pas pertinent de diffuser M.A.R.I.N.A dans les entreprises. Les signatures sont protégées au sein du CD-Rom ; tout le monde comprendra que si elles sont connues, elles seront facilement déjouables ensuite. Lidija KOMLEN NIKOLIC Ce n’est pas aux entreprises de mener l’enquête : même si elles ont leurs propres outils, nous serons dans l’obligation de refaire le travail nous-mêmes. Et puis, nous serions à ce moment-là en droit de nous poser la question de l’impartialité de l’enquête. Nicolas DUVINAGE Les entreprises sont-elles sensibilisées aux menaces existantes ? Avez-vous déjà reçu des appels d’entreprises ? Lidija KOMLEN NIKOLIC Nous communiquons beaucoup par Internet et organisons des réunions publiques.
Lille – 24 mars 2009
69
Forum International sur la Cybercriminalité 2009
Serge HOUTAIN Nous avons déjà été contactés pour une suspicion de hacking sur un secret de fabrication, mais nous n’avons pas encore la capacité d’entreprendre des démarches d’intelligence économique. Nicolas DUVINAGE Les trois pays ici représentés travaillent-ils ensemble ? Capitaine Patrick TESTUZ Nos travaux sont complémentaires ; dans la plupart des cas, les outils des uns sont accessibles aux autres. Christophe MONNIEZ Nous allons par ailleurs collaborer lors d’un projet européen, dans le cadre du programme du Safer Internet Plus.
Lille – 24 mars 2009
70
Forum International sur la Cybercriminalité 2009
9. L’internet de demain : quelles menaces et quels risques ?
NICOLAS ARPAGIAN Modérateur / Rédacteur en chef de la revue Prospective stratégique, coordonnateur des enseignements « Stratégies d’influence & lobbying », Institut d’études et de recherche pour la sécurité des entreprises (IERSE), auteur du livre « La cyberguerre – la guerre numérique a commencé » - Paris (France). Résumé L’interconnexion croissante des systèmes et la grande disponibilité de l’information mènent à une augmentation et à une professionnalisation des menaces informatiques, de plus en plus imprévisibles. Les organisations privées concurrencent la puissance numérique des États qui, par ailleurs, se préparent à l'éventualité de guerres virtuelles. Dans le futur, l’interaction entre mondes virtuel et réel permettra aux menaces informatiques de provoquer des morts réelles et au cyberterrorisme de se développer. Pour y faire face, il faut responsabiliser l’ensemble des acteurs de la chaîne d’échanges informatiques et non plus seulement l’utilisateur final ou les directeurs d’entreprise. Ces derniers gardent néanmoins une obligation de sécurisation de leurs systèmes, notamment pour les assurances prenant en charge les risques numériques. L’usurpation d’identité étant la principale vulnérabilité d’Internet, il faut favoriser l’émergence de systèmes permettant d’identifier l’auteur et le contenu de toute source d’information. Une « constitution numérique » permettrait de garantir un minimum d’éthique dans l’utilisation d’Internet. Les entreprises et les États doivent établir quelles sont les données essentielles à leur fonctionnement pour en renforcer la protection. Certains appuient la création d’une police internationale d’Internet ou sa prise en charge, soit par une « haute autorité des robots », soit par des applications autonomes pouvant détruire automatiquement les fichiers illégaux. Summary Growing interconnection between systems and ready availability of information are leading both to increased and increasingly professional cyber threats, which are more and more unpredictable. Private organisations compete with the digital power of states, which are moreover preparing for the eventuality of virtual warfare. In the future, the interaction between the real and virtual worlds will allow cyber threats to cause real deaths and cyber terrorism to develop. In order to confront this, all the players in the data exchange chain must be made aware of their responsibilities, which can no longer be sustained only by the end user or the company directors. Nevertheless, it is still the duty of the latter to secure their systems, especially for insurance policies covering digital risks. The primary vulnerability on Internet being identity theft, development of systems that allow identification of the author and content of any information source must be encouraged. A «digital constitution» would allow minimum Internet use standards to be guaranteed. Companies and states should determine which data is crucial for their operation in order to reinforce its protection. Some endorse the establishment of an international Internet police force or its management by either a « robotic high command » or by autonomous applications, which would have the ability to destroy illegal files automatically.
Lille – 24 mars 2009
71
Forum International sur la Cybercriminalité 2009
Professionnalisation et amplification des menaces MICHEL RIGUIDEL Professeur, École nationale supérieure des télécommunications (Télécom Paris) – Paris (France). La future interaction entre l’informatique et la réalité physique rendra possible des attaques mortelles et, notamment, le cyberterrorisme. Ces futures attaques relèveront de structures spontanées et massives. OLIVIER QUINIOU Directeur général France F-SECUR – Maisons-Lafitte (France) Les principaux enjeux de sécurité résident dans l’évolution des structures de localisation, ainsi que dans l’augmentation et la professionnalisation des menaces. Les attaques vont s’amplifier avec l’interconnexion croissante des ordinateurs. F-SECUR soutient la création d’une police internationale car un contrôle global des machines, des contenus, des accès et de tous les supports est nécessaire.
FRANCK VEYSSET Membre du CLUSIF, expert senior Orange Labs – Issy-les-Moulineaux (France) Les révolutions technologiques augmentent le potentiel d’impact des futures attaques. Celles-ci se professionnalisent et deviennent imprévisibles. DAVID DELANNOY Consultant, SPIE Communication – Lille (France) Les infrastructures distribuant Internet sont en plein développement et aujourd’hui la moitié des salariés a accès à une boîte mail. La disponibilité de l’information augmente, il est donc important de pouvoir identifier qui la manipule. Franck VEYSSET L’État prend le relais des entreprises dans la lutte contre les menaces informatiques.
Solutions envisageables Olivier QUINIOU Les solutions aux attaques informatiques sont à la fois curatives (antivirus) et préventives (virtualisation en temps réel des applications du système, connexion permanente entre les laboratoires de recherche du monde entier). Elles sont à la fois techniques et éducatives (contrôle parental). Michel RIGUIDEL Les menaces sont réelles (récupération d’informations), symboliques (affecter l’image de marque d’une entreprise) et imaginaires (le bug de l’an 2000). Il faut réduire l’opacité actuelle des logiciels Internet,
Lille – 24 mars 2009
72
Forum International sur la Cybercriminalité 2009
justifiée par l’application de copyrights. La législation doit évoluer et ne plus envisager l’utilisateur final comme seul responsable. David DELANNOY Les directeurs d’entreprises sont les seuls responsables en cas de vol de données mais la loi ne les oblige pas à investir une partie de leurs bénéfices dans la sécurité. Ils devraient établir quelles sont les informations essentielles à leur fonctionnement pour en renforcer la protection.
Recherche & Développement Franck VEYSSET La Recherche et développement (R&D) développée par Orange labs peut s’intéresser à l’évaluation des menaces à long terme, mais cela ne relève pas de son activité principale. Michel RIGUIDEL La R&D a une utilité directe. Prochainement, l’élaboration de différents modèles de gouvernance d’Internet mèneront à sa « balkanisation ». Certains programmes ont plus d’importance que d’autres et remettent en cause la neutralité d’Internet, ainsi que les notions de souveraineté et de dignité numérique. La France doit rester souveraine de ses infrastructures numériques, d’autant plus que les organisations privées concurrencent de façon croissante les États. Une « constitution numérique » est nécessaire pour assurer un minimum d’éthique dans l’utilisation d’Internet.
Échanges avec la salle DOMINIQUE DESCHAMPS Reporter Jusqu’où ira l’usurpation d’identité virtuelle? Les assurances la prennent-elles en charge? Michel RIGUIDEL Les assurances prennent en charge aussi bien les risques réels que numériques. L’usurpation d’identité est la principale vulnérabilité d’Internet. Des structures d’imputabilité, permettant de s’identifier quand on le souhaite au moyen de signatures numériques, doivent se développer. Olivier QUINIOU Une identité peut être usurpée par le vol, mais aussi par la prise de contrôle de la machine. David DELANNOY Il faut utiliser plusieurs niveaux d’identification (mot de passe, identité biométrique, carte à puce) pour y remédier. De la salle Les fournisseurs de sécurité sont-ils amenés à entrer dans le cahier des charges des assurances ?
Lille – 24 mars 2009
73
Forum International sur la Cybercriminalité 2009
Olivier QUINIOU Pour les assurances, l’utilisateur a l’obligation de sécuriser ses systèmes. En cas de vol de données non protégées, seule la responsabilité civile, et non pénale, du représentant de l’entreprise est engagée. AMIRAL GIRARD Rédacteur en chef de la Revue défense nationale Comment pouvez-vous assurer une protection contre quelque chose d’inconnu ? Les assurances doivent préciser que nous devons sécuriser nos systèmes. Les réseaux sociaux numériques impliquent également de nouvelles menaces. Olivier QUINIOU Les assurances n’exigent généralement de l’utilisateur que des « précautions et standards de sécurité classiques». La protection contre les malwares consiste à bloquer toutes les fonctionnalités inconnues, même si elles peuvent se révéler bienveillantes. Les réseaux sociaux tels que Facebook sont des sources importantes d’informations personnelles et représentent un degré d’insécurité élevé. Michel RIGUIDEL Un nombre croissant d’applications, notamment les réseaux sociaux, mettent en scène des milliers de personnes en même temps, ce qui rend difficile l’authentification des auteurs des attaques. Les événements survenant sur Internet sont tellement nombreux que le nombre d’attaques va devenir incommensurable par rapport à notre capacité d’observation. Il faudra donc déléguer à des robots un pouvoir de police et de justice sur Internet. Ces derniers, amenés à se multiplier, pourront provoquer des attaques pour lesquelles il sera difficile d’identifier le responsable. De la salle Les assurances déterminent, avant la conclusion du contrat, si le client court des risques importants et ne le pénalisent pas, après une attaque, pour ne pas avoir assuré sa sécurité. Une guerre numérique provoquant la paralysie totale des activités d’un pays est-elle envisageable ? Nicolas ARPAGIAN L’Estonie, un État extrêmement numérisé, a subi une attaque informatique au printemps 2007. Ses services n’ont pas été paralysés car ils se sont fait héberger par des plate-formes gratuites de Google. Olivier QUINIOU L’État français s’est muni de moyens et de cellules de réflexion pour pouvoir faire face aux attaques. David DELANNOY Pour diminuer leur vulnérabilité face à d’éventuels brouillages d’informations, les États doivent sauvegarder leurs données les plus précieuses. De la salle Serait-il possible de légaliser des robots pouvant détruire automatiquement les données illégales ?
Lille – 24 mars 2009
74
Forum International sur la Cybercriminalité 2009
Michel RIGUIDEL Quand le réseau aura plus de puissance informatique, une haute autorité capable de contrôler une application à même d’effacer les fichiers illégaux et de séquestrer les serveurs attaqués par un virus pourra être créée.
Lille – 24 mars 2009
75
Forum International sur la Cybercriminalité 2009
10. Microsoft : 2centre, le futur projet européen de Centres d’excellence sur le cybercrime pour la formation, la recherche et l’éducation
JEAN-CHRISTOPHE LE TOQUIN Modérateur / Directeur sécurité Internet, affaires juridiques et publiques, Microsoft Europe, MoyenOrient et Afrique – Paris (France). Résumé Le développement de la cybercriminalité engendre un besoin de formation des acteurs privés comme des acteurs publics (notamment des forces de l’ordre). Le projet du 2centre a pour objectif de répondre à ce besoin, par la collaboration des différents acteurs, en suivant le schéma d’harmonisation européenne des formations. Il s’inscrit dans un cadre européen général de lutte contre la cybercriminalité. Ce cadre permet à la Commission européenne de soutenir matériellement et politiquement la coopération et la formation de ces acteurs. Il s’inspire de partenariats existants entre forces de l’ordre, industries et universités. En France, la police et la gendarmerie coopèrent pour renforcer la formation d’enquêteurs spécialisés en technologies numériques. Depuis 2009, un partenariat entre la gendarmerie et l’Université de Technologie de Troyes permet de développer les formations sur la sécurité des systèmes d’informations tout autant que sur les enquêtes et l’utilisation de preuves numériques. Il accrédite ces formations d’un diplôme et poursuit un effort de partenariat avec les industries. S@ntinel est, elle, une association qui vise à sensibiliser, former et mettre en relation les services publics sur le thème de la lutte contre la cybercriminalité, notamment en organisant ce forum international sur la cybercriminalité. Summary An increase in cyber crime is generating a need for training in both private and public sectors (in particular law enforcement). The aim of the 2centre project is to meet this need, with the various players working together in accordance with European training harmonisation. It is in line with the frame of general European fight against cyber crime, which allows the European Commission to provide material and political support with respect to the cooperation and training of said players. It is inspired by existing partnerships between law enforcement agencies, industry and academia. In France, the police and gendarmerie are working together, in order to reinforce training for investigators specialised in digital technology. Since 2009, a partnership between the gendarmerie and the Université de Technologie de Troyes has allowed training in information systems, as well as in investigations and use of IT forensics, to be developed. It accredits these training sessions with a diploma and encourages partnership with industry. S@ntinel is an association that aims to raise awareness, to train and to put public services in touch with one another on the subject of the fight against cyber crime, in particular by organising the present international forum on cyber crime. Jean-Christophe LE TOQUIN La création du 2centre a été annoncée lors de la dernière conférence sur le cybercrime du Conseil de l’Europe, le 9 mars dernier. Ce centre répond aux besoins de formations de la police et des industriels.
Lille – 24 mars 2009
76
Forum International sur la Cybercriminalité 2009
Cadre européen RADOMIR JANSKY Direction F.2 lutte contre la criminalité organisée, direction générale de Justice, Liberté et Sécurité, Commission européenne – Bruxelles (Belgique) La Commission européenne participe au processus législatif de lutte contre la cybercriminalité avec deux décisions cadres visant la pédopornographie et les attaques menées contre les systèmes d’information. Elle a pour objectif de renforcer la coopération entre les États membres de l’Union Européenne et les pays tiers, en matière de répression de la cybercriminalité. Elle a participé à l’élaboration de la stratégie de lutte contre la cybercriminalité du Conseil de l’UE. La Commission a mis en place une plate-forme européenne de formation dans la lutte contre la cybercriminalité, qui inclut des programmes de formation des juges et des procureurs, la mise à jour des formations des services répressifs et la création de diplômes correspondants, ainsi que le projet 2centre. La Commission dispose de plusieurs programmes financiers qui appuient la réalisation de sa politique et les divers projets des États membres, dont le 2centre.
Formation des forces de l’ordre LIEUTENANT-COLONEL ÉRIC FREYSSINET Chargé des projets cybercriminalité à la direction générale de la gendarmerie nationale, sous-direction de la police judiciaire (DGGN / SDPJ) – Paris (France) Les enjeux de la cybercriminalité concernent les infractions commises sur les réseaux de communication électronique, mais également sur l’utilisation de preuves numériques lors d’enquêtes ou de procès. Dans le cadre de la Mission d’investigation sur les technologies de l’information et de la communication (MITICOM) du ministère de l’Intérieur, la police et la gendarmerie élaborent des outils communs d’information (un site intranet) et de formation. Dans les gendarmeries, le dispositif de lutte contre la criminalité liée aux technologies numériques s’articule autour d’un niveau d’enquête d’excellence de portée nationale, d’enquêteurs en technologies numériques des unités locales et régionales et des correspondants NTECH en contact direct avec leurs collègues et les victimes. Leur formation a commencé dans les années 1990. Depuis 2001, elle s’inscrit dans les projets européens d’harmonisation des formations. En 2003, des séminaires communs entre enquêteurs spécialisés de la police et gendarmerie ont été mis en place. Depuis 2006, 600 correspondants en technologie numérique ont été formés par des enquêteurs spécialisés, afin de pouvoir répondre de façon adéquate aux victimes venant déposer plainte dans les commissariats comme dans les gendarmeries. Depuis 2009, un partenariat avec l’Université de technologie de Troyes (UTT) permet d’accréditer ces formations d’un diplôme universitaire, qui peut être complété par un master. Le 2centre va faire évoluer ce partenariat et permettra d’impulser la recherche et l’innovation académique française dans le domaine de l’enquête numérique, notamment par des partenariats avec l’industrie. Jusqu’à présent, elle se concentrait surtout sur la sécurité des systèmes d’information des entreprises.
Lille – 24 mars 2009
77
Forum International sur la Cybercriminalité 2009
Participation des universités LOUIS-JOSEPH BROSSOLET Chargé de mission partenariats et stratégie, directeur de la formation continue, Université de Technologie de Troyes (France) L’Université de technologie de Troyes (UTT) est une des plus importantes écoles d’ingénieurs de France. La thématique transversale de nos recherches porte sur « les sciences et les technologies pour la maîtrise des risques ». Les masters « sécurité des systèmes d’informations » et « ingénierie et management en sécurité globale appliquée » sont ouverts aux gendarmes. Cinquante d’entre eux suivent une formation continue chaque année à l’UTT. Nous souhaitons rassembler les industriels et les chercheurs dans un effort commun de formation, d’éducation et de recherche dans la lutte contre la cybercriminalité. La formation, appuyée par la recherche appliquée, concerne tant des employés d’entreprises, des forces de l’ordre, que des magistrats. La recherche, vise à développer des outils qui nous rendent moins dépendants des productions étrangères. L’amélioration de ces formations augmente la visibilité et l’attrait pour ces métiers et elle constitue une mise en réseau efficace au niveau national, européen et mondial. RICHARD OLSZEWSKI Secrétaire général de l’association S@ntinel – Roubaix (France) S@ntinel est un partenariat public-public privé, qui tente notamment de remédier à la mauvaise collaboration entre les services publics dans la lutte contre la cybercriminalité. S@ntinel travaille en relation avec le conseil général, le conseil régional, la chambre de commerce du Grand-Lille et l’Eurométropole « Lille-Courtrai-Tournai ». Notre principale activité est l’organisation de forums internationaux sur la cybercriminalité, mais nous intervenons également par des micros conférences dans les entreprises et collectivités locales pour sensibiliser, former et mettre en réseau ces acteurs sur ce thème.
Lille – 24 mars 2009
78
Forum International sur la Cybercriminalité 2009
11. Clusif : Divulgation de données : mise en place du chiffrement au sein des PME
PASCAL LOINTIER Modérateur / Président du Club de la sécurité informatique français (CLUSIF). Résumé L’information est au cœur de l’entreprise. La multiplicité des supports et leur caractère volatil, de même que la variété des modes de divulgation, rendent toujours plus difficilement maîtrisable l’information et supposent un traitement plus complet et plus systématique des questions de récupération de celle-ci. Dans cet environnement d’opportunités croissantes de divulgation de données, le chiffrement peut constituer une réponse pertinente et efficace. Outil de sécurité de l’information parmi d’autres, le chiffrement consiste à protéger la confidentialité d’une information par l’utilisation d’une clé pouvant être un mot de passe, une carte à puce… Le choix d’une solution technique adéquate (adéquation qui garantira son efficacité) repose sur l’identification de certains critères et nécessite notamment l’observation attentive de la dimension réglementaire et légale. Cette dimension est d’autant plus importante que l’entreprise exerce une activité dans plusieurs pays, chaque pays possédant ses propres règles et certains – la Chine et les États-Unis – représentant des cas particuliers à connaître. Le nomadisme des salariés d’une société implique le passage par de nombreux réseaux différents ; il accentue ainsi le risque de divulgation de l’information. Par conséquent, des solutions adaptées aux menaces spécifiques et grandissantes liées au nomadisme sont indispensables. Summary Information is at the heart of any company. The numerous forms of media and their volatile nature, as well as the variety of disclosure methods, make information more difficult to control and presuppose a more complete and systematic handling of data retrieval questions. In this environment of increasing opportunity for data disclosure, encryption can provide a pertinent and efficient response. One of many IT security tools, encryption consists of protecting information confidentiality by using a key, which may be a password, a smart card, etc. The choice of an adequate technical solution (adequacy that will guarantee its efficiency) relies on the identification of certain criteria and necessitates in particular an attentive observance of the legal and regulatory aspect. This aspect is all the more important when the company has business dealings in several countries, each country having its own rules and some – China and the United States – representing special cases to be considered. The nomadism of the employees of a company implies passing through numerous different networks, and therefore accentuates the risk of information disclosure. Consequently, solutions adapted to the specific and growing threats linked to nomadism are essential. Pascal LOINTIER L’augmentation des pertes accidentelles de supports informatiques et sa propagation aux domaines de savoir-faire industriel ou d’espionnage économique ont fait naître une volonté de systématiser la récupération de l’information. La multitude de supports et la variété des modes de divulgation compliquent le problème de sécurité de l’information numérique, problème qui peut avoir de lourdes conséquences (perte de chiffre d’affaires,
Lille – 24 mars 2009
79
Forum International sur la Cybercriminalité 2009
gestion de crise…). La protection des données à caractère personnel connaît une évolution législative différente dans chaque pays et la question de normes de référence garantissant un niveau effectif de sécurité se pose toujours.
Comment mettre en place une solution de chiffrement dans l’entreprise ? LAURENT PERRUCHE Consultant senior sécurité SOLUCOM L’information au cœur de l’entreprise Tout repose sur l’information constituée de fichiers difficilement maîtrisables car volatils. Des fuites de ces fichiers ont donc de forts impacts financiers, d’image, etc. Chiffrer pour protéger Le chiffrement consiste à protéger la confidentialité d’une information via une clé (mot de passe, carte à puce, etc.). Mettre en place une solution passe par la classification des données et l’identification des menaces et des risques. Quatre types de solutions techniques existent : - le chiffrement intégral de disque dur, principalement intéressant contre le vol et la perte - le chiffrement de fichiers et répertoires, efficace pour la protection des données stockées sur des postes ou partagées sur des serveurs - les auto-déchiffrables, adaptées pour les échanges de documents par messagerie - le chiffrement des protocoles de communication réseau, adapté au nomadisme. Les clés du succès L’adéquation de la solution aux besoins identifiés, l’accessibilité des données dans la durée, l’ergonomie de la solution garantissant l’adhésion des utilisateurs et les dimensions légales et réglementaires sont les éléments qui participent au choix d’une solution.
Nomadisme et sécurité : enjeux et recommandations pour une PME CHARLES DAUMALE Responsable commercial et marketing ERCOM Le nomadisme implique le recours à de nombreux réseaux. Il existe trois types de menaces liées au nomadisme et leurs réponses : - la perte ou le vol de terminal se résout par un chiffrement local du terminal, le verrouillage d’écran ou l’effacement à distance - les attaques réseau (bluetooth, Wi-Fi, infrarouge) se résolvent par des anti-virus et des firewalls - les écoutes data ou voix trouvent leur solution dans le chiffrement des flux data (VPN) ou voix (Skype) ou l’authentification forte.
Lille – 24 mars 2009
80
Forum International sur la Cybercriminalité 2009
Spécialisée dans les usages et la confiance dans les réseaux, ERCOM a trois métiers : test et simulation, supervision de réseaux et communications sécurisées. Sa technologie de carte à puce permet de répondre aux enjeux de sécurité extérieurs à l’entreprise.
Échanges avec la salle De la salle Quelles sont les contraintes légales impactant le déploiement d’une solution de chiffrement ? Charles DAUMALE Tous les pays de l’Union européenne imposent les mêmes contraintes légales. En Chine, une demande d’autorisation est obligatoire. Les États-Unis s’autorisent un droit de regard sur tous les appareils électroniques entrant dans le pays ; venir avec le moins d’informations possibles et se connecter à distance est donc fortement conseillé. De la salle Combien coûte une solution de cryptographie et quel est son impact sur la bande passante ? Charles DAUMALE Cela représente environ 10 euros par mois par utilisateur. La latence sur bande passante vient principalement des paquets circulant sur un réseau mobile ; la cryptographie n’est donc plus une contrainte. De la salle Les nouveaux équipements offrent-ils des solutions plus simples ?
De la salle Si vous achetez un PC, l’année suivante vous obtiendrez un PC sécurisé, qui communique, au même prix ; la connectivité mobile et nomade rentre dans le quotidien. De la salle Quelle est la sécurisation de vos boîtiers ? Charles DAUMALE Tout se trouve dans une carte à puce à sécuriser lors de l’envoi. En cas d’interception, la carte à puce devra être cassée car chaque client la personnalise.
Lille – 24 mars 2009
81
Forum International sur la Cybercriminalité 2009
12. Évolution des normes : devoirs et responsabilités des chefs d’entreprises
CHRISTOPHE ROQUILLY Modérateur / Professeur de droit, directeur du centre de recherche LegalEdhec – performance juridique, EDHEC Business School – Lille (France). Résumé Le chef d’entreprise engage sa responsabilité en matière pénale dès lors qu’il fournit une connexion Internet à ses salariés. Dès lors, la consultation ou le téléchargement de contenus interdits – images pédo-pornographiques ou vidéos sous copyright – par un salarié est sous la responsabilité du chef d’entreprise. La nomadisation (portables, Wi-Fi…) multiplie les risques et les vols. Dans une situation de guerre de l’information, les pertes d’informations sont préjudiciables et profitent au concurrent. C’est pour cette raison qu’il convient de mettre en place une stratégie de sensibilisation des salariés : le management des risques. L’exemple américain invite à considérer les chartes d’utilisation qui peuvent être signées par les employés. Ces différentes chartes doivent être expliquées, de manière à bien faire comprendre les droits et devoirs de l’utilisateur en entreprise. Suite à une attaque, déposer plainte est un excellent moyen pour la justice de capitaliser les informations et permettre à la justice d’évoluer dans ce contexte. Malheureusement, de nombreuses entreprises préfèrent taire ces actes, qu’ils soient internes ou externes. Les cyberdélinquants le savent et profitent de la situation. Summary The head of the company is held liable in terms of criminal matters from the moment that he supplies his employees with an Internet connection. From then on, the head of the company is liable for an employee’s browsing or downloading prohibited content – pictures of child pornography or videos under copyright. The risks and thefts are multiplied by nomadisation (laptops, Wi-Fi…). In an information war, loss of information is damaging for a company and benefits its competitors. That is why it is advisable to set up an employee awareness strategy: risk management. The American example suggests charters of use, which are to be signed by the employees. These various charters should be explained in such a way as to make clear the rights and responsibilities of the in-company user. Following an attack, pressing charges is an excellent way for the judicial process to capitalise on information and to progress in this context. Unfortunately, many companies prefer to cover up such acts, whether internal or external. Cyber delinquents know this and take advantage of the situation.
Responsabilité grandissante Christophe ROQUILLY Au sujet des normes en vigueur, quelle perception avez-vous des devoirs de l’entreprise et quels sont les risques qui peuvent la menacer ?
Lille – 24 mars 2009
82
Forum International sur la Cybercriminalité 2009
LAURENT ASSELIN Responsable avant vente, ExerDatacom – Lille Quand un chef d’entreprise fournit un outil informatique à ses salariés, il exerce sa responsabilité. C’est le cas, par exemple, lorsque sont consultées des images pédo-pornographiques sur le lieu de l’entreprise ou lorsque circulent des films sous copyright. Cette question se pose aussi dans le cadre du développement du Wi-Fi. Christophe ROQUILLY Le niveau de contraintes légales est-il en augmentation et va-t-il encore augmenter ? BLANDINE POIDEVIN Avocate aux Barreaux de Lille et de Paris Le contexte législatif a évolué et l’apparition de nouveaux outils – plus nomades – entraîne de nouvelles responsabilités. La pression juridique s’accroît et le chef d’entreprise est responsable, à partir du moment où il propose des outils à son salarié. Christophe ROQUILLY En tant que magistrat, allez-vous dans le même sens ? Que constatez-vous dans votre pratique ? MYRIAM QUEMENER Magistrat au Parquet général de la Cour d’appel de Versailles, auteur de Cybermenaces, entreprises, internautes et co-auteur de Cybercriminalité, défi mondial Cette abondance de lois nécessite l’émergence d’une spécialisation, car l’entreprise peut être victime d’un grand nombre d’infractions. La singularité de la cybercriminalité est de voir la multiplication du nombre de délits sur l’espace numérique. Un travail de sensibilisation doit être mis en place. COLONEL JOËL FERRY Commandant de la section de recherche – Versailles Dans une situation de guerre de l’information, la perte de données peut être préjudiciable. Perdre des informations signifie perdre des parts de marché, voire devoir licencier. Pour lutter efficacement contre cela, il faut organiser les systèmes d’information et implanter une culture de la sécurité parmi les collaborateurs. Les choses évoluent dans les entreprises, mais ce n’est pas le cas dans les TPE. Pourtant elles sont les plus vulnérables quand elles travaillent la connaissance, l’ingénierie ou la matière grise. La sécurité doit être envisagée comme un problème externe, mais aussi interne.
Lille – 24 mars 2009
83
Forum International sur la Cybercriminalité 2009
Christophe ROQUILLY Les juristes partagent avec les spécialistes des systèmes d’information un vocabulaire complexe. Il faudra faire des efforts pour permettre la transmission de ces informations vers l’entreprise. JANE WINN Charles I. Stone Professor of Law, Director of the Shildler Center for Law, Commerce and Technology, University of Washington School of Law - Washington Si le niveau de sécurité dans le monde des affaires est le même entre la France et les États-Unis, les entreprises américaines ont peur d’être convoquées devant les tribunaux. Après le scandale « Enron », la loi a imposé que les documents financiers soient archivés. Cette décision a entraîné une vague d’investissements dans la sécurité. Christophe ROQUILLY Tout cela invite les entreprises à mettre en place des politiques de management des risques. Laurent ASSELIN Nous avons travaillé sur la prévention et la sensibilisation, avec une charte de management qui stipule les droits et devoirs des salariés et de l’entreprise. Nous n’avons pas négligé l’aspect opérationnel, en cas de sinistre. Blandine POIDEVIN Cette responsabilité de l’employeur peut être partiellement déléguée. En effet, si trois aspects sont retenus – l’autorité, les moyens et la compétence –, la délégation peut être validée et acceptée. Myriam QUEMENER On se sent parfois en sécurité dans une entreprise, mais la menace peut être interne. L’employeur peut contrôler l’activité de son employé, sauf si les fichiers sont personnels. Joël FERRY Si la charte d’entreprise est essentielle, il faut l’expliquer et non l’imposer. Christophe ROQUILLY Ces chartes ne peuvent se réduire au strict respect du code pénal. Myriam QUEMENER Les faits doivent être déclarés auprès des services de police, mais les entreprises craignent pour leur image de marque. Il faut que les entreprises dédramatisent cette démarche, car sans plainte, aucune condamnation ne pourra être rendue. Les cyberdélinquants suivent les décisions judiciaires et modifient leur comportement en fonction de celles-ci. Joël FERRY Déposer plainte est un excellent moyen pour renseigner les services d’enquête. L’entreprise ne doit devenir ni un sanctuaire ni une citadelle.
Lille – 24 mars 2009
84
Forum International sur la Cybercriminalité 2009
13. Biométrie : quelles applications pour l’entreprise ?
FREDERIC BERGÉ Modérateur / Chef de rubrique en charge des dossiers, 01 Informatique. Résumé La biométrie désigne tout dispositif permettant l’identification des personnes grâce à des éléments caractéristiques du corps humain (voix, empreinte digitale, etc.). L’utilisation de la biométrie interrogeant les notions de protection de la vie privée et de sécurité des données, la Loi informatique et libertés de 2004 confie à la CNIL le pouvoir d’autoriser ou non l’installation de ce type d’outils. En 2008, 800 demandes ont été enregistrées par la CNIL, 95 % d’entre elles ont été acceptées. Les dispositifs, utilisés essentiellement dans les deux champs d’application que sont le contrôle d’accès et la sécurité logique, doivent être encadrés : la CNIL privilégie notamment les technologies dite « sans trace », qui nécessitent le consentement des individus, et les systèmes ne permettant pas le stockage des données. Un critère dit de « proportionnalité » pèse particulièrement dans la décision d’autorisation : le dispositif mis en place doit être adapté à la finalité poursuivie et apporter une valeur ajoutée en matière de sécurité. La CNIL se réserve le droit de réaliser des audits pour vérifier que les conditions d’utilisation des systèmes sont bien respectées par les entreprises. Dans le cas contraire, l’entreprise court un risque juridique important, notamment de contentieux avec le salarié. Summary Biometrics refers to any device allowing persons to be identified through distinctive elements of the human body (voice, fingerprint, etc.) As use of biometrics calls into question notions of protection of privacy and data security, the Data Protection Act of 2004 gives the CNIL (French data protection authority) the power to authorise or not the installation of this type of tools. 800 requests were registered by the CNIL in 2008, 95% of which were accepted. The devices, used essentially in the fields of access control and data security, must be restricted: the CNIL favours notably «no trace» technologies, requiring the individual’s consent, and systems that do not allow data storage. A criterion of « proportionality » is particularly important when the CNIL decides to authorise any such device: the device which is set up must be suited to the desired purpose and must bring added value in terms of security. The CNIL reserves the right to perform audits in order to verify that the conditions of use of the systems are being respected by companies. Should it be otherwise, the company is taking a considerable legal risk, in particular with regard to legal dispute with its employees.
Un potentiel énorme GUILLAUME DESGENS-PASANEAU Chef du service des affaires juridiques, CNIL – Paris (France) Bien que non définie précisément dans la Loi informatique et libertés de 2004, la biométrie peut être désignée comme tout dispositif permettant l’identification des personnes aux travers d’éléments
Lille – 24 mars 2009
85
Forum International sur la Cybercriminalité 2009
caractéristiques du corps humain (voix, iris, empreinte digitale, etc.). A ce jour, elle est utilisée dans deux grands champs d’application : le contrôle d’accès et la sécurité logique. FABIEN DHAINAUT Responsable sécurité générale, REDCATS group (La Redoute) – Roubaix (France) REDCATS group, par exemple, a installé dans une entreprise un dispositif lui permettant d’assurer la traçabilité des événements (vol, accident, etc.). L’outil, fiable et innovant, qui s’appuie sur la reconnaissance du réseau veineux de la personne, permet d’obtenir rapidement une information et facilite la gestion des équipes. Guillaume DESGENS-PASANEAU La biométrie interrogeant les notions de protection de la vie privée et de sécurité des données, la Loi informatique et libertés soumet à autorisation de la CNIL l’installation d’un dispositif biométrique dans une entreprise. La biométrie se confronte à d’autres problématiques qui impliquent de l’utiliser dans un cadre précis : - la traçabilité des données : les traces que laisse un individu risquent d’être réutilisées; - l’exploitation de données sensibles : des dispositifs biométriques permettent d’obtenir des informations sur l’origine ethnique de la personne ou sur son état de santé; - l’utilisation de l’empreinte digitale ou de l’iris de l’œil qui pose la question de la maîtrise des éléments de son corps humains; - la sécurité des données : la technologie n’est pas encore totalement fiable, il existe un risque de vol d’identité par exemple.
Un cadre précis La loi de 2004 ne disant rien sur les conditions d’utilisation de la biométrie, la CNIL précise les critères selon lesquels elle fonde son autorisation ou son refus : - les technologies à trace ou sans trace : la CNIL privilégie la biométrie sans trace, plus sécurisée et plus compatible avec la notion de respect de la vie privée puisqu’elle ne peut être utilisée sans le consentement de la personne; - les systèmes qui stockent les données ou ceux qui ne les conservent pas : la constitution d’une base de données n’est autorisée que lorsqu’elle permet de renforcer la sécurité; - le caractère facultatif ou non du système : les individus doivent pouvoir exercer leur droit d’opposition et utiliser un système alternatif (dans les cantines scolaires, par exemple); - l’information des personnes : les utilisateurs doivent être prévenus de l’utilisation du dispositif; - la proportionnalité : le système doit être adapté à la finalité poursuivie, en fonction du risque qu’il entraîne pour les données personnelles. Dans deux cas, les entreprises peuvent bénéficier d’une procédure d’autorisation simplifiée – la reconnaissance du contour de la main et la reconnaissance de l’empreinte digitale par un support individuel – dès lors qu’elles s’engagent à respecter les prescriptions de la CNIL. La CNIL peut réaliser des audits pour vérifier que les conditions d’utilisation sont bien respectées. En cas de non-respect de la réglementation, l’entreprise court un risque juridique important, notamment de contentieux avec le salarié. En 2005, suite à la plainte d’employés contre leur entreprise, un juge a Lille – 24 mars 2009
86
Forum International sur la Cybercriminalité 2009
ordonné la suppression d’un dispositif de contrôle d’accès, en invoquant la règle de proportionnalité. Un simple système de pointeuse pouvait, aussi bien que le dispositif biométrique en question, permettre de surveiller les horaires des salariés, mais sans entraîner de risques pour les données personnelles. La CNIL a reçu 800 demandes d’autorisation en 2008 ; 95 % d’entre elles ont été acceptées. Mais le nombre de dispositifs biométriques installés devrait être en réalité supérieur, certaines entreprises ignorant la nécessité d’une autorisation. Une campagne de sensibilisation des fournisseurs et des chefs d’entreprise apparaît nécessaire. ANDRÉ DELAFORGE Business Development manager – France, HITATCHI Europe Ltd – Maidenhead Berkshire (UK) Le groupe HITACHI, fabricant de dispositifs biométriques, travaille très en amont avec la CNIL pour appréhender le cadre de son activité et transmet les recommandations de la commission à ses clients. Dans le futur, la biométrie pourra évoluer vers des systèmes de combinaison des caractéristiques reconnues (empreinte digitale et réseau veineux, par exemple), pour renforcer la sécurité. Guillaume DESGENS-PASANEAU La CNIL pourrait bientôt labelliser des produits et des procédures d’utilisation de la biométrie, un décret est en cours de constitution.
Lille – 24 mars 2009
87
Forum International sur la Cybercriminalité 2009
14. Outils de veille : recherche, traitement, exploitation des informations en toute sécurité
JEAN-PAUL PINTE Modérateur / Docteur en information scientifique et technique, maître de conférences, expert en veille et intelligence compétitive au sein du laboratoire d’ingénierie pédagogique de l’université catholique – Lille (France). Résumé La veille permet d’accéder au Web invisible, celui auquel nous n’avons pas accès par les moteurs de recherche traditionnels. Ainsi, nous pouvons observer aujourd’hui, de façon automatisée, les pratiques de nos concurrents, les grandes tendances sociétales, les comportements de nos clients et des acteurs institutionnels. La veille consiste à identifier les sources d’informations pertinentes, organiser les recherches, sauvegarder les informations obtenues, les analyser, les synthétiser et les diffuser aux bons interlocuteurs. Le veilleur ne doit pas laisser de traces de son passage, au risque de se voir fermer l’accès aux informations ou de livrer des données utiles aux sites visités. Pour cela, il peut changer les adresses IP utilisées et l’heure de lancement des automates de veille, ainsi qu’effacer ses logs. La veille sécuritaire consiste à s’informer de façon permanente sur le fonctionnement des outils de sécurité, à pouvoir lancer l’alerte si un comportement anormal est identifié et à établir rapidement des contre-mesures. Les outils de veille sécuritaire sont encore souvent mal utilisés par les entreprises. L’enjeu central de la veille est le traitement et la classification des très nombreuses informations obtenues. La surveillance doit être permanente et les capacités de réaction rapides. Summary Surveillance allows access to the invisible Web, to which traditional search engines cannot have access. In this way, we can now observe, in an automatic fashion, the practices of our competitors, society’s major trends, the behaviour of our customers and of institutional stakeholders. Surveillance consists in identifying relevant information sources, organizing searches, saving the information obtained, analysing and synthesising it, and distributing it to the right people. The surveillance tool must leave no trace of its passage, at the risk of being denied access to information or of giving useful data to the visited sites. To this end, one can change the IP addresses used and the launch time of the surveillance automatons, or one can erase its logs. Security surveillance consists in being permanently informed of the functioning of the security tools, in being able to raise the alert if abnormal behaviour is identified and in establishing rapid countermeasures. Security surveillance tools are still often badly used by companies. The central issue of surveillance is the processing and classification of the vast amount of information obtained. Surveillance must be continual and reactivity must be fast.
Lille – 24 mars 2009
88
Forum International sur la Cybercriminalité 2009
Intérêt et risques de la veille JEAN-FRANÇOIS MONTEIL Consultant avant-vente, Digimind – Paris (France) La veille permet d’explorer le Web invisible, non indexé par les principaux moteurs de recherche et d’identifier les tendances émanant des réseaux primaires (réseaux citoyens et réseaux sociaux). Elle permet d’étudier les comportements des entreprises concurrentes (veille concurrentielle), des clients, des partenaires et fournisseurs (veille technologique), des syndicats, associations et partis politiques (veille institutionnelle). La veille s’effectue au travers de plusieurs étapes : - l’identification de sources pertinentes; - l’organisation des recherches; - la sauvegarde organisée de l’information; - l’analyse et la synthèse des informations en des thèmes différents; - la diffusion de l’information aux bons interlocuteurs. Le veilleur ne doit pas laisser de traces lors de son passage, afin que les organismes surveillés ne puissent ni récupérer de l’information sur son identité et ses intentions ni verrouiller l’accès à leurs données. Les entreprises concurrentes, les hackers, les États et les organismes de statistiques prêtent une grande attention aux veilleurs. Ils peuvent piéger les robots de veille sur des boucles infinies, délivrer consciemment de mauvaises informations et changer les Localisateurs uniformes de ressource (URL) de leurs pages chaque jour pour le contrer. Le veilleur peut, quant à lui, utiliser des fournisseurs d’accès aléatoires et plusieurs proxies16 pour varier les adresses IP qui lui sont attribuées. Il peut conclure un accord avec son fournisseur d’accès pour effacer les logs (historique) de ses traces. Il faut décaler régulièrement l’heure de lancement des robots de veille pour rompre les schémas récurrents d’apparition. Le crawling, ou navigation de liens en liens, et les sites utilisant des outils statistiques doivent être évités.
Veille sécuritaire SEBASTIEN VILLAIN Consultant en sécurité, SPIE Communications – Paris (France) Les différentes étapes de la veille sécuritaire sont: La collecte d’informations, filtrées selon le périmètre défini par le client. Les machines et les configurations, l’état de fonctionnement des outils de sécurité sont surveillés pour identifier les comportements anormaux. Des audits parcourent le réseau pour en détecter les failles; Le reporting, planifié ou en temps réel; L’alerte; La proposition d’une esquive ou d’une contre-mesure. Cet enchaînement suppose une bonne synergie des différents services et une bonne compréhension des publications d’états de vulnérabilité. Les outils permettant de surveiller la sécurité sont les pare-feu,
16
Serveur informatique qui a pour fonction de relayer des requêtes entre un poste client et un serveur Lille – 24 mars 2009
89
Forum International sur la Cybercriminalité 2009
les sondes ou Systèmes de détection d’intrusion (IDS), la surveillance des passerelles et des proxies et les scanners de vulnérabilité. Ces outils, souvent mal positionnés, génèrent des quantités considérables d’informations qu’il faut pouvoir trier. La complexité des menaces nécessite leur utilisation simultanée. La surveillance doit être permanente et la réaction aux alertes très rapide.
Échanges avec la salle De la salle Un particulier, auquel le fournisseur d’accès attribue une adresse IP à chaque connexion, est plus en sécurité qu’une entreprise qui utilise une adresse IP fixe. Le Web visible n’est-il pas qualitativement plus intéressant que le Web invisible ? Un système de veille automatisé, en ne diversifiant pas ses sources d’informations, ne présente-t-il pas le risque d’un manque d’adaptation aux évolutions de l’environnement numérique, notamment à l’apparition de nouveaux médias ? Jean-François MONTEIL Le thème de veille (surveillance de concurrents, de brevets, etc.) détermine la pertinence d’analyse du Web, qu’il soit visible ou invisible. Des métamoteurs de recherches peuvent détecter de façon automatisée de nouvelles sources pertinentes d’informations en travaillant par mots-clés. De la salle Les opérateurs ne gardent pas la trace de chaque utilisateur se connectant à Internet, car cela nécessiterait des ressources trop importantes. DOMINIQUE CIUPA Directeur des publications du magazine Mag Securs Pour notre part, nous gardons les logs des personnes qui visitent notre site, puis nous trions cette information au moyen de Google Analytics. Si les opérateurs ne gardent pas ces informations, les éditeurs le font. Google établit des logs pour vendre de la publicité. Les Captchas17 peuvent être surmontés pour avoir accès aux ressources très intéressantes du Web invisible. Jean-Paul PINTE Comment les recherches sont-elles menées dans les pages de formulaires ? Intégrez-vous le multilinguisme dans vos recherches ? Jean-François MONTEIL Les formulaires de recherche sont des sources d’informations complexes. Il faut mutualiser les thèmes et les types de sources, pour identifier des ressemblances entre ces formulaires. Nous appliquons le multilinguisme au moyen de l’extension de requêtes (association automatique de mots-clés de différentes langues au mot-clé tapé dans la requête) et de la traduction automatique des résultats obtenus.
17
Test permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur Lille – 24 mars 2009
90
Forum International sur la Cybercriminalité 2009
15. Cybercriminalité : risques et mesures pour l’économie nationale et les entreprises
SYLVAINE LUCKX Modérateur / Rédactrice en chef, MAG-SECURS – Vernouillet (France). Résumé Les entreprises s’engagent de façon croissante dans la lutte contre la cybercriminalité et dans le renforcement de leur propre sécurité. Leurs investissements dans ce domaine ne semblent pas être remis en cause par la crise économique actuelle. Leur priorité reste la bonne application des standards classiques de sécurité, ainsi que les actions de sensibilisation visant à réduire les comportements à risques. D’autres mesures de sécurité sont adoptées, telles que la cybersurveillance, l’authentification 18 unique, les zones démilitarisées (DMZ) , ou la suppression des ports USB des ordinateurs. Les attaques internes représentent la principale source de menaces, bien que les entreprises se préparent également à l’éventualité d’attaques massives qui nécessitent une plus grande coopération entre acteurs internes et externes à l’entreprise ainsi qu’entre acteurs publics et privés. La législation encourage le renforcement des politiques de sécurité, notamment par l’adoption de Plan de continuité d’activités (PCA) et de Plan de reprise d’activité (PRA). Certaines entreprises souhaitent la mise en place d’authentifications et de certifications officielles pour les différents acteurs en contact avec les réseaux électroniques. Le contrôle de l’application de la législation, ainsi que sa clarification et son adaptation au contexte national et européen sont vivement souhaités. Summary Companies are becoming increasingly involved in the fight against cyber crime and in the reinforcement of their own security. Their investments in this field do not seem to have been compromised by the current economic crisis. Their priority remains the correct application of classic security standards, as well as awareness campaigns aimed at reducing high-risk attitudes. Other security measures are being adopted, such as cyber surveillance, unique authentication, demilitarized zones (DMZ), or elimination of computer USB ports. Internal attacks constitute the main source of threats, although companies are also preparing themselves for potential massive attacks needing a more widespread cooperation, between internal and external players and between public and private sectors. Legislation is encouraging reinforcement of security policies, in particular by the adoption of the Business Continuity Plan (BCP) and the Business Recovery Plan (BRP). Some companies wish official authentication and certification to be put in place for the various players in contact with electronic networks. The possibilities to check that legislation is being applied, as well as its adjustment to the national and European context, are eagerly awaited.
18
Sous-réseaux isolés par un pare-feu, se situant entre le réseau interne et le réseau externe
Lille – 24 mars 2009
91
Forum International sur la Cybercriminalité 2009
Menaces et mesures correspondantes GERARD PESCH Directeur conseil en sécurité et évaluation, sécurité des systèmes d’information, THALES – VélizyVillacoublay (France) THALES développe des scénarios d’attaques afin d’établir de façon anticipée des techniques de sécurité qui puissent y répondre. Nous renforçons surtout l’application des standards classiques de sécurité aux systèmes informatiques interconnectés des entreprises et des administrations, qui restent très vulnérables aux attaques classiques. Nous recommandons d’intégrer la sécurité dans les projets de développement des systèmes informatiques, d’établir une cybersurveillance et de coupler sécurité physique avec sécurité numérique. CORINNE NOËL Responsable de la sécurité des systèmes d’information, FNAC – Ivry Sur Seine (France) La protection basique des systèmes est essentielle, il faut veiller à la mettre à jour, à sensibiliser et convaincre les utilisateurs de son utilité. Nous utilisons principalement la cybersurveillance comme mesure de sécurité, mais nous organisons des également des sessions de sensibilisation. Un projet d’authentification unique pour l’ensemble des applications a été développé, notamment dans le cadre de la délégation de comptes. CHRISTIAN BOIREAU En charge de la protection du patrimoine information au sein de la direction sécurité générale, TOTAL SA – Paris (France) Les menaces ont des impacts financiers, juridiques, sur l’image de l’entreprise, sur les hommes et l’environnement. Au sein de Total, chaque métier évalue les risques de ses installations et les informaticiens n’interviennent que pour fournir des solutions à ces menaces envisagées. L’utilisation du Wi-Fi, de la télémaintenance, de Windows et du Transmission control protocol/Internet protocol (TCP/IP) dans les systèmes de contrôle, renforce les risques. La protection des endroits et des systèmes identifiés comme étant les plus vulnérables est renforcée. Des DMZ sont établies pour les postes ayant un accès externe. Dans les réseaux internes, tous les ports USB sont supprimés. Éventualité d’une attaque massive Christian BOIREAU Les États comme les grandes entreprises nationales sont susceptibles d’être les cibles d‘attaques massives. Il est de leur responsabilité de s’en prémunir. Gérard PESCH Le dernier Livre blanc sur la défense et la sécurité nationale et le décret relatif à la sécurité des activités d'importance vitale (SAIV) (décret n° 2006-212du 23 février 2006) offrent un cadre de réflexion et d’action sur ce thème. Nous menons des exercices de simulation pour nos clients, insuffisamment
Lille – 24 mars 2009
92
Forum International sur la Cybercriminalité 2009
préparés aux attaques massives imprévisibles qui requièrent une coopération importante, interne comme externe.
Implication croissante des entreprises dans la sécurité Christian BOIREAU La tenue du Forum international sur la cybercriminalité (FIC) prouve que les entreprises ont progressé dans la lutte contre la cybercriminalité, qui doit encore davantage mettre l’accent sur la sensibilisation. Corinne NOËL Les Directions des systèmes d’informations (DSI) délèguent à des Responsable de la sécurité des systèmes d'information (RSSI) le suivi des très nombreux audits de sécurité. L’analyse de risques est approfondie et permet de soumettre aux directions des propositions concrètes de renforcement de la sécurité.
Plans de continuité d’activité (PCA) et Plans de reprise d’activité (PRA) Christian BOIREAU Les PRA impliquent davantage de coopération entre les différentes unités. Gérard PESCH La réglementation actuelle incite nos clients à adopter des PCA et des PRA, dans lesquels les métiers doivent être davantage impliqués. Corinne NOËL Les entreprises se limitent souvent au respect des obligations réglementaires.
Attentes en matière législative Gérard PESCH La coopération entre le secteur public et privé doit être renforcée. Des instituts de veille de l’application des directives nationales de sécurité devraient être créés. Christian BOIREAU Nous souhaitons une certification officielle des personnes intervenant dans des environnements sensibles, notamment les prestataires de service. Des réseaux sociaux, où les intervenants bénéficient d’une authentification de l’État français, pourraient être créés. Corinne NOËL Nous souhaitons une législation plus claire et plus adaptée au contexte européen.
Lille – 24 mars 2009
93
Forum International sur la Cybercriminalité 2009
Échanges avec la salle Les investissements dans la sécurité en temps de crise De la salle De quelle façon les investissements en sécurité vont être impactés par la crise ? Gérard PESCH La législation encourage de tels investissements. Les entreprises, qui ont pris conscience de leur importance, ne cessent de les augmenter. Christian BOIREAU Même en cas de crise grave, Total ne réduit pas ses investissements dans la sécurité. Mesure de l’impact des sensibilisations De la salle Comment l’impact des sensibilisations peut-il être mesuré ? Christian BOIREAU L’évolution du reporting et de la formation doit être observée. Corinne NOËL L’attention que reçoivent les séminaires de sensibilisation permet d’évaluer leur efficacité. Attaques internes De la salle Les scénarios d’attaques internes ont-ils été développés ? Christian BOIREAU 9 incidents sur 10 ont une origine interne. Sur notre réseau interne sont véhiculés en permanence 50 types de flux de hacking. De la salle Quels sont les outils utilisés pour détecter ces flux illicites sur les réseaux internes ? Christian BOIREAU Nous utilisons des sondes et cherchons à développer une analyse en temps réel. Corinne NOËL Sur un réseau externe, un code bien développé suffit.
Lille – 24 mars 2009
94
Forum International sur la Cybercriminalité 2009
SIGLES
ACPE : Association contre la prostitution des enfants ADSL: Asymmetric Digital Subscriber line ou LNPA (Ligne Numérique à Paire Asymétrique), ligne numérique d'abonné permettant la coexistence sur une ligne de plusieurs flux numériques AFA : Association des fournisseurs d’accès et de services Internet AFTT : Association française du télétravail et des téléactivités ANSSCI : Agence nationale de sécurité des systèmes d’information CEPOL : Collège européen de police CERT : Computer Emergency Response Team. CERTA : Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques CIRCAMP: COSPOL Internet related child abusive material project CME : Crédit Mutuel Nord Europe CNAIP : Centre National d'Analyse d'Images Pédophiles CNIL : Commission nationale de l’informatique et des libertés DLP : Data loss ou leakage prevention, prévention des fuites de données ou d'informations DNS : Directives nationales de sécurité. DSCI : Direction centrale de la sécurité des systèmes d’information EUROPOL : European Police Office FIREWALL: coupe-feu, élément de protection périphérique d'un réseau informatique GPS : global positioning system, système de positionnement mondial IDS : Introduction Detection System, système de détection d’intrusions IERSE : Institut d’études et de recherche pour la sécurité des entreprises IP (adresse...): Internet Protocol, numéro qui identifie chaque ordinateur connecté à internet IPSEC: Internet Protocol SECurity, protocole de protection des informations échangées IRCGN : Institut de recherches criminelles de la gendarmerie nationale KEYLOGGER: Enregistreur de frappe LAN : Local Area Network, réseau local LOG: (pour logarithme) dans le domaine de la navigation sur internet : historique d'événements et fichier contenant cet historique M.A.R.I.N.A : Moyen automatique de recherche d’images non autorisées MDM: Master Data Management, gestion de la qualité et de la cohérence des données contenues dans les bases et systèmes de l'entreprise METAMOTEUR: logiciel qui puise ses informations en utilisant plusieurs moteur de recherche NFC : Near Field Communication, technologie d'échange de données à quelques centimètres NTECH : Enquêteurs nouvelles technologies, formés par la Gendarmerie nationale NTIC : Nouvelles technologies de l’information et de la communication. OCLCTIC : Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication. OTAN : Organisation du traité de l’Atlantique Nord. PCA : Plan de continuité d’activité PDA: Personal Digital Assistant, assistant numérique personnel, organiseur PRA : Plan de reprise d’activité
Lille – 24 mars 2009
95
Forum International sur la Cybercriminalité 2009
PSSI : Politique de sécurité du système d’information R&D : Recherche et développement RFID: Radio Frequency identification, radio-identification RSSI : Responsable de la sécurité des systèmes d’information SCADA : Supervisory Control and Data Acquisition, commande et acquisition de données de surveillance SDGN : Secrétariat général pour la Défense nationale SGDN : Secrétariat général de la défense nationale SIM : Subscriber Identify Module, puce contenant un microcontrôleur et de la mémoire SMARTPHONE : Téléphone mobile couplé à un PDA SMARTPOSTER RTD : type d'enregistrement permettant d'insérer des URL, des numéros de SMS ou de téléphone sur un « tag » NFC ou de transférer ces informations entre différents appareils SMSI : Système de management de la sécurité de l’information SSL- TSL : Secure Socket Layer -Transport Layer Security, protocole de sécurisation des échanges sur internet STRJD : Service technique de renseignements judiciaires et de documentation de la gendarmerie nationale TAG: mot-clef associé à une information numérique qui permet sa classification UE : Union européenne URL : Uniform resource Locator, localisateur uniforme de ressource USB: Universal Serial Bus, littéralement « bus informatique à transmission de série », système servant à connecter des périphériques informatiques à internet UTT : Université de technologie de Troyes VPN: Virtual Private Network, réseau privé virtuel (RPV) WEP: Wired Equivalent Privacy, protocole pour sécuriser les réseaux sans fil de type Wi-Fi WI-FI: Wireless Fidelity, technique de réseau informatique sans fil
Réalisation des synthèses
Lille – 24 mars 2009
96
Forum International sur la CybercriminalitĂŠ 2009
Lille – 24 mars 2009