Le filtrage face aux libertés fondamentales
Transcription
Le filtrage face aux libertés fondamentales
Ce magazine vous est offert par Pour plus d’informations, cliquez ici INTERNATIONAL SPÉCIAL SÉCURITÉ MAROC N°013 - Prix : 18 € - Trimestriel : octobre, novembre, décembre 2010 ÉDITORIAL DE MARC JACOB L’erreur humaine : catalyseur de la sécurité informatique… Dans le domaine de la sécurité informatique, la « bête noire » des RSSI, consultants, intégrateurs... c’est bien sûr l’utilisateur. A tel point que la plaisanterie la plus commune dans ce milieu est de vouloir s’en passer pour résoudre d’un seul coup tous les problèmes de sécurité ! Pourtant, ils ont tous tendance à oublier qu’une grande majorité des innovations a eu pour origine une erreur humaine… Comme le disait le fameux philosophe grec Démocrite : « tout ce qui existe dans l’univers est le fruit du hasard et de la nécessité ». Ainsi, pour ne prendre que deux exemples, il faut citer la pénicilline et le fameux Post-It, si exécré de tous les RSSI, car il est le « réceptacle » des logons et mots de passe… En conséquence, ce fameux « maillon faible » et son erreur humaine pourraient aussi être perçus comme un élément clé, source d’innovations dans le domaine de la sécurité informatique. Sans lui, les RSSI ne seraient pas à la recherche de solutions pour réduire l’impact des actions humaines sur la sécurité du SI et les éditeurs seraient moins enclins à développer des produits pour répondre à cette demande. Plus besoin non plus de sessions de sensibilisation, puisque tout le monde serait attentif et prévoyant. C’est donc l’utilisateur qui génère la majeure partie du business de la sécurité et lui permet de se développer. Ainsi, la filière de la SSI, au lieu de se lamenter, devrait plutôt remercier ce maillon faible car c’est l’un des catalyseurs qui concourent à l’amélioration de la sécurité des SI… En outre, n’oublions pas que sans les hommes point d’innovation ! LISTE DES ANNONCEURS 3 DE APC APPEL À COMMUNICATION DES GS DAYS BULL CERCLE DE LA SÉCURITÉ CHERRY - ZF ELECTRONICS ENIGMA SERVICES EXOSEC FRANCE TELECOM ORANGE BUSINESS SERVICE GS DAYS 2011 HSC ÈME COUVERTURE P. 37 P. 2 P. 34 P. 14 P. 31 P. 4 P. 16 P. 8 P. 35 HTCS I-LEARNING I-TRUST INTEGO PRIM’X TECHNOLOGIES VADE RETRO P. 17 P. 6 P. 21 2 4 ÈME DE COUVERTURE ÈME DE COUVERTURE DONT 2 ENCARTS LIBRES : 1 ECART CALENDRIER DES ÉVÈNEMENTS 1 PROGRAMME DES GS DAYS 2010 P. 24 REVUE TRIMESTRIELLE N°13 – octobre, novembre, décembre 2010 www.globalsecuritymag.fr et www.globalsecuritymag.com ISSN : 1959 - 7061 Dépôt légal : à parution Editée par SIMP RCS Nanterre 339 849 648 17 avenue Marcelin Berthelot 92320 Châtillon Tél. : +33 1 40 92 05 55 Fax. : +33 1 46 56 20 91 e-mail : [email protected] REDACTION Directeur de la Publication : Marc Brami Rédacteur en chef : Marc Jacob Rédactrice : Emmanuelle Lamandé Ont collaboré à ce numéro : Olivier Iteanu, Annabelle Richard Garance Mathias Assistante : Sylvie Levy Responsable technique : Raquel Ouakil Photos : Nobert Martiano, Marc Jacob Comité scientifique : Pierre Bagot, Francis Bruckmann Eric Doyen, Catherine Gabay, François Guillot, Olivier Iteanu, Dominique Jouniot, Zbigniew Kostur, Patrick Langrand, Yves Maquet, Thierry Ramard, Hervé Schauer, Michel Van Den Berghe, Bruno Kérouanton. PUBLICITE SIM Publicité Tél. : +33 1 40 92 05 55 Fax. : +33 1 46 56 20 91 e-mail : [email protected] PAO Imadjinn sarl - tél. : 09 75 45 71 65 e-mail : [email protected] Image de couverture : ©nmedia IMPRESSION Imprimerie Hauguel 8-14 villa Léger 92240 Malakoff Tél. 01 41 17 44 00 Fax 01 41 17 44 09 e-mail : [email protected] Imprimé avec des encres végétales sur papier éco-responsable certifié PEFC par un imprimeur adhérent à Imprim’vert selon le procédé CTP sans chimie. ABONNEMENT Prix au numéro : 18 € TTC (TVA 19,60%) Abonnement annuel : 50 € TTC (TVA 19,60%) DE SÉCURITÉ ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 3 THE LOGICAL & PHYSICAL SECURITY MAGAZINE THÉMA SOMMAIRE 22 NOUVELLES TECHNOLOGIES & SÉCURITÉ 01 Edito : L’erreur humaine : catalyseur de la sécurité informatique… 03 Editorial : Human error: a catalyser for IT security 09 Agenda 10 LOGICAL & PHYSICAL IT SECURITY 10 DU CÔTÉ DE L’INTERNATIONAL • Reda El Jazmi, Directeur de Config Maroc : les entreprises marocaines passent à la gestion des risques Par Marc Jacob et Emmanuelle Lamandé • La réglementation des nouvelles technologies au Maroc : état des lieux Par Annabelle Richard, avocat au barreau de Paris et de New York, cabinet Ichay & Mullenex Avocats 18 CHRONIQUE JURIDIQUE Pour lutter contre la cybercriminalité, la Loi est-elle encore crédible ? Par Olivier Iteanu, Avocat à la Cour Chargé d’enseignement à l’Université de Paris XI SÉCURITÉ MAROC 18 CHRONIQUE JURIDIQUE 22 THÉMA - NOUVELLES TECHNOLOGIES & SÉCURITÉ Par Marc Jacob et Emmanuelle Lamandé • Biométrie : les technologies sans traces ont de l’avenir • Applications Web : les données critiques en ligne de mire ! • La sensibilisation : une histoire sans fin ! • La sensibilisation au plus près des métiers Par Garance Mathias, Avocat • Le filtrage face aux libertés fondamentales 22 THÉMA 38 MALWARES BUSTERS Malware polymorphe pour serveur : « Nouvelle Star « de l’année 2010 Par Marc Jacob et Emmanuelle Lamandé 42 DATA CENTER André Planchard, Concept Datacenter Solutions : Détection anti-intrusion physique : la corrélation des informations est la clé de la sécurisation Interview par Marc Jacob et Emmanuelle Lamandé Retrouvez notre fil d'informations sur la sécurité et le stockage sur : www.globalsecuritymag.fr www.globalsecuritymag.com 38 42 MALWARES BUSTERS DATA CENTER ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 7 3 ème GSDAYS Les Journées Francophones de la Sécurité de l’Information 10 MAI 2011 À PARIS Un cycle de conférences techniques organisationnelles et juridiques 3 Un c o l l o q u e s u r la s é c u r i t é des S y s t è m e s d ’ I n f o r m a t i o n s e x c l u s i v e m e n t en f r a n ç a i s pour réunir : les RSSI, DSI, Administrateurs Réseaux et Sécurité, Experts Sécurité… w w w. g s d a y s . f r Renseignements : Marc Jacob - SIMP 17 avenue Marcelin Berthelot 92320 Châtillon Tél. : +33 (0)1 40 92 05 55 Fax. : +33 (0)1 46 56 20 91 [email protected] © Tom Mc Nemar 3 NotePad AGENDA Décembre 1 - 3 décembre - Vienne (Autriche) MIS Training Institute’s Chief Security Officer Summit www.mistieurope.com 6 décembre 2010 – Hotel Mariott Paris Sommet Externalisation et Services Renseignement : David Daoud Tél. : 03.62.59.36.14 E-mail : [email protected] Web : www.datacenterdynamics.com, rubrique programme. 7 - 9 décembre - Paris Nord Villepinte CARTES & IDentification http://fr.cartes.com 15 - 18 décembre - Casablanca (Maroc) Sécurité Expo www.securite-expo.com INU ONT EN C AG.FR R U M À JO CURITY MIS SE NDA GLOBAL E G L’A W. WW SUR 20 janvier - Singapour 2nd BankTech Executive Summit www.mig-events.com 1er - 2 février - Disneyland Resort Paris IT Partners www.itpartners.fr 25 janvier - Paris Congrès FedISA www.fedisa.eu 8 février - Paris Diner du Cercle Européen de la Sécurité www.lecercle.biz 25 - 26 janvier - UTT - Troyes WISG www-wisg2011.utt.fr 8 - 10 février - Paris Microsoft TechDays www.microsoft.com/france/mst... 27 - 29 janvier - San Franscico (USA) MacWorld www.macworldexpo.com 9 février - Paris Conférence IDC Risk Management www.idc.com/france/ 28 janvier - Paris Université AFCDP des Correspondants Informatique et Libertés www.afcdp.net/ 9 février - Luxembourg Information Security Day www.isaca.lu 14 - 18 février - San-Francisco (USA) RSA Conference www.rsaconference.com/2011/usa Janvier 2011 31 janvier – 2 février - Dubaï (EAU) 3e CISO Executive Summit Middle East www.mistieurope.com 12 janvier - Paris Panorama de la cybercriminalité 2010 www.clusif.fr FEVRIER 2011 13 janvier - Paris Petit Déjeuner SecurityVibes www.securityvibes.com/commun... 31 janvier – 2 février - Dubaï (EAU) 3e CISO Executive Summit - Middle East www.mistieurope.com 15 - 18 février - Moscou (Russie) Security & Safety Technologies Moscow www.security-moscow.com 16 - 19 janvier - Washington DC (USA) Black Hat Briefings & Training www.blackhat.com 1er - 2 février - Paris iLearning Forum www.ilearningforum.org 23 - 26 février – Kiev (Ukraine) ICT www.ictexpo.info Cloud 15-16 février - Lagos (Nigeria) IFSEC West Africa www.ifsecwestafrica.com SaaS DataCenter *à partir de 14h INTERNATIONAL Reda El Jazmi, Directeur de Config Maroc : les entreprises marocaines passent à la gestion des risques Par Marc Jacob et Emmanuelle Lamandé Reda El Jazmi, Config Maroc Config est présent sur le marché maghrébin, et plus particulièrement marocain, depuis 1998. Le développement économique du Maroc, entrainant une informatisation du pays et une croissance importante du marché de la sécurité, a poussé le management français de Config à s’y implanter. Ainsi, Config Maroc a été fondé fin 2004. Pour Reda El Jazmi, Directeur de Config Maroc, son pays a pris la mesure de l’importance de la sécurité informatique. Si le déploiement des outils de sécurité est généralement bien intégré dans les entreprises, aujourd’hui, elles s’intéressent à la gestion des risques. GS Mag : Vous êtes présent au Maroc depuis plusieurs années, quelle est votre analyse de ce marché ? Reda El Jazmi : Le Maroc est un marché relativement mûr et bien structuré. Les clients sont de plus en plus exigeants. Ainsi, Config est présent sur le marché marocain depuis 1998 et a ouvert un établissement fin 2004. Les entreprises marocaines s’intéressent à des démarches d’évaluation des risques GS Mag : Quelles sont les préoccupations de vos clients en termes de sécurité ? Reda El Jazmi : Les systèmes d’informations prennent de plus en plus une place stratégique au sein des entreprises. Le DSI est obligé d’intégrer la dimension sécurité dans sa réflexion et dans sa démarche. Nous avons dépassé le stade où la sécurité informatique se résumait seulement à la mise en place d’un antivirus et d’un firewall. La mobilité des salariés, l’ouverture à des acteurs externes (four12 nisseurs, partenaires, BtoB), …, sont autant de défis qui nécessitent la mise en place des démarches et des mesures pour évaluer les risques et définir les objectifs de sécurité à atteindre. GS Mag : Y a-t-il eu récemment des affaires de cybercrime qui ont défrayé la chronique? Reda El Jazmi : Les pirates informatiques marocains sont parmi les plus « dynamiques » et se sont « illustrés » ces dernières années dans de nombreuses affaires. L’une des plus récentes au Maroc a été le piratage par un groupe de pirates informatiques du site d’un Ministère. Ils ont réussi à récupérer des informations très sensibles. Toutefois, ils ont été arrêtés et des peines d’emprisonnement lourdes ont été prononcées à leur encontre. GS Mag : La législation marocaine a-t-elle une influence importante sur le marché de la sécurité ? Reda El Jazmi : Face, entre autres, à ce phénomène, mais aussi au développement du commerce électronique, il était impératif de faire évoluer la législation et de mettre en place un cadre juridique. Le Maroc s’est doté d’un certain nombre de textes de lois concernant les infractions relatives aux systèmes de traitement automatisé ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com des données (loi n°07-03), à l’échéance électronique de données juridiques (loi n°53-05), mais aussi à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (loi n°09-08). GS Mag : Qui sont les principaux acteurs de la sécurité présents au Maroc ? Reda El Jazmi : Le Maroc fait partie de ce qui s’appelle : les pays émergeants. Il représente un potentiel important pour beaucoup d’acteurs dans le domaine de l’informatique (éditeurs, intégrateurs, distributeurs et experts). Nous constatons que de plus en plus d’entreprises viennent s’installer au Maroc, soit par la création d’un bureau local, soit par le rachat ou la prise de participation dans des sociétés Marocaines. Ceci a le mérite de pousser, d’une part, les entreprises locales à mieux se structurer et se spécialiser. D’autre part, à disposer de compétences et de ressources locales capables de répondre aux exigences et aux besoins, notamment dans le domaine de la sécurité. Maroc Numeric 2013 va propulser la sécurité au cœur de la société marocaine GS Mag : Quelles sont les évolutions probables de ce marché à moyen terme ? Reda El Jazmi : Un chantier important a été lancé par le gouvernement : Maroc Numeric 2013(1). La stratégie du Maroc Numeric 2013 repose sur 4 axes : rendre accessible aux citoyens l'Internet haut débit (1 sur 3 en 2013 au lieu de 1 sur 10 en 2010), rapprocher l'administration des besoins de l'usager à travers un ambitieux programme d'e-gouvernement, inciter à l'informatisation des PME et développer la filière locale des technologies de l'information, notamment en favorisant l'émergence de pôles d'excellence à fort potentiel à l'export. Ce plan table beaucoup sur l’identité numérique, la vente en ligne et la signature électronique. Par ailleurs, les banques sont aussi priées de se conformer au standard de sécurité PCI DSS, imposé par le consortium Visa et MasterCard. © By Bachmont SPECIAL SECURITE MAROC QUELQUES ÉVÉNEMENTS DE SÉCURITÉ AU MAROC 15 – 18 décembre 2010 Casablanca (Maroc) SECURITE-EXPO www.securite-expo.com/ 7 – 9 avril 2011 Ouarzazate (Maroc) ICMCS (International Conference on Multimedia Computing and Systems) www.icmcs11.org 15 – 17 novembre 2011 Casablanca (Maroc) Med-IT Casablanca www.xcom.fr (1)Un rapport sur la Stratégie Nationale pour la Société de l'Information et de l'économie Numérique « Maroc Numeric 2013 » est disponible sur le site du Ministère de l’Industrie, du Commerce et des Nouvelles Technologies du Royaume du Maroc : www.technologies.gov.ma/Fiche_pdf/MarocNumeric2013/ MarocNumeric2013_Fr.pdf INTERNATIONAL REDA EL JAZMI, DIRECTOR OF CONFIG MAROC: MOROCCAN COMPANIES ARE MOVING INTO RISK MANAGEMENT BY MARC JACOB AND EMMANUELLE LAMANDÉ The French company, Config has been in the North African and in particular the Moroccan market since 1988. It was the sharp growth in the Moroccan IT and IT security market, fuelled by the country’s economic growth, that led Config’s management to set up Config Maroc in Casablanca in 2004. According to Reda El Jazmi, director of Config Maroc, the Moroccan IT sector is fully aware of the importance of IT security. Security measures are generally wides pread and companies are now turning to the question of risk management. Ces deux chantiers sont bien évidemment une opportunité énorme pour les spécialistes de l’informatique et, plus ■■■ particulièrement, de la sécurité informatique. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 13 INTERNATIONAL La réglementation des nouvelles technologies au Maroc : état des lieux Par Annabelle Richard, avocat au barreau de Paris et de New York, cabinet Ichay & Mullenex Avocats Le Maroc, pays de tradition, est entré dans la moderAnnabelle Richard, avocat nité depuis de nombreuses années. Ainsi, le Maroc est devenu une des puissances les plus actives d’Afrique. Ce pays a opté pour une réglementation moderne qui tient compte des normes internationales et européennes. La preuve numérique, la signature électronique, les données à caractère personnel bénéficient d’un statut juridique. Toutefois, ces règlementations résolument modernes n’ont pas mis fin à une censure des internautes de plus en plus présente. Le Maroc est une des puissances les plus actives d’Afrique du Nord et souhaite clairement s’inscrire sur la scène internationale comme un pays moderne et soucieux d’embrasser son époque. A l’ère de la dématérialisation et des communications électroniques, il est donc indispensable qu’un pays avec de telles ambitions adapte sa réglementation aux évolutions technologiques. A propos des nouvelles technologies, le roi Hassan II déclarait « Le monde aujourd’hui vit des évolutions civilisationelles, scientifiques et technologiques fondamentales. Chaque jour qui passe nous apporte son lot de nouveautés. Parmi les éléments les plus marquants de ces changements, la mutation des systèmes de production et des modèles de consommation, l’émergence des nouvelles technologies de l’information et de la communication et le développement rapide des services vont amplifier la mondialisation, la globalisation des marchés et l’internationalisation des acteurs ». C’est donc tout naturellement que le Maroc a adopté une série de lois destinées à favoriser l’introduction des nouvelles technologies dans le Royaume. L’une des lois les plus importantes pour le secteur des nouvelles technologies au Maroc fut la loi du 30 novembre 2007, promulguée par le Roi du Maroc sous le n°53-05(1). Le périmètre de cette loi est particulièrement large. 14 Le statut de la preuve numérique Tout d’abord, certaines dispositions fixent le régime de la preuve numérique dans les relations commerciales. En effet, la plupart des échanges commerciaux se font aujourd’hui par la voie électronique. Il était donc indispensable que le Maroc se dote d’un cadre juridique, conforme aux standards internationaux, pour défendre sa place dans les échanges internationaux. Aux termes de l’article premier de cette loi : « La présente loi fixe le régime applicable aux données juridiques échangées par voie électronique, à l’équivalence des documents établis sur papier et sur support électronique et à la signature électronique. Elle détermine également le cadre juridique applicable aux opérations effectuées par les prestataires de service de certification électronique, ainsi que les règles à respecter par ces derniers et les titulaires des certificats électroniques ». Selon cette loi, les contrats peuvent être conclus et conservés sous la forme électronique. La voie électronique peut être utilisée également pour mettre à disposition du public des offres contractuelles ou des informations sur des biens ou services en vue de la conclusion d’un contrat. Les informations qui sont demandées en vue de la conclusion d’un contrat ou celles qui sont adressées au cours de son exécution peuvent être transmises par courrier électro- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com SPECIAL SECURITE MAROC Pour que le contrat soit valablement conclu, le destinataire de l’offre doit avoir eu la possibilité de vérifier le détail de son ordre et son prix total et de corriger d’éventuelles erreurs, et ce avant de confirmer ledit ordre pour exprimer son acceptation. L’auteur de l’offre doit accuser réception de l’acceptation de l’offre qui lui a été adressée. Le destinataire est, quant à lui, irrévocablement lié à l’offre dès sa réception. La question de la signature électronique Afin de garantir la sécurité de ces « échanges électroniques », cette loi confère également un statut juridique à la signature électronique(2). Selon l’article 6 de la loi, la signature électronique sécurisée doit être « propre au signataire, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure dudit acte soit détectable ». De plus, elle doit être produite par un dispositif de création de signature électronique, attesté par un certificat conformité. Aux termes de l’article 8 de la loi : « Le dispositif de création de signature électronique consiste en un matériel et/ou un logiciel destiné à mettre en application les données de création de signature électronique, comportant les éléments distinctifs caractérisant le signataire, tels que la clé cryptographique privée, utilisée par lui pour créer une signature électronique ». La certification de la signature électronique est consacrée par un chapitre à part dans la présente loi. Celle-ci instaure une « Autorité nationale d’agrément et de surveillance de la certification électronique » ayant pour mission principale d’agréer les prestataires de services de certification électronique et de contrôler leurs activités. L’article 21 de la loi précise les conditions techniques que doivent remplir les prestataires de service de certification électronique. Ces derniers doivent garantir (i) la fiabilité des services de certification électronique qu’il fournit, notamment la sécurité technique et cryptographique des fonctions qu’assurent les systèmes et les moyens cryptographiques qu’il propose, (ii) la confidentialité des données de création de signature électronique qu’il fournit au signataire, (iii) la disponibilité d’un personnel ayant les qualifications nécessaires à la fourniture de services de certification électronique, (iv) la possibilité, pour la personne à qui le certificat électronique est délivré, de révoquer, sans délai et avec certitude, ce certificat, (v) la détermination, avec préci- sion, de la date et l’heure de délivrance et de révocation d’un certificat électronique et (vi) l’existence d’un système de sécurité propre à prévenir la falsification des certificats électroniques et à s’assurer que les données de création de la signature électronique correspondent aux données de sa vérification lorsque sont fournies à la fois des données de création et des données de vérification de la signature électronique. © By Bachmont nique si leur destinataire a accepté expressément l’usage de ce moyen. Dès le moment de la création des données afférentes à la création de signature, le titulaire du certificat électronique est seul responsable de la confidentialité et de l’intégrité des données afférentes à la création de la signature qu’il utilise. La loi prévoit des sanctions pénales assez lourdes pour ceux qui fournissent des prestations de services de certification électronique sécurisée sans être agréés dans les conditions prévues par la loi. Le régime de la cryptographie Enfin, la loi du 30 novembre 2007 définit également les principes essentiels de la réglementation de la cryptographie. Selon l’article 12 de la loi, la Cryptographie est « tout matériel et/ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations, de signaux ou de symboles, à l’aide de conventions secrètes ou pour réaliser l’opération inverse, avec ou sans convention secrète ». « Les moyens de cryptographie ont notamment pour objet de garantir la sécurité de l’échange et/ou du stockage de données juridiques par voie électronique, de manière qui permet d’assurer leur confidentialité, leur authentification et le contrôle de leur intégrité ». INTERNATIONAL NEW TECHNOLOGY REGULATION IN MOROCCO BY ANNABELLE RICHARD, ATTORNEY IN PARIS AND NEW YORK WITH ICHAY & MULLENEX Steeped in tradition, Morocco has undergone extensive modernisation over recent years. Today, it is one of the most active countries in Africa and has developed regulations that embrace European and International standards. Digital proof-of-origin & receipt, electronic signature and personal data are all covered by specific legal provisions. However, the fact that there is up-to-date regulation has not ended Internet censorship which is becoming increasingly strict. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 15 SPECIAL SECURITE MAROC L’importation, l’exportation, la fourniture, l’exploitation ou l’utilisation de moyens ou de prestations de cryptographie sont soumises à une autorisation préalable dont la forme est fixée par l’arrêté ci-dessus mentionné. Celui-ci prévoit que devront être joints à la demande, notamment, les documents suivants : « une présentation détaillée du domaine d’utilisation prévu du moyen ou de la prestation, objet de la demande d’autorisation », « un document de description du moyen, objet de la demande, ses références commerciales, ainsi que les références du fabricant, son identité et son pays d’origine », « un document de description du matériel et logiciel utilisés par le demandeur pour fournir la prestation » et « les justificatifs de la qualification du personnel ». La mise en place des moyens de cryptographie a été rapidement effectuée dans le domaine du commerce électronique. A partir de novembre 2007, Maroc Télécommerce et le Centre monétique interbancaire ont mis en place un nouveau système de paiement qui a pour but de sécuriser les transactions sur internet. Ce système, basé sur le cryptage des données saisies par l’internaute, offre de nombreux services qui évitent au client les saisies multiples de ses informations personnelles. Plus récemment, le régime de protection des données personnelles a été précisé Le Maroc a opté également pour une législation moderne et conforme aux normes européennes concernant « la protection physique à l’égard du traitement des données à caractère personnel »(4). Dans son préambule, la loi considère que « L’informatique est au service du citoyen et évolue dans le cadre de coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens ». droit à l’information lors de la collecte des données, droit d’accès, droit de rectification, droit d’opposition et le droit de refuser la prospection directe. © By Bachmont Un arrêté du ministre de l’industrie, du commerce et des nouvelles technologies fixe « la forme de la demande d’autorisation préalable d’importation, d’exportation, de fourniture, d’exploitation ou d’utilisation de moyens de prestations de cryptographie »(3). De plus, et comme le prévoit également la loi française, le traitement des données dites « sensibles » est subordonné à une autorisation préalable. Des obligations de confidentialité et de sécurité des traitements sont également prévues. Le chapitre IV institue également une « Commission nationale de contrôle de la protection des données à caractère personnel ». Cette commission est chargée, notamment, de donner son avis sur des projets de lois et règlements relatifs à la protection des données personnelles et de recevoir les déclarations préalables et les demandes d’autorisations. Elle est dotée également d’un pouvoir d’investigation et d’enquête(5) permettant à ses agents d’avoir accès aux données faisant l’objet de traitement, de requérir l’accès direct aux locaux au sein desquels le traitement est effectué et de recueillir et de saisir toutes les informations et tous documents nécessaires pour remplir les fonctions de contrôle. Cependant, cette Commission est instituée « auprès du premier ministre », ce qui est de nature à faire douter de son indépendance. A titre d’exemple, la CNIL est désignée expressément par la loi française du 9 janvier 1978 comme étant « une autorité administrative indépendante »(6). Le développement du secteur des télécommunications Depuis les années 90, le Maroc a opté pour un modèle de développement économique basé sur la logique libérale, notamment en matière des télécommunications. Le secteur des Télécommunications au Maroc est réglementé par la Loi n° 24-96 consolidée(7) relative à la poste et aux télécommunications. La loi présente des grandes similitudes avec la directive européenne 95/46/CE relative à la protection des données personnelles ainsi qu’avec la loi française relative à l’informatique, aux fichiers et aux libertés. L’approche libérale adoptée par le Maroc est consacrée expressément par la loi dont le préambule précise que « Ce secteur doit s’adapter aux mutations socio-économiques qui résultent du développement général du pays et, en même temps, s’intègre dans un ensemble de réseaux internationaux caractérisés par une association de plus en plus étroite du secteur privé à leur installation et à leur exploitation dans un cadre commercial et concurrentiel ». La personne concernée se voit conférer les droits suivants : Selon la loi, les réseaux de télécommunications pour- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 17 ront être « exploités par des personnes privées détentrices d’une licence qui sera accordée par décret délibéré conformément à l’article 66 de la Constitution, sachant que l’Etat fixe les orientations générales du secteur de la poste et des télécommunications, et l’autorité gouvernementale compétente veille à leur respect et à leur application ». L’article 10 de la loi prévoit les conditions générales d’exploitation d’un réseau de télécommunications. Celles-ci concernent, notamment, la concurrence loyale, des garanties de confidentialité, l’obligation de respecter les accords et les conventions internationaux ratifiés par le Royaume du Maroc, l’obligation d’acheminer gratuitement les appels d’urgence et la contribution à la recherche, à la formation et à la normalisation en matière de télécommunications. Un apport majeur de la loi réside dans la création de l’ANRT qui est un établissement public, rattaché au premier ministre, doté de la personnalité morale et de l’autonomie financière. Créée en février 1998, en application de la loi 24-96 relative à la Poste et aux télécommunications au Maroc, l’ANRT, à qui le législateur a attribué un rôle de régulateur, œuvre pour l’émergence et le développement du secteur des télécommunications au Maroc. Le champ d’intervention de l’ANRT recouvre tous les aspects relatifs à la régulation juridique, économique et technique du secteur des télécommunications. L’ANRT contribue à l’élaboration du cadre juridique qui régit le secteur des télécommunications, en participant à la préparation de projets de lois, de décrets et d’arrêtés ministériels. Elle est aussi chargée de conduire les procédures d’instruction et d’attribution des licences, par voie d’appels à la concurrence et octroyer les autorisations d’exercice des activités de télécommunications. L’ANRT mène des actions d’audit des opérateurs pour s’assurer que les états de synthèse de leur comptabilité analytique reflètent, de façon régulière et sincère, les coûts, produits et résultats de chaque réseau exploité, ou chaque service offert. © By Bachmont SPECIAL SECURITE MAROC Une approche libérale contredite par un maintien de la censure Le Maroc s’est doté d’un arsenal réglementaire qui lui permet d’offrir aux investisseurs étrangers un environnement juridique conforme aux standards internationaux. Toutefois, dans ce pays de contrastes, il convient de noter que la modernité de réglementation n’a pas entraîné la disparition de la censure. Ainsi, malgré la promotion du gouvernement marocain pour le développement de l’internet, les internautes marocains ne peuvent que constater l’application de mesures de censure qui deviennent de plus en plus fréquentes. Les cas de censures sont principalement le fait de l’opérateur téléphonique et internet dominant ITISSALAT-AL-MAGHRIB ayant bloqué plusieurs sites de blogging, tels que LiveJournal, ainsi que plusieurs sites politiques revendiquant l’indépendance du Sahara occidental. Google Earth a également été bloqué (cas rare au monde) ainsi que youtube. Ces blocages se font, en général, en dehors de toute procédure judiciaire et viennent ternir l’image de modernité du Maroc et ■■■ sa promotion des nouvelles technologies. (1)Bulletin Officiel n° 5584 du Jeudi 6 Décembre 2007. (2)La signature électronique est un mécanisme permettant d’authentifier l’auteur d’un document électronique et de garantir son intégrité, par analogie, avec la signature manuscrite d’un document papier. (3)Arrêté n° 152-10 du 22 mars 2010. (4)Loi n°09-08 du 5 mars 2009. (5)Les modalités d’exercice de ce pouvoir sont précisées par le Décret n°2-09-165 du 21 mai 2009 pris pour l’application de la loi n°09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel. (6)Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, Article 11. (7)Loi du 7 août 1997, loi du 20 juin 2001, loi du 4 novembre 2004 et la loi du 17 avril 2007. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 19 CHRONIQUE JURIDIQUE POUR LUTTER CONTRE LA CYBERCRIMINALITÉ, LA LOI EST-ELLE ENCORE CRÉDIBLE ? Par Olivier Itéanu, Avocat à la Cour, Chargé d’enseignement à l’université de Paris XI La cybercriminalité est désormais une réalité reconnue par tous et partout dans le monde. Pourtant, de l’Etat au citoyen en passant par les entreprises, chacun tâtonne pour savoir quel est le meilleur moyen pour lutter contre un tel phénomène. Le réflexe « Loi » n’est pas évident. Quelle est la meilleure réponse : les technologies, l’organisation ou la Loi ? En réalité, tout le monde a compris que le recours aux technologies est obligatoire pour prévenir le risque cybercriminel. Chacun a également compris, notamment les entreprises, que leurs organisations doivent aussi être adaptées pour relever le défi. Mais la Loi a-t-elle pris en compte le phénomène ? Nous évoquons ici quelques unes des difficultés auxquelles elle doit faire face, comme son efficacité dans l’espace numérique ou sa nécessaire adaptation au temps réel, avant d’évoquer quelques pistes de réflexion. 20 La Loi, l’espace numérique et le temps réel, une question résolue ? lieu d’établissement du système (STAD) en cause ou encore une autre règle ? En outre, le droit pénal international n’existe pas, sauf pour quelques rares crimes, comme le crime contre l’humanité, qui ne concernent pas notre matière. Comment dans ces conditions déterminer le droit applicable à une infraction commise sur le réseau ? La cybercriminalité peut-elle être envisagée du seul point de vue d’un droit national, le droit français, voire du droit communautaire, alors que le phénomène est par essence international ? Il est vrai qu’avec l'interconnexion des réseaux, le caractère international des délits est renforcé. On aura vite fait de constater que tel délinquant de telle nationalité résidant à tel endroit aura commis sur le réseau une infraction pouvant être localisée dans un autre Etat de la planète portant atteinte aux droits d’une victime pouvant être d’une nationalité encore différente. Ce cas n’est pas une hypothèse d’école. Quelle loi alors appliquer ? Celle de la nationalité du délinquant, de son lieu de résidence ou du Même si cela étonnera, il faut constater que le droit français a une réponse théorique à la question. En effet, la quasitotalité des infractions commises sur un réseau numérique de communications peuvent être traitées par les juges français. Mais cette réponse n’est que théorique … Elle se trouve à l'article 113-2 du Code Pénal français : « La loi pénale française est applicable aux infractions commises sur le territoire de la République. L'infraction est réputée commise sur le territoire de la République dès lors qu'un de ses faits constitutifs a eu lieu sur le territoire ». La jurisprudence a ajouté à ce principe général une interprétation généreuse des « faits constitutifs ». Avec cette interpréta- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com tion, il suffit que l’acte incriminé ou même seulement son résultat ait lieu sur le territoire national, pour que l’infraction soit jugée « commise sur le territoire de la République ». Cette théorie a un nom : la « théorie de l’ubiquité ». Mais, plus encore, la loi pénale française s’appliquera lorsqu’une infraction est commise à l’étranger et que ni l’acte incriminé, ni ses résultats n’ont d’effet sur le territoire national. L'article 113-7 du Code Pénal vise le cas d’une infraction commise à l'étranger même par un étranger. Deux conditions devront alors être remplies pour pouvoir saisir un juge français. D’une part, la victime devra être de nationalité française au moment de l’infraction, d’autre part, cette infraction devra être un délit puni d'une peine d'emprisonnement selon le Code Pénal français. Autant le dire tout de suite, la quasi-totalité des délits envisageables sur un réseau de télécommunications est punissable de peine d’emprisonnement : rares sont, en effet, les délits punis d’une simple peine d’amende. Cela signifie bien que dans le cas d’une victime française au moment des faits, la loi française apparaît comme une loi universelle capable d’être mise en action dans la totalité de nos cas. Signalons enfin, pour être complet un dernier cas de figure envisageable. La victime est de nationalité étrangère et le délit est commis hors du territoire de la République : dans ce cas, si l’auteur du délit est de nationalité française, il pourra être poursuivi en France selon la loi française à condition que l’infraction qui lui est reprochée soit punie, au moment des faits, selon la législation du pays du lieu où a pris place l’infraction. Mais à supposer que le juge français se saisisse d’une infraction, qu’il ait le droit de la juger et qu’il la juge, qu’il condamne son auteur identifié et domicilié ou résident à l’étranger, que va devenir cette sanction ? S’il n’existe pas de coopération judiciaire et policière entre la France et l’Etat d’où est résident le délinquant, la sanction restera lettre morte. Or, bon nombre d’infractions en réseau sont localisées aux Etats-Unis ou dans des pays éloignés d’Asie, là où la coopération est la moins développée avec les Etats européens. La perspective de se trouver face à cette difficulté, les coûts supplémentaires engendrés par une procédure d’exécution à l’étranger, les délais supplémentaires, pourraient dissuader tout simplement les victimes d’agir sur un plan judiciaire. En réalité, avant chaque action judiciaire, le plaignant se devra, avec ses conseils, de dresser une sorte d’étude de faisabilité sur les chances non seulement de succès mais d’efficacité de son action. Cette étude se fera essentiellement en fonction de la nationalité et du lieu de résidence de la victime et du délinquant. La question du lieu de commission de l’infraction ou d’établissement du système d’information ayant servi de support à l’infraction est un paramètre, quant à lui, mineur. Sur la question du temps numérique, la question n’est pas plus facile. Les premiers virus informatiques étaient diffusés par le moyen de la disquette. Un des premiers virus à avoir eu une diffusion mondiale fut le virus Brain et il lui fallut un an pour quitter son pays d’origine, le Pakistan, et se propa- © Falko Matte CHRONIQUE JURIDIQUE ger dans le monde. Au milieu des années 90, trois semaines ont suffi au virus Concept, trois jours à Wazzu et seulement quelques heures à I Love You pour se propager mondialement. En 2003, le virus SQL Slammer a mis 10 minutes pour atteindre 90% de ces cibles au niveau mondial(1). Mais plus encore, la répétition des actes au quotidien décourage les victimes. Porter plainte est une procédure longue et fastidieuse, tandis que le temps réel du réseau a démultiplié la vitesse d’exécution et le nombre des actes malveillants. Comment dès lors réagir à chaque attaque lorsqu’on se trouve être le destinataire de dizaines de virus quotidiens reçus d’autant d’expéditeurs ? Comment réagir judiciairement aux tentatives d’intrusion dans les STAD quand les logs des machines enregistrent toutes les heures des tentatives d’intrusion d’attaquants à chaque fois différents ? La notion de temps accolée à celle de loi est une question assez peu traitée en Europe. Pourtant, cette question est d’importance. Avec le monde numérique, nous sommes tous passés au temps réel. Or, les procédures judiciaires sont longues à se mettre en oeuvre et aboutissent après des mois de procédure. Ce temps de latence est également un facteur de découragement important pour les victimes. C’est peut être le défi principal qui est posé à la loi aujourd’hui. La question est en réalité tout autant policière que judiciaire. Pour avoir une chance d’atteindre son but, le gendarme électronique doit avoir droit de s’installer sur le réseau et le juge avec lui, tant pour instruire avec la rapidité du réseau, les crimes et délits soumis, que pour contrôler cette activité policière. On est encore loin de cette solution aujourd’hui. LEGAL COLUMN IS CURRENT LEGISLATION ADEQUATE TO FIGHT CYBERCRIME? BY OLIVIER ITÉANU, LAWYER CURRICULUM STUDIES AT PARIS & HEAD OF XI UNIVERSITY The reality of cybercrime is recognized by everyone the world over. However, whether it is at government, company or individual level, everyone is struggling to find the best way to fight this phenomenon. Instinctively legislation may appear to be the answer but this is not necessarily so. So what is the best solution: technology, organization or legislation? In fact, there is no question that technology is indispensible in the fight against cybercrime. It is also accepted, particularly in the business environment, that the organisational structure has to be adapted to face up to the challenge. The question therefore is whether the legislation is equipped to deal with such a phenomenon. We will examine some of the difficulties facing the legislator such as the efficiency of legislation in the digital world and the problems of adapting to real time before looking at some of the possible solutions. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 21 CHRONIQUE JURIDIQUE Alors, quelles lois pour lutter contre la cybercriminalité ? La France a très tôt promulgué une loi spécifique sur la fraude informatique. C’était la Loi du 5 Janvier 1988(2), dite Loi Godfrain du nom de son précurseur, Jacques GODFRAIN. A l’époque, ce texte spécifique était présenté comme nécessaire car, d’une part, de nombreuses infractions restaient en théorie impunies et les grandes entreprises et administrations, seules destinataires des attaques à cette époque, semblaient démunies, d’autre part, la France était en retard sur les Etats-Unis d’Amérique qui, au niveau des Etats, avaient déjà promulgué une loi sur la question et, au niveau fédéral, il existait la « computer fraud and abuse act » de mars 1986. En Europe, depuis 1985, l'Allemagne, la Suisse, la Norvège et le Danemark s’étaient déjà dotés de textes. La Loi Godfrain a introduit un nouveau chapitre III au titre II du livre II du Code Pénal ("de certaines infractions en matière informatique"). La création d'un nouveau chapitre spécifique devait prouver l'importance du sujet. Cependant, plus de 20 ans plus tard, le bilan est mitigé. Le nombre d’actions judiciaires menées sur le fondement de ce texte se comptent par dizaines seulement. Pour que le lecteur ait une référence, signalons que les seuls tribunaux de commerce rendent chaque année de l’ordre d’un million de jugements. D’où vient ce décalage ? Notre ouvrage n’a pas vocation à répondre en technicien à cette question qui est du ressort du législateur. Cependant, ce décalage nous amène à poser une autre question. Faut-il une autre loi pour lutter contre la nouvelle cybercriminalité ou faut-il légiférer différemment ? Pour nous, la seconde hypothèse est la bonne et pour la raison suivante. La société est régie par un corpus de normes qui ne sont plus toutes juridiques. La situation peut être résumée par le schéma suivant : La Loi La manière d’être Le pouvoir économique La technique 22 Appliquée à la route, notre présentation peut s’appliquer comme suit. Le Code de la Route est la Loi. C’est la norme suprême et c’est d’ailleurs la seule norme démocratique de notre schéma. Elle doit donc conserver la tête pour réguler le réseau. A l’étage en dessous, se trouve la manière d’être, ce que les sociologues appellent les faits morphologiques. Due à des paramètres divers, le plus souvent culturels, la manière d’être au volant d’un automobiliste résidant en Grèce n’est pas celle d’un Anglais ou d’un Portugais. Cette manière d’être influe sans conteste sur la façon dont le législateur façonne le code de la route. Il est évident que la vie en réseau est en passe de changer, non plus nos manières de faire, mais notre manière d’être. Cette manière d’être se façonne de surcroît « derrière » l’écran, c’està-dire dans une sphère privée. Steven PINKER (3) indique que « personne ne régule la socialisation des adolescents et leur culture. Elles sont le produit d’interactions spontanées ». Internet intervient désormais comme un outil majeur de cette interaction dite spontanée. Au troisième étage, se trouve le pouvoir économique ou le marché. Les constructeurs automobiles ont leurs contingences qui influent également sur la régulation. Sur le réseau, les stratégies des grandes entreprises multinationales, cherchant à imposer leurs standards constituent des appétits qu’il faudra bien limiter. Seuls les Etats et la loi ont cette capacité. En taxant les technologies innovantes pour maintenir des modèles d’affaires passés, on freine le développement de la collectivité en son entier. Enfin, au dernier étage se trouve la technique. Au jour où les véhicules terrestres seront techniquement capables de se mouvoir sur l’eau ou dans les airs, le code de la route s’en trouvera très rapidement modifié. De même, la technique est désormais un partenaire obligatoire du législateur, s’il entend réguler cet espace. Quelques pistes de réflexion… Dans le domaine des industries culturelles et des TIC, celles-ci ont monté leurs modèles sur la commercialisation d’objets physiques (livres, Cd, etc.) dits non rivaux (un bien rival est un bien qui se détruit par la consommation telle que la nourriture). Or, la technique a évolué de telle façon qu’elle permet à des coûts très faibles d’accentuer le caractère « non rival » des biens culturels. On le voit, cette situation impose une harmonie totale entre les quatre niveaux de norme. Pour que l’individu reste le point d’arrivée de la régulation, que la société en réseau ne soit pas la résultante de la somme des actions d’individus ayant des intérêts particuliers et qu’un intérêt général surpasse ces égoïs- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com mes, mais aussi pour que cette régulation soit efficace, cohérente et juste, le législateur doit agir de concert avec les trois niveaux de normes non juridiques. Pour aboutir à ce résultat, nous proposons quelques pistes de réflexion : • Plutôt que de recourir à des lois particulières, trop complexes, mal connues de ceux chargés de les appliquer, le législateur devrait chercher à intégrer, au corpus des lois « ordinaires », les problématiques liées aux technologies de l’information. La réforme du droit de la preuve est le bon exemple d’une intégration réussie. Le code civil a été modifié pour faire la place aux nouvelles règles au lieu de la création d’un corpus de textes particuliers. Le recours à des textes généraux n’interdit pas le traitement de questions particulières. Par exemple, des questions pourraient être abordées par la loi telles que la mise en place d’un statut particulier à l’ordinateur au sein du monde du travail inséré dans le cadre du code du travail ou la recherche d’un statut particulier à celui ou celle chargé d’assumer les missions de sécurité toujours dans l’entreprise et les administrations. • Généraliser la prévention. Dans ses lignes directrices régissant la sécurité des systèmes d’information prises sous la forme d’une Recommandation le 25 Juillet 2002, l’Organisation de Coopération et de Développement Economiques (OCDE) avait placé en tête des neuf principes qu’elle édicte pour lutter contre la cybercriminalité, la sensibilisation. Elle rappelait que « les parties prenantes (Gouvernements, entreprises, autres organisations et utilisateurs individuels) doivent être sensibilisées au besoin d’assurer la sécurité des systèmes et réseaux d’information et aux actions qu’elles peuvent entreprendre pour renforcer la sécurité ». Elle ajoutait qu’il s’agit de « la première ligne de défense pour assurer la sécurité des systèmes et réseaux d’information ». Nous sommes convaincus que l’état d’avancement d’une société se mesure à la brutalité de la sanction qu’elle applique à ses délinquants. La criminalisation est à un certain point nécessaire. Mais, surtout à notre époque de mutation, la prévention doit obligatoirement précéder la sanction. • Travailler la mise en œuvre en pratique des lois est une question aujourd’hui primordiale. En d’autres termes, il nous paraît nécessaire d’étudier la faisabilité des lois avant leur vote et promulgation. De la sorte, on devrait éviter la promulgation de textes satisfaisants sur le plan intellectuel mais totalement inappliqués car inapplicables. • Enfin, et comme principe général, imposer une collaboration étroite entre la technique et le juridique à tous les niveaux de la société. Par exemple, les entreprises développent la pratique des tableaux de sécurité. Pourquoi ne pas imposer le recours à cette pratique © Falko Matte CHRONIQUE JURIDIQUE comme le bilan comptable et financier est imposé par des dispositions légales ? Pourquoi l’Etat ne trouverait- il pas lui même celui qui va aider, valider ou certifier des outils techniques, par exemples anti-virus, anti-spams ou autres, pour protéger les citoyens des attaques ? Alors oui, on pourra compter sur la Loi pour contrer les ■■■ cybercriminels. (1)Panorama CLUSIF 2003 – www.clusif.asso.fr (2)Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique (3)Professeur de psychologie à Harvard auteur de « Comprendre la nature humaine » ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 23 THÉMA4NOUVELLES TECHNOLOGIES Biométrie : les technologies sans traces ont de l’avenir Interview par Marc Jacob et Emmanuelle Lamandé La biométrie est une technologie qui fait à la fois peur et rêver. Rêver par la magie de pouvoir utiliser des parties de son corps comme une clé permettant l’accès physique aux locaux et logique au SI. En revanche, elle effraie dans la mesure où les possibilités de fraudes pourraient donner lieu à des situations irréversibles. Pour Bernadette Dorizzi, Directrice de recherche à Télécom SudParis et présidente de l’association BioSecure, l’avenir de la biométrie passe par les technologies sans traces, comme les systèmes à base de reconnaissance des systèmes veineux ou celles permettant de faire de la reconnaissance en mouvement. Global Security Mag : Qu’est-il advenu du réseau d’excellence BioSecure ? Bernadette Dorizzi : Le réseau d’excellence BioSecure s’est arrêté en 2007, mais nous avons fondé l’Association BioSecure dont le siège social se trouve à Paris, rue Barrault. J’en assure la présidence ; Farzin Deravi en est le vice-président, et Jean-Paul Lefèvre le secrétaire. Elle a été créée, en particulier, pour diffuser les bases de données et les autres ressources qui ont été collectées par le réseau d’excellence. Son site est www.biosecure.info GS Mag : Quid du projet GET Bio-Identité ? Bernadette Dorizzi : C’est un projet de recherche qui se poursuit avec des permanents et des thésards. Ils travaillent sur le lien entre la vidéosurveillance et la biométrie, le cryptage et la biométrie, les modalités visage, parole et iris. Nous commençons aussi à travailler sur l’identification par la démarche et la classification des postures et des types de démarche. Les technologies qui ne laissent pas de traces ont de l’avenir GS Mag : Quelles sont les dernières avancées de la recherche en matière de technologies biométriques ? Bernadette Dorizzi : Plusieurs nouvelles technologies se développent actuellement. En particulier, la reconnaissance veineuse qui est intéressante car elle ne laisse pas de traces et s’acquiert en mode infrarouge. De ce fait, elle est plus difficile à falsifier, ce que la CNIL apprécie. Cette technologie a été brevetée par Hitachi et Fujitsu. En France, c’est la société Zalix qui distribue les produits de Fujitsu. Morpho (groupe 24 Safran) s’y intéresse aussi beaucoup et s’est associée quant à elle à Hitachi. La société combine la reconnaissance du réseau veineux à la reconnaissance d’empreintes digitales. Pour ce qui est de la reconnaissance vocale, c’est une technologie relativement stable. Nous voyons également des Bernadette Dorizzi, Télécom SudParis recherches dans le domaine du couplage de diverses biométries. Pour les oreilles, avec 25% des gens qui ont les oreilles couvertes, ce type de reconnaissance ne paraît pas adapté aux traitements de masse. Enfin, en ce qui concerne l’ADN, les traitements sont beaucoup trop intrusifs et ne sont pas adaptés à des applications grand public. Son utilisation pose, de plus, des problèmes d’éthique ; on parle aujourd’hui d’accélération des traitements mais ce n’est pas encore pour demain. L’évolution de la biométrie, c’est de devenir la moins intrusive possible, comme par exemple les technologies proposées par Morpho qui permettent de faire de la reconnaissance en mouvement. GS Mag : Qu’en est-il en termes de sécurité ? Bernadette Dorizzi : La sécurité a, bien sûr, été renforcée, en particulier pour résister aux attaques avec de faux doigts, de nouveaux capteurs ont été conçus pour détecter les doigts vivants ou l’utilisation de sili- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA Biométrie cone. Par contre, il est nécessaire d’avoir deux capteurs, ce sont donc des technologies qui coûtent plus cher. De nouveaux protocoles ont également été proposés afin d’anonymiser les données conservées dans les bases. Il y a ainsi moins de risques de récupération frauduleuse. du corps décorrélées. Ainsi, on préf é re r a a s s o c i e r l’œil et la main, plutôt que la main et l’empreinte palmaire. Mais tout dépend des cultures, des usages… L’empreinte digitale reste la technologie la plus utilisée en France La biométrie veineuse, de l’iris ou, dans une moindre mesure, faciale sont les plus sûres GS Mag : Quelles sont les technologies les plus utilisées aujourd’hui en France ? Bernadette Dorizzi : C’est sans aucun doute l’empreinte digitale et de loin. On voit aussi quelques déploiements de reconnaissance faciale. Mais les déploiements de la biométrie en France sont très limités du fait des contraintes imposées par la CNIL. En effet, elle a des positions tellement protectrices, qu’elle freine même la recherche. En revanche, dans le monde, aux Etats-Unis et en Amérique Latine, les déploiements biométriques sont plus nombreux et c’est l’empreinte digitale qui est préférée. Par contre, au MoyenOrient pour des questions pratiques et culturelles, on a préféré la reconnaissance par l’iris. GS Mag : Le format le plus adapté à l’entreprise n’est pas forcément celui qui apporte le maximum de sécurité. Qu’est-il préférable de choisir ? Bernadette Dorizzi : En entreprise, les technologies les plus simples à déployer sont toutes celles qui ne laissent pas de traces, comme la biométrie veineuse de la main, de l’iris, ou encore faciale. Par contre, pour cette dernière, il faut être prudent car on a encore beaucoup de faux positifs. GS Mag : La biométrie multimodale ou multibiométrie semble être une alternative privilégiée pour augmenter le niveau de fiabilité ? Bernadette Dorizzi : Effectivement, ces mélanges de technologies amènent des informations complémentaires, améliorent les performances et rendent donc les systèmes plus robustes. Elles permettent aussi la redondance et une meilleure résistance aux attaques. Par contre, les problèmes essentiels sont le coût et les temps d’enregistrement et de test. De plus, il faut des algorithmes spécifiques. Dans ce domaine, le système de Morpho (Finger VP) est une bonne application de biométrie multimodale. GS Mag : N’y a-t-il pas de problèmes d’interopérabilité ? Bernadette Dorizzi : Les campagnes MINEX d’interopérabilité entre les formats d’empreintes digitales sont faites aux Etats-Unis afin d’essayer de déterminer des interopérabilités entre les formats comme la biométrie et la carte à puce… Les technologies les plus sûres sont celles qui utilisent des parties du corps séparées GS Mag : Quelles sont les technologies qu’il est aujourd’hui plus sûr d’associer ? Bernadette Dorizzi : Il est intéressant d’associer des parties GS Mag : A-t-on des retours sur l’évolution de ces technologies dans le temps ? Bernadette Dorizzi : Actuellement, il n’y a pas beaucoup de recherche dans le domaine de l’obsolescence des technologies de biométrie. GS Mag : Que pensez-vous de la position de la CNIL par rapport à la biométrie ? Bernadette Dorizzi : La CNIL a une doctrine qui date un peu. Dans ce domaine, elle a une attitude exagérée. Elle est d’une façon générale beaucoup trop restrictive et empêche son déploiement. Il est vrai qu’il faut éviter les dérives, mais avec les nouvelles avancées dans le domaine de la biométrie, certaines technologies garantisBIOMETRICS NO-TRACE TECHNOLOGIES HAVE A FUTURE IINTERVIEW BY MARC JACOB AND EMMANUELLE LAMANDÉ Biometric technologies fire the imagination but they also raise fears. They fire the imagination with their ability to provide physical access to buildings and logical access to IT systems simply by using the characteristics of a part of the human body as an access key. However, they also raise fears because fraudulent use could give rise to irreversible situations. According to Bernadette Dorizzi, research director at the Télécom Sud Paris University and president of the BioSecure association, the future of biometrics lies with no-trace technologies such as vein recognition systems or those based on movement detection. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 25 THÉMA Biométrie sent la protection des données à caractère personnel. Aujourd’hui, il y a des technologies bien plus dangereuses pour la protection de l’identité, comme les réseaux sociaux par exemple. Sa position très stricte limite même la recherche. La CNIL devrait mettre en place des procédures simplifiées pour les chercheurs. GS Mag : Les données biométriques sont des données sensibles. Le projet de législation sur la protection des données à caractère personnel va-t-il avoir un impact sur ces technologies ? Bernadette Dorizzi : S’il va s’agir de l’authentification des personnes, la biométrie deviendra incontournable. Par contre, pour les données informatiques, il existe d’autres moyens plus efficaces. Mais tout dépendra de la position de la CNIL… La technologie la mieux adoptée sera celle qui sera la plus simple à utiliser… GS Mag : Quels sont les facteurs d’une bonne acceptation de ces techniques en entreprise ? Bernadette Dorizzi : En premier lieu, c’est d’utiliser une technologie qui fonctionne bien avec un système d’acquisition simple. Il faut qu’elle soit simple d’utilisation et pas trop contraignante. Il faut, bien sûr, une bonne ergonomie. Enfin, il faut que la technologie ne se soit pas trop chère. Par contre, les utilisateurs ne sont en général pas trop réticents à confier leurs données biométriques. Bien sûr, il est nécessaire avant tout déploiement de sensibiliser les utilisateurs pour les rassurer sur les dangers de la biométrie, même si à mon sens il y en a peu. Enfin, il faut, bien sûr, suivre toutes les recommandations de la CNIL. … donc celle des veines GS Mag : Quelles sont les technologies qui sont les plus porteuses d’avenir ? Bernadette Dorizzi : Aujourd’hui, la technologie des veines de la main semble prometteuse. D’une façon générale, tous les types de biométrie sans contrainte et qui ne laissent pas de traces me semblent les plus porteurs d’avenir. Dans tous les cas, il est important de prévenir les utilisateurs qu’ils sont contrôlés, en particulier lorsque l’on parle de la vidéosurveillance. Dans ce dernier domaine, les falsifications d’identités sont faciles, il faudra donc être très vigilant. GS Mag : A quoi ressemblera la biométrie du futur ? Bernadette Dorizzi : Elle devra être transparente et multimodale. La biométrie du futur devra autant que faire ce peut réduire le nombre d’erreurs, susciter le moins de ■■■ falsifications possible et être peu intrusive. Alain Choukroun, DG de Zalix : AVIS FAVORABLE DE LA CNIL POUR LA BIOMÉTRIE VEINEUSE GS Mag : Comment fonctionne la technologie de reconnaissance veineuse ? Alain Choukroun : La technologie veineuse a été conçue par deux acteurs : Hitachi pour la reconnaissance des veines du doigt de la main et Fujitsu pour celle du système veineux de la paume de la main. Dans les deux cas, les technologies permettent une reconnaissance du système veineux Alain Choukroun, Zalix qui est unique pour chaque individu. Cette identification permet de ne pas laisser de traces, c’est-à-dire d’empreinte. Le principe de fonctionnement est basé sur l’envoi d’une lumière proche de l’infrarouge qui permet de déterminer les contours du réseau veineux, ceux-ci étant pauvres en oxygène. Les capteurs traitent ensuite les informations à partir d’un algorithme. Le résultat de ce traitement est stocké au cours de l’enrôlement. Puis, une comparaison est faite, lors des contrôles, entre les gabarits stockés à l’enrôlement et la main présentée. Ainsi, la CNIL apprécie ces systèmes, car ils ne laissent pas de traces. D’ailleurs, elle a déjà validé par un avis favorable les systèmes de réseau veineux du doigt et de la main et par une autorisation unique pour le doigt. De ce fait, les entreprises qui veulent déployer de la biométrie veineuse du doigt n’ont qu’une simple déclaration en ligne à faire sur le site de la CNIL. Un dossier pour la biométrie des veines de la paume a été déposé auprès de la CNIL et est en cours d’agrément. Ces dernières sont encore plus sûres du fait de la grande surface d’enrôlement prise en compte. Ainsi, le taux de fausse acceptation est de 1/1,38 millions. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 27 THÉMA4NOUVELLES TECHNOLOGIES Applications Web : les données critiques en ligne de mire ! Par Marc Jacob et Emmanuelle Lamandé Sébastien Gioria, CLUSIF Les applications Web sont aujourd’hui devenues incontournables, omniprésentes et prennent peu à peu le pas sur les autres types d’applications en entreprises. Cet engouement, couplé à de fortes carences en termes de sécurisation, en font la nouvelle cible privilégiée des cybercriminels. Les applications Web se retrouvent ainsi en première ligne des attaques et, à travers elles, les bases de données le sont aussi. La multiplication des applications Web met sous le feu des attaques des pirates informatique les données critiques, avec toutes les conséquences induites pour les entreprises. Outre l’atteinte certaine en termes d’image et de réputation, c’est la responsabilité légale du dirigeant qui se trouve engagée. Les réglementations tendent à se durcir en la matière, à l’étranger, mais aussi en France. La proposition de Loi des sénateurs Détraigne-Escoffier, « Respect de la vie privée à l’heure des mémoires numériques », vise, d’ailleurs, à accroître sérieusement le niveau de sécurité des entreprises, avec pour principal catalyseur l’obligation de notification des atteintes au traitement des données à caractère personnel. En outre, le pouvoir de la CNIL en serait renforcé, les contrôles plus fréquents et les sanctions plus lourdes ! « Applications Web : une mauvaise appréciation des risques » Pour Sébastien Gioria, Responsable du Groupe de Travail CLUSIF « Sécurité des Applications Web »1, les carences de sécurisation des applications en entreprises sont le plus souvent la résultante « d’un manque de compréhension des risques et d’un sentiment global de sécurité, en partie lié aux firewalls, SSL, etc. ». Pourtant, les menaces sont bel et bien réelles. Vol de données, usurpation d’identité, déni de service et défacement de sites Internet,..., sont monnaie courante. Pour arriver à leurs fins, les cybercriminels exploi28 tent les vulnérabilités des applications : injections (SQL, XML, LDAP, …), prise de contrôle du poste client (XSS), hameçonnage (XSS, CSRF, …), etc.2 « En soi, il n’existe pas réellement d’applications plus vulnérables que d’autres. Toutefois, les applications renfermant des données sensibles ou confidentielles sont plus « attaquées ». Parmi celles-ci, on peut nommer les banques en lignes, les organismes de santé, de crédit, les partis politiques, … » constate Sébastien Gioria. Un développement sécurisé doit se faire sous l’impulsion du management et l’implication de tous L’une des erreurs les plus fréquentes est de penser que vos développeurs ou prestataires vont forcément prendre en compte l’aspect sécurité dans le développement de l’application. Si le management n’identifie et n’exprime pas clairement quels sont les besoins en termes de sécurité, ou que ces derniers ne sont pas inscrits dans le cahier des charges, ces aspects seront laissés pour compte dans la phase de développement. De plus, le champ d’action des RSSI, DSI, administrateurs, …, sera limité a posteriori. Pour Sébastien Gioria, « c’est au management de demander l’implication de tous et de forcer la mise en place du cycle de développement sécurisé. Il faut que toute la chaîne soit formée : aussi bien les architectes, métiers, développeurs, testeurs, … ». ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA Sécurité des applications Web La sécurité de l’application doit être vérifiée tout au long de son cycle de vie De plus, « des outils aidant au développement d’applications sécurisées existent d’ores et déjà. Les différents IDE (Eclipse, Visual Studio, …) comportent tous des « plugins » permettant d’améliorer la sécurité du code. Une attention toute particulière doit être portée à la conception des éléments critiques (authentification, habilitation, …) lors du Design de l’application. Toutefois, un bug de sécurité peut survenir à n’importe quel moment de la durée de vie d’une application. La vérification de la sécurité des applications Web est une étape fondamentale, de manière à s’assurer qu’il n’y ait pas d’erreurs de conception, implémentation, intégration, etc. Différentes techniques permettent de vérifier cette sécurité lors du développement de l’application, mais aussi au fil du temps : la revue de code automatique via des plugins des IDE, la revue de code manuelle, les tests d’intrusions applicatifs… Ces outils sont de base automatisables. En fait, ces derniers sont faciles à mettre en œuvre ; le plus difficile étant de modifier le processus de développement pour intégrer la sécurité ». La « security by design » : encore des freins à sa généralisation… Nous l’aurons compris, la sécurité des applications Web doit être pensée à la fois en amont et pendant tout le processus de développement, d’implémentation, … Même si elle doit être vérifiée en permanence, il est primordial de partir sur de bonnes bases. A ce niveau, la « security by design » a son rôle à jouer. « Toutefois, certains aspects freinent encore aujourd’hui sa généralisation. Les développeurs ont parfois du mal à admettre qu’ils codent, par moments, mal d’un point de vue sécurité. Les RSSI doivent, de plus, leur parler avec des mots métiers, et non sécurité ! » constate Sébastien Gioria. Pour conclure, il recommande de « regarder ce qu’a fait Microsoft avec sa SDL en arrivant à mettre en place la sécurité dans son processus de développement et penser à comment l’entreprise peut elle aussi arriver à le faire. Il existe pléthore de méthodes et d’outils pour l’aider à le mettre en place (et pas que la SDL…). Enfin, il est possible de suivre l’évolution du groupe de travail « Sécurité des applications Web » du CLUSIF qui travaille sur les bonnes pratiques » en la matière. ■■■ LES 10 PRINCIPAUX RISQUES ASSOCIÉS À L’UTILISATION DES APPLICATIONS WEB EN ENTREPRISE, SELON L’OWASP : 11 12 13 14 15 16 17 18 19 10 : Injection : Cross-Site Scripting (XSS) : Violation de gestion d’authentification et de session : Références directes non sécurisées à un objet : Falsification de requête intersite (CSRF) : Mauvaise configuration sécurité : Stockage cryptographique non sécurisé : Manque de restriction d’accès à une URL : Protection insuffisante de la couche transport : Redirection et renvois non validés Top 10 de l’OWASP au 19 avril 2010 Source : http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 1Le groupe de travail « Sécurité des applications Web » du CLUSIF a publié en septembre 2009 un rapport intitulé « Comment maîtriser les risques liés à la sécurité des applications Web ? », disponible gratuitement sur le site : http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-desapplications-Web.pdf 2Depuis 2003, l’Open Web Application Security Project (OWASP) suit l’évolution de l’état des applications Web et dresse régulièrement un état des lieux des principaux risques associés à l’utilisation des applications Web en entreprise. Pour consulter le Top10 2010 de l’OWASP: http://www.owasp.org/index.php/Top_10 SECURITY OF WEB APPLICATIONS WEB APPLICATIONS: CRITICAL DATA IN THE FIRING LINE! BY MARC JACOB & EMMANUELLE LAMANDÉ Today, the use of web applications in businesses has become widespread to the point where they have become indispensable and are slowly replacing in-house applications. This enthusiasm, along with major shortcomings in security, makes these applications a prime target for cybercriminals. Web applications are therefore in the front line of attack and as a consequence the corresponding data bases also. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 29 THÉMA4NOUVELLES TECHNOLOGIES La sensibilisation : une histoire sans fin ! Par Marc Jacob et Emmanuelle Lamandé La sensibilisation à la sécurité informatique apparaît comme la bête noire des équipes SSI en entreprises. Outre les problématiques financières et temporelles, ils doivent régulièrement faire face aux réticences des collaborateurs et savent que rien n’est jamais acquis en la matière. Ils sont condamnés, tel Sisyphe*, à réitérer leur ouvrage en permanence. Pour Luc Bucher, Responsable de la sécurité des systèmes d’information à la Direction des systèmes d’information du CEA, et Francis Bruckmann, Adjoint du Directeur Sécurité Groupe, en charge de la promotion de la sécurité chez France Télécom Orange, c’est donc une histoire sans fin qui s’engage pour prêcher la bonne parole. * Dans la mythologie grecque, Sisyphe, roi de Corinthe, fut condamné, pour s’être opposé à Zeus, à pousser éternellement un rocher jusqu’au sommet d’une montagne. Global Security Mag : Quel est le contexte qui vous a conduit à entreprendre des actions de sensibilisation sur le thème de la sécurité informatique au sein de votre entreprise ? Luc Bucher : D’une façon générale, de par ses domaines d’activité, le CEA est très sensibilisé à la sécurité. Nous sommes un organisme de recherche et la protection de notre patrimoine et de notre savoir-faire est une nécessité stratégique et réglementaire. Or, comme les autres entreprises, Luc Bucher, CEA notre dépendance à l’information numérique est de plus en plus forte et on sait que le facteur humain reste le maillon faible en matière de sécurité informatique. C’est pourquoi nous avons mis en place et formalisé, dès le début des années 2000, des actions de sensibilisation à la sécurité des systèmes d’information. Francis Bruckmann : Chez Orange, nous gérons la sécurité de manière globale. Notre politique de sécurité est mise en œuvre dans le cadre d’un SMS (Système de Management de la Sécurité), conforme à l’ISO27K. Ce der30 nier est aussi décliné au Système d’Information, et il concerne donc a fortiori les outils qu’utilisent nos collaborateurs, pour leur usage professionnel et d’une façon plus mesurée leur usage personnel. Nos campagnes de sensibilisation sont donc là pour leur rappeler l’usage responsable qu’ils doivent faire de ces outils dans ces deux contextes, et cela concerne aussi bien les outils informatiques que les assistants personnels de type PDA par exemple. Et comme nous sommes présents aux 4 coins du monde, nous faisons également un zoom sur le cas particulier des déplacements et des missions dans un autre pays que le pays d’origine du salarié. Chaque salarié doit connaître ses droits, mais aussi ses devoirs GS Mag : Quels sont les principaux thèmes que vous avez mis en avant lors de ces actions ? Luc Bucher : Ces actions de sensibilisation abordent de nombreux thèmes qui peuvent être légèrement différents en fonction de la population et du site concernés. Dans le cas des nouveaux arrivants, qui est l’une des actions les plus complètes, nous commençons par leur présenter l’organisation SSI au CEA (Connaitre leurs interlocuteurs et savoir à qui s’adresser permet de réagir plus rapidement en cas de problème ou d’incident) et la réglementation correspondante, qu’elle soit nationale ou interne au CEA. Nous abordons aussi la notion de risque. Comment se ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA Sensibilisation déroule une analyse de risque par exemple. Puis nous insistons sur notre Politique sécurité réseau qui nous a conduits à cloisonner notre réseau et à mettre en place différentes zones d’accès. Chacun peut ainsi se situer rapidement et comprendre quels seront ses droits mais aussi ses devoirs. Nous consacrons ensuite un temps important à l’analyse de la menace, à son impact et aux moyens et bonnes pratiques à mettre en œuvre. La perception de la menace n’est pas toujours bonne. Sont abordés notamment dans cette partie de façon très classique les mots de passe, l’usage de la messagerie, le chiffrement, les réseaux sociaux, …, en général avec un aspect un peu ludique. Ces sessions commencent en général par un Quizz rapide permettant à chacun d’identifier ses points forts et ses points faibles. Francis Bruckmann : Dans le Groupe Orange, quasiment chaque collaborateur a son propre poste de travail connecté au SI, ce qui fait au moins 200.000 PC à gérer ! Toute l’entreprise a un fonctionnement complètement « intranétisé », aussi on mesure l’importance du maintien du niveau de la sécurité du SI. C’est pour nous un axe important de sensibilisation, faire que chaque salarié soit conscient qu’il ne peut et ne doit pas faire n’importe quoi avec l’outil mis à sa disposition. Parmi nos principaux thèmes, je peux citer l’importance de l’évaluation par le collaborateur de la criticité de l’information (qu’est ce qui est confidentiel, qu’est ce qui est secret, ce qu’il peut diffuser sans risque), et donc la protection qu’il doit mettre en œuvre, son attitude lorsqu’il est en mission ou en déplacement, ce qu’il doit faire en cas de vol de son PC ou de son PDA … Mais ça concerne aussi, par exemple, la sécurité physique : l’accès à nos sites, l’attention à porter à nos visiteurs (ou même nos concurrents visiteurs, nous en hébergeons quelques-uns dans nos locaux !), le port du badge, etc. La sensibilisation est l’affaire de tous GS Mag : Quelles ont été les populations concernées ? Luc Bucher : Une action de sensibilisation à la sécurité en général est entreprise pour tout nouvel arrivant sur chaque site du CEA. Elle inclut évidemment la composante sécurité des systèmes d’information. Sur le site de Saclay par exemple, cette formation a lieu hebdomadairement et dure 1/2 journée. Elle concerne l’ensemble des personnels, qu’il s’agisse de personnes nouvellement recrutées ou mutées sur le centre, de personnes en situation de réintégration ou de retour, de stagiaires, de personnes en contrat à durée déterminée (thésards, post-doc …) ou de personnel intérimaire. Par ailleurs, sous la responsabilité des ASSI (Assistant chargé de la sécurité des systèmes d’information), des piqûres de rappel sont organisées régulièrement ou en fonction des besoins dans chaque unité. Francis Bruckmann : Là encore, cela dépend du contexte de la campagne. Elle peut être locale (sur un site par exemple, nous l’avons fait au Siège de l’entreprise à Paris, ou aussi sur notre site du Te c h n o c e n t re ) e t , dans ce cas, elle ne concerne que les salariés du site. Mais ce qui veut dire qu’au Siège, elle a concerné aussi l’ensemble de notre comité de direction générale ! Francis Bruckmann, Toutefois, elle peut France Télécom Orange se faire à l’échelle d’une Division, d’un Pays, voire du Groupe entier (nous sommes opérateurs dans 30 pays, mais via Orange Business Services, nous couvrons 220 pays et territoires). Aussi, chaque cas est un cas particulier, géré en local. Notre dernière campagne importante au niveau Groupe s’est faite en 8 langues et a concerné nos 220 territoires d’implantation, avec distribution physique d’une charte à chaque collaborateur. Dans tous les cas, nous visons l’ensemble de nos salariés. NEW TECHNOLOGIES USER AWARENESS: A NEVER ENDING TASK! INTERVIEW BY MARC JACOB & EMMANUELLE LAMANDÉ The problem of security awareness where users are concerned is the pet hate of IT security teams. In addition to the financial and material problems security issues cause, they have to deal regularly with the reticence of their colleagues and the knowledge that as far as security awareness is concerned it is an ongoing battle. They are condemned, as was Sisyphus*, to repeat the task for eternity. According to Luc Bucher, IT security manager in the CEA IT systems department and Francis Bruckmann, deputy group security director responsible for promoting security in France Telecom Orange, getting the message across to users is a never ending task. *In Greek mythology, Sisyphus, King of Corinth, was punished for having defied Zeus by being compelled to roll a huge boulder up a hill for all eternity. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 31 THÉMA4NOUVELLES TECHNOLOGIES … Un véritable pèlerinage pour les personnes en charge de la SSI GS Mag : Si toutes les populations ont été concernées, comment avez-vous procédé ? Luc Bucher : Lorsque nous avons mis en place ces actions de sensibilisation au début des années 2000, l’ensemble de la population a suivi des sessions de sensibilisation, unité par unité. Les ASSI ont pris leur bâton de pèlerin pour organiser ces sessions et diffuser la bonne parole dans leur périmètre d’action. Depuis, comme expliqué ci-dessus, outre les piqûres de rappel dans les unités, l’effort est porté essentiellement sur toute nouvelle personne qui vient travailler au CEA. Francis Bruckmann : Nous utilisons beaucoup nos sites intranet, en effet chaque pays, chaque fonction corporate, chaque division a son portail intranet. Nous y menons des campagnes d’information, que nous relayons sur nos sitesmétiers (sécurité globale, sécurité SI,…), par des conseils, des animations, des quizz. Mais ça peut être aussi une diffusion de documents-papier, dans le cas de chartes par exemple, ou même des « semaines de sensibilisation » couplant chaque jour un mailing à l’ensemble des salariés concernés, des animations sur nos sites intranet, des distributions de documents, voire des visites de vérification de la conformité des matériels dans les bureaux (activation des écrans de veille, PCs portables attachés par des câbles,…) ! « Nous utilisons des outils développés en interne » GS Mag : Avez-vous eu recours à des solutions du marché pour mener vos actions de sensibilisation ? Luc Bucher : Non, nous n’utilisons actuellement que des outils que nous avons développés en interne. Il s’agit principalement, de façon très classique, de supports de présentations réalisés à partir d’outils bureautiques standards. Cette solution a l’avantage de nous permettre de faire évoluer régulièrement et facilement nos supports et notamment d’offrir la souplesse et la réactivité nécessaire en fonction des besoins ou de l’actualité des menaces. Nous utilisons aussi quelques outils plus spécifiques. Je pense par exemple au Cube1, qui est un outil d’analyse des flux réseau permettant de visualiser en temps réel et sous forme graphique l‘activité entrante sur le CEA depuis Internet. Il permet de montrer sur des cas réels des activités de type scan de ports, des activités Peerto-Peer ou de détecter des propagations virales massives. Il met notamment en évidence que finalement moins de 3% des tentatives de connexion reçues sont licites. C’est un outil à forte valeur pédagogique pour sensibiliser à la menace internet. 32 Francis Bruckmann : Non, pas pour le moment. Nous essayons de réutiliser ce qui a été développé en interne dans les autres divisions de l’entreprise. GS Mag : Avez-vous édité des supports de communication pour mener vos actions ? Si oui, de quels types ? Francis Bruckmann : Oui, sous forme de « kits de com », disponibles sur nos sites intranet, pour réutilisation par d’autres divisions. La périodicité dépend de la criticité de chaque entité GS Mag : Combien d’actions de sensibilisation menezvous par an ? Quelle en est la durée moyenne ? Luc Bucher : Chaque centre a la liberté d’organiser ses actions de sensibilisation, du moment qu’il les fait. Selon les centres, ces actions sont généralement soit hebdomadaires, soit bimensuelles, et leur durée varie de 1/2 journée à 1 journée. Francis Bruckmann : C’est à la discrétion de chaque entité, en fonction de sa criticité pour l’entreprise. Une Unité d’Affaires travaillant sur des contrats de contenus ou un service de réponse au 118 712, par exemple, n’ont évidemment pas les mêmes besoins de sensibilisation des salariés. De l’ordre de une ou deux par an, et pour les campagnes Groupe d’une tous les deux ans. GS Mag : Quelle analyse faites-vous des actions menées dans vos entreprises ? Luc Bucher : Il n’est pas toujours aisé de convaincre certaines personnes de venir passer 1/2 journée ou 1 journée à écouter des discours qu’elles sont persuadées de connaitre déjà parfaitement. Au début, la mobilisation était difficile, aussi nous avons rendu cette journée sécurité obligatoire et la participation du nouvel arrivant à cette journée conditionne la remise de son badge définitif. GS Mag : Quels ont été les retours des populations formées ? Luc Bucher : Chaque session de sensibilisation donne lieu à une fiche d’évaluation remplie par chaque participant en fin de session. Les résultats sont globalement satisfaisants et montrent, une fois passée l’éventuelle appréhension de participer à cette journée de sécurité, que les participants repartent en ayant appris pas mal de choses. « Il faut constamment remettre l’ouvrage sur le métier » GS Mag : Pensez-vous que ces actions ont atteint leurs objectifs ? Luc Bucher : Oui, absolument. Elles viennent en complé- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA Sensibilisation ment des outils et contrôles que nous avons mis en place et permettent aux utilisateurs de mieux comprendre pourquoi telle ou telle action leur est refusée. Il n’est plus possible, par exemple, d’avoir un mot de passe qui ne réponde pas à certains critères de robustesse. Autre exemple, la surveillance des flux peer-to-peer montre que les flux illicites ont quasiment disparus et les outils mis en place nous permettent de contacter l’auteur si une telle trace apparaît. Francis Bruckmann : Toute action de ce type a du sens, surtout pour une entreprise comme la nôtre dont l’information est le cœur de métier. Mais elle a du mal à se maintenir dans la durée. Le business reprend rapidement le pas ! Il faut donc constamment remettre l’ouvrage sur le métier. GS Mag : Quels sont vos projets à venir en la matière ? Luc Bucher : Actuellement, nous réfléchissons à la mise en place d’un outil de type e-learning qui laisserait à chacun la faculté de compléter sa formation quand il le souhaite. chronique, savoir apprécier l’émergence de risques nouveaux (aujourd ’hui le GSM, le Cloud Computing, les réseaux sociaux …) sont des facteurs-clé d’une sensibilisation efficace. Si en plus, les personnes ont le sentiment que cette sensibilisation peut leur être utile dans leur vie extraprofessionnelle, à la maison sur leur PC personnel et pour protéger leur vie privée, la motivation n’en sera que meilleure. Alors qu’on constate une évolution du nombre de RSSI dans les entreprises, de l’existence d’une charte SSI, de la formalisation de la politique de sécurité des systèmes d‘information, la sensibilisation des collaborateurs est encore une pratique insuffisamment répandue. ■ ■ ■ « La sensibilisation des collaborateurs est encore une pratique insuffisamment répandue » GS Mag : Quels sont vos conseils aux entreprises ? Luc Bucher : Le premier conseil est évidemment de ne pas négliger cet aspect sensibilisation. Le facteur humain reste le maillon faible en matière de sécurité des systèmes d’information. Bon nombre d’actes « non autorisés » relèvent encore trop de l’ignorance et de la naïveté plus que de la volonté de nuire et chacun n’a pas toujours connaissance des conséquences potentielles de ses actes. Je pense, par exemple, aux tentatives de phishing ou au fait que, finalement, seul moins de 3% du trafic à partir d’internet est licite, comme le démontre notre application Cube. La sensibilisation permet d’informer les utilisateurs de ce qu’ils ont le droit de faire et de ne pas faire avec les moyens informatiques de l’entreprise. Mais attention, celle-ci ne doit pas se résumer à une liste d’interdictions. Prendre le temps d’expliquer les risques, en s’appuyant par exemple sur ceux qui ont défrayé la 1Pour plus d’informations, une présentation et une démo de Fiche Entreprise : CEA – Commissariat à l’énergie atomique et aux énergies alternatives • 15000 salariés répartis sur 10 centres en France. • RSSI du CEA : Edwige Bonnevie – Directeur du Pôle Maitrise des Risques et de la Direction centrale de la sécurité. Luc Bucher – responsable de la sécurité des systèmes d’information à la Direction des systèmes d’information du CEA. l’outil sont accessibles à l’adresse suivante : http://www-moncube.cea.fr/ Fiche Entreprise : France Télécom Orange • Taille du SI mondial (couvre 220 pays et territoires) • Nombre d’employés environ 200000, dont à peu près la moitié en France • Population concernée par les actions de sensibilisation cible : l’ensemble du personnel ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 33 THÉMA4NOUVELLES TECHNOLOGIES MAXIME LECOEUR, GROUPE IRCEM : La sensibilisation au plus près des métiers Interview par Marc Jacob et Emmanuelle Lamandé Maxime Lecoeur, IRCEM Créé il y a près de 40 ans, l’IRCEM* est un groupe de protection sociale qui gère plus de 5 millions de dossiers pour 550 collaborateurs. Les importantes bases de données constituées impliquent une véritable stratégie de sécurité, dont la sensibilisation est l’une des clés. Ainsi, l’objectif de Maxime Lecoeur, Chargé de sécurité des Systèmes d'Information du groupe, est de faire participer l’ensemble du personnel à des sessions de sensibilisation, ciblées en fonction de chaque type de métiers. Pour ce faire, il utilise la plupart des outils de sensibilisation : e-learning, séminaires, tableau de bord, clé USB… * (Institut de Retraite Complémentaire des Employés de Maison) Global Security Mag : Quel est le contexte qui vous a conduit à entreprendre des actions de sensibilisation sur le thème de la sécurité informatique au sein de votre entreprise ? Maxime Lecoeur : Nous gérons à travers notre groupe de protection sociale, et les trois institutions qui le composent, plus de 5 millions de dossiers (adhérents, salariés et particuliers-employeurs, retraités, entreprises et associations du secteur). Les importantes bases de données que nous gérons impliquent une véritable protection de ces fichiers, par des mesures de sécurité qui doivent permettre de garantir à nos clients la confidentialité des données et le respect de ces données dans leur traitement. D’ailleurs, nos gouvernances et nos structures de tutelle veillent et nous contrôlent avec une quête permanente du respect de nos devoirs et de nos obligations en la matière. De plus, le Groupe IRCEM, dont les bases ont été posées il y a près de 40 ans, est depuis toujours attaché aux valeurs qui ont préfiguré sa création, avec notamment une grande attention portée à l’humain. GS Mag : Quels sont les principaux thèmes que vous avez mis en avant lors de ces actions ? Maxime Lecoeur : Les thèmes sur la sensibilisation sont nombreux et variés suivant les populations visées par les 34 différentes sensibilisations. Néanmoins, certains thèmes reviennent de manière plus récurrente : • Les mots de passe (qualité du mot de passe, confidentialité), • Les mails : vecteurs d’attaque virale, erreur de destinataire, • L’ingénierie sociale, • Les aspects légaux (CNIL, droits d’auteur), • Les aspects personnels, internet à la maison. GS Mag : Quelles ont été les populations concernées ? Maxime Lecoeur : L’ensemble du personnel est concerné par la sensibilisation informatique. L’informatique est le principal outil de travail quel que soit le métier : gestionnaire, comptable, ressources humaines, relation clients, marketing, … Des actions ciblées en fonction des métiers GS Mag : Si toutes les populations ont été concernées, comment avez-vous procédé ? Maxime Lecoeur : Nous avons défini plusieurs populations : • Le comité directeur, très concerné par les problèmes de confidentialité des données à tous les niveaux. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA Sensibilisation • Les managers, population pour laquelle la sensibilisation est axée sur les possibilités de contrôle de leurs équipes, en relation directe avec les clients-adhérents. • Les informaticiens, population spécifique. Ils sont souvent capables de contourner les mesures de sécurité mises en place et la sensibilisation a un caractère plus primordial chez eux. • Les correspondants sécurité : souvent testeurs des quizz, ce groupe restreint permet de servir de baromètre sur la qualité des sensibilisations lancées. Les correspondants ont un rôle à jouer dans la communication entre le chargé de sécurité des SI et les utilisateurs, et ce, dans les deux sens : - Ils permettent la diffusion des règles et bonnes pratiques en matière de sécurité des SI et assurent la promotion des actions sécurité. - Ils centralisent les questions des utilisateurs et répondent en fonction des connaissances précises de chacun. Dans le cas contraire, ils renvoient la question au chargé de sécurité des SI. • Les prestataires, population soulevant des problématiques différentes des membres du Groupe, sont référencés comme une population spécifique. • Les gestionnaires, ce groupe est le plus important. Il représente toutes les personnes du Groupe IRCEM ne rentrant pas dans les autres catégories. Aucune population ne doit être laissée pour compte car les technologies, techniques et vecteurs d’attaques sont en perpétuelle évolution. Les résultats sont communiqués selon cette segmentation mais également en fonction des services avec l’objectif de les challenger entre eux pour obtenir de meilleurs taux de participation, ainsi qu’une implication dans les sensibilisations. Les sessions de sensibilisation passent essentiellement par le e-learning GS Mag : Avez-vous eu recours à des solutions du marché pour mener vos actions de sensibilisation ? Si oui, lesquelles et pourquoi ? Maxime Lecoeur : La sensibilisation passe essentiellement par le e-learning via l’outil Sensiwave, proposé par Conscio Technologies. Nous organisons également des séminaires en fonction des résultats des sensibilisations. Des actions ponctuelles sont menées : une clé USB contenant un antivirus a été offerte aux salariés par la Direction Générale du Groupe IRCEM dans le but d’une utilisation privée. Dans le cadre de la communication directe aux utilisateurs, nous allons mettre en place des réunions le midi, ouvertes à tous, qui auront pour but de donner aux utilisateurs des informations de tous niveaux : • Paramétrage d’antivirus • Qu’est ce qu’un virus ? • Bonnes pratiques de gestion des données sur les réseaux sociaux • Etc. Les tableaux de bord sont également un élément de la sensibilisation. Ceux-ci reprendront des indicateurs permettant d’avoir une vue simple et efficace de l’état de la sécurité du SI du Groupe. GS Mag : Avez-vous édité des supports de communication pour mener vos actions ? Si oui, de quels types ? Maxime Lecoeur : Des supports type diaporama sont édités après chaque sensibilisation pour un retour auprès du comité directeur du Groupe IRCEM, ainsi que pour les correspondants sécurité des SI. Pour l’ensemble des salariés, des retours sont réalisés sur papier avec une explication de chaque question et un débriefing final. GS Mag : Combien d’actions de sensibilisation menezvous par an ? Quelle en est la durée moyenne ? Maxime Lecoeur : Nous menons une action par an pour chaque type de population et une action globale associant toutes les populations du groupe IRCEM. USER AWARENESS MAXIME LECOEUR, GROUPE IRCEM USER AWARENESS AT THE WORKFACE INTERVIEW BY MARC JACOB AND EMMANUELLE LAMANDÉ Established some 40 years ago, IRCEM* is a social protection organisation that manages more than 5 million files and has a staff of 550 people. Managing such a large data base requires a strategic security plan in which user awareness is one of the key elements. The objective of Maxime Lecoeur, IT system security manager for the group, is to have targeted user awareness sessions for all of the staff. To achieve this he makes use of e-learning, seminars, performance dashboards, USB keys etc. * French superannuation fund for domestic employees ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 35 THÉMA Sensibilisation Nous impliquons le management pour accroître la participation GS Mag : Quelle analyse faites-vous des actions menées dans vos entreprises ? Maxime Lecoeur : Au sein du Groupe IRCEM, la sécurité des SI est une préoccupation forte et de nombreux moyens sont donnés. Les taux de participation atteignent de bons niveaux (aux alentours de 65%) et nous impliquons au maximum les salariés. Le principal problème est la difficulté à faire appliquer les bonnes pratiques aux différentes populations. Certaines d’entre elles, soumises à des impératifs de production, ont des difficultés à trouver du temps pour participer aux sensibilisations. Dans ce cas, nous impliquons leur management pour améliorer la participation. Les vecteurs de communication doivent changer pour éviter que les salariés ne se lassent GS Mag : Quels ont été les retours des populations formées ? Prochain projet : le passage d’un passeport sécurité informatique GS Mag : Quels sont vos projets à venir en la matière ? Maxime Lecoeur : Nous avons un gros projet en termes de sensibilisation : le passage d’un passeport sécurité informatique au sein du Groupe IRCEM. Il sera composé de questions et de saynètes mettant les utilisateurs devant des problématiques de sécurité de différents niveaux. Selon les résultats, les collaborateurs pourraient avoir des droits informatiques plus étendus (accès internet, messagerie…). GS Mag : Quels sont vos conseils aux entreprises ? Maxime Lecoeur : Il est important de bien cibler les questions posées aux collaborateurs en fonction de leur profil, de leurs préoccupations et de cibler des sujets qui sont inhérents à la société et/ou la branche d’activité pour augmenter les ■■■ effets de la sensibilisation. Maxime Lecoeur : Généralement, les populations sont intéressées par les sensibilisations, mais il est important de savoir se renouveler dans ce domaine, car même si les messages restent parfois les mêmes, les vecteurs de communication doivent changer pour éviter que les salariés ne se lassent. GS Mag : Pensez-vous que ces actions ont atteint leurs objectifs ? Maxime Lecoeur : De manière générale, les objectifs sont fixés par des taux de réponses (participation et scores). Pour le Groupe IRCEM, les scores correspondent souvent aux attentes mais la participation de tous est difficile à atteindre. Nous tendons néanmoins vers l’idéal 100% ! Fiche Entreprise : Taille du SI 800 postes, 100 serveurs Nombre d’employés 550 employés au sein du Groupe IRCEM Fonction dans l’entreprise Chargé de sécurité des systèmes d’information Population concernée par les actions de sensibilisation Tous les membres du groupe, des prestataires au Directeur Général. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 37 THÉMA4NOUVELLES TECHNOLOGIES Le filtrage face aux libertés fondamentales Par Garance Mathias, Avocat Garance Mathias, Avocat Le filtrage, sa nécessité, son utilité font l’objet de controverses depuis de nombreuses années : le but de ce filtrage étant de limiter, de bloquer l’accès à certains contenus illicites, il n’y a donc pas de retrait desdits contenus litigieux. Comme toute technique ayant un caractère intrusif, le filtrage doit être mise en place de manière proportionnée avec une base légale, afin de ne pas créer une ingérence dans l’exercice des libertés individuelles. De manière générale, il existe deux types de filtrage, le filtrage du réseau mis en place par les prestataires de service (fournisseur d’accès, l’entreprise, …) qui déterminent la nature du contenu à filtrer. A titre d’illustration, l’utilisation de « listes noires » constitue une des possibilités de filtrage, la plus communément utilisée. Il existe également un filtrage qui peut être mis en place par l’utilisateur avec sa propre définition de critères (pour protéger les mineurs, …). En outre, certains textes législatifs mettent en place des mesures de filtrage. Citons l’adoption récente de LOPSSI 2, qui prévoit un dispositif pour la mise en place d’un filtrage des sites Internet à contenu pédopornographique, le filtrage de l’accès à des sites illégaux de jeux en ligne, ou encore la protection du droit d’auteur. Le pouvoir judiciaire peut prononcer, à la suite d’une saisine d’une personne ayant un intérêt à agir, toute mesure pour empêcher un trouble illicite ou faire respecter des droits (comme le droit d’auteur). Des techniques complexes à mettre en œuvre et qui peuvent être contournées Néanmoins, les techniques de filtrage sur Internet sont 38 souvent complexes et peuvent être contournées assez aisément, compte tenu de la nature même du réseau Internet. De manière générale, le filtrage peut être mis en place par différents acteurs de l’Internet, plus particulièrement par les Fournisseurs d’Accès, et les employeurs (entreprise). L’acteur principal du filtrage est le fournisseur d’accès, et ce d’autant plus que cette obligation lui est imposée légalement. Rappelons-nous l’article 6-1 (1°) de la LCEN qui dispose que « les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens ». Récemment, ce filtrage a été imposé dans le cadre de la procédure judiciaire (jugement du Tribunal de Grande Instance de Paris du 6 août 2010) StanJames. En effet, la loi concernant la réglementation des jeux en ligne a créé une nouvelle autorité administrative indépendante, l’ARJEL, qui, en cas de non respect des dispositions, peut saisir la justice pour bloquer l’accès à un site de jeu en ligne non agréé par elle. Il va de soi, compte tenu des règles de territorialité, que ce blocage n’a pu concerner que l’espace géographique français… Cette décision n’est pas s’en rappeler la décision judicaire rendue, il y a, déjà, 10 ans, qui imposait à Yahoo de bloquer l’accès à partir du territoire français à ses sites d’enchères vendant des objets néonazis. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA Le filtrage Le filtrage en entreprise doit respecter les libertés individuelles des employés • consultation du Comité d’entreprise et du CHSCT, si l’entreprise possède au moins 50 salariés, avec une information individuelle et préalable de chacun des salariés. Dans le cadre des procédés de filtrage mis en place par les employeurs, ces derniers peuvent être considérés, selon la LCEN, comme des « prestataires techniques » avec une obligation de conserver les données de connexion. Au surplus, depuis un arrêt de 2008, les connexions Internet sur le lieu de travail sont présumées professionnelles. • mise en place d’une déclaration auprès de la CNIL. En effet, il est fréquent que le procédé de filtrage permette également d’exercer un contrôle sur l’activité du salarié. En d’autres termes, il y a une collecte et conservation de données à caractère personnel. Toutefois, dans le cadre de la mise en place d’outil de contrôle de l’activité des salariés, la préservation des libertés individuelles et collectives doit être respectée. Aussi, l’intérêt légitime de l’entreprise à mettre en place cette mesure, le respect notamment des principes de proportionnalité, de finalité et de transparence devra être respecté. L’ensemble de ces prérogatives trouve souvent l’illustration dans le cadre de la rédaction d’une charte d’utilisation des nouvelles technologies au sein de l’entreprise. Même si ces obligations imposées à des professionnels respectent l’état de l’art en matière juridique, l’application de la loi est souvent difficile. En effet, les contenus sont souvent mis à disposition des internautes depuis des serveurs qui se trouvent hors du pays concerné. En outre, l’hétérogénéité des lois fait que dans certains pays, des activités font l’objet d’une incrimination pénale mettant en œuvre une technologie de filtrage, et dans d’autres pays, ces activités ne sont pas toujours litigieuses. Cette charte, qui peut être un outil disciplinaire, est adressée également à la DDTEFP. En conclusion, à notre sens, cette technique de filtrage se heurte à la complexité du réseau et doit être mis en place, hors cas des chartes d’entreprise, sous le contrôle ■■■ d’un juge. Par voie de conséquence, le filtrage au sein d’une entreprise ne peut être mis en place en respectant les procédures suivantes : 3 ème APPEL À COMMUNICATION GSDAYS Les Journées Francophones de la Sécurité de l’Information 10 MAI 2011 À P A R I S Un cycle de conférences techniques organisationnelles et juridiques www.gsdays.fr Renseignements : Marc Jacob - SIMP 17 avenue Marcelin Berthelot 92320 Châtillon Tél. : +33 (0)1 40 92 05 55 Fax. : +33 (0)1 46 56 20 91 [email protected] Un c o l l o q u e s u r la s é c u r i t é des S y s t è m e s d ’ I n f o r m a t i o n s e x c l u s i v e m e n t en f r a n ç a i s pour réunir : les RSSI, DSI, Administrateurs Ré seaux et Sécurité, Experts Sécurité… Pour cette 3ème édition des GS Days, un accent particulier sera mis sur trois thèmes phares : • Sécurité des Systèmes et Réseaux Industriels (SCADA, ...) • Utilisation efficace de la donnée de connexion • Ubiquité du poste de travail • ... Date limite de soumission: le 25 février 2011 ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 39 © Sebastian Kaulitzki MALWARES BUSTERS MALWARE POLYMORPHE POUR SERVEUR : « Nouvelle Star » DE L’ANNÉE 2010 Par Marc Jacob et Emmanuelle Lamandé Pour nos quatre experts, les malwares polymorphes déployés sur les serveurs ont été particulièrement utilisés par les pirates informatiques en 2010. Ainsi, ces techniques ont mis en difficulté bon nombre d’utilisateurs, leurs antivirus étant très souvent inefficaces pour les détecter. De plus, toutes les méthodes de propagation sont bonnes pour diffuser ces malwares : obfuscations, rootkits, Runtime packers… le tout passant via les mails, les sites Web… L’ingéniosité des pirates informatiques est sans limites dans la création de nouveaux malwares et de leurs techniques de mutation. En la matière, nos quatre experts estiment unanimement que le titre de « nouvelle star » de l’année 2010 revient Ralf Benzmüller, G Data aux virus polymorphes pour les serveurs. Ainsi, Ralf Benzmüller, Directeur du G Data SecurityLabs - G Data Software, explique : « le polymorphisme serveur est fréquemment utilisé, notamment sur les botnets. Ce mécanisme permet de faire muter des malwares. Cependant, le code à l'origine de la mutation ne se trouve pas dans le programme (comme dans un virus polymorphe classique) mais sur le réseau, généralement un site Internet ». En effet, complète Michel Lanaspèze, Directeur Marketing & Communication Europe du Sud de Sophos, en 2010, la plupart des techniques utilisées par les pirates pour faire muter leurs malwares ont été sorties des malwares eux-mêmes pour être mises en œuvre dans les serveurs malveillants qui les distribuent. On parle de « polymorphisme côté serveur ». Conserver un mécanisme de polymorphisme dans le mal- 40 ware lui-même requiert non seulement une certaine sophistication, mais constitue un point faible, car ce mécanisme lui-même peut être détecté. Aujourd’hui, les pirates n’ont tout simplement plus besoin de recourir à ce type de techniques car la majorité des infections passe par des accès à des pages Web infectées, qui servent de relais de distribution à des serveurs pirates. Ce sont ces serveurs qui créent de nouvelles variantes des malwares qu’ils distribuent, à chaque fois qu’une victime se présente. C’est à la fois beaucoup plus simple pour les pirates, et plus difficile à détecter pour les moteurs anti-malware. Cela explique aussi l’explosion du nombre de malwares, qui sont essentiellement des variantes créées à l’aide de ces techniques de « polymorphisme côté serveur ». Effectivement, complète Pierre-Marc Bureau, Chercheur Senior chez ESET, « les programmeurs de logiciels malveillants créent des milliers de variantes qu’ils placent sur un serveur. Quand une victime télécharge un fichier malveillant, elle obtient une nouvelle variante qui n’a jamais été distribuée précédemment. Le programmeur peut tester que chaque nouvelle variante n’est pas détectée par un antivirus en l’analysant avant de la diffuser. Cette technique est efficace, car l’algorithme utilisé pour modifier la forme du malware n’est jamais divulgué, à la différence des virus polymorphiques traditionnels. Les techniques d’auto modification de code qui étaient plus populaires dans le passé, comme le métamorphisme, restent, quant à elles, toujours utilisées mais à une moins grande échelle ». ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com MALWARES © Boguslaw Mazur BUSTERS Les techniques les plus utilisées en 2010 pour faire muter les malwares Par Eugenio Correnti, Consultant Senior EMEA chez Symantec Hosted Services • Packeurs (compresseur / encrypteur) • Outils de chiffrement • Obfuscateurs • Polymorphisme • Outils convertissant des scripts en exécutables exe. • Par ex: http://www.abyssmedia.com/scriptcryptor/ • Obfuscation de script via des techniques de scripting • Utilisation d’une série de junk code afin de bypasser la détection antivirale • Attaques de types SEO (Search Engine Optimization) • Scripts se cachant dans des objets OLE ou des PDF, et utilisant • des vulnérabilités de logiciels • Techniques de type Heapspray • http://securityevaluators.com/files/papers/isewoot08.pdf) • Shellcodes chiffrés dans du javascript • (http://blog.metasploit.com/2010/09/ return-of-unpublished-adobe.html#goodies) • Attaques de poisioning SEO (Search Engine Optimiszation) de sorte à cacher • des iframes, afin de rediriger des utilisateurs vers des sites web contenant • des codes malicieux Malwares invisibles : les techniques d’encapsulation et d’obfuscation sont très prisées cette année Pour qu’une attaque ait l’effet escompté, le malware se doit d’être invisible. Heureusement, force est de constater que, pour ce faire, les méthodes ne manquent pas. En effet, les techniques pour dissimuler les malwares sont pléthores, comme le remarquent tous nos experts. Parmi elles, Pierre-Marc Bureau met en tête de liste le polymorphisme et les packers. Le but du packer est de cacher le code original d’un malware à l’intérieur d’une enveloppe dont l’analyse est très difficile. D’autant que ces fichiers encapsulés sont souvent compressés, précise Ralf Benzmüller. D’ailleurs, reprend Pierre-Marc Bureau, de nombreux logiciels commerciaux légitimes utilisent également des packers pour éviter que des pirates analysent leur code et l’utilisent sans payer ou pour voler des secrets industriels. Un opérateur de logiciel malveillant peut ensuite utiliser des technologies de rootkit pour cacher la présence de fichier sur le disque, c’est le cas de la famille très populaire de logiciels malveillants, tels que Win32/Olmarik et Win32/Mebroot. Effectivement, poursuit Ralf Benzmüller, les rootkits peuvent cacher des fichiers, des processus, des entrées dans le registre ou encore rendre du trafic réseau invisible. Ils peuvent s’installer dans n’importe quel élément du système, même dans son noyau. D’autres techniques peuvent aussi être mises en place pour empêcher les analyses antivirales des logiciels de sécurité. C’est le cas, par exemple, avec les techniques d’anti émulation ou de code obfuscation. Sans aucun doute, analyse Michel Lanaspèze, les rootkits utilisent un ensemble de techniques variées pour se rendre invisibles au système d’exploitation luimême. Ces dernières demeurent, cependant, délicates à maîtriser et restent donc confinées à une minorité de pirates. C’est plutôt dans la dissimulation des codes malveillants écrits en JavaScript, utilisé majoritairement pour les infections par le Web, qu’on observe la plus forte activité et le plus grand foisonnement. On parle de « techniques d’obfuscation JavaScript ». Ces dernières se fondent sur la nature dynamique du JavaScript, une partie du code malveillant étant chiffré, l’autre partie servant à le déchiffrer et l’exécuter. Les pirates ajoutent Pierre-Marc Bureau, ESET également fréquemment des SERVER-SIDE POLYMORPHISM: THE “RISING STAR” IN 2010 BY MARC JACOB AND EMMANUELLE LAMANDÉ According to our 4 experts, server-side polymorphing malware was particularly favoured by hackers in 2010. These attacks caused problems for a good number of users because their antivirus protection was often unable to detect the threat. In addition, this sort of malware can be propagated through a variety of methods: obfuscations, rootkits, and runtime packers as well as through emails and websites. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 41 © Sebastian Kaulitzki MALWARES BUSTERS parties de « code bidon » pour brouiller les pistes et utilisent diverses astuces pour compliquer la vie des émulateurs de code JavaScript. De très nombreux outils « Obfuscateurs de JavaScripts » circulent dans la communauté des pirates pour rendre, malheureusement, ces techniques très largement accessibles au plus grand nombre. L’imagination de ces pirates prend parfois des formes originales. Au mois d’août 2010, nous avons ainsi observé une Michel Lanaspèze, Sophos technique de dissimulation de code JavaScript qui se manifestait par des longues séries de mots incompréhensibles, telles que « … zafezed lacet cetext jevecakemahamaha febenecep … ». Le décodage consistait en fait à utiliser uniquement la longueur de ces mots pour reconstituer, par un jeu de conversion de chiffres en caractères, le code malveillant à exécuter. La partie du code JavaScript chargée de cette conversion reste cependant elle-même en clair, ce qui permet une détection facile. Quant à Eugenio Correnti, il ne liste pas moins de sept techniques utilisées par les pirates informatiques pour dissimuler leurs attaques : 1) Une approche de type rootkit 2) Une exécution en tant que processus ou service Microsoft 3) Via des icônes populaires (MS office, pdf, flash, image, etc.) 4) Via des doubles extensions ou des extensions très longues 5) Via des versions de logiciels connus, tels que Adobe, Microsoft, etc. 6) Via des patchs Microsoft ou des mises à jours logiciels 7) Via l’exploitation d’événements, tels que le tremblement de terre à Haïti, le décès de Michael Jackson ou le virus H1N1, etc., en envoyant les malwares comme des fausses vidéos ou images. Ces nouveaux virus utilisent toutes les méthodes traditionnelles de propagation Toutefois, on pourrait citer le fameux dicton populaire pour décrire les méthodes de propagation de ces nouveaux malwares : « faire du neuf avec du vieux ». En effet, ils utilisent toutes les méthodes traditionnelles pour se répandre 42 sur la toile et ont toujours les mêmes objectifs, comme le constate Eugenio Correnti : « tout d’abord le vol de mots de passes, le téléchargement de logiciels tiers (Bredolab téléchargeant et installant un faux antivirus), la constitution de réseaux de botnets, tels que cutwail ou pushdo, qui contrôlent des systèmes et envoient du spam, l’envoi de vers distribuant l’infection via mails et via des disques durs portables et, enfin, les cas d’attaques ciblées (utilisant Bredolab et l’effet médiatique de la coupe du monde FIFA) ». Pour Michel Lanaspèze, la majorité de ces techniques visent à infecter les internautes lors de leurs accès au Web, afin de les infecter pour dérober leurs données ou prendre le contrôle de leurs systèmes en vue de constituer des réseaux d’ordinateurs zombies (botnets). Pas seulement, reprend Pierre-Marc Bureau, pour moi l’attaque la plus souvent utilisée pour infecter un ordinateur est de convaincre un utilisateur d’exécuter un programme, soit en lui laissant croire qu’il est nécessaire (mise à jour, codec, etc.), soit en prétendant que c’est un autre type de fichier, comme un document important, une image ou même une vidéo. Viennent ensuite les attaques de type « drive-by », où un utilisateur visite un site Web légitime qui a été modifié pour inclure une redirection vers un contenu malveillant. Si la victime utilise un navigateur (Internet Explorer, Firefox, Opera, etc.) qui n’est pas à jour, elle risque d’être infectée. Extrait du rapport de sécurité du premier semestre 2010 de G Data Les rootkits mis à part (ils sont une catégorie de malwares à part entière), les techniques employées pour rendre les malwares invisibles peuvent être utilisées dans la quasi-totalité des catégories recensées ci-dessus, conclut Ralf Benzmüller. Des malwares toujours plus invisibles qui ciblent les bases de données sensibles Pour Ralf Benzmüller, en termes d’invisibilité, Stuxnet a, sans conteste, été un exemple parlant. Il a utilisé une ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com MALWARES faille de sécurité inconnue, déclenchée à l’affichage d’un icône de fichier de raccourci (.lnk), pour installer un rootkit qui cachait un spyware dont le but était de voler des données dans une base de données spécifique. Tout à fait d’accord, reprend Pierre-Marc Bureau, ce malware est créé pour voler des informations au cœur même des réseaux les plus sensibles : les systèmes SCADA ; ces systèmes à haute disponibilité qui gèrent le fonctionnement de centrales électriques, de systèmes d’armement ou contrôlent des chaînes de montage automobile. Pour se propager, Win32/Stuxnet exploite une faille de sécurité qui était jusqu’alors inconnue (0day) dans le système d’exploitation Windows. En outre, cette menace utilise au moins deux certificats pour signer son code, donnant à ce logiciel une apparence très légitime. Avec Win32/Stuxnet, nous sommes clairement confrontés à une équipe de programmeurs hautement professionnels et bien financés. L’histoire continue, puisque les auteurs de Win32/Stuxnet courent toujours et que la comptabilisation de l’étendue des informations volées n’est pas terminée à ce jour. Michel Lanaspèze recense, en outre, plusieurs malwares qui ont défrayé la chronique dans l’actualité récente. En premier lieu, la vague d’attaques durant l’été qui a utilisé des techniques de « clickjacking ». Elle vise à détourner les clics effectués sur une page Web en dissimulant un lien ou un bouton sous une autre couche graphique. La victime voit un écran de fumée qui recouvre une page malveillante contenant un lien ou un bouton destiné à l’escroquer. Lorsque l'utilisateur clique sur le faux lien, un site légitime exécute l'action déterminée par le créateur de l'attaque : autoriser, par exemple, l'accès à ses données personnelles, effectuer un achat ou encore ajouter un ami ou cocher une page sur un réseau social. L'une des premières attaques de l’été, associée au domaine fbhole.com, présentait toutes les caractéristiques du clickjacking en affichant un faux message d'erreur destiné à faire cliquer l'utilisateur sur un bouton dissimulé en dessous. En l'espace de quelques semaines, d'autres attaques similaires ont été constatées, se servant de balises iFrames reliées au bouton "J'aime" sur Facebook pour pirater les pages des utilisateurs. Par ailleurs, de nouvelles victimes ont été piégées au moyen d'une série d'histoires étranges et de femmes séduisantes. Des centaines de milliers d'utilisateurs de Facebook ont ainsi été touchés. Cependant, si l’on considère la période des douze derniers mois écoulés, les attaques les plus notoires et les plus représentatives sont la résultante des familles Koobface et Gumblar. Même s’il ne s’agit pas de nouveautés, puisque les premières occurrences sont apparues respectivement en 2008 et 2009, elles ont été et continuent à être particulièrement prolifiques en ce début d’année 2010. KoobFace, anagramme de FaceBook, se distingue par une impressionnante durée de vie, et s’est diversifié pour sévir sur une grande variété de réseaux sociaux. Koobface est si © Boguslaw Mazur BUSTERS sophistiqué qu'il est capable de créer un compte Facebook, de l'activer en confirmant le courriel envoyé à une adresse Gmail, de devenir ami avec des inconnus inscrits sur le site, de rejoindre des groupes Facebook et de diffuser des messages sur les murs de ses amis (prétendant, par exemple, diriger vers des vidéos sexy contenant en réalité du malware). De plus, un code assure sa discrétion en permettant de restreindre le nombre de nouveaux amis qu'il accepte par jour. Koobface illustre parfaitement l’intérêt croissant des pirates pour les réseaux sociaux et nous verrons très probablement davantage de malwares suivre les traces de Koobface, créant des réseaux-zombies sur le Web 2.0 dans l'intention de dérober des données, d'afficher de fausses alertes antivirus et d'enrichir les gangs de pirates. Gumblar a représenté jusqu’à 40% de toutes les infections de sites Web et, après une éclipse en fin d’année 2009, est revenu sur le devant de la scène au mois de février 2010. Il s’agit d’un code JavaScript malveillant infecté au sein de sites Web légitimes, dans le but de rediriger les visiteurs vers des sites Web contrôlés par les pirates, qui tentent d’exploiter des vulnérabilités d’Acrobat Reader et de Flash/Shockwave pour infecter le système. C’est un type d’attaque appelé « drive by download », auquel appartient également la célèbre injection iFrame. La famille Gumblar utilise largement des techniques de dissimulation du type « obfuscation JavaScript ». Ainsi, les équipes sécurité ne sont pas au bout de leur peine pour cette fin d’année, d’autant que la période des fêtes amène aussi généralement son lot de menaces. La course du gendarme et du voleur est donc loin d’être ter■■■ minée ! Eugenio Correnti, Symantec Hosted Services : les cas d’attaques les plus marquants de l’année 2010 1) Bredolab 2) Zbot ou Zeus 3) Le ver de messagerie "Here You Have" Email Virus (alias W32.Imsolk.B@mm"W32.Imsolk.B@mm ou VBMania) 4) Les alertes au sujet des chevaux de Troie affectant les banques Brésiliennes 5) L’attaque ciblant la FIFA pendant la coupe du monde 6) Les attaques des vers Koobface ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 43 © AridOcean DATA CENTER ANDRÉ PLANCHARD, CONCEPT DATACENTER SOLUTIONS : DÉTECTION ANTI-INTRUSION PHYSIQUE : LA CORRÉLATION DES INFORMATIONS EST LA CLÉ DE LA SÉCURISATION Interview par Marc Jacob et Emmanuelle Lamandé Le système anti-intrusion physique est un maillon essentiel d’une politique de sécurisation d’un Data Center. Dans cette démarche, nombreux sont les points de vigilance à prendre à compte, et très rares sont les personnes habilitées à y pénétrer. Pour André Planchard, Président de Concept Datacenter Solutions, il n’existe pas, à proprement parler, de règles en la matière. C’est avant tout une question de réflexion, de logique et de mise en corrélation des différentes informations. André Planchard, Concept Datacenter Solutions GS Mag : En matière de système de sécurité anti-intrusion dans les Data Centers, existe-t-il des normes ou un code de bonnes pratiques en vigueur ? André Planchard : A ce jour, la détection anti-intrusion n'est pas légiférée. Néanmoins, des spécifications techniques ont été établies par des organismes professionnels, notamment l'APSAD (Assemblée Plénière des Sociétés d'Assurances Dommages) pour les compagnies d'assurances. Par exemple, pour la détection anti-intrusion, l'utilisation de produits estampillés à la marque NF A2P, qui atteste leur conformité aux normes AFNOR, sous la tutelle de l'UTE (Union technique de l'Electricité) sera recommandée. Par convention, l'accès aux salles est exclusivement réservé aux techniciens, et les accès sécurisés par différentes authentifications (badge magnétique, authentification par interphone, et clé sécurisée). Des vidéos caméras peuvent surveiller les sites en permanence. Mais aucun client n'accède aux salles sans y être escorté, sans rendez-vous ni authentification. 44 Le suivi/identification par puce intelligente : une technologie en plein essor GS Mag : Quels sont les différents systèmes de contrôle d’accès existants ? André Planchard : Ils sont multiples et parfois combinés, que ce soit les badges, cartes magnétiques, saisie de code à l’entrée, vidéosurveillance ou la biométrie. Cette dernière technique est à prendre au sens large, car elle se présente sous différentes formes allant de la reconnaissance faciale aux empreintes, celle utilisée dans la majorité des sites. Toutefois, une nouvelle technologie commence à prendre de l’ampleur, le suivi/identification par puce intelligente. C’est d’ailleurs celle que nous mettons en place dans notre Data Center. Cette technologie présente un double intérêt au niveau sécuritaire : l’identification et le laisser passer, d’une part, la sécurité des personnes, d’autre part. En effet, ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com © Paul Fleet DATA CENTER cette puce intelligente permet de localiser une personne à tout moment, mais aussi d’être averti en cas de problème (accident, chute, malaise). A cela on peut ajouter (comme nous le faisons dans nos Data Centers) la détection d’ouverture de baie qui déclenche une vidéosurveillance de la dite baie ; le nec plus ultra serait d’y adjoindre la reconnaissance faciale… GS Mag : Quels sont ceux qui sont les plus utilisés dans les Data Centers ? André Planchard : Il n’y a pas de règles ni de tendances réelles. Malgré tout, on peut dégager l’ordre suivant : • Badges et cartes magnétiques, • Code de sécurité à saisir, • Vidéosurveillance, • Biométrie. La mise en corrélation des informations permet le suivi des personnes GS Mag : Où est-il plus pertinent de positionner chacun de ces systèmes ? André Planchard : Là non plus il n’existe aucune règle ; c’est plus une question de logique. Ces systèmes doivent déjà être positionnés à l’entrée des salles. Toutefois, de plus en plus de systèmes de mise en corrélation des différentes informations de suivi des personnes sont mis en place. Par exemple, une personne passe la première barrière de sécurité à l’entrée du bâtiment avec création de badge et vidéo reconnaissance ; ces informations sont stockées informatiquement. A chaque passage d’une sécurité, les informations stockées sont vérifiées avec les informations saisies. Il faut un point de contrôle à chaque endroit où l’intrusion est possible GS Mag : Combien de points de contrôle physique faut-il ? André Planchard : Au minimum deux : à l’entrée du bâtiment et à l’entrée des salles. Mais, en fait, il faudrait un point de contrôle à chaque endroit où une intrusion est possible. GS Mag : En matière de vidéosurveillance, quels sont les points de vigilance à prendre en compte ? André Planchard : La vidéosurveillance est un point très délicat à mettre en place, tant au niveau prise de vue qu’emplacement. L’angle de prise de vue est stratégique, mais la multiplicité des prises est également primordiale, car elle permet un suivi et un contrôle très fins. Comme je l’ai expliqué plus haut, pour notre part, nous allons de l’entrée jusqu’à l’ouverture de baie. Donc, en résumé, des caméras doivent être positionnées au niveau de l’entrée, du suivi couloir, de l’entrée à la salle et, bien sûr, de toutes les sorties. Les équipements normalisés : un choix plus sûr GS Mag : Comment choisir son équipement en la matière ? André Planchard : Je ne me prononcerai pas sur un fabricant ou sur un autre. Toutefois, si je devais donner un conseil, ce serait de toujours prendre des équipements normalisés (NF A2P, etc.) ; c’est une certification au niveau assurance. GS Mag : De quelle manière la procédure d’habilitations doit être pensée et mise en œuvre au sein du DC ? Qu’en est-il pour les salariés ? Pour les visiteurs ? André Planchard : La règle veut que seuls les techniciens d’exploitations soient habilités à pénétrer dans le DC. Les autres cas d’exceptions sont les techniciens de réparation, mais uniquement accompagnés par des techniciens d’exploitations et sur ordre écrit. Quant aux visiteurs, c’est encore plus strict, puisque très peu d’entre eux y sont habilités, sauf dérogation spéciale et toujours accompagnés par des techniciens habilités. Malgré tout, pour notre part, nous avons prévu une parade à cela, beaucoup de personnes souhaitant effectivement voir le DC. Nous avons installé un système grand écran permettant de visualiser les grandes lignes du DC. Et nous sommes actuellement en cours de développement d’un logiciel 3D de visite de notre site. GS Mag : Enfin, quels conseils pouvez-vous donner en matière de système de sécurité anti-intrusion ? André Planchard : Un seul et unique, surtout voir beaucoup de monde (fabricants, installateurs), bien comparer et se faire aider par des confrères ayant déjà mis en place des systèmes. ■■■ DATACENTER ANDRÉ PLANCHARD, CONCEPT DATACENTER SOLUTIONS PHYSICAL ANTI-INTRUSION DETECTION: INFORMATION CORRELATION IS THE KEY TO SECURE SYSTEMS BY MARC JACOB AND EMMANUELLE LAMANDÉ A physical anti-intrusion system is an essential part of any data centre security strategy. With this approach, a number of points are put under surveillance with few people authorized to access them. According to André Planchard, president of Concept Datacentre Solutions, there are no rules as such in this area. The main criteria when planning a system are logical thinking and the ability to correlate information. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 45 Le magazine trimestriel sur la sécurité TOUS CES LECTEURS SONT DÉJÀ ABONNÉS : Les membres du Cercle Européen de la Sécurité, de l’ARCSI, du CESIC, du CIGREF, du Comité SSI du MEDEF, du CLUSIF, de NETFOCUS France, des Conciles de la Sécurité, de FedISA… TOUS CES EXPERTS VOUS CONSEILLENT TOUT AU LONG DE L’ANNÉE Philippe Humeau (NBS System), Luc Mensah (Siva), Igor Herrmann (Vipawan), Michel Arditti (Cesic), Xavier Paper (Paper Audit & Conseil), Garance Mathias (Avocat), Michel Bensimhon (Cabinet Pierre-Henry Scacchi & Associés), Jean-Marc Gremy (Cabestan Consultants), Olivier Itéanu (Avocat), Julien Sebban (Avocat), Frédéric Charpentier ( XMCO Partners), Thibault du manoir de Juaye (Avocat), Thierry Ramard (Ageris Consulting), Diane Mullenex (Avocat)... BULLETIN D’ABONNEMENT ❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 50€ TTC (TVA 19,60%), 60€ hors France Métropolitaine. Je recevrai les 4 prochains numéros. ❒ ou je commande le numéro : au prix unitaire de 18€ TTC (TVA 19,60%) ❒ Abonnement annuel au format PDF du magazine 30€ TTC (TVA 19,60%) ❒ ou je commande le numéro : au format PDF 10€ TTC (TVA 19,60%) ❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail : ❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici) et mon adresse mail : Nom Je recevrai par mail une fois par semaine des informations ciblées Prénom Société Fax. E-mail Adresse Tél. Règlement par chèque n° A réception de votre règlement une facture acquittée vous sera adressée par retour. Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. Date, Signature et cachet de l’entreprise Tiré sur banque à l’ordre de SIMP A retourner à : SIMP 17, av. Marcelin Berthelot 92320 Châtillon Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91 E-mail : [email protected] [email protected] En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant. Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement. 2ème édition www.gsdays.fr Les Journées Francophones de la Sécurité de l’Information PROGRAMME 30 NOVEMBRE 2010 Espace Saint-Martin 199 Bis Rue Saint-Martin 75003 Paris Marc Jacob - Tél. 01 40 92 05 55 [email protected] SPONSORS SILVER SPONSORS PROGRAMME DES CONFÉRENCES Auditorium 8h30 - 9h00 4Accueil et petit déjeuner sponsorisé par 9h00 - 9h45 4Du juridique au technique : la nique au hacking ! 4Diane Mullenex, Avocat - Paul Such, SCRT - Philippe Humeau, NBS System 9h50 -10h30 10h30 -11h00 11h00 -11h40 11h45 -12h25 12h25 -14h00 14h00 -14h40 14h45 -15h25 15h30 -16h10 16h10 -16h30 16h30 -17h10 17h15 -18h00 18h00 -19h00 2 Salle Louxor ESPACE DU ZODIAQUE AUDITORIUM 4Aurons-nous encore une vie privée ? 4Thibault du Manoir de Juaye, Avocat à la cour 4H@ckRAM : exploitation de la mémoire RAM sous Windows 4Arnaud Malard, Devoteam 4Pause café sponsorisée par AUDITORIUM SALLE LOUXOR ESPACE DU ZODIAQUE 4Smartphones nouvelle génération : quel positionnement pour le RSSI ? 4Gérôme Billois et Chadi Hantouche, Solucom 4Contournement des systèmes de filtrage HTTP en ligne 4Paul Such, SCRT 4Exploitation de failles de sécurité. Démonstrations et présentations pratiques : 4USB, Recovery, MDP... 4Franck Rioux, ARCSI AUDITORIUM SALLE LOUXOR SALLE DENDÉRAH 4L’utilisateur : l’ultime menace ? 4Eric Wies, Université Paul Verlaine – Metz 4Return Oriented Programming : rappel et pratique 4Jean-Baptiste Aviat, HSC 4L’ARCSI et Maître Thibault du Manoir de Juaye : 4Approche juridique. Obligations règlementaires. Réponses à vos questions. 4Cocktail déjeunatoire sponsorisé par AUDITORIUM SALLE LOUXOR SALLE DENDÉRAH ESPACE DU ZODIAQUE 4La sécurité d’Android 4Nicolas Ruff, EADS Innovation Works 4Les sources humaines au cœur de l’information et de la sécurité 4Frédéric Caramello, Consultant AUDITORIUM SALLE LOUXOR 4Une utilisation intelligente des réseaux sociaux est-elle possible ? 4Diane Mullenex, Avocat 4RFID : Radio Frequency Insecure Device ? 4Sergio Alves Domingues, SCRT AUDITORIUM SALLE LOUXOR 4Mesurer, améliorer et piloter votre sécurité 4Une approche pragmatique dans la recherche de conformité 4Tristan Savalle et Jérémie Jourdin, Advens 4Télétravail : frontière entre vie privée et vie publique 4Catherine Duval et Yann Fareau, Devoteam 4Pause café sponsorisée par AUDITORIUM SALLE LOUXOR ESPACE DU ZODIAQUE 4La sécurité des données personnelles enfin prise au sérieux ? 4Pascale Gelly, Avocat - Bernard Foray, Casino Technology - Eric Doyen, Generali 4XSSF : démontrer le danger des XSS 4Ludovic Courgnaud et Imad Abounasr, Conix 4Exploitation de failles de sécurité. 4Démonstrations et présentations pratiques : Objet communiquant... 4Laurent Chouraki, ARCSI AUDITORIUM SALLE LOUXOR SALLE DENDÉRAH 4Intégrer la sécurité dans un projet à fortes contraintes réglementaires, 4techniques et calendaires : retour d’expérience des jeux en ligne. 4Hervé Schlosser, France Pari - Anne Mur et Xavier Cessac, EdelWeb - Groupe ON-X 4L’ARCSI et Maître Thibault du Manoir de Juaye : 4Approche juridique. Obligations règlementaires. Réponses à vos questions. 4Cocktail de clôture sponsorisé par Salle Dendérah AUDITORIUM SALLE DENDÉRAH ESPACE DU ZODIAQUE JOURNEES FRANCOPHONES DE LA SECURITE 30 NOVEMBRE 2010 – ESPACE SAINT-MARTIN - 75003 PARIS Sponsors Silver Présentation de l'offre TrustWay Bull focuses on open and secure systems, and as such is the only European-based company offering expertise in all the key elements of the IT value chain. Bull assures the confidentiality and integrity of your data, and protects your networks, through its TrustWay® product range: TrustWay VPN solution, TrustWay box and TrustWay Crypto PCI HSM's, TrustWay PPS and globull™ USB modules. Contact : Isabelle Delfosse, Marketing Manager Rue Jean Jaurès – BP68 - 78340 Les Clayes-sousBois, France Phone.: +33 (0)1 30 80 71 41 E-mail: [email protected] Site Web: www.bull.com/trustway une approche modulaire qui permet de construire des solutions de sécurité adaptées aux besoins spécifiques de chaque entreprise. Orange Business Services s’adresse tant aux PME via des solutions entièrement packagées et clés en main, qu’aux grandes entreprises en leur proposant des solutions personnalisées et sur mesure. Notre actualité : Présentation de notre blog sécu- rité (http://blogs. orange-business.com/securite) dédié aux clients et ouverts à tous. Ce blog permet à Orange de se positionner sur le marché de la sécurité comme un interlocuteur de référence en matière de sécurité. Contact : Herve Troalic, Orange consulting - Senior Manager Tél. : +33 (0)2 23 20 41 40 E-mail : [email protected] est une société de conseil spécialisée dans la prévention des fuites de données et la protection des données sensibles. Nous accompagnons les entreprises de l’identification à la catégorisation de leurs données, dans la mise en place de solu- tions palliatives et correctives et également dans la formation et sensibilisation de leur personnel. Notre offre de services s'articule autour des 4 thématiques suivantes : • Prévention de la fuite de données • Anonymisation des données • Sécurisation des bases de données • Gestion des Données et des Accès Contact : Data Secure Technology 87 rue Voltaire - 92800 PUTEAUX Tél. : +33 (0)01 80 88 61 76 Fax : +33 (0)1 80 88 61 77 E-mail : [email protected] Site Web : www.dstechnology.fr Fondé en 1994, EdelWeb, pôle sécurité du groupe ON-X, est spécialisé dans la sécurité des systèmes d'information. L'équipe sécurité se compose d’experts techniques et de consultants expérimentés disposant d’une forte culture sécurité dans le domaine des nouvelles technologies de l’information. A travers une démarche rigoureuse, ils assistent leurs clients dans la gouvernance de la sécurité de leur système d’information pour réaliser des analyses de risques, des politiques de sécurité, une assistance à l’intégration de la sécurité dans les projets, la spécification d’exigences de sécurité, la conception ou la validation de l'architecture de sécurité adaptée, l’assistance au choix des méthodes, solutions et protocoles de sécurité, les audits et tests de sécurité, la veille technologique sécuritaire et une assistance à la gestion de crise ou d’incidents de sécurité. Les prestations sécurité du Groupe ON-X couvrent le cycle de vie d’une architecture de sécurité afin de maintenir le seuil de risque à un niveau acceptable dans le temps. Contact : Anne Mur, responsable du pôle sécurité Tél. : +33 (0)1 40 99 14 14 E-mail : [email protected] Site Web : www.edelweb.fr Bull est un spécialiste des systèmes ouverts et sécurisés, le seul européen positionné sur les principaux maillons de la chaîne de valeur de l'informatique. Bull assure l'intégrité et la confidentialité de vos données et protège vos réseaux avec ses solutions TrustWay® : Solution TrustWay VPN, HSM TrustWay box et TrustWay Crypto PCI, modules USB sécurisés TrustWay RCI et globull™. Orange est la marque phare de France Télécom, un des principaux opérateurs intégrateurs de télécommunications dans le monde. France Télécom sert plus de 200 millions de clients sur les cinq continents en 2010. Offre : Orange Business Service a mis en place Data Secure Technology Contact : Isabelle Delfosse, Responsable Marketing Rue Jean Jaurès – BP68 - 78340 Les Clayes-sousBois, France Tél. : +33 (0)1 30 80 71 41 E-mail : [email protected] Site Web : www.bull.com/trustway Prim’X Technologies, éditeur de logiciels de confiance, a pour mission de concevoir, développer, et commercialiser des solutions intégrées et globales de protection de l’information qui permettent de lutter efficacement contre les accès non autorisés aux données sensibles locales ou distantes, stockées ou échangées. Les produits de chiffrement innovants de Prim’X sont régulièrement évalués par des Certifications Critères Communs et sont conçus pour s’adapter aux Politiques de Sécurité des Entreprise et aux contraintes des Infrastructures Bureautiques. Contact : Nicolas BACHELIER, Directeur Commercial Tél. : +33 (0)1 77 72 64 80 Mobile : +33 (0)6 60 40 38 41 Site Web : www.primx.eu E-mail : [email protected] ATHENA Global Services, représentant et importateur exclusif en France d'éditeurs de solutions de sécurité informatique propose des logiciels novateurs destinés aux professionnels pour protéger et gérer leur environnement informatique : DeviceLock - Protection des postes de travail pour prévenir la fuite de données confidentielles (DLP) ; ESET - Protection Antivirus, Antispyware, Antispam et Firewall ; Storagecraft - Sauvegarde, restauration, consolidation, réplication hors site et de reprise d'activité après sinistre pour serveurs, ordinateurs de bureau et ordinateurs portables. Contact : Benoit Grunemwald, Directeur Commercial Tél. : +33 (0)1 55 89 09 21 Mobile : +33 (0)6 38 39 16 16 Site Web : www.athena-gs.com E-mail : [email protected] JOURNEES FRANCOPHONES DE LA SECURITE 30 NOVEMBRE 2010 – ESPACE SAINT-MARTIN - 75003 PARIS 3 SPECIAL GsDays 2010 Créé en 1985 à Bochum (Allemagne), G Data Software AG fête cette année ses 25 ans d’existence. L’éditeur propose depuis plus de 20 ans des solutions de sécurité et est aujourd’hui présent dans plus de 60 pays. Avec sa gamme business, version 10.7, et ses produits grand public, version 2011, alliant performance, légèreté et facilité d’utilisation, G Data dispose d’une gamme complète pour répondre aux besoins de sécurité des particuliers, des PME ou des grandes entreprises. Contact : Stephanie Kayser, Country Manager France Tél. : +33 (0)1 41 48 51 46 E-mail : [email protected] Sécurisez vos accès LAN, VPN SSL, Intranet/extranet et Web avec une solution unique et révolutionnaire. GrIDsure délivre des mots de passe dynamiques ( OTP ) non rejouables pour une authentification forte, flexible et simple d’utilisation s’adaptant à votre sécurité d’entreprise. GrIDsure, une solution d’authentification forte OTP dématérialisée ( sans tokens ! ) : • Hautement sécurisée (génération d’un mot de passe unique) • Très économique ( pas de token, ni aucun matériel) • Solution « Green business » ( pas de serveur ou matériel ) • D’une grande simplicité pour l’utilisateur ( pas de code à mémoriser ) • D’une grande simplicité pour l’administrateur (pas d’oubli de mot de passe, de panne de m atériel ou de gestion de base ) Contact : Cecile Boyer, Directeur Commercial Tél. : +44 (0) 1480 483 300 Mobile : +44 (0) 7872 127 792 E-mail : [email protected] NETASQ est une société IT innovante, qui se consacre à la fourniture de solutions de sécurité pour l’ensemble de ses clients Avec plus de 60.000 produits vendus à ce jour grâce à un réseau de distribution composé de 750 partenaires certifiés présents dans plus de 40 pays, NETASQ s’est imposé comme un acteur majeur du marché de la sécurité informatique. Les solutions NETASQ répondent efficacement aux exigences des entreprises en matière de protection unifiée contre les menaces et les SPAMs. Contact : Equipes de vente NETASQ Tél. : +33 (0)1 46 21 82 30 Site Web : www.netasq.com E-mail : [email protected] 4 ITrust est un cabinet d’expertise sécurité indépendant. Audits, Expertise, Conseil, Formation, Investigation. Nous maitrisons les problématiques de gestion de parc et sécurité de smartphones. ITrust place l’innovation au cœur de ses préoccupations : Son logiciel Ikare de monitoring et supervision du Cloud en mode SAAS, primé de plusieurs concours d’innovation, permet de détecter les comportements anormaux du SI et ainsi anticiper sur les défaillances, malveillances, erreurs. Contact : Immeuble ACTYS 1 Voie l’Occitane - 31670 LABEGE Tél. : +33 (0)5 67 34 67 80 Site Web : www.itrust.fr E-mail : [email protected] M86 Security offre a ses clients des technologies de sécurité éprouvées pour le trafic Web et Email. M86 Security protège l’entreprise contre la fuite d’information. Basé sur une technologie unique d’analyse comportementale brevetée, M86 Security SWG permet de détecter les codes malicieux connus et surtout les codes malicieux dont les signatures sont INCONNUES (Plus de 60% de la menace, aujourd’hui). Les solutions M86 Security existent en version appliance, logicielle et « cloud ». Contact : Yves Tenenbaum, M86 Security Tél. : +33 (0)1 60 81 12 12 Site Web : ww.m86security.com E-mail : [email protected] Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l’expertise de conseil en sécurité des systèmes d’information. De taille humaine (28 personnes dont 18 consultants), HSC apporte une vision du métier reposant sur l’indépendance, le pragmatisme, la transparence et le partage des connaissances. Également organisme de formation, HSC propose des formations portant aussi bien sur la sécurité technique que la sécurité organisationnelle. Toutes nos formations sont directement fondées sur les problématiques de nos clients et le retour d’expérience des consultants HSC. Contact : Matthieu Hentzien, Hervé Schauer Consultants 4 bis rue de la Gare 92300 Levallois-Perret Tél. : +33 (0)1 41 40 97 05 Fax : +33 (0)1 41 40 97 09 Site Web : www.hsc.fr / www.hsc-formation.fr Le groupe EFFIXIO, est une société de conseil en management proposant un éventail de services de consulting aux directions métiers et directions informatiques. Déjà présent à Paris, Lyon, Strasbourg, notre groupe ambitionne un développement national et international. Nous sommes structurés par pôles d'expertises (IT Business Stratégie, IT Business Security, Services and Solutions) pour accompagner nos clients de la définition de leurs enjeux stratégiques, à leurs déclinaisons et mise œuvre de Leurs projets et Systèmes d'Informations associés. Associés et consultants sont impliqués auprès de leurs clients pour garantir conseils et prestations d'assistance. Une organisation « Efficiente » au service de la compétitivité et de la performance des entreprises. Contact : David Allouche 10, Quai Léon Blum 192150 Suresnes Tél. : +33 (0)1 42 04 98 60 Site Web : www.effixio.com E-mail : dallouchefdeffixio.com Créée en 2002, SCRT est une société Suisse spécialisée dans la sécurité des systèmes d'informations et active dans les domaines suivants : • Attaque : Tests d'intrusion : internes, externe, avec/sans social engineering,... • Défense : Conseils et ingénierie dans le domaine de la sécurité des sytèmes d'information • Investigation : Analyse Forensique • Formation : Outils & Méthodes de hacking, sensibilisation utilisateurs, sécurité des architectures virtualisées,... Depuis 2010, SCRT est désormais également implantée en France et propose la même gamme de services. Contact : Patrick Sonou Mobile : +33 (0)6 16 79 46 66 Site Web : www.scrt.fr SECUNEO est le seul éditeur français à proposer une solution complète et globale de prévention des fuites d'informations : SENTINELIS. Cette solution permet à toutes les entreprises de protéger leur patrimoine informationnel, en les aidant à savoir qui dans l'entreprise manipule des informations sensibles ou confidentielles, comment sont-elles utilisées et d'assurer un niveau de protection efficace qui suit l'information tout au long de son utilisation. Contact : Tél. : +33 (0)4 83 73 99 10 Site Web : www.secuneo.com E-mail : [email protected] JOURNEES FRANCOPHONES DE LA SECURITE 30 NOVEMBRE 2010 – ESPACE SAINT-MARTIN - 75003 PARIS LES ÉVÈNEMENTS DE SÉCURITÉ DANS LE MONDE @\P#EVG\ : GB#@ ER@CBA@NOYR@ !* 2011 Zone A - Caen, Clermont-Ferrand, Grenoble, Lyon, Montpellier, Nancy-Metz, Nantes, Rennes, Toulouse Zone B - Aix-Marseille, Amiens, Besançon, Dijon, Lille, Limoges, Nice, Orléans-Tours, Poitiers, Reims, Rouen, Strasbourg Zone C - Bordeaux, Créteil, Paris, Versailles * Participez à notre grand jeu 2011 en décryptant cette énigme. Pour trouver des indices, rendez-vous sur www.globalsecuritymag.fr/jeu,20081215,6313 JANVIER FEVRIER MARS AVRIL MAI JUIN PAROLE DE RSSI SÉCURITÉ DE L’INFORMATION RISK MANAGEMENT CLOUD COMPUTING SHELLCODE SÉCURITÉ S D L M M J V S D L M M J V S D L M M J V S D L M M J V S D L 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 12 janvier - Paris Panorama de la cybercriminalité 2010 www.clusif.fr Epiphanie Noël orthodoxe Russe 16 - 19 janvier Washington DC (USA) Black Hat Briefings & Training Federal www.blackhat.com Indépendance du Maroc 19 - 20 janvier - Sophia Antipolis 6ème ETSI Security Workshop www.etsi.org/SECURITYWORKSHOP 24 janvier - Bruxelles (Belgique) Data Breach Notifications in Europe www.enisa.europa.eu/act/it/ data-breach-notification/ Naissance de Martin Luther King 25 janvier - Paris Congrès FedISA www.fedisa.eu 25 janvier - Paris Petit Déjeuner SecurityVibes www.securityvibes.com/community/fr 25 - 26 janvier - UTT - Troyes WISG www-wisg2011.utt.fr/ 26 – 29 janvier San Francisco (USA) MacWorld www.macworldexpo.com/ 28 janvier – Paris Université AFCDP des Correspondants Informatique et Libertés www.afcdp.net/ 31 janvier - 2 février – Dubaï (EAU) 3e CISO Executive Summit - Middle East www.mistieurope.com/ www.cherry.fr Thierry Ramard, Ageris Group SAS Pascal Lointier, CLUSIF M M J V S D L M M J V S D L M M J V S D L M M J V S D L 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 1er - 2 février Disneyland Resort -Paris IT Partners www.itpartners.fr 1er - 2 février - Paris iLearning Forum www.ilearningforum.org 8 février – Paris Diner du cercle de la sécurité www.lecercle.biz 8 - 10 février Paris – Porte Maillot Microsoft TechDays www.microsoft.com/france/mstechdays/ 9 février - Paris Conférence IDC Risk Management www.idc.com/france/ 9 février - Luxembourg Information Security Day www.isaca.lu 14 - 18 février San Francisco (USA) RSA Conference www.rsaconference.com/2011/usa/ 15 - 16 février - Lagos (Nigeria) IFSEC West Africa www.ifsecwestafrica.com President’s Day USA Jour des défenseurs de la patrie Russe 15 - 18 février - Moscou (Russie) Security & Safety Technologies Moscow www.security-moscow.com 23 – 24 février Bangkok (Thaïlande) Cyber Security for Government Asia www.cybersecurityasia.com 23 - 26 février – Kiev (Ukraine) ICT www.ictexpo.info/ Hors Série n°005 - Décembre 2010 ISSN : 1961 - 795X Dépôt légal : à parution Directeur de la Publication : Marc Brami Prix : 3 euros TTC (TVA 19,6%) Calendrier mis à jour au 18 novembre 2010 www.orange.com M M J V S D L M M J V S D L M M J V S D L M M J V S D L M M J 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 1 - 5 mars – Hanovre (Allemagne) CeBIT www.cebit.de 4 Mars – Genève (Suisse) Insomni’hack www.scrt.ch 8 - 10 mars - Porte de Versailles - Paris Solutions Ressources Humaines www.solutions-ressources-humaines.com/ 8 - 10 mars - Porte de Versailles - Paris InThe Cloud + InThe Datacenter + InThe Security + InThe Saas www.datacenter-cloud.com/ 8 - 10 mars - Porte de Versailles - Paris CoIP – VoIP expo www.salon-coip.com/ 8 - 10 mars - Porte de Versailles - Paris Solutions Intranet & Travail Collaboratif www.salon-intranet.com/ 10 mars - Paris Petit Déjeuner SecurityVibes www.securityvibes.com/community/fr 15 – 16 mars – Londres (UK) E-Crime Congress www.e-crimecongress.org/congress/ 15 – 18 mars - Barcelone (Espagne) Black Hat Briefings & Training Indépendance de laEurope Tunisie www.blackhat.com 16 - 17 mars - Lille Les Rencontres Internationales de la Sécurité Numérique (ex. FIC) www.risn.fr 22 mars - Paris JSSI www.ossir.org 23 - 24 mars - Bruxelles (Belgique) Infosecurity Belgium www.infosecurity.be - www.storage-expo.be 23 - 24 mars – CNIT - Paris La Défense Documation www.documation.fr V S D L M M J V S D L M M J V S D L M M J V S D L M M J V S 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Même avec le « cloud computing », il faudra appliquer la politique de sécurité : le RSSI survivra au DSI. Dans la sécurité, l'important est de travailler avec des partenaires de confiance \x80\xe8\xdc\xff\xff\xff/ bin/sh Hervé Schauer, HSC Paul Such, SCRT 5 - 8 avril - Las Vegas (USA) ISC West www.iscwest.com Indépendance du Sénégal 6 – 7 avril - Montréal (Canada) 9ème Boule de Cristal du CRIM www.crim.ca 7 – 9 avril - Ouarzazate (Maroc) ICMCS www.icmcs11.org Journée des Martyrs de la Tunisie 18 – 20 avril - Orlando (USA) InfoSec World www.misti.com 19 - 20 avril - Londres (UK) Counter Terror Expo www.counterterrorexpo.com 19 - 21 avril – Londres (UK) Infosecurity Europe www.infosec.co.uk 20 - 22 avril - Taipei (Taiwan) Secutech www.secutech.com 20 – 22 avril – Taipei (Taiwan) CompoSec www.composec.com/ 26 – 28 avril - Sao Paulo (Brésil) ISC Brasil & Inter Security www.iscexpo.com.br 28 avril – Paris Diner du cercle de la sécurité www.lecercle.biz 29 - 31 mars - Porte de Versailles - Paris RFID www.rfid-show.com 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 2 - 4 mai - São Paulo (Brésil) CARDS www.cards2011.com.br/ 8 - 12 mai - Las Vegas (USA) Interop Las Vegas www.interop.com/lasvegas/ 9 - 11 mai – Alger (Algérie) Med IT Alger www.xcom.fr Fête de l’indépendance 3 10 mai - Paris ème GSDAYS www.gsdays.fr 10 - 12 mai - Porte de Versailles - Paris Solutions Linux + Opensource www.solutionslinux.fr 11 - 14 mai - Berlin (Allemagne) Linux Tag Salon Européen de l’Open Source www.linuxtag.org 12 mai - Paris CSO Interchange (SecurityVibes) www.securityvibes.com/community/fr 16 - 19 mai - NEC Birmingham (UK) IFSEC www.ifsec.co.uk/ 17 - 19 mai - Porte de Versailles - Paris HIT www.health-it.fr/ 18 - 19 mai - Porte de Versailles – Paris i-expo www.i-expo.net/ 18 - 19 mai - Porte de Versailles – Paris Online + Mobile Payment Expo www.online-expo.fr/ www.mobilepaymentexpo.com 25 – 27 mai – Saint-Tropez Memorial Day 7ème Rencontres de l’Identity et de l’Access Management www.les-riam.fr/ 31 mai - 2 juin - Sydney (Australie) CeBIT Australia www.cebit.com.au/ 29 - 31 mars - Hong Kong (Chine) Cartes in Asia www.cartes-asia.com www.primx.eu D L M M J V S D L M M J V S D L M M J V S D L M M J V S D L M www.trendmicro.com www.forefront.fr Le plus important dans la sécurité, ce ne sont pas les moyens, c'est ce que vous en faites. Anne Mur, EdelWeb – Groupe ON-X M J V S D L M M J V S D L M M J V S D L M M J V S D L M M J 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Anniversaire de la République Ascension 3 - 4 juin – Maubeuge RSSIL www.rssil.org 6 - 10 juin - Tokyo (Japon) Interop Japan www.interop.jp 7 juin – Paris Diner du cercle de la sécurité www.lecercle.biz Réalisation : www.imadjinn.fr Bernard Foray, Casino Technology Le goût du risque ne réduit pas le coût du risque ! Pentecôte 8 juin - Londres (UK) E-crime Cloud Security Forum www.e-crimecongress.org/cloud/ 8 - 10 juin - Rennes SSTIC www.sstic.org 14 juin - Paris Klever Days www.kleverware.com/fr/kleverdays Fête nationale Luxembourg 28 – 29 juin - Paris USI www.universite-du-si.com/ 28 – 30 juin - Tel Aviv (Israël) Security Israël www.securityisrael.com/ ais sur u en franç n ti n o c n on e sur ’informati n anglais ag.fr et e Votre fil d m ty ri u c e als mag.com www.glob alsecurity www.glob www.securityvibes.com Crédits photos : ©Franck Boston - ©Oleg Zaicev « Point n'est besoin d'espérer pour entreprendre, ni de réussir pour persévérer ». Citation de Guillaume d’Orange RSSI = Reste Suffisamment Serein et Imaginatif LES ÉVÈNEMENTS DE SÉCURITÉ DANS LE MONDE @\P#EVG\ : GB#@ ER@CBA@NOYR@ !* 2011 Zone A - Caen, Clermont-Ferrand, Grenoble, Lyon, Montpellier, Nancy-Metz, Nantes, Rennes, Toulouse Zone B - Aix-Marseille, Amiens, Besançon, Dijon, Lille, Limoges, Nice, Orléans-Tours, Poitiers, Reims, Rouen, Strasbourg Zone C - Bordeaux, Créteil, Paris, Versailles * Participez à notre grand jeu 2011 en décryptant cette énigme. Pour trouver des indices, rendez-vous sur www.globalsecuritymag.fr/jeu,20081215,6313 JUILLET AOUT SEPTEMBRE OCTOBRE NOVEMBRE DECEMBRE FORMATION FORENSIC CLOUD COMPUTING SMSI RÉSEAUX SOCIAUX SÉCURITÉ Si nos informations et services informatiques s'envolent dans l'éther, gardons bien les pieds sur terre et n'oublions pas leur sécurité pour qu'ils ne s'évaporent pas. Philippe Humeau, NBS System Diane Mullenex, Avocat « Avancer sans savoir où l’on va, c’est risquer de perdre beaucoup d’énergie pour rester là où l’on est ». Dotez-vous d’un vrai tableau de bord sécurité ! Jean-Marc Grémy, Cabestan Consultants V S D L M M J V S D L M M J V S D L M M J V S D L M M J V S D 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Fête nationale USA Fête de l’indépendance 5 juillet – Paris Matinale du Cercle de la sécurité www.lecercle.biz 7 juillet - Paris Petit Déjeuner SecurityVibes www.securityvibes.com/community/fr Fête nationale Fête nationale Jour de la République Fête du Trône L M M J V S D L M M J V S D L M M J V S D L M M J V S D L M M 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Fête nationale Début du Ramadan 30 juillet - 4 août – Las Vegas (USA) Black Hat Briefings & Training Federal www.blackhat.com 4 – 7 août – Las Vegas (USA) 19ème DEFCON www.defcon.org Journée de la femme Fête de l’indépendance Fête de la jeunesse 24-26 août - Sydney (Australie) Security Expo www.securityexpo.com.au/ Fin du Ramadan J V S D L M M J V S D L M M J V S D L M M J V S D L M M J V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Fête du travail 8 septembre - Paris Petit Déjeuner SecurityVibes www.securityvibes.com/community/fr 19 - 21 septembre – Sophia Antipolis NFC World Congress www.nfcworldcongress.com/ 21 - 22 septembre - Londres (UK) 360°IT www.360itevent.com 21 - 23 septembre - Sophia Antipolis Smart Event www.strategiestm.com 28 – 30 septembre – Bombay (Inde) Interop Mumbai www.interop.in/ « Le silence est le sanctuaire de la prudence ». Citation de Baltasar Gracian Y Morales www.orange.com www.primx.eu Edouard Jeanson, Sogeti Global Security Mag Matthieu Bonenfant, Advens S D L M M J V S D L M M J V S D L M M J V S D L M M J V S D L 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 3 – 7 octobre - New York (USA) Fête nationale Interop New York www.interop.com/newyork/ 4 - 6 octobre - CNIT Paris La Défense Salons Solutions www.salons-solutions.com 5 – 7 octobre - Barcelone (Espagne) Virus Bulletin www.virusbtn.com/conference/vb2011/ Columbus Day 5 - 8 octobre - Monaco Les Assises de la Sécurité www.les-assises-de-la-securite.com 6 - 9 octobre - Istanbul (Turquie) CeBit Bilisim Eurasia www.cebitbilisim.com 11 - 13 octobre - Londres (UK) RSA Conference Europe www.rsaconference.com 12 - 14 octobre -Singapour Safety and Security Asia www.safetysecurityasia.com.sg/ 18 – 20 octobre Porte de Versailles - Paris IP Convergence Cloud & IT expo www.ipconvergence.fr www.cloud-and-it-expo.fr 18 – 20 octobre - Londres (UK) Biometrics www.biometrics.elsevier.com 18 – 21 octobre - Porte de Versailles - Paris Milipol www.milipol.com M M J V S D L M M J V S D L M M J V S D L M M J V S D L M M 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 2 - 3 novembre - Francfort (Allemagne) SNW Europe www.snweurope.com 2 – 3 novembre Jaabeurs Utrech (Pays-Bas) Infosecurity Netherlands Marchewww.infosecurity.nl Verte 6 – 11 novembre Washington DC (USA) CSI www.csiannual.com 10 novembre - Paris Petit Déjeuner SecurityVibes www.securityvibes.com/community/fr 13 – 17 novembre - Las Vegas (USA) CA World www.ca.com/us/caworld Fête belge germanophone 15 – 17 novembre – Casablanca (Maroc) Med IT Casablanca www.xcom.fr Fête de l’indépendance Fête nationale 15 – 17 novembre - Paris Nord Villepinte Cartes www.cartes.com 16 – 18 novembre – Moscou (Russie) Infosecurity Russia www.infosecurityrussia.ru Thanks Giving www.trendmicro.com J V S D L M M J V S D L M M J V S D L M M J V S D L M M J V S 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Fête Nationale Immaculée Conception Noël 26 – 29 décembre – Berlin (Allemagne) Chaos Communication Congress www.ccc.de ais sur u en franç n ti n o c n on e sur ’informati n anglais ag.fr et e Votre fil d m ty ri u c e als mag.com www.glob alsecurity www.glob Hors Série n°005 - Décembre 2010 ISSN : 1961 - 795X Dépôt légal : à parution Directeur de la Publication : Marc Brami Prix : 3 euros TTC (TVA 19,6%) Calendrier mis à jour au 9 novembre 2010 www.cherry.fr La sécurité, c’est du bon sens paysan www.forefront.fr www.securityvibes.com Réalisation : www.imadjinn.fr Retrouver un pirate est toujours plus facile quand il est en pleine action. Crédits photos : ©Franck Boston - ©Oleg Zaicev En matière de sécurité informatique, le maillon faible c'est l'humain. Ne négligez pas la formation!