Le filtrage face aux libertés fondamentales

Transcription

Ce magazine vous est offert par
Pour plus d’informations, cliquez ici
INTERNATIONAL
SPÉCIAL
SÉCURITÉ
MAROC
N°013 - Prix : 18 € - Trimestriel : octobre, novembre, décembre 2010
ÉDITORIAL
DE
MARC
JACOB
L’erreur humaine :
catalyseur
de la sécurité
informatique…
Dans le domaine de la sécurité informatique, la « bête
noire » des RSSI, consultants, intégrateurs... c’est bien
sûr l’utilisateur. A tel point que la plaisanterie la plus
commune dans ce milieu est de vouloir s’en passer pour
résoudre d’un seul coup tous les problèmes de sécurité ! Pourtant, ils ont
tous tendance à oublier qu’une grande majorité des innovations a eu pour
origine une erreur humaine… Comme le disait le fameux philosophe grec
Démocrite : « tout ce qui existe dans l’univers est le fruit du hasard et de
la nécessité ». Ainsi, pour ne prendre que deux exemples, il faut citer la
pénicilline et le fameux Post-It, si exécré de tous les RSSI, car il est le
« réceptacle » des logons et mots de passe…
En conséquence, ce fameux « maillon faible » et son erreur humaine
pourraient aussi être perçus comme un élément clé, source d’innovations
dans le domaine de la sécurité informatique. Sans lui, les RSSI ne seraient
pas à la recherche de solutions pour réduire l’impact des actions humaines
sur la sécurité du SI et les éditeurs seraient moins enclins à développer des
produits pour répondre à cette demande. Plus besoin non plus de sessions
de sensibilisation, puisque tout le monde serait attentif et prévoyant. C’est
donc l’utilisateur qui génère la majeure partie du business de la sécurité et
lui permet de se développer.
Ainsi, la filière de la SSI, au lieu de se lamenter, devrait plutôt remercier ce
maillon faible car c’est l’un des catalyseurs qui concourent à l’amélioration
de la sécurité des SI… En outre, n’oublions pas que sans les hommes point
d’innovation !
LISTE DES ANNONCEURS
3 DE
APC
APPEL À COMMUNICATION DES GS DAYS
BULL
CERCLE DE LA SÉCURITÉ
CHERRY - ZF ELECTRONICS
ENIGMA SERVICES
EXOSEC
FRANCE TELECOM ORANGE BUSINESS SERVICE
GS DAYS 2011
HSC
ÈME
COUVERTURE
P. 37
P. 2
P. 34
P. 14
P. 31
P. 4
P. 16
P. 8
P. 35
HTCS
I-LEARNING
I-TRUST
INTEGO
PRIM’X TECHNOLOGIES
VADE RETRO
P. 17
P. 6
P. 21
2
4
ÈME
DE COUVERTURE
ÈME
DE COUVERTURE
DONT 2 ENCARTS LIBRES :
1 ECART CALENDRIER DES ÉVÈNEMENTS
1 PROGRAMME DES GS DAYS 2010
P. 24
REVUE TRIMESTRIELLE
N°13 – octobre, novembre, décembre 2010
www.globalsecuritymag.fr et
www.globalsecuritymag.com
ISSN : 1959 - 7061
Dépôt légal : à parution
Editée par SIMP
RCS Nanterre 339 849 648
17 avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
e-mail : [email protected]
REDACTION
Directeur de la Publication :
Marc Brami
Rédacteur en chef :
Marc Jacob
Rédactrice :
Emmanuelle Lamandé
Ont collaboré à ce numéro :
Olivier Iteanu, Annabelle Richard
Garance Mathias
Assistante :
Sylvie Levy
Responsable technique :
Raquel Ouakil
Photos :
Nobert Martiano, Marc Jacob
Comité scientifique :
Pierre Bagot, Francis Bruckmann
Eric Doyen, Catherine Gabay,
François Guillot, Olivier Iteanu,
Dominique Jouniot, Zbigniew
Kostur, Patrick Langrand,
Yves Maquet, Thierry Ramard,
Hervé Schauer, Michel Van Den
Berghe, Bruno Kérouanton.
PUBLICITE
SIM Publicité
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
PAO
Imadjinn sarl - tél. : 09 75 45 71 65
Image de couverture : ©nmedia
IMPRESSION
Imprimerie Hauguel
8-14 villa Léger
92240 Malakoff
Tél. 01 41 17 44 00
Fax 01 41 17 44 09
Imprimé avec des encres végétales
sur papier éco-responsable certifié
PEFC par un imprimeur adhérent à
Imprim’vert selon le procédé CTP
sans chimie.
ABONNEMENT
Prix au numéro :
18 € TTC (TVA 19,60%)
Abonnement annuel :
50 € TTC (TVA 19,60%)
DE SÉCURITÉ
ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com
3
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
THÉMA
SOMMAIRE
22
NOUVELLES
TECHNOLOGIES
& SÉCURITÉ
01 Edito : L’erreur humaine :
catalyseur de la sécurité informatique…
03 Editorial : Human error: a catalyser for IT security
09 Agenda
10
LOGICAL & PHYSICAL IT SECURITY
10 DU CÔTÉ DE L’INTERNATIONAL
• Reda El Jazmi, Directeur de Config Maroc :
les entreprises marocaines passent à la gestion des risques
Par Marc Jacob et Emmanuelle Lamandé
• La réglementation des nouvelles technologies
au Maroc : état des lieux
Par Annabelle Richard, avocat au barreau de Paris
et de New York, cabinet Ichay & Mullenex Avocats
18 CHRONIQUE JURIDIQUE
Pour lutter contre la cybercriminalité,
la Loi est-elle encore crédible ?
Par Olivier Iteanu, Avocat à la Cour Chargé
d’enseignement à l’Université de Paris XI
SÉCURITÉ MAROC
18
CHRONIQUE JURIDIQUE
22 THÉMA - NOUVELLES TECHNOLOGIES
& SÉCURITÉ
• Biométrie : les technologies sans traces
ont de l’avenir
• Applications Web : les données critiques
en ligne de mire !
• La sensibilisation : une histoire sans fin !
• La sensibilisation au plus près des métiers
Par Garance Mathias, Avocat
• Le filtrage face aux libertés fondamentales
22
THÉMA
38 MALWARES BUSTERS
Malware polymorphe pour serveur :
« Nouvelle Star « de l’année 2010
42 DATA CENTER
André Planchard, Concept Datacenter Solutions :
Détection anti-intrusion physique : la corrélation
des informations est la clé de la sécurisation
Interview par Marc Jacob et Emmanuelle Lamandé
Retrouvez notre fil d'informations
sur la sécurité et le stockage sur :
www.globalsecuritymag.fr
www.globalsecuritymag.com
38
42
MALWARES
BUSTERS
DATA CENTER
7
3
ème
GSDAYS
Les Journées
Francophones
de la Sécurité
de l’Information
10 MAI 2011
À PARIS
Un cycle
de conférences
techniques
organisationnelles
et juridiques
3
Un c o l l o q u e s u r la s é c u r i t é
des S y s t è m e s d ’ I n f o r m a t i o n s
e x c l u s i v e m e n t en f r a n ç a i s
pour réunir : les RSSI, DSI,
Administrateurs Réseaux et
Sécurité, Experts Sécurité…
w w w. g s d a y s . f r
Renseignements :
Marc Jacob - SIMP
92320 Châtillon
Tél. : +33 (0)1 40 92 05 55
Fax. : +33 (0)1 46 56 20 91
[email protected]
© Tom Mc Nemar
3
NotePad
AGENDA
Décembre
1 - 3 décembre - Vienne (Autriche)
MIS Training Institute’s Chief Security
Officer Summit
www.mistieurope.com
6 décembre 2010 – Hotel Mariott Paris
Sommet Externalisation et Services
Renseignement : David Daoud
Tél. : 03.62.59.36.14
E-mail : [email protected]
Web : www.datacenterdynamics.com,
rubrique programme.
7 - 9 décembre - Paris Nord Villepinte
CARTES & IDentification
http://fr.cartes.com
15 - 18 décembre - Casablanca (Maroc)
Sécurité Expo
www.securite-expo.com
INU
ONT
EN C AG.FR
R
U
M
À JO CURITY
MIS
SE
NDA GLOBAL
E
G
L’A
W.
WW
SUR
20 janvier - Singapour
2nd BankTech Executive Summit
www.mig-events.com
1er - 2 février - Disneyland Resort Paris
IT Partners
www.itpartners.fr
25 janvier - Paris
Congrès FedISA
www.fedisa.eu
8 février - Paris
Diner du Cercle Européen de la Sécurité
www.lecercle.biz
25 - 26 janvier - UTT - Troyes
WISG
www-wisg2011.utt.fr
8 - 10 février - Paris
Microsoft TechDays
www.microsoft.com/france/mst...
27 - 29 janvier - San Franscico (USA)
MacWorld
www.macworldexpo.com
9 février - Paris
Conférence IDC Risk Management
www.idc.com/france/
28 janvier - Paris
Université AFCDP des Correspondants
Informatique et Libertés
www.afcdp.net/
9 février - Luxembourg
Information Security Day
www.isaca.lu
14 - 18 février - San-Francisco (USA)
RSA Conference
www.rsaconference.com/2011/usa
Janvier 2011
31 janvier – 2 février - Dubaï (EAU)
3e CISO Executive Summit Middle East
www.mistieurope.com
12 janvier - Paris
Panorama de la cybercriminalité 2010
www.clusif.fr
FEVRIER 2011
13 janvier - Paris
Petit Déjeuner SecurityVibes
www.securityvibes.com/commun...
31 janvier – 2 février - Dubaï (EAU)
3e CISO Executive Summit
- Middle East
www.mistieurope.com
15 - 18 février - Moscou (Russie)
Security & Safety Technologies
Moscow
www.security-moscow.com
16 - 19 janvier - Washington DC (USA)
Black Hat Briefings & Training
www.blackhat.com
1er - 2 février - Paris
iLearning Forum
www.ilearningforum.org
23 - 26 février – Kiev (Ukraine)
ICT
www.ictexpo.info
Cloud
15-16 février - Lagos (Nigeria)
IFSEC West Africa
www.ifsecwestafrica.com
SaaS
DataCenter
*à partir de 14h
INTERNATIONAL
Reda El Jazmi, Directeur de Config Maroc :
les entreprises marocaines
passent à la gestion des risques
Reda El Jazmi, Config Maroc
Config est présent sur le marché maghrébin,
et plus particulièrement marocain, depuis 1998. Le
développement économique du Maroc, entrainant une
informatisation du pays et une croissance importante
du marché de la sécurité, a poussé le management
français de Config à s’y implanter. Ainsi, Config Maroc
a été fondé fin 2004. Pour Reda El Jazmi, Directeur
de Config Maroc, son pays a pris la mesure de
l’importance de la sécurité informatique. Si le
déploiement des outils de sécurité est généralement
bien intégré dans les entreprises, aujourd’hui, elles
s’intéressent à la gestion des risques.
GS Mag : Vous êtes présent au Maroc depuis plusieurs
années, quelle est votre analyse de ce marché ?
Reda El Jazmi : Le Maroc est un marché relativement
mûr et bien structuré. Les clients sont de plus en plus exigeants. Ainsi, Config est présent sur le marché marocain
depuis 1998 et a ouvert un établissement fin 2004.
Les entreprises marocaines
s’intéressent à des démarches
d’évaluation des risques
GS Mag : Quelles sont les préoccupations de vos clients en
termes de sécurité ?
Reda El Jazmi : Les systèmes d’informations prennent de
plus en plus une place stratégique au sein des entreprises.
Le DSI est obligé d’intégrer la dimension sécurité dans sa
réflexion et dans sa démarche. Nous avons dépassé le
stade où la sécurité informatique se résumait seulement
à la mise en place d’un antivirus et d’un firewall. La mobilité des salariés, l’ouverture à des acteurs externes (four12
nisseurs, partenaires, BtoB), …, sont autant de défis qui
nécessitent la mise en place des démarches et des mesures pour évaluer les risques et définir les objectifs de sécurité à atteindre.
GS Mag : Y a-t-il eu récemment des affaires de cybercrime qui ont défrayé la chronique?
Reda El Jazmi : Les pirates informatiques marocains sont
parmi les plus « dynamiques » et se sont « illustrés » ces
dernières années dans de nombreuses affaires. L’une des
plus récentes au Maroc a été le piratage par un groupe de
pirates informatiques du site d’un Ministère. Ils ont réussi
à récupérer des informations très sensibles. Toutefois, ils
ont été arrêtés et des peines d’emprisonnement lourdes
ont été prononcées à leur encontre.
GS Mag : La législation marocaine a-t-elle une influence
importante sur le marché de la sécurité ?
Reda El Jazmi : Face, entre autres, à ce phénomène,
mais aussi au développement du commerce électronique,
il était impératif de faire évoluer la législation et de mettre en place un cadre juridique. Le Maroc s’est doté d’un
certain nombre de textes de lois concernant les infractions relatives aux systèmes de traitement automatisé
des données (loi n°07-03), à l’échéance électronique de
données juridiques (loi n°53-05), mais aussi à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel (loi n°09-08).
GS Mag : Qui sont les principaux acteurs de la sécurité
présents au Maroc ?
Reda El Jazmi : Le Maroc fait partie de ce qui s’appelle :
les pays émergeants. Il représente un potentiel important
pour beaucoup d’acteurs dans le domaine de l’informatique (éditeurs, intégrateurs, distributeurs et experts). Nous
constatons que de plus en plus d’entreprises viennent
s’installer au Maroc, soit par la création d’un bureau local,
soit par le rachat ou la prise de participation dans des
sociétés Marocaines.
Ceci a le mérite de pousser, d’une part, les entreprises
locales à mieux se structurer et se spécialiser. D’autre part,
à disposer de compétences et de ressources locales capables de répondre aux exigences et aux besoins, notamment dans le domaine de la sécurité.
Maroc Numeric 2013 va
propulser la sécurité au cœur
de la société marocaine
GS Mag : Quelles sont les évolutions probables de ce marché à moyen terme ?
Reda El Jazmi : Un chantier important a été lancé par le
gouvernement : Maroc Numeric 2013(1). La stratégie du
Maroc Numeric 2013 repose sur 4 axes : rendre accessible
aux citoyens l'Internet haut débit (1 sur 3 en 2013 au lieu
de 1 sur 10 en 2010), rapprocher l'administration des
besoins de l'usager à travers un ambitieux programme
d'e-gouvernement, inciter à l'informatisation des PME et
développer la filière locale des technologies de l'information, notamment en favorisant l'émergence de pôles d'excellence à fort potentiel à l'export.
Ce plan table beaucoup sur l’identité numérique, la vente
en ligne et la signature électronique.
Par ailleurs, les banques sont aussi priées de se conformer
au standard de sécurité PCI DSS, imposé par le consortium Visa et MasterCard.
© By Bachmont
SPECIAL SECURITE
MAROC
QUELQUES ÉVÉNEMENTS
DE SÉCURITÉ AU MAROC
15 – 18 décembre 2010
Casablanca (Maroc)
SECURITE-EXPO
www.securite-expo.com/
7 – 9 avril 2011
Ouarzazate (Maroc)
ICMCS (International Conference on
Multimedia Computing and Systems)
www.icmcs11.org
15 – 17 novembre 2011
Casablanca (Maroc)
Med-IT Casablanca
www.xcom.fr
(1)Un rapport sur la Stratégie Nationale pour la Société de
l'Information et de l'économie Numérique « Maroc Numeric
2013 » est disponible sur le site du Ministère de l’Industrie, du
Commerce et des Nouvelles Technologies du Royaume du
Maroc :
www.technologies.gov.ma/Fiche_pdf/MarocNumeric2013/
MarocNumeric2013_Fr.pdf
INTERNATIONAL
REDA EL JAZMI, DIRECTOR OF
CONFIG MAROC: MOROCCAN COMPANIES
ARE MOVING INTO RISK MANAGEMENT
BY MARC JACOB AND EMMANUELLE LAMANDÉ
The French company, Config has been in the North African
and in particular the Moroccan market since 1988. It was the
sharp growth in the Moroccan IT and IT security market,
fuelled by the country’s economic growth, that led Config’s
management to set up Config Maroc in Casablanca in 2004.
According to Reda El Jazmi, director of Config Maroc,
the Moroccan IT sector is fully aware of the importance
of IT security. Security measures are generally wides
pread and companies are now turning to the question
of risk management.
Ces deux chantiers sont bien évidemment une opportunité
énorme pour les spécialistes de l’informatique et, plus
■■■
particulièrement, de la sécurité informatique.
13
INTERNATIONAL
La réglementation des nouvelles
technologies au Maroc :
état des lieux
Par Annabelle Richard, avocat au barreau de Paris et de New York,
cabinet Ichay & Mullenex Avocats
Le Maroc, pays de tradition, est entré dans la moderAnnabelle Richard, avocat
nité depuis de nombreuses années. Ainsi, le Maroc est
devenu une des puissances les plus actives d’Afrique. Ce pays a opté pour
une réglementation moderne qui tient compte des normes internationales
et européennes. La preuve numérique, la signature électronique,
les données à caractère personnel bénéficient d’un statut juridique.
Toutefois, ces règlementations résolument modernes n’ont pas mis
fin à une censure des internautes de plus en plus présente.
Le Maroc est une des puissances les plus actives d’Afrique
du Nord et souhaite clairement s’inscrire sur la scène
internationale comme un pays moderne et soucieux
d’embrasser son époque.
A l’ère de la dématérialisation et des communications
électroniques, il est donc indispensable qu’un pays avec
de telles ambitions adapte sa réglementation aux évolutions technologiques.
A propos des nouvelles technologies, le roi Hassan II
déclarait « Le monde aujourd’hui vit des évolutions civilisationelles, scientifiques et technologiques fondamentales. Chaque jour qui passe nous apporte son lot de nouveautés. Parmi les éléments les plus marquants de ces
changements, la mutation des systèmes de production et
des modèles de consommation, l’émergence des nouvelles technologies de l’information et de la communication
et le développement rapide des services vont amplifier la
mondialisation, la globalisation des marchés et l’internationalisation des acteurs ».
C’est donc tout naturellement que le Maroc a adopté une
série de lois destinées à favoriser l’introduction des nouvelles technologies dans le Royaume. L’une des lois les
plus importantes pour le secteur des nouvelles technologies au Maroc fut la loi du 30 novembre 2007, promulguée par le Roi du Maroc sous le n°53-05(1). Le périmètre
de cette loi est particulièrement large.
14
Le statut de la preuve numérique
Tout d’abord, certaines dispositions fixent le régime de la
preuve numérique dans les relations commerciales. En
effet, la plupart des échanges commerciaux se font
aujourd’hui par la voie électronique. Il était donc indispensable que le Maroc se dote d’un cadre juridique, conforme
aux standards internationaux, pour défendre sa place dans
les échanges internationaux.
Aux termes de l’article premier de cette loi : « La présente
loi fixe le régime applicable aux données juridiques échangées par voie électronique, à l’équivalence des documents
établis sur papier et sur support électronique et à la signature électronique. Elle détermine également le cadre juridique applicable aux opérations effectuées par les prestataires de service de certification électronique, ainsi que les
règles à respecter par ces derniers et les titulaires des certificats électroniques ».
Selon cette loi, les contrats peuvent être conclus et conservés sous la forme électronique. La voie électronique peut
être utilisée également pour mettre à disposition du public
des offres contractuelles ou des informations sur des biens
ou services en vue de la conclusion d’un contrat.
Les informations qui sont demandées en vue de la conclusion d’un contrat ou celles qui sont adressées au cours de
son exécution peuvent être transmises par courrier électro-
SPECIAL SECURITE
MAROC
Pour que le contrat soit valablement conclu, le destinataire de
l’offre doit avoir eu la possibilité de vérifier le détail de son
ordre et son prix total et de corriger d’éventuelles erreurs, et ce
avant de confirmer ledit ordre pour exprimer son acceptation.
L’auteur de l’offre doit accuser réception de l’acceptation de
l’offre qui lui a été adressée. Le destinataire est, quant à lui,
irrévocablement lié à l’offre dès sa réception.
La question de
la signature électronique
Afin de garantir la sécurité de ces « échanges électroniques »,
cette loi confère également un statut juridique à la signature électronique(2).
Selon l’article 6 de la loi, la signature électronique sécurisée
doit être « propre au signataire, être créée par des moyens
que le signataire puisse garder sous son contrôle exclusif et
garantir avec l’acte auquel elle s’attache un lien tel que
toute modification ultérieure dudit acte soit détectable ».
De plus, elle doit être produite par un dispositif de création
de signature électronique, attesté par un certificat conformité.
Aux termes de l’article 8 de la loi : « Le dispositif de création de signature électronique consiste en un matériel et/ou
un logiciel destiné à mettre en application les données de
création de signature électronique, comportant les éléments distinctifs caractérisant le signataire, tels que la clé
cryptographique privée, utilisée par lui pour créer une
signature électronique ».
La certification de la signature électronique est consacrée
par un chapitre à part dans la présente loi. Celle-ci instaure
une « Autorité nationale d’agrément et de surveillance de
la certification électronique » ayant pour mission principale
d’agréer les prestataires de services de certification électronique et de contrôler leurs activités.
L’article 21 de la loi précise les conditions techniques que
doivent remplir les prestataires de service de certification
électronique. Ces derniers doivent garantir (i) la fiabilité des
services de certification électronique qu’il fournit, notamment la sécurité technique et cryptographique des fonctions qu’assurent les systèmes et les moyens cryptographiques qu’il propose, (ii) la confidentialité des données de
création de signature électronique qu’il fournit au signataire, (iii) la disponibilité d’un personnel ayant les qualifications nécessaires à la fourniture de services de certification
électronique, (iv) la possibilité, pour la personne à qui le
certificat électronique est délivré, de révoquer, sans délai et
avec certitude, ce certificat, (v) la détermination, avec préci-
sion, de la date et
l’heure de délivrance et de révocation d’un certificat électronique et
(vi) l’existence d’un système de sécurité propre à prévenir la
falsification des certificats électroniques et à s’assurer que
les données de création de la signature électronique correspondent aux données de sa vérification lorsque sont fournies à la fois des données de création et des données de
vérification de la signature électronique.
© By Bachmont
nique si leur destinataire a accepté expressément l’usage de
ce moyen.
Dès le moment de la création des données afférentes à la
création de signature, le titulaire du certificat électronique
est seul responsable de la confidentialité et de l’intégrité des
données afférentes à la création de la signature qu’il utilise.
La loi prévoit des sanctions pénales assez lourdes pour ceux
qui fournissent des prestations de services de certification
électronique sécurisée sans être agréés dans les conditions
prévues par la loi.
Le régime de la cryptographie
Enfin, la loi du 30 novembre 2007 définit également les
principes essentiels de la réglementation de la cryptographie.
Selon l’article 12 de la loi, la Cryptographie est « tout
matériel et/ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations, de
signaux ou de symboles, à l’aide de conventions secrètes ou pour réaliser l’opération inverse, avec ou sans
convention secrète ».
« Les moyens de cryptographie ont notamment pour
objet de garantir la sécurité de l’échange et/ou du
stockage de données juridiques par voie électronique, de
manière qui permet d’assurer leur confidentialité, leur
authentification et le contrôle de leur intégrité ».
INTERNATIONAL
NEW TECHNOLOGY REGULATION
IN MOROCCO
BY ANNABELLE RICHARD, ATTORNEY IN PARIS AND
NEW YORK WITH ICHAY & MULLENEX
Steeped in tradition, Morocco has undergone extensive
modernisation over recent years. Today, it is one of the most
active countries in Africa and has developed regulations that
embrace European and International standards. Digital
proof-of-origin & receipt, electronic signature and personal
data are all covered by specific legal provisions. However, the
fact that there is up-to-date regulation has not ended Internet
censorship which is becoming increasingly strict.
15
SPECIAL SECURITE
MAROC
L’importation, l’exportation, la fourniture, l’exploitation
ou l’utilisation de moyens ou de prestations de cryptographie sont soumises à une autorisation préalable dont la
forme est fixée par l’arrêté ci-dessus mentionné. Celui-ci
prévoit que devront être joints à la demande, notamment, les documents suivants : « une présentation
détaillée du domaine d’utilisation prévu du moyen ou de
la prestation, objet de la demande d’autorisation », « un
document de description du moyen, objet de la
demande, ses références commerciales, ainsi que les références du fabricant, son identité et son pays d’origine »,
« un document de description du matériel et logiciel
utilisés par le demandeur pour fournir la prestation » et
« les justificatifs de la qualification du personnel ».
La mise en place des moyens de cryptographie a été
rapidement effectuée dans le domaine du commerce
électronique.
A partir de novembre 2007, Maroc Télécommerce et le
Centre monétique interbancaire ont mis en place un nouveau système de paiement qui a pour but de sécuriser les
transactions sur internet. Ce système, basé sur le cryptage
des données saisies par l’internaute, offre de nombreux
services qui évitent au client les saisies multiples de ses
informations personnelles.
Plus récemment, le régime
de protection des données
personnelles a été précisé
Le Maroc a opté également pour une législation moderne
et conforme aux normes européennes concernant « la
protection physique à l’égard du traitement des données
à caractère personnel »(4).
Dans son préambule, la loi considère que « L’informatique est
au service du citoyen et évolue dans le cadre de coopération
internationale. Elle ne doit pas porter atteinte à l’identité, aux
droits et aux libertés collectives ou individuelles de l’Homme.
Elle ne doit pas constituer un moyen de divulguer des secrets
de la vie privée des citoyens ».
droit à l’information lors de la collecte des données, droit d’accès, droit de rectification, droit d’opposition et le droit de refuser la prospection directe.
© By Bachmont
Un arrêté du ministre de l’industrie, du commerce et des
nouvelles technologies fixe « la forme de la demande
d’autorisation préalable d’importation, d’exportation, de
fourniture, d’exploitation ou d’utilisation de moyens de
prestations de cryptographie »(3).
De plus, et comme le prévoit également la loi française,
le traitement des données dites « sensibles » est subordonné à une autorisation préalable. Des obligations de
confidentialité et de sécurité des traitements sont également prévues.
Le chapitre IV institue également une « Commission
nationale de contrôle de la protection des données à
caractère personnel ». Cette commission est chargée,
notamment, de donner son avis sur des projets de lois et
règlements relatifs à la protection des données personnelles et de recevoir les déclarations préalables et les demandes d’autorisations. Elle est dotée également d’un pouvoir
d’investigation et d’enquête(5) permettant à ses agents
d’avoir accès aux données faisant l’objet de traitement,
de requérir l’accès direct aux locaux au sein desquels le
traitement est effectué et de recueillir et de saisir toutes
les informations et tous documents nécessaires pour remplir les fonctions de contrôle.
Cependant, cette Commission est instituée « auprès du
premier ministre », ce qui est de nature à faire douter de
son indépendance. A titre d’exemple, la CNIL est désignée
expressément par la loi française du 9 janvier 1978
comme étant « une autorité administrative indépendante »(6).
Le développement du secteur des
télécommunications
Depuis les années 90, le Maroc a opté pour un modèle de
développement économique basé sur la logique libérale,
notamment en matière des télécommunications.
Le secteur des Télécommunications au Maroc est réglementé par la Loi n° 24-96 consolidée(7) relative à la poste
et aux télécommunications.
La loi présente des grandes similitudes avec la directive
européenne 95/46/CE relative à la protection des données
personnelles ainsi qu’avec la loi française relative à l’informatique, aux fichiers et aux libertés.
L’approche libérale adoptée par le Maroc est consacrée
expressément par la loi dont le préambule précise que
« Ce secteur doit s’adapter aux mutations socio-économiques qui résultent du développement général du
pays et, en même temps, s’intègre dans un ensemble de
réseaux internationaux caractérisés par une association
de plus en plus étroite du secteur privé à leur installation et à leur exploitation dans un cadre commercial et
concurrentiel ».
La personne concernée se voit conférer les droits suivants :
Selon la loi, les réseaux de télécommunications pour-
17
ront être « exploités par des personnes privées détentrices d’une licence qui sera accordée par décret délibéré conformément à l’article 66 de la Constitution,
sachant que l’Etat fixe les orientations générales du secteur de la poste et des télécommunications, et l’autorité
gouvernementale compétente veille à leur respect et à
leur application ».
L’article 10 de la loi prévoit les conditions générales d’exploitation d’un réseau de télécommunications. Celles-ci
concernent, notamment, la concurrence loyale, des
garanties de confidentialité, l’obligation de respecter les
accords et les conventions internationaux ratifiés par le
Royaume du Maroc, l’obligation d’acheminer gratuitement les appels d’urgence et la contribution à la recherche, à la formation et à la normalisation en matière de
télécommunications.
Un apport majeur de la loi réside dans la création de
l’ANRT qui est un établissement public, rattaché au premier ministre, doté de la personnalité morale et de l’autonomie financière. Créée en février 1998, en application
de la loi 24-96 relative à la Poste et aux télécommunications au Maroc, l’ANRT, à qui le législateur a attribué un
rôle de régulateur, œuvre pour l’émergence et le développement du secteur des télécommunications au Maroc.
Le champ d’intervention de l’ANRT recouvre tous les
aspects relatifs à la régulation juridique, économique et
technique du secteur des télécommunications.
L’ANRT contribue à l’élaboration du cadre juridique qui
régit le secteur des télécommunications, en participant à
la préparation de projets de lois, de décrets et d’arrêtés
ministériels. Elle est aussi chargée de conduire les procédures d’instruction et d’attribution des licences, par voie
d’appels à la concurrence et octroyer les autorisations
d’exercice des activités de télécommunications.
L’ANRT mène des actions d’audit des opérateurs pour s’assurer que les états de synthèse de leur comptabilité analytique reflètent, de façon régulière et sincère, les coûts,
produits et résultats de chaque réseau exploité, ou chaque service offert.
© By Bachmont
SPECIAL SECURITE
MAROC
Une approche libérale contredite par
un maintien de la censure
Le Maroc s’est doté d’un arsenal réglementaire qui lui permet
d’offrir aux investisseurs étrangers un environnement juridique conforme aux standards internationaux. Toutefois, dans
ce pays de contrastes, il convient de noter que la modernité de
réglementation n’a pas entraîné la disparition de la censure.
Ainsi, malgré la promotion du gouvernement marocain pour
le développement de l’internet, les internautes marocains ne
peuvent que constater l’application de mesures de censure
qui deviennent de plus en plus fréquentes.
Les cas de censures sont principalement le fait de l’opérateur
téléphonique et internet dominant ITISSALAT-AL-MAGHRIB
ayant bloqué plusieurs sites de blogging, tels que LiveJournal,
ainsi que plusieurs sites politiques revendiquant l’indépendance du Sahara occidental. Google Earth a également été
bloqué (cas rare au monde) ainsi que youtube.
Ces blocages se font, en général, en dehors de toute procédure
judiciaire et viennent ternir l’image de modernité du Maroc et
■■■
sa promotion des nouvelles technologies.
(1)Bulletin Officiel n° 5584 du Jeudi 6 Décembre 2007.
(2)La signature électronique est un mécanisme permettant
d’authentifier l’auteur d’un document électronique et de
garantir son intégrité, par analogie, avec la signature manuscrite d’un document papier.
(3)Arrêté n° 152-10 du 22 mars 2010.
(4)Loi n°09-08 du 5 mars 2009.
(5)Les modalités d’exercice de ce pouvoir sont précisées par le
Décret n°2-09-165 du 21 mai 2009 pris pour l’application de
la loi n°09-08 relative à la protection des personnes physiques
à l’égard des traitements des données à caractère personnel.
(6)Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, Article 11.
(7)Loi du 7 août 1997, loi du 20 juin 2001, loi du 4 novembre
2004 et la loi du 17 avril 2007.
19
CHRONIQUE JURIDIQUE
POUR LUTTER CONTRE
LA CYBERCRIMINALITÉ, LA LOI
EST-ELLE ENCORE CRÉDIBLE ?
Par Olivier Itéanu, Avocat à la Cour, Chargé d’enseignement à l’université de Paris XI
La cybercriminalité est désormais une réalité
reconnue par tous et partout dans le monde.
Pourtant, de l’Etat au citoyen en passant par les
entreprises, chacun tâtonne pour savoir quel est
le meilleur moyen pour lutter contre un tel
phénomène. Le réflexe « Loi » n’est pas évident.
Quelle est la meilleure réponse : les technologies,
l’organisation ou la Loi ? En réalité, tout le monde
a compris que le recours aux technologies est
obligatoire pour prévenir le risque cybercriminel.
Chacun a également compris, notamment les
entreprises, que leurs organisations doivent aussi
être adaptées pour relever le défi. Mais la Loi a-t-elle
pris en compte le phénomène ? Nous évoquons ici
quelques unes des difficultés auxquelles elle doit
faire face, comme son efficacité dans l’espace
numérique ou sa nécessaire adaptation au temps
réel, avant d’évoquer quelques pistes de réflexion.
20
La Loi, l’espace numérique et
le temps réel, une question
résolue ?
lieu d’établissement du système (STAD) en cause ou encore
une autre règle ? En outre, le droit pénal international
n’existe pas, sauf pour quelques rares crimes, comme le
crime contre l’humanité, qui ne concernent pas notre
matière. Comment dans ces conditions déterminer le droit
applicable à une infraction commise sur le réseau ?
La cybercriminalité peut-elle être envisagée du seul point
de vue d’un droit national, le droit français, voire du droit
communautaire, alors que le phénomène est par essence
international ? Il est vrai qu’avec l'interconnexion des
réseaux, le caractère international des délits est renforcé. On
aura vite fait de constater que tel délinquant de telle nationalité résidant à tel endroit aura commis sur le réseau une
infraction pouvant être localisée dans un autre Etat de la
planète portant atteinte aux droits d’une victime pouvant
être d’une nationalité encore différente. Ce cas n’est pas une
hypothèse d’école. Quelle loi alors appliquer ? Celle de la
nationalité du délinquant, de son lieu de résidence ou du
Même si cela étonnera, il faut constater que le droit français
a une réponse théorique à la question. En effet, la quasitotalité des infractions commises sur un réseau numérique
de communications peuvent être traitées par les juges français. Mais cette réponse n’est que théorique … Elle se
trouve à l'article 113-2 du Code Pénal français : « La loi
pénale française est applicable aux infractions commises
sur le territoire de la République. L'infraction est réputée
commise sur le territoire de la République dès lors qu'un de
ses faits constitutifs a eu lieu sur le territoire ». La jurisprudence a ajouté à ce principe général une interprétation
généreuse des « faits constitutifs ». Avec cette interpréta-
tion, il suffit que l’acte incriminé ou même seulement son
résultat ait lieu sur le territoire national, pour que l’infraction
soit jugée « commise sur le territoire de la République ».
Cette théorie a un nom : la « théorie de l’ubiquité ». Mais,
plus encore, la loi pénale française s’appliquera lorsqu’une
infraction est commise à l’étranger et que ni l’acte incriminé, ni ses résultats n’ont d’effet sur le territoire national.
L'article 113-7 du Code Pénal vise le cas d’une infraction
commise à l'étranger même par un étranger. Deux conditions devront alors être remplies pour pouvoir saisir un juge
français. D’une part, la victime devra être de nationalité
française au moment de l’infraction, d’autre part, cette
infraction devra être un délit puni d'une peine d'emprisonnement selon le Code Pénal français. Autant le dire tout de
suite, la quasi-totalité des délits envisageables sur un réseau
de télécommunications est punissable de peine d’emprisonnement : rares sont, en effet, les délits punis d’une simple peine d’amende. Cela signifie bien que dans le cas d’une
victime française au moment des faits, la loi française apparaît comme une loi universelle capable d’être mise en
action dans la totalité de nos cas. Signalons enfin, pour être
complet un dernier cas de figure envisageable. La victime
est de nationalité étrangère et le délit est commis hors du
territoire de la République : dans ce cas, si l’auteur du délit
est de nationalité française, il pourra être poursuivi en
France selon la loi française à condition que l’infraction qui
lui est reprochée soit punie, au moment des faits, selon la
législation du pays du lieu où a pris place l’infraction. Mais
à supposer que le juge français se saisisse d’une infraction,
qu’il ait le droit de la juger et qu’il la juge, qu’il condamne
son auteur identifié et domicilié ou résident à l’étranger,
que va devenir cette sanction ? S’il n’existe pas de coopération judiciaire et policière entre la France et l’Etat d’où est
résident le délinquant, la sanction restera lettre morte. Or,
bon nombre d’infractions en réseau sont localisées aux
Etats-Unis ou dans des pays éloignés d’Asie, là où la coopération est la moins développée avec les Etats européens. La
perspective de se trouver face à cette difficulté, les coûts
supplémentaires engendrés par une procédure d’exécution
à l’étranger, les délais supplémentaires, pourraient dissuader tout simplement les victimes d’agir sur un plan judiciaire. En réalité, avant chaque action judiciaire, le plaignant se devra, avec ses conseils, de dresser une sorte
d’étude de faisabilité sur les chances non seulement de succès mais d’efficacité de son action. Cette étude se fera essentiellement en fonction de la nationalité et du lieu de résidence de la victime et du délinquant. La question du lieu de
commission de l’infraction ou d’établissement du système
d’information ayant servi de support à l’infraction est un
paramètre, quant à lui, mineur.
Sur la question du temps numérique, la question n’est pas
plus facile. Les premiers virus informatiques étaient diffusés
par le moyen de la disquette. Un des premiers virus à avoir
eu une diffusion mondiale fut le virus Brain et il lui fallut un
an pour quitter son pays d’origine, le Pakistan, et se propa-
© Falko Matte
CHRONIQUE
JURIDIQUE
ger
dans
le
monde. Au milieu
des années 90,
trois semaines ont
suffi au virus Concept, trois jours à Wazzu et seulement
quelques heures à I Love You pour se propager mondialement. En 2003, le virus SQL Slammer a mis 10 minutes pour
atteindre 90% de ces cibles au niveau mondial(1). Mais plus
encore, la répétition des actes au quotidien décourage les
victimes. Porter plainte est une procédure longue et fastidieuse, tandis que le temps réel du réseau a démultiplié la
vitesse d’exécution et le nombre des actes malveillants.
Comment dès lors réagir à chaque attaque lorsqu’on se
trouve être le destinataire de dizaines de virus quotidiens
reçus d’autant d’expéditeurs ? Comment réagir judiciairement aux tentatives d’intrusion dans les STAD quand les
logs des machines enregistrent toutes les heures des tentatives d’intrusion d’attaquants à chaque fois différents ? La
notion de temps accolée à celle de loi est une question assez
peu traitée en Europe. Pourtant, cette question est d’importance. Avec le monde numérique, nous sommes tous passés
au temps réel. Or, les procédures judiciaires sont longues à
se mettre en oeuvre et aboutissent après des mois de procédure. Ce temps de latence est également un facteur de
découragement important pour les victimes. C’est peut être
le défi principal qui est posé à la loi aujourd’hui. La question est en réalité tout autant policière que judiciaire. Pour
avoir une chance d’atteindre son but, le gendarme électronique doit avoir droit de s’installer sur le réseau et le juge
avec lui, tant pour instruire avec la rapidité du réseau, les
crimes et délits soumis, que pour contrôler cette activité
policière. On est encore loin de cette solution aujourd’hui.
LEGAL COLUMN
IS CURRENT LEGISLATION ADEQUATE
TO FIGHT CYBERCRIME?
BY OLIVIER ITÉANU, LAWYER
CURRICULUM STUDIES AT PARIS
& HEAD OF
XI UNIVERSITY
The reality of cybercrime is recognized by everyone the world over.
However, whether it is at government, company or individual level, everyone is struggling to find the best way to fight this phenomenon.
Instinctively legislation may appear to be the answer but this is not
necessarily so. So what is the best solution: technology, organization or
legislation? In fact, there is no question that technology is indispensible
in the fight against cybercrime. It is also accepted, particularly in the
business environment, that the organisational structure has to be adapted to face up to the challenge. The question therefore is whether the
legislation is equipped to deal with such a phenomenon. We will examine some of the difficulties facing the legislator such as the efficiency
of legislation in the digital world and the problems of adapting to real
time before looking at some of the possible solutions.
21
CHRONIQUE JURIDIQUE
Alors, quelles lois pour lutter
contre la cybercriminalité ?
La France a très tôt promulgué une loi spécifique sur la
fraude informatique. C’était la Loi du 5 Janvier 1988(2), dite
Loi Godfrain du nom de son précurseur, Jacques GODFRAIN.
A l’époque, ce texte spécifique était présenté comme nécessaire car, d’une part, de nombreuses infractions restaient en
théorie impunies et les grandes entreprises et administrations, seules destinataires des attaques à cette époque, semblaient démunies, d’autre part, la France était en retard sur
les Etats-Unis d’Amérique qui, au niveau des Etats, avaient
déjà promulgué une loi sur la question et, au niveau fédéral, il existait la « computer fraud and abuse act » de mars
1986. En Europe, depuis 1985, l'Allemagne, la Suisse, la
Norvège et le Danemark s’étaient déjà dotés de textes. La
Loi Godfrain a introduit un nouveau chapitre III au titre II
du livre II du Code Pénal ("de certaines infractions en
matière informatique"). La création d'un nouveau chapitre
spécifique devait prouver l'importance du sujet. Cependant,
plus de 20 ans plus tard, le bilan est mitigé. Le nombre d’actions judiciaires menées sur le fondement de ce texte se
comptent par dizaines seulement. Pour que le lecteur ait
une référence, signalons que les seuls tribunaux de commerce rendent chaque année de l’ordre d’un million de
jugements. D’où vient ce décalage ? Notre ouvrage n’a pas
vocation à répondre en technicien à cette question qui est
du ressort du législateur. Cependant, ce décalage nous
amène à poser une autre question. Faut-il une autre loi
pour lutter contre la nouvelle cybercriminalité ou faut-il
légiférer différemment ? Pour nous, la seconde hypothèse
est la bonne et pour la raison suivante. La société est régie
par un corpus de normes qui ne sont plus toutes juridiques.
La situation peut être résumée par le schéma suivant :
La Loi
La manière d’être
Le pouvoir économique
La technique
22
Appliquée à la route, notre présentation peut s’appliquer comme suit. Le Code de la Route est la Loi. C’est la
norme suprême et c’est d’ailleurs la seule norme démocratique de notre schéma. Elle doit donc conserver la
tête pour réguler le réseau. A l’étage en dessous, se
trouve la manière d’être, ce que les sociologues appellent les faits morphologiques. Due à des paramètres
divers, le plus souvent culturels, la manière d’être au
volant d’un automobiliste résidant en Grèce n’est pas
celle d’un Anglais ou d’un Portugais. Cette manière
d’être influe sans conteste sur la façon dont le législateur façonne le code de la route. Il est évident que la vie
en réseau est en passe de changer, non plus nos manières de faire, mais notre manière d’être. Cette manière
d’être se façonne de surcroît « derrière » l’écran, c’està-dire dans une sphère privée. Steven PINKER (3) indique
que « personne ne régule la socialisation des adolescents et leur culture. Elles sont le produit d’interactions
spontanées ». Internet intervient désormais comme un
outil majeur de cette interaction dite spontanée. Au
troisième étage, se trouve le pouvoir économique ou le
marché. Les constructeurs automobiles ont leurs
contingences qui influent également sur la régulation.
Sur le réseau, les stratégies des grandes entreprises
multinationales, cherchant à imposer leurs standards
constituent des appétits qu’il faudra bien limiter. Seuls
les Etats et la loi ont cette capacité. En taxant les technologies innovantes pour maintenir des modèles d’affaires passés, on freine le développement de la collectivité en son entier. Enfin, au dernier étage se trouve la
technique. Au jour où les véhicules terrestres seront
techniquement capables de se mouvoir sur l’eau ou
dans les airs, le code de la route s’en trouvera très rapidement modifié. De même, la technique est désormais
un partenaire obligatoire du législateur, s’il entend
réguler cet espace.
Quelques pistes de réflexion…
Dans le domaine des industries culturelles et des TIC,
celles-ci ont monté leurs modèles sur la commercialisation d’objets physiques (livres, Cd, etc.) dits non
rivaux (un bien rival est un bien qui se détruit par la
consommation telle que la nourriture). Or, la technique a évolué de telle façon qu’elle permet à des coûts
très faibles d’accentuer le caractère « non rival » des
biens culturels. On le voit, cette situation impose une
harmonie totale entre les quatre niveaux de norme.
Pour que l’individu reste le point d’arrivée de la régulation, que la société en réseau ne soit pas la résultante
de la somme des actions d’individus ayant des intérêts
particuliers et qu’un intérêt général surpasse ces égoïs-
mes, mais aussi pour que cette régulation soit efficace,
cohérente et juste, le législateur doit agir de concert
avec les trois niveaux de normes non juridiques. Pour
aboutir à ce résultat, nous proposons quelques pistes
de réflexion :
• Plutôt que de recourir à des lois particulières, trop
complexes, mal connues de ceux chargés de les appliquer, le législateur devrait chercher à intégrer, au corpus des lois « ordinaires », les problématiques liées
aux technologies de l’information. La réforme du droit
de la preuve est le bon exemple d’une intégration réussie. Le code civil a été modifié pour faire la place aux
nouvelles règles au lieu de la création d’un corpus de
textes particuliers. Le recours à des textes généraux
n’interdit pas le traitement de questions particulières.
Par exemple, des questions pourraient être abordées
par la loi telles que la mise en place d’un statut particulier à l’ordinateur au sein du monde du travail inséré
dans le cadre du code du travail ou la recherche d’un
statut particulier à celui ou celle chargé d’assumer les
missions de sécurité toujours dans l’entreprise et les
administrations.
• Généraliser la prévention. Dans ses lignes directrices
régissant la sécurité des systèmes d’information prises
sous la forme d’une Recommandation le 25 Juillet 2002,
l’Organisation de Coopération et de Développement
Economiques (OCDE) avait placé en tête des neuf principes qu’elle édicte pour lutter contre la cybercriminalité, la sensibilisation. Elle rappelait que « les parties
prenantes (Gouvernements, entreprises, autres organisations et utilisateurs individuels) doivent être sensibilisées au besoin d’assurer la sécurité des systèmes et
réseaux d’information et aux actions qu’elles peuvent
entreprendre pour renforcer la sécurité ». Elle ajoutait
qu’il s’agit de « la première ligne de défense pour assurer la sécurité des systèmes et réseaux d’information ».
Nous sommes convaincus que l’état d’avancement
d’une société se mesure à la brutalité de la sanction
qu’elle applique à ses délinquants. La criminalisation
est à un certain point nécessaire. Mais, surtout à notre
époque de mutation, la prévention doit obligatoirement précéder la sanction.
• Travailler la mise en œuvre en pratique des lois est
une question aujourd’hui primordiale. En d’autres termes, il nous paraît nécessaire d’étudier la faisabilité des
lois avant leur vote et promulgation. De la sorte, on
devrait éviter la promulgation de textes satisfaisants sur
le plan intellectuel mais totalement inappliqués car
inapplicables.
• Enfin, et comme principe général, imposer une collaboration étroite entre la technique et le juridique à tous
les niveaux de la société. Par exemple, les entreprises
développent la pratique des tableaux de sécurité.
Pourquoi ne pas imposer le recours à cette pratique
© Falko Matte
CHRONIQUE
JURIDIQUE
comme le bilan
comptable et
financier est imposé par des dispositions légales ?
Pourquoi l’Etat ne trouverait- il pas lui même celui qui
va aider, valider ou certifier des outils techniques, par
exemples anti-virus, anti-spams ou autres, pour protéger les citoyens des attaques ?
Alors oui, on pourra compter sur la Loi pour contrer les
■■■
cybercriminels.
(1)Panorama CLUSIF 2003 – www.clusif.asso.fr
(2)Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique
(3)Professeur de psychologie à Harvard auteur de « Comprendre
la nature humaine »
23
THÉMA4NOUVELLES TECHNOLOGIES
Biométrie : les technologies
sans traces ont de l’avenir
La biométrie est une technologie qui fait à la fois peur et rêver. Rêver par la magie
de pouvoir utiliser des parties de son corps comme une clé permettant l’accès physique
aux locaux et logique au SI. En revanche, elle effraie dans la mesure où les possibilités
de fraudes pourraient donner lieu à des situations irréversibles. Pour Bernadette Dorizzi,
Directrice de recherche à Télécom SudParis et présidente de l’association BioSecure,
l’avenir de la biométrie passe par les technologies sans traces, comme les systèmes
à base de reconnaissance des systèmes veineux ou celles permettant de faire
de la reconnaissance en mouvement.
Global Security Mag : Qu’est-il advenu du réseau d’excellence BioSecure ?
Bernadette Dorizzi : Le réseau d’excellence BioSecure
s’est arrêté en 2007, mais nous avons fondé l’Association
BioSecure dont le siège social se trouve à Paris, rue
Barrault. J’en assure la présidence ; Farzin Deravi en est
le vice-président, et Jean-Paul Lefèvre le secrétaire. Elle a
été créée, en particulier, pour diffuser les bases de données et les autres ressources qui ont été collectées par le
réseau d’excellence. Son site est www.biosecure.info
GS Mag : Quid du projet GET Bio-Identité ?
Bernadette Dorizzi : C’est un projet de recherche qui se
poursuit avec des permanents et des thésards. Ils travaillent sur le lien entre la vidéosurveillance et la biométrie,
le cryptage et la biométrie, les modalités visage, parole et
iris. Nous commençons aussi à travailler sur l’identification par la démarche et la classification des postures et
des types de démarche.
Les technologies qui ne laissent
pas de traces ont de l’avenir
GS Mag : Quelles sont les dernières avancées de la recherche en matière de technologies biométriques ?
Bernadette Dorizzi : Plusieurs nouvelles technologies se
développent actuellement. En particulier, la reconnaissance
veineuse qui est intéressante car elle ne laisse pas de traces
et s’acquiert en mode infrarouge. De ce fait, elle est plus difficile à falsifier, ce que la CNIL apprécie. Cette technologie a
été brevetée par Hitachi et Fujitsu. En France, c’est la société
Zalix qui distribue les produits de Fujitsu. Morpho (groupe
24
Safran) s’y intéresse
aussi beaucoup et s’est
associée quant à elle à
Hitachi. La société
combine la reconnaissance du réseau veineux à la reconnaissance d’empreintes
digitales. Pour ce qui
est de la reconnaissance vocale, c’est une
technologie relativement stable. Nous
voyons également des
Bernadette Dorizzi, Télécom SudParis recherches dans le
domaine du couplage
de diverses biométries. Pour les oreilles, avec 25% des gens
qui ont les oreilles couvertes, ce type de reconnaissance ne
paraît pas adapté aux traitements de masse. Enfin, en ce qui
concerne l’ADN, les traitements sont beaucoup trop intrusifs
et ne sont pas adaptés à des applications grand public. Son
utilisation pose, de plus, des problèmes d’éthique ; on parle
aujourd’hui d’accélération des traitements mais ce n’est pas
encore pour demain.
L’évolution de la biométrie, c’est de devenir la moins
intrusive possible, comme par exemple les technologies
proposées par Morpho qui permettent de faire de la
reconnaissance en mouvement.
GS Mag : Qu’en est-il en termes de sécurité ?
Bernadette Dorizzi : La sécurité a, bien sûr, été renforcée, en particulier pour résister aux attaques avec
de faux doigts, de nouveaux capteurs ont été conçus
pour détecter les doigts vivants ou l’utilisation de sili-
THÉMA
Biométrie
cone. Par contre, il est nécessaire d’avoir deux capteurs, ce sont donc des technologies qui coûtent plus
cher. De nouveaux protocoles ont également été proposés afin d’anonymiser les données conservées dans
les bases. Il y a ainsi moins de risques de récupération
frauduleuse.
du corps décorrélées. Ainsi, on préf é re r a a s s o c i e r
l’œil et la main,
plutôt que la main et l’empreinte palmaire. Mais tout
dépend des cultures, des usages…
L’empreinte digitale
reste la technologie la plus
utilisée en France
La biométrie veineuse, de l’iris ou,
dans une moindre mesure, faciale
sont les plus sûres
GS Mag : Quelles sont les technologies les plus utilisées
aujourd’hui en France ?
Bernadette Dorizzi : C’est sans aucun doute l’empreinte
digitale et de loin. On voit aussi quelques déploiements de
reconnaissance faciale. Mais les déploiements de la biométrie en France sont très limités du fait des contraintes imposées par la CNIL. En effet, elle a des positions tellement protectrices, qu’elle freine même la recherche. En revanche,
dans le monde, aux Etats-Unis et en Amérique Latine, les
déploiements biométriques sont plus nombreux et c’est
l’empreinte digitale qui est préférée. Par contre, au MoyenOrient pour des questions pratiques et culturelles, on a préféré la reconnaissance par l’iris.
GS Mag : Le format le plus adapté à l’entreprise n’est pas
forcément celui qui apporte le maximum de sécurité.
Qu’est-il préférable de choisir ?
Bernadette Dorizzi : En entreprise, les technologies les
plus simples à déployer sont toutes celles qui ne laissent
pas de traces, comme la biométrie veineuse de la main,
de l’iris, ou encore faciale. Par contre, pour cette dernière, il faut être prudent car on a encore beaucoup de
faux positifs.
GS Mag : La biométrie multimodale ou multibiométrie
semble être une alternative privilégiée pour augmenter le
niveau de fiabilité ?
Bernadette Dorizzi : Effectivement, ces mélanges de technologies amènent des informations complémentaires, améliorent les performances et rendent donc les systèmes plus
robustes. Elles permettent aussi la redondance et une meilleure résistance aux attaques. Par contre, les problèmes
essentiels sont le coût et les temps d’enregistrement et de
test. De plus, il faut des algorithmes spécifiques. Dans ce
domaine, le système de Morpho (Finger VP) est une bonne
application de biométrie multimodale.
GS Mag : N’y a-t-il pas de problèmes d’interopérabilité ?
Bernadette Dorizzi : Les campagnes MINEX d’interopérabilité entre les formats d’empreintes digitales sont faites aux
Etats-Unis afin d’essayer de déterminer des interopérabilités
entre les formats comme la biométrie et la carte à puce…
Les technologies les plus sûres sont
celles qui utilisent
des parties du corps séparées
GS Mag : Quelles sont les technologies qu’il est aujourd’hui
plus sûr d’associer ?
Bernadette Dorizzi : Il est intéressant d’associer des parties
GS Mag : A-t-on des retours sur l’évolution de ces technologies dans le temps ?
Bernadette Dorizzi : Actuellement, il n’y a pas beaucoup
de recherche dans le domaine de l’obsolescence des technologies de biométrie.
GS Mag : Que pensez-vous de la position de la CNIL par
rapport à la biométrie ?
Bernadette Dorizzi : La CNIL a une doctrine qui date un
peu. Dans ce domaine, elle a une attitude exagérée. Elle
est d’une façon générale beaucoup trop restrictive et
empêche son déploiement. Il est vrai qu’il faut éviter les
dérives, mais avec les nouvelles avancées dans le
domaine de la biométrie, certaines technologies garantisBIOMETRICS
NO-TRACE TECHNOLOGIES HAVE A FUTURE
IINTERVIEW BY MARC JACOB AND EMMANUELLE LAMANDÉ
Biometric technologies fire the imagination but they also raise fears.
They fire the imagination with their ability to provide physical access to
buildings and logical access to IT systems simply by using the characteristics of a part of the human body as an access key. However, they also
raise fears because fraudulent use could give rise to irreversible situations. According to Bernadette Dorizzi, research director at the Télécom
Sud Paris University and president of the BioSecure association, the
future of biometrics lies with no-trace technologies such as vein recognition systems or those based on movement detection.
25
THÉMA
Biométrie
sent la protection des données à caractère personnel.
Aujourd’hui, il y a des technologies bien plus dangereuses
pour la protection de l’identité, comme les réseaux
sociaux par exemple.
Sa position très stricte limite même la recherche. La
CNIL devrait mettre en place des procédures simplifiées
pour les chercheurs.
GS Mag : Les données biométriques sont des données
sensibles. Le projet de législation sur la protection des
données à caractère personnel va-t-il avoir un impact
sur ces technologies ?
Bernadette Dorizzi : S’il va s’agir de l’authentification
des personnes, la biométrie deviendra incontournable.
Par contre, pour les données informatiques, il existe
d’autres moyens plus efficaces. Mais tout dépendra de
la position de la CNIL…
La technologie la mieux
adoptée sera celle qui sera
la plus simple à utiliser…
GS Mag : Quels sont les facteurs d’une bonne acceptation de ces techniques en entreprise ?
Bernadette Dorizzi : En premier lieu, c’est d’utiliser
une technologie qui fonctionne bien avec un système
d’acquisition simple. Il faut qu’elle soit simple d’utilisation et pas trop contraignante. Il faut, bien sûr, une
bonne ergonomie. Enfin, il faut
que la technologie ne se soit pas trop chère. Par contre, les utilisateurs
ne sont en général pas trop réticents à confier leurs
données biométriques. Bien sûr, il est nécessaire avant
tout déploiement de sensibiliser les utilisateurs pour les
rassurer sur les dangers de la biométrie, même si à mon
sens il y en a peu. Enfin, il faut, bien sûr, suivre toutes
les recommandations de la CNIL.
… donc celle des veines
GS Mag : Quelles sont les technologies qui sont les plus
porteuses d’avenir ?
Bernadette Dorizzi : Aujourd’hui, la technologie des veines de la main semble prometteuse. D’une façon générale, tous les types de biométrie sans contrainte et qui ne
laissent pas de traces me semblent les plus porteurs
d’avenir. Dans tous les cas, il est important de prévenir les
utilisateurs qu’ils sont contrôlés, en particulier lorsque
l’on parle de la vidéosurveillance. Dans ce dernier
domaine, les falsifications d’identités sont faciles, il faudra donc être très vigilant.
GS Mag : A quoi ressemblera la biométrie du futur ?
Bernadette Dorizzi : Elle devra être transparente et multimodale. La biométrie du futur devra autant que faire ce
peut réduire le nombre d’erreurs, susciter le moins de
■■■
falsifications possible et être peu intrusive.
Alain Choukroun, DG de Zalix :
AVIS FAVORABLE DE LA CNIL
POUR LA BIOMÉTRIE VEINEUSE
GS Mag : Comment fonctionne la technologie de
reconnaissance veineuse ?
Alain Choukroun :
La technologie veineuse a été conçue
par deux acteurs :
Hitachi pour la
reconnaissance des
veines du doigt de la
main et Fujitsu pour
celle du système veineux de la paume
de la main. Dans les
deux cas, les technologies permettent
une reconnaissance
du système veineux
Alain Choukroun, Zalix
qui est unique pour
chaque individu. Cette identification permet de ne pas
laisser de traces, c’est-à-dire d’empreinte. Le principe de
fonctionnement est basé sur l’envoi d’une lumière proche
de l’infrarouge qui permet de déterminer les contours du
réseau veineux, ceux-ci étant pauvres en oxygène. Les capteurs traitent ensuite les informations à partir d’un algorithme. Le résultat de ce traitement est stocké au cours de
l’enrôlement. Puis, une comparaison est faite, lors des
contrôles, entre les gabarits stockés à l’enrôlement et la
main présentée.
Ainsi, la CNIL apprécie ces systèmes, car ils ne laissent pas
de traces. D’ailleurs, elle a déjà validé par un avis favorable les systèmes de réseau veineux du doigt et de la main
et par une autorisation unique pour le doigt. De ce fait, les
entreprises qui veulent déployer de la biométrie veineuse
du doigt n’ont qu’une simple déclaration en ligne à faire
sur le site de la CNIL. Un dossier pour la biométrie des veines de la paume a été déposé auprès de la CNIL et est en
cours d’agrément. Ces dernières sont encore plus sûres du
fait de la grande surface d’enrôlement prise en compte.
Ainsi, le taux de fausse acceptation est de 1/1,38 millions.
27
Applications Web :
les données critiques en
ligne de mire !
Sébastien Gioria, CLUSIF
Les applications Web sont aujourd’hui devenues
incontournables, omniprésentes et prennent peu à peu
le pas sur les autres types d’applications en entreprises.
Cet engouement, couplé à de fortes carences en termes
de sécurisation, en font la nouvelle cible privilégiée des
cybercriminels. Les applications Web se retrouvent
ainsi en première ligne des attaques et, à travers elles,
les bases de données le sont aussi.
La multiplication des applications Web met sous le feu des
attaques des pirates informatique les données critiques,
avec toutes les conséquences induites pour les entreprises.
Outre l’atteinte certaine en termes d’image et de réputation,
c’est la responsabilité légale du dirigeant qui se trouve engagée. Les réglementations tendent à se durcir en la matière,
à l’étranger, mais aussi en France. La proposition de Loi des
sénateurs Détraigne-Escoffier, « Respect de la vie privée à
l’heure des mémoires numériques », vise, d’ailleurs, à
accroître sérieusement le niveau de sécurité des entreprises,
avec pour principal catalyseur l’obligation de notification
des atteintes au traitement des données à caractère personnel. En outre, le pouvoir de la CNIL en serait renforcé, les
contrôles plus fréquents et les sanctions plus lourdes !
« Applications Web :
une mauvaise appréciation
des risques »
Pour Sébastien Gioria, Responsable du Groupe de Travail
CLUSIF « Sécurité des Applications Web »1, les carences de
sécurisation des applications en entreprises sont le plus souvent la résultante « d’un manque de compréhension des
risques et d’un sentiment global de sécurité, en partie lié
aux firewalls, SSL, etc. ». Pourtant, les menaces sont bel et
bien réelles. Vol de données, usurpation d’identité, déni de
service et défacement de sites Internet,..., sont monnaie
courante. Pour arriver à leurs fins, les cybercriminels exploi28
tent les vulnérabilités des applications : injections (SQL, XML,
LDAP, …), prise de contrôle du poste client (XSS), hameçonnage (XSS, CSRF, …), etc.2 « En soi, il n’existe pas réellement
d’applications plus vulnérables que d’autres. Toutefois, les
applications renfermant des données sensibles ou confidentielles sont plus « attaquées ». Parmi celles-ci, on peut
nommer les banques en lignes, les organismes de santé, de
crédit, les partis politiques, … » constate Sébastien Gioria.
Un développement sécurisé
doit se faire sous l’impulsion
du management et
l’implication de tous
L’une des erreurs les plus fréquentes est de penser que vos
développeurs ou prestataires vont forcément prendre en
compte l’aspect sécurité dans le développement de l’application. Si le management n’identifie et n’exprime pas clairement quels sont les besoins en termes de sécurité, ou que
ces derniers ne sont pas inscrits dans le cahier des charges,
ces aspects seront laissés pour compte dans la phase de
développement. De plus, le champ d’action des RSSI, DSI,
administrateurs, …, sera limité a posteriori. Pour Sébastien
Gioria, « c’est au management de demander l’implication
de tous et de forcer la mise en place du cycle de développement sécurisé. Il faut que toute la chaîne soit formée : aussi
bien les architectes, métiers, développeurs, testeurs, … ».
THÉMA
Sécurité des applications Web
La sécurité de l’application
doit être vérifiée tout au long
de son cycle de vie
De plus, « des outils aidant au développement d’applications sécurisées existent d’ores et déjà. Les différents IDE
(Eclipse, Visual Studio, …) comportent tous des « plugins »
permettant d’améliorer la sécurité du code. Une attention
toute particulière doit être portée à la conception des éléments critiques (authentification, habilitation, …) lors du
Design de l’application. Toutefois, un bug de sécurité peut
survenir à n’importe quel moment de la durée de vie d’une
application. La vérification de la sécurité des applications
Web est une étape fondamentale, de manière à s’assurer
qu’il n’y ait pas d’erreurs de conception, implémentation,
intégration, etc. Différentes techniques permettent de vérifier cette sécurité lors du développement de l’application,
mais aussi au fil du temps : la revue de code automatique
via des plugins des IDE, la revue de code manuelle, les tests
d’intrusions applicatifs… Ces outils sont de base automatisables. En fait, ces derniers sont faciles à mettre en œuvre ;
le plus difficile étant de modifier le processus de développement pour intégrer la sécurité ».
La « security by design » : encore
des freins à
sa généralisation…
Nous l’aurons compris, la sécurité des applications Web doit
être pensée à la fois en amont et pendant tout le processus
de développement, d’implémentation, … Même si elle doit
être vérifiée en permanence, il est primordial de partir sur
de bonnes bases. A ce niveau, la « security by design » a
son rôle à jouer. « Toutefois, certains aspects freinent
encore aujourd’hui sa généralisation. Les développeurs ont
parfois du mal à admettre qu’ils codent, par moments, mal
d’un point de vue sécurité. Les RSSI doivent, de plus, leur
parler avec des mots métiers, et non sécurité ! » constate
Sébastien Gioria.
Pour conclure, il recommande de « regarder ce qu’a fait
Microsoft avec sa SDL en arrivant à mettre en place la sécurité dans son processus de développement et penser à comment l’entreprise peut elle aussi arriver à le faire. Il existe
pléthore de méthodes et d’outils pour l’aider à le mettre en
place (et pas que la SDL…). Enfin, il est possible de suivre
l’évolution du groupe de travail « Sécurité des applications
Web » du CLUSIF qui travaille sur les bonnes pratiques » en
la matière.
■■■
LES 10 PRINCIPAUX RISQUES ASSOCIÉS
À L’UTILISATION DES APPLICATIONS WEB
EN ENTREPRISE, SELON L’OWASP :
11
12
13
14
15
16
17
18
19
10
: Injection
: Cross-Site Scripting (XSS)
: Violation de gestion d’authentification et de session
: Références directes non sécurisées à un objet
: Falsification de requête intersite (CSRF)
: Mauvaise configuration sécurité
: Stockage cryptographique non sécurisé
: Manque de restriction d’accès à une URL
: Protection insuffisante de la couche transport
: Redirection et renvois non validés
Top 10 de l’OWASP au 19 avril 2010
Source :
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
1Le groupe de travail « Sécurité des applications Web » du CLUSIF a publié en septembre 2009 un rapport intitulé « Comment maîtriser les risques liés à la sécurité
des applications Web ? », disponible gratuitement sur le site :
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-desapplications-Web.pdf
2Depuis 2003, l’Open Web Application Security Project (OWASP) suit l’évolution de
l’état des applications Web et dresse régulièrement un état des lieux des principaux
risques associés à l’utilisation des applications Web en entreprise. Pour consulter le
Top10 2010 de l’OWASP: http://www.owasp.org/index.php/Top_10
SECURITY OF WEB APPLICATIONS
WEB APPLICATIONS:
CRITICAL DATA IN THE FIRING LINE!
BY MARC JACOB & EMMANUELLE LAMANDÉ
Today, the use of web applications in businesses has become widespread
to the point where they have become indispensable and are slowly replacing in-house applications. This enthusiasm, along with major shortcomings in security, makes these applications a prime target for cybercriminals. Web applications are therefore in the front line of attack and as
a consequence the corresponding data bases also.
29
La sensibilisation :
une histoire sans fin !
La sensibilisation à la sécurité informatique apparaît comme la bête noire des équipes
SSI en entreprises. Outre les problématiques financières et temporelles, ils doivent
régulièrement faire face aux réticences des collaborateurs et savent que rien n’est jamais
acquis en la matière. Ils sont condamnés, tel Sisyphe*, à réitérer leur ouvrage en permanence.
Pour Luc Bucher, Responsable de la sécurité des systèmes d’information à la Direction
des systèmes d’information du CEA, et Francis Bruckmann, Adjoint du Directeur Sécurité
Groupe, en charge de la promotion de la sécurité chez France Télécom Orange,
c’est donc une histoire sans fin qui s’engage pour prêcher la bonne parole.
* Dans la mythologie grecque, Sisyphe, roi de Corinthe, fut condamné, pour s’être opposé à Zeus, à pousser éternellement un
rocher jusqu’au sommet d’une montagne.
Global Security Mag : Quel est le contexte qui vous a
conduit à entreprendre des actions de sensibilisation sur
le thème de la sécurité informatique au sein de votre
entreprise ?
Luc Bucher : D’une
façon générale, de
par ses domaines
d’activité, le CEA est
très sensibilisé à la
sécurité. Nous sommes un organisme de
recherche et la protection de notre
patrimoine et de
notre savoir-faire est
une nécessité stratégique et réglementaire. Or, comme les
autres entreprises,
Luc Bucher, CEA
notre dépendance à
l’information numérique est de plus en plus forte et on sait que le facteur
humain reste le maillon faible en matière de sécurité
informatique. C’est pourquoi nous avons mis en place et
formalisé, dès le début des années 2000, des actions de
sensibilisation à la sécurité des systèmes d’information.
Francis Bruckmann : Chez Orange, nous gérons la sécurité de manière globale. Notre politique de sécurité est
mise en œuvre dans le cadre d’un SMS (Système de
Management de la Sécurité), conforme à l’ISO27K. Ce der30
nier est aussi décliné au Système d’Information, et il
concerne donc a fortiori les outils qu’utilisent nos collaborateurs, pour leur usage professionnel et d’une façon plus
mesurée leur usage personnel. Nos campagnes de sensibilisation sont donc là pour leur rappeler l’usage responsable qu’ils doivent faire de ces outils dans ces deux contextes, et cela concerne aussi bien les outils informatiques
que les assistants personnels de type PDA par exemple. Et
comme nous sommes présents aux 4 coins du monde,
nous faisons également un zoom sur le cas particulier des
déplacements et des missions dans un autre pays que le
pays d’origine du salarié.
Chaque salarié doit connaître ses
droits, mais aussi ses devoirs
GS Mag : Quels sont les principaux thèmes que vous avez
mis en avant lors de ces actions ?
Luc Bucher : Ces actions de sensibilisation abordent de
nombreux thèmes qui peuvent être légèrement différents
en fonction de la population et du site concernés. Dans le
cas des nouveaux arrivants, qui est l’une des actions les
plus complètes, nous commençons par leur présenter l’organisation SSI au CEA (Connaitre leurs interlocuteurs et
savoir à qui s’adresser permet de réagir plus rapidement
en cas de problème ou d’incident) et la réglementation
correspondante, qu’elle soit nationale ou interne au CEA.
Nous abordons aussi la notion de risque. Comment se
THÉMA
Sensibilisation
déroule une analyse de risque par exemple. Puis nous insistons sur notre Politique sécurité réseau qui nous a conduits
à cloisonner notre réseau et à mettre en place différentes
zones d’accès. Chacun peut ainsi se situer rapidement et
comprendre quels seront ses droits mais aussi ses devoirs.
Nous consacrons ensuite un temps important à l’analyse
de la menace, à son impact et aux moyens et bonnes pratiques à mettre en œuvre. La perception de la menace
n’est pas toujours bonne. Sont abordés notamment dans
cette partie de façon très classique les mots de passe,
l’usage de la messagerie, le chiffrement, les réseaux
sociaux, …, en général avec un aspect un peu ludique.
Ces sessions commencent en général par un Quizz rapide permettant à chacun d’identifier ses points forts et ses points faibles.
Francis Bruckmann : Dans le Groupe Orange, quasiment
chaque collaborateur a son propre poste de travail
connecté au SI, ce qui fait au moins 200.000 PC à gérer !
Toute l’entreprise a un fonctionnement complètement
« intranétisé », aussi on mesure l’importance du maintien du niveau de la sécurité du SI. C’est pour nous un axe
important de sensibilisation, faire que chaque salarié soit
conscient qu’il ne peut et ne doit pas faire n’importe quoi
avec l’outil mis à sa disposition.
Parmi nos principaux thèmes, je peux citer l’importance
de l’évaluation par le collaborateur de la criticité de l’information (qu’est ce qui est confidentiel, qu’est ce qui est
secret, ce qu’il peut diffuser sans risque), et donc la protection qu’il doit mettre en œuvre, son attitude lorsqu’il
est en mission ou en déplacement, ce qu’il doit faire en
cas de vol de son PC ou de son PDA … Mais ça concerne
aussi, par exemple, la sécurité physique : l’accès à nos
sites, l’attention à porter à nos visiteurs (ou même nos
concurrents visiteurs, nous en hébergeons quelques-uns
dans nos locaux !), le port du badge, etc.
La sensibilisation
est l’affaire de tous
GS Mag : Quelles ont été les populations concernées ?
Luc Bucher : Une action de sensibilisation à la sécurité en
général est entreprise pour tout nouvel arrivant sur chaque site du CEA. Elle inclut évidemment la composante
sécurité des systèmes d’information. Sur le site de Saclay
par exemple, cette formation a lieu hebdomadairement
et dure 1/2 journée. Elle concerne l’ensemble des personnels, qu’il s’agisse de personnes nouvellement recrutées
ou mutées sur le centre, de personnes en situation de
réintégration ou de retour, de stagiaires, de personnes en
contrat à durée déterminée (thésards, post-doc …) ou de
personnel intérimaire.
Par ailleurs, sous la responsabilité des ASSI (Assistant
chargé de la sécurité des systèmes d’information), des
piqûres de rappel
sont organisées
régulièrement ou
en fonction des besoins dans chaque unité.
Francis Bruckmann : Là encore, cela dépend du contexte
de la campagne. Elle peut être locale (sur un site
par exemple, nous
l’avons fait au Siège
de l’entreprise
à Paris, ou aussi
sur notre site du
Te c h n o c e n t re ) e t ,
dans ce cas, elle ne
concerne que les
salariés du site. Mais
ce qui veut dire qu’au
Siège, elle a concerné
aussi l’ensemble de
notre comité de
direction générale !
Francis Bruckmann,
Toutefois, elle peut
France Télécom Orange
se faire à l’échelle
d’une Division, d’un Pays, voire du Groupe entier (nous
sommes opérateurs dans 30 pays, mais via Orange
Business Services, nous couvrons 220 pays et territoires).
Aussi, chaque cas est un cas particulier, géré en local.
Notre dernière campagne importante au niveau Groupe
s’est faite en 8 langues et a concerné nos 220 territoires
d’implantation, avec distribution physique d’une charte à
chaque collaborateur. Dans tous les cas, nous visons l’ensemble de nos salariés.
NEW TECHNOLOGIES
USER AWARENESS: A NEVER ENDING TASK!
INTERVIEW BY MARC JACOB & EMMANUELLE LAMANDÉ
The problem of security awareness where users are concerned is the pet
hate of IT security teams. In addition to the financial and material
problems security issues cause, they have to deal regularly with the
reticence of their colleagues and the knowledge that as far as security
awareness is concerned it is an ongoing battle. They are condemned, as
was Sisyphus*, to repeat the task for eternity. According to Luc Bucher,
IT security manager in the CEA IT systems department and Francis
Bruckmann, deputy group security director responsible for promoting
security in France Telecom Orange, getting the message across to users is
a never ending task.
*In Greek mythology, Sisyphus, King of Corinth,
was punished for having defied Zeus by being compelled
to roll a huge boulder up a hill for all eternity.
31
… Un véritable pèlerinage
pour les personnes
en charge de la SSI
GS Mag : Si toutes les populations ont été concernées,
comment avez-vous procédé ?
Luc Bucher : Lorsque nous avons mis en place ces actions de
sensibilisation au début des années 2000, l’ensemble de la
population a suivi des sessions de sensibilisation, unité par
unité. Les ASSI ont pris leur bâton de pèlerin pour organiser ces
sessions et diffuser la bonne parole dans leur périmètre d’action. Depuis, comme expliqué ci-dessus, outre les piqûres de
rappel dans les unités, l’effort est porté essentiellement sur
toute nouvelle personne qui vient travailler au CEA.
Francis Bruckmann : Nous utilisons beaucoup nos sites
intranet, en effet chaque pays, chaque fonction corporate,
chaque division a son portail intranet. Nous y menons des
campagnes d’information, que nous relayons sur nos sitesmétiers (sécurité globale, sécurité SI,…), par des conseils,
des animations, des quizz. Mais ça peut être aussi une diffusion de documents-papier, dans le cas de chartes par exemple, ou même des « semaines de sensibilisation » couplant
chaque jour un mailing à l’ensemble des salariés concernés,
des animations sur nos sites intranet, des distributions de
documents, voire des visites de vérification de la conformité
des matériels dans les bureaux (activation des écrans de
veille, PCs portables attachés par des câbles,…) !
« Nous utilisons des outils
développés en interne »
GS Mag : Avez-vous eu recours à des solutions du marché
pour mener vos actions de sensibilisation ?
Luc Bucher : Non, nous n’utilisons actuellement que des
outils que nous avons développés en interne. Il s’agit principalement, de façon très classique, de supports de présentations réalisés à partir d’outils bureautiques standards. Cette
solution a l’avantage de nous permettre de faire évoluer
régulièrement et facilement nos supports et notamment
d’offrir la souplesse et la réactivité nécessaire en fonction
des besoins ou de l’actualité des menaces.
Nous utilisons aussi quelques outils plus spécifiques. Je pense par
exemple au Cube1, qui est un outil d’analyse des flux réseau permettant de visualiser en temps réel et sous forme graphique l‘activité entrante sur le CEA depuis Internet. Il permet de montrer sur
des cas réels des activités de type scan de ports, des activités Peerto-Peer ou de détecter des propagations virales massives. Il met
notamment en évidence que finalement moins de 3% des tentatives de connexion reçues sont licites. C’est un outil à forte valeur
pédagogique pour sensibiliser à la menace internet.
32
Francis Bruckmann : Non, pas pour le moment. Nous
essayons de réutiliser ce qui a été développé en interne
dans les autres divisions de l’entreprise.
GS Mag : Avez-vous édité des supports de communication
pour mener vos actions ? Si oui, de quels types ?
Francis Bruckmann : Oui, sous forme de « kits de com », disponibles sur nos sites intranet, pour réutilisation par d’autres divisions.
La périodicité dépend de
la criticité de chaque entité
GS Mag : Combien d’actions de sensibilisation menezvous par an ? Quelle en est la durée moyenne ?
Luc Bucher : Chaque centre a la liberté d’organiser ses actions
de sensibilisation, du moment qu’il les fait. Selon les centres,
ces actions sont généralement soit hebdomadaires, soit
bimensuelles, et leur durée varie de 1/2 journée à 1 journée.
Francis Bruckmann : C’est à la discrétion de chaque
entité, en fonction de sa criticité pour l’entreprise. Une
Unité d’Affaires travaillant sur des contrats de contenus
ou un service de réponse au 118 712, par exemple, n’ont
évidemment pas les mêmes besoins de sensibilisation des
salariés. De l’ordre de une ou deux par an, et pour les
campagnes Groupe d’une tous les deux ans.
GS Mag : Quelle analyse faites-vous des actions menées
dans vos entreprises ?
Luc Bucher : Il n’est pas toujours aisé de convaincre certaines personnes de venir passer 1/2 journée ou 1 journée
à écouter des discours qu’elles sont persuadées de connaitre déjà parfaitement. Au début, la mobilisation était difficile, aussi nous avons rendu cette journée sécurité obligatoire et la participation du nouvel arrivant à cette journée conditionne la remise de son badge définitif.
GS Mag : Quels ont été les retours des populations
formées ?
Luc Bucher : Chaque session de sensibilisation donne lieu
à une fiche d’évaluation remplie par chaque participant
en fin de session. Les résultats sont globalement satisfaisants et montrent, une fois passée l’éventuelle appréhension de participer à cette journée de sécurité, que les participants repartent en ayant appris pas mal de choses.
« Il faut constamment remettre
l’ouvrage sur le métier »
GS Mag : Pensez-vous que ces actions ont atteint leurs
objectifs ?
Luc Bucher : Oui, absolument. Elles viennent en complé-
THÉMA
Sensibilisation
ment des outils et contrôles que nous avons mis en place et
permettent aux utilisateurs de mieux comprendre pourquoi
telle ou telle action leur est refusée. Il n’est plus possible, par
exemple, d’avoir un mot de passe qui ne réponde pas à certains critères de robustesse. Autre exemple, la surveillance des
flux peer-to-peer montre que les flux illicites ont quasiment
disparus et les outils mis en place nous permettent de contacter l’auteur si une telle trace apparaît.
Francis Bruckmann : Toute action de ce type a du sens,
surtout pour une entreprise comme la nôtre dont l’information est le cœur de métier. Mais elle a du mal à se maintenir dans la durée. Le business reprend rapidement le pas !
Il faut donc constamment remettre l’ouvrage sur le métier.
GS Mag : Quels sont vos projets à venir en la matière ?
Luc Bucher : Actuellement, nous réfléchissons à la mise en
place d’un outil de type e-learning qui laisserait à chacun la
faculté de compléter sa formation quand il le souhaite.
chronique, savoir
apprécier l’émergence de risques nouveaux
(aujourd ’hui le
GSM, le Cloud
Computing, les réseaux sociaux …) sont des facteurs-clé
d’une sensibilisation efficace. Si en plus, les personnes
ont le sentiment que cette sensibilisation peut leur être
utile dans leur vie extraprofessionnelle, à la maison sur
leur PC personnel et pour protéger leur vie privée, la
motivation n’en sera que meilleure.
Alors qu’on constate une évolution du nombre de RSSI
dans les entreprises, de l’existence d’une charte SSI, de la
formalisation de la politique de sécurité des systèmes
d‘information, la sensibilisation des collaborateurs est
encore une pratique insuffisamment répandue. ■ ■ ■
« La sensibilisation des
collaborateurs est encore une
pratique insuffisamment répandue »
GS Mag : Quels sont vos conseils aux entreprises ?
Luc Bucher : Le premier conseil est évidemment de ne
pas négliger cet aspect sensibilisation. Le facteur
humain reste le maillon faible en matière de sécurité
des systèmes d’information. Bon nombre d’actes « non
autorisés » relèvent encore trop de l’ignorance et de la
naïveté plus que de la volonté de nuire et chacun n’a
pas toujours connaissance des conséquences potentielles de ses actes. Je pense, par exemple, aux tentatives
de phishing ou au fait que, finalement, seul moins de
3% du trafic à partir d’internet est licite, comme le
démontre notre application Cube.
La sensibilisation permet d’informer les utilisateurs de
ce qu’ils ont le droit de faire et de ne pas faire avec les
moyens informatiques de l’entreprise. Mais attention,
celle-ci ne doit pas se résumer à une liste d’interdictions. Prendre le temps d’expliquer les risques, en s’appuyant par exemple sur ceux qui ont défrayé la
1Pour plus d’informations, une présentation et une démo de
Fiche Entreprise : CEA – Commissariat à l’énergie
atomique et aux énergies alternatives
• 15000 salariés répartis sur 10 centres en France.
• RSSI du CEA : Edwige Bonnevie – Directeur du Pôle
Maitrise des Risques et de la Direction centrale de la
sécurité.
Luc Bucher – responsable de la sécurité des systèmes
d’information à la Direction des systèmes d’information du CEA.
l’outil sont accessibles à l’adresse suivante :
http://www-moncube.cea.fr/
Fiche Entreprise : France Télécom Orange
• Taille du SI mondial (couvre 220 pays et territoires)
• Nombre d’employés environ 200000, dont à peu
près la moitié en France
• Population concernée par les actions de sensibilisation cible : l’ensemble du personnel
33
MAXIME LECOEUR, GROUPE IRCEM :
La sensibilisation
au plus près des métiers
Maxime Lecoeur, IRCEM
Créé il y a près de 40 ans, l’IRCEM* est un groupe de protection sociale qui gère
plus de 5 millions de dossiers pour 550 collaborateurs. Les importantes bases de données
constituées impliquent une véritable stratégie de sécurité, dont la sensibilisation est
l’une des clés. Ainsi, l’objectif de Maxime Lecoeur, Chargé de sécurité des Systèmes
d'Information du groupe, est de faire participer l’ensemble du personnel à des sessions de
sensibilisation, ciblées en fonction de chaque type de métiers. Pour ce faire, il utilise la
plupart des outils de sensibilisation : e-learning, séminaires, tableau de bord, clé USB…
* (Institut de Retraite Complémentaire des Employés de Maison)
Global Security Mag : Quel est le contexte qui vous a
conduit à entreprendre des actions de sensibilisation sur
le thème de la sécurité informatique au sein de votre
entreprise ?
Maxime Lecoeur : Nous gérons à travers notre groupe de
protection sociale, et les trois institutions qui le composent, plus de 5 millions de dossiers (adhérents, salariés et
particuliers-employeurs, retraités, entreprises et associations du secteur). Les importantes bases de données que
nous gérons impliquent une véritable protection de ces
fichiers, par des mesures de sécurité qui doivent permettre de garantir à nos clients la confidentialité des données
et le respect de ces données dans leur traitement.
D’ailleurs, nos gouvernances et nos structures de tutelle
veillent et nous contrôlent avec une quête permanente du
respect de nos devoirs et de nos obligations en la matière.
De plus, le Groupe IRCEM, dont les bases ont été posées il
y a près de 40 ans, est depuis toujours attaché aux valeurs
qui ont préfiguré sa création, avec notamment une
grande attention portée à l’humain.
GS Mag : Quels sont les principaux thèmes que vous avez
mis en avant lors de ces actions ?
Maxime Lecoeur : Les thèmes sur la sensibilisation sont
nombreux et variés suivant les populations visées par les
34
différentes sensibilisations. Néanmoins, certains thèmes
reviennent de manière plus récurrente :
• Les mots de passe (qualité du mot de passe, confidentialité),
• Les mails : vecteurs d’attaque virale, erreur de destinataire,
• L’ingénierie sociale,
• Les aspects légaux (CNIL, droits d’auteur),
• Les aspects personnels, internet à la maison.
GS Mag : Quelles ont été les populations concernées ?
Maxime Lecoeur : L’ensemble du personnel est concerné
par la sensibilisation informatique. L’informatique est le
principal outil de travail quel que soit le métier : gestionnaire, comptable, ressources humaines, relation clients,
marketing, …
Des actions ciblées
en fonction des métiers
GS Mag : Si toutes les populations ont été concernées,
comment avez-vous procédé ?
Maxime Lecoeur : Nous avons défini plusieurs populations :
• Le comité directeur, très concerné par les problèmes de
confidentialité des données à tous les niveaux.
THÉMA
Sensibilisation
• Les managers, population pour laquelle la sensibilisation est axée sur les possibilités de contrôle de leurs équipes, en relation directe avec les clients-adhérents.
• Les informaticiens, population spécifique. Ils sont souvent capables de contourner les mesures de sécurité
mises en place et la sensibilisation a un caractère plus primordial chez eux.
• Les correspondants sécurité : souvent testeurs des
quizz, ce groupe restreint permet de servir de baromètre
sur la qualité des sensibilisations lancées. Les correspondants ont un rôle à jouer dans la communication entre le
chargé de sécurité des SI et les utilisateurs, et ce, dans les
deux sens :
- Ils permettent la diffusion des règles et bonnes
pratiques en matière de sécurité des SI et assurent la
promotion des actions sécurité.
- Ils centralisent les questions des utilisateurs et
répondent en fonction des connaissances précises de chacun. Dans le cas contraire, ils renvoient la question au
chargé de sécurité des SI.
• Les prestataires, population soulevant des problématiques différentes des membres du Groupe, sont référencés
comme une population spécifique.
• Les gestionnaires, ce groupe est le plus important. Il
représente toutes les personnes du Groupe IRCEM ne rentrant pas dans les autres catégories.
Aucune population ne doit être laissée pour compte car
les technologies, techniques et vecteurs d’attaques sont
en perpétuelle évolution.
Les résultats sont communiqués selon cette segmentation
mais également en fonction des services avec l’objectif de
les challenger entre eux pour obtenir de meilleurs taux de
participation, ainsi qu’une implication dans les sensibilisations.
Les sessions de sensibilisation
passent essentiellement
par le e-learning
GS Mag : Avez-vous eu recours à des solutions du marché
pour mener vos actions de sensibilisation ? Si oui,
lesquelles et pourquoi ?
Maxime Lecoeur : La sensibilisation passe essentiellement
par le e-learning via l’outil Sensiwave, proposé par Conscio
Technologies.
Nous organisons également des séminaires en fonction des
résultats des sensibilisations.
Des actions ponctuelles sont menées : une clé USB contenant
un antivirus a été offerte aux salariés par la Direction Générale
du Groupe IRCEM dans le but d’une utilisation privée.
Dans le cadre de la communication directe aux utilisateurs,
nous allons mettre
en place des réunions le midi, ouvertes à tous, qui auront pour but de donner
aux utilisateurs des informations de tous niveaux :
• Paramétrage d’antivirus
• Qu’est ce qu’un virus ?
• Bonnes pratiques de gestion des données sur les réseaux
sociaux
• Etc.
Les tableaux de bord sont également un élément de la sensibilisation. Ceux-ci reprendront des indicateurs permettant
d’avoir une vue simple et efficace de l’état de la sécurité du SI
du Groupe.
GS Mag : Avez-vous édité des supports de communication pour mener vos actions ? Si oui, de quels types ?
Maxime Lecoeur : Des supports type diaporama sont édités
après chaque sensibilisation pour un retour auprès du comité
directeur du Groupe IRCEM, ainsi que pour les correspondants
sécurité des SI.
Pour l’ensemble des salariés, des retours sont réalisés sur
papier avec une explication de chaque question et un débriefing final.
GS Mag : Combien d’actions de sensibilisation menezvous par an ? Quelle en est la durée moyenne ?
Maxime Lecoeur : Nous menons une action par an pour
chaque type de population et une action globale associant
toutes les populations du groupe IRCEM.
USER AWARENESS
MAXIME LECOEUR, GROUPE IRCEM
USER AWARENESS AT THE WORKFACE
INTERVIEW BY MARC JACOB AND EMMANUELLE LAMANDÉ
Established some 40 years ago, IRCEM* is a social protection
organisation that manages more than 5 million files and has a staff of
550 people. Managing such a large data base requires a strategic
security plan in which user awareness is one of the key elements.
The objective of Maxime Lecoeur, IT system security manager for
the group, is to have targeted user awareness sessions for all of the staff.
To achieve this he makes use of e-learning, seminars, performance
dashboards, USB keys etc.
* French superannuation fund for domestic employees
35
THÉMA
Sensibilisation
Nous impliquons
le management pour
accroître la participation
GS Mag : Quelle analyse faites-vous des actions menées
dans vos entreprises ?
Maxime Lecoeur : Au sein du Groupe IRCEM, la sécurité des
SI est une préoccupation forte et de nombreux moyens sont
donnés. Les taux de participation atteignent de bons niveaux
(aux alentours de 65%) et nous impliquons au maximum les
salariés. Le principal problème est la difficulté à faire appliquer les bonnes pratiques aux différentes populations.
Certaines d’entre elles, soumises à des impératifs de production, ont des difficultés à trouver du temps pour participer aux
sensibilisations. Dans ce cas, nous impliquons leur management pour améliorer la participation.
Les vecteurs de communication
doivent changer pour éviter
que les salariés ne se lassent
GS Mag : Quels ont été les retours des populations
formées ?
Prochain projet :
le passage d’un passeport sécurité
informatique
GS Mag : Quels sont vos projets à venir en la matière ?
Maxime Lecoeur : Nous avons un gros projet en termes de
sensibilisation : le passage d’un passeport sécurité informatique au sein du Groupe IRCEM.
Il sera composé de questions et de saynètes mettant les utilisateurs devant des problématiques de sécurité de différents
niveaux. Selon les résultats, les collaborateurs pourraient avoir
des droits informatiques plus étendus (accès internet, messagerie…).
GS Mag : Quels sont vos conseils aux entreprises ?
Maxime Lecoeur : Il est important de bien cibler les questions posées aux collaborateurs en fonction de leur profil, de
leurs préoccupations et de cibler des sujets qui sont inhérents
à la société et/ou la branche d’activité pour augmenter les
■■■
effets de la sensibilisation.
Maxime Lecoeur : Généralement, les populations sont intéressées par les sensibilisations, mais il est important de savoir
se renouveler dans ce domaine, car même si les messages restent parfois les mêmes, les vecteurs de communication doivent changer pour éviter que les salariés ne se lassent.
GS Mag : Pensez-vous que ces actions ont atteint leurs
objectifs ?
Maxime Lecoeur : De manière générale, les objectifs sont
fixés par des taux de réponses (participation et scores). Pour le
Groupe IRCEM, les scores correspondent souvent aux attentes
mais la participation de tous est difficile à atteindre. Nous tendons néanmoins vers l’idéal 100% !
Fiche Entreprise :
Taille du SI
800 postes, 100 serveurs
Nombre d’employés
550 employés au sein du Groupe IRCEM
Fonction dans l’entreprise
Chargé de sécurité des systèmes d’information
Population concernée par les actions de sensibilisation
Tous les membres du groupe, des prestataires au
Directeur Général.
37
Le filtrage face aux libertés
fondamentales
Par Garance Mathias, Avocat
Garance Mathias, Avocat
Le filtrage, sa nécessité, son utilité font l’objet de controverses depuis de nombreuses
années : le but de ce filtrage étant de limiter, de bloquer l’accès à certains contenus
illicites, il n’y a donc pas de retrait desdits contenus litigieux.
Comme toute technique ayant un caractère intrusif, le filtrage doit être mise en place de manière proportionnée
avec une base légale, afin de ne pas créer une ingérence
dans l’exercice des libertés individuelles.
De manière générale, il existe deux types de filtrage, le filtrage du réseau mis en place par les prestataires de service
(fournisseur d’accès, l’entreprise, …) qui déterminent la
nature du contenu à filtrer. A titre d’illustration, l’utilisation de « listes noires » constitue une des possibilités de
filtrage, la plus communément utilisée.
Il existe également un filtrage qui peut être mis en place
par l’utilisateur avec sa propre définition de critères (pour
protéger les mineurs, …).
En outre, certains textes législatifs mettent en place des
mesures de filtrage. Citons l’adoption récente de LOPSSI 2,
qui prévoit un dispositif pour la mise en place d’un filtrage des sites Internet à contenu pédopornographique, le
filtrage de l’accès à des sites illégaux de jeux en ligne, ou
encore la protection du droit d’auteur.
Le pouvoir judiciaire peut prononcer, à la suite d’une saisine d’une personne ayant un intérêt à agir, toute mesure
pour empêcher un trouble illicite ou faire respecter des
droits (comme le droit d’auteur).
Des techniques complexes
à mettre en œuvre et qui
peuvent être contournées
Néanmoins, les techniques de filtrage sur Internet sont
38
souvent complexes et peuvent être contournées assez
aisément, compte tenu de la nature même du réseau
Internet.
De manière générale, le filtrage peut être mis en place par
différents acteurs de l’Internet, plus particulièrement par
les Fournisseurs d’Accès, et les employeurs (entreprise).
L’acteur principal du filtrage est le fournisseur d’accès, et
ce d’autant plus que cette obligation lui est imposée légalement. Rappelons-nous l’article 6-1 (1°) de la LCEN qui
dispose que « les personnes dont l’activité est d’offrir un
accès à des services de communication au public en ligne
informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services
ou de les sélectionner et leur proposent au moins un de
ces moyens ».
Récemment, ce filtrage a été imposé dans le cadre de la
procédure judiciaire (jugement du Tribunal de Grande
Instance de Paris du 6 août 2010) StanJames. En effet, la
loi concernant la réglementation des jeux en ligne a créé
une nouvelle autorité administrative indépendante,
l’ARJEL, qui, en cas de non respect des dispositions, peut
saisir la justice pour bloquer l’accès à un site de jeu en
ligne non agréé par elle.
Il va de soi, compte tenu des règles de territorialité, que
ce blocage n’a pu concerner que l’espace géographique
français…
Cette décision n’est pas s’en rappeler la décision judicaire
rendue, il y a, déjà, 10 ans, qui imposait à Yahoo de bloquer l’accès à partir du territoire français à ses sites d’enchères vendant des objets néonazis.
THÉMA
Le filtrage
Le filtrage en entreprise
doit respecter les libertés
individuelles des employés
• consultation du
Comité d’entreprise et du CHSCT,
si l’entreprise possède au moins 50 salariés, avec une information individuelle et préalable de chacun des salariés.
Dans le cadre des procédés de filtrage mis en place par les
employeurs, ces derniers peuvent être considérés, selon la
LCEN, comme des « prestataires techniques » avec une
obligation de conserver les données de connexion. Au
surplus, depuis un arrêt de 2008, les connexions Internet
sur le lieu de travail sont présumées professionnelles.
• mise en place d’une déclaration auprès de la CNIL. En
effet, il est fréquent que le procédé de filtrage permette
également d’exercer un contrôle sur l’activité du salarié.
En d’autres termes, il y a une collecte et conservation de
données à caractère personnel.
Toutefois, dans le cadre de la mise en place d’outil de
contrôle de l’activité des salariés, la préservation des
libertés individuelles et collectives doit être respectée.
Aussi, l’intérêt légitime de l’entreprise à mettre en place
cette mesure, le respect notamment des principes de proportionnalité, de finalité et de transparence devra être respecté. L’ensemble de ces prérogatives trouve souvent l’illustration dans le cadre de la rédaction d’une charte d’utilisation des nouvelles technologies au sein de l’entreprise.
Même si ces obligations imposées à des professionnels
respectent l’état de l’art en matière juridique, l’application de la loi est souvent difficile. En effet, les contenus
sont souvent mis à disposition des internautes depuis des
serveurs qui se trouvent hors du pays concerné. En outre,
l’hétérogénéité des lois fait que dans certains pays, des
activités font l’objet d’une incrimination pénale mettant
en œuvre une technologie de filtrage, et dans d’autres
pays, ces activités ne sont pas toujours litigieuses.
Cette charte, qui peut être un outil disciplinaire, est adressée également à la DDTEFP.
En conclusion, à notre sens, cette technique de filtrage se
heurte à la complexité du réseau et doit être mis en place,
hors cas des chartes d’entreprise, sous le contrôle
■■■
d’un juge.
Par voie de conséquence, le filtrage au sein d’une entreprise ne peut être mis en place en respectant les procédures suivantes :
3
ème
APPEL À COMMUNICATION
GSDAYS
Les Journées Francophones de la Sécurité de l’Information
10 MAI 2011 À P A R I S
Un cycle
de conférences
techniques
organisationnelles
et juridiques
www.gsdays.fr
Renseignements :
Marc Jacob - SIMP
92320 Châtillon
Tél. : +33 (0)1 40 92 05 55
Fax. : +33 (0)1 46 56 20 91
[email protected]
Un c o l l o q u e s u r la s é c u r i t é
des S y s t è m e s d ’ I n f o r m a t i o n s
e x c l u s i v e m e n t en f r a n ç a i s
pour réunir : les RSSI, DSI,
Administrateurs Ré seaux et
Sécurité, Experts Sécurité…
Pour cette 3ème édition des GS Days, un accent particulier sera mis sur
trois thèmes phares :
• Sécurité des Systèmes et Réseaux Industriels (SCADA, ...)
• Utilisation efficace de la donnée de connexion
• Ubiquité du poste de travail
• ...
Date limite de soumission: le 25 février 2011
39
© Sebastian Kaulitzki
MALWARES BUSTERS
MALWARE POLYMORPHE POUR SERVEUR :
« Nouvelle Star » DE L’ANNÉE 2010
Pour nos quatre experts, les malwares polymorphes déployés sur les serveurs ont été
particulièrement utilisés par les pirates informatiques en 2010. Ainsi, ces techniques ont
mis en difficulté bon nombre d’utilisateurs, leurs antivirus étant très souvent inefficaces
pour les détecter. De plus, toutes les méthodes de propagation sont bonnes pour diffuser
ces malwares : obfuscations, rootkits, Runtime packers… le tout passant via les mails,
les sites Web…
L’ingéniosité des
pirates informatiques est sans limites
dans la création de
nouveaux malwares
et de leurs techniques de mutation.
En la matière, nos
quatre experts estiment unanimement
que le titre de
« nouvelle star » de
l’année 2010 revient
Ralf Benzmüller, G Data
aux virus polymorphes pour les serveurs. Ainsi, Ralf Benzmüller, Directeur
du G Data SecurityLabs - G Data Software, explique : « le
polymorphisme serveur est fréquemment utilisé, notamment sur les botnets. Ce mécanisme permet de faire
muter des malwares. Cependant, le code à l'origine de la
mutation ne se trouve pas dans le programme (comme
dans un virus polymorphe classique) mais sur le réseau,
généralement un site Internet ». En effet, complète
Michel Lanaspèze, Directeur Marketing & Communication
Europe du Sud de Sophos, en 2010, la plupart des techniques utilisées par les pirates pour faire muter leurs malwares ont été sorties des malwares eux-mêmes pour être
mises en œuvre dans les serveurs malveillants qui les distribuent. On parle de « polymorphisme côté serveur ».
Conserver un mécanisme de polymorphisme dans le mal-
40
ware lui-même requiert non seulement une certaine
sophistication, mais constitue un point faible, car ce
mécanisme lui-même peut être détecté. Aujourd’hui, les
pirates n’ont tout simplement plus besoin de recourir à ce
type de techniques car la majorité des infections passe
par des accès à des pages Web infectées, qui servent de
relais de distribution à des serveurs pirates. Ce sont ces
serveurs qui créent de nouvelles variantes des malwares
qu’ils distribuent, à chaque fois qu’une victime se présente. C’est à la fois beaucoup plus simple pour les pirates, et plus difficile à détecter pour les moteurs anti-malware. Cela explique aussi l’explosion du nombre de malwares, qui sont essentiellement des variantes créées à
l’aide de ces techniques de « polymorphisme côté serveur ». Effectivement, complète Pierre-Marc Bureau,
Chercheur Senior chez ESET, « les programmeurs de logiciels malveillants créent des milliers de variantes qu’ils
placent sur un serveur. Quand une victime télécharge un
fichier malveillant, elle obtient une nouvelle variante qui
n’a jamais été distribuée précédemment. Le programmeur peut tester que chaque nouvelle variante n’est pas
détectée par un antivirus en l’analysant avant de la diffuser. Cette technique est efficace, car l’algorithme utilisé
pour modifier la forme du malware n’est jamais divulgué,
à la différence des virus polymorphiques traditionnels.
Les techniques d’auto modification de code qui étaient
plus populaires dans le passé, comme le métamorphisme, restent, quant à elles, toujours utilisées mais à
une moins grande échelle ».
MALWARES
© Boguslaw Mazur
BUSTERS
Les techniques les plus utilisées en 2010
pour faire muter les malwares
Par Eugenio Correnti, Consultant Senior EMEA chez Symantec Hosted Services
• Packeurs (compresseur / encrypteur)
• Outils de chiffrement
• Obfuscateurs
• Polymorphisme
• Outils convertissant des scripts en exécutables exe.
• Par ex: http://www.abyssmedia.com/scriptcryptor/
• Obfuscation de script via des techniques de scripting
• Utilisation d’une série de junk code afin de bypasser la détection antivirale
• Attaques de types SEO (Search Engine Optimization)
• Scripts se cachant dans des objets OLE ou des PDF, et utilisant
• des vulnérabilités de logiciels
• Techniques de type Heapspray
• http://securityevaluators.com/files/papers/isewoot08.pdf)
• Shellcodes chiffrés dans du javascript
• (http://blog.metasploit.com/2010/09/ return-of-unpublished-adobe.html#goodies)
• Attaques de poisioning SEO (Search Engine Optimiszation) de sorte à cacher
• des iframes, afin de rediriger des utilisateurs vers des sites web contenant
• des codes malicieux
Malwares invisibles :
les techniques d’encapsulation
et d’obfuscation sont très
prisées cette année
Pour qu’une attaque ait l’effet escompté, le malware se
doit d’être invisible. Heureusement, force est de constater
que, pour ce faire, les méthodes ne manquent pas. En
effet, les techniques pour dissimuler les malwares sont
pléthores, comme le remarquent tous nos experts. Parmi
elles, Pierre-Marc Bureau met en tête de liste le polymorphisme et les packers. Le but du packer est de cacher le
code original d’un malware à l’intérieur d’une enveloppe
dont l’analyse est très difficile. D’autant que ces fichiers
encapsulés sont souvent compressés, précise Ralf
Benzmüller. D’ailleurs, reprend Pierre-Marc Bureau, de
nombreux logiciels commerciaux légitimes utilisent également des packers pour éviter que des pirates analysent
leur code et l’utilisent sans payer ou pour voler des secrets
industriels. Un opérateur de logiciel malveillant peut
ensuite utiliser des technologies de rootkit pour cacher la
présence de fichier sur le disque, c’est le cas de la famille
très populaire de logiciels malveillants, tels que
Win32/Olmarik et Win32/Mebroot. Effectivement, poursuit
Ralf Benzmüller, les rootkits peuvent cacher des fichiers, des
processus, des entrées dans le registre ou encore rendre du
trafic réseau invisible. Ils peuvent s’installer dans n’importe
quel élément du système, même dans son noyau. D’autres
techniques peuvent aussi être mises en place pour empêcher les analyses antivirales des logiciels de sécurité. C’est le
cas, par exemple, avec les techniques d’anti émulation ou
de code obfuscation. Sans aucun doute, analyse Michel
Lanaspèze, les rootkits utilisent un ensemble de techniques
variées pour se rendre invisibles au système d’exploitation luimême. Ces dernières demeurent, cependant, délicates à maîtriser et restent donc confinées à
une minorité de pirates.
C’est plutôt dans la dissimulation
des codes malveillants écrits en
JavaScript, utilisé majoritairement
pour les infections par le Web,
qu’on observe la plus forte activité
et le plus grand foisonnement. On
parle de « techniques d’obfuscation JavaScript ». Ces dernières se
fondent sur la nature dynamique
du JavaScript, une partie du code
malveillant étant chiffré, l’autre
partie servant à le déchiffrer et
l’exécuter. Les pirates ajoutent
Pierre-Marc Bureau, ESET
également fréquemment des
SERVER-SIDE POLYMORPHISM:
THE “RISING STAR” IN 2010
According to our 4 experts, server-side polymorphing malware
was particularly favoured by hackers in 2010. These attacks
caused problems for a good number of users because their antivirus protection was often unable to detect the threat. In addition, this sort of malware can be propagated through a variety
of methods: obfuscations, rootkits, and runtime packers as well
as through emails and websites.
41
© Sebastian Kaulitzki
MALWARES BUSTERS
parties de « code bidon » pour
brouiller les pistes et utilisent
diverses astuces pour compliquer la vie des émulateurs de
code JavaScript. De très nombreux outils « Obfuscateurs de
JavaScripts » circulent dans la
communauté des pirates pour
rendre, malheureusement, ces
techniques très largement accessibles au plus grand nombre.
L’imagination de ces pirates
prend parfois des formes
originales. Au mois d’août 2010,
nous avons ainsi observé une
Michel Lanaspèze, Sophos
technique de dissimulation de
code JavaScript qui se manifestait par des longues séries de
mots incompréhensibles, telles que « … zafezed lacet
cetext jevecakemahamaha febenecep … ». Le décodage
consistait en fait à utiliser uniquement la longueur de ces
mots pour reconstituer, par un jeu de conversion de chiffres
en caractères, le code malveillant à exécuter. La partie du
code JavaScript chargée de cette conversion reste cependant elle-même en clair, ce qui permet une détection facile.
Quant à Eugenio Correnti, il ne liste pas moins de sept techniques utilisées par les pirates informatiques pour dissimuler leurs attaques :
1) Une approche de type rootkit
2) Une exécution en tant que processus ou service Microsoft
3) Via des icônes populaires (MS office, pdf, flash, image,
etc.)
4) Via des doubles extensions ou des extensions très longues
5) Via des versions de logiciels connus, tels que Adobe,
Microsoft, etc.
6) Via des patchs Microsoft ou des mises à jours logiciels
7) Via l’exploitation d’événements, tels que le tremblement
de terre à Haïti, le décès de Michael Jackson ou le virus
H1N1, etc., en envoyant les malwares comme des fausses
vidéos ou images.
Ces nouveaux virus
utilisent toutes les méthodes
traditionnelles de propagation
Toutefois, on pourrait citer le fameux dicton populaire pour
décrire les méthodes de propagation de ces nouveaux malwares : « faire du neuf avec du vieux ». En effet, ils utilisent toutes les méthodes traditionnelles pour se répandre
42
sur la toile et ont toujours les mêmes objectifs, comme le
constate Eugenio Correnti : « tout d’abord le vol de mots
de passes, le téléchargement de logiciels tiers (Bredolab
téléchargeant et installant un faux antivirus), la constitution
de réseaux de botnets, tels que cutwail ou pushdo, qui
contrôlent des systèmes et envoient du spam, l’envoi de vers
distribuant l’infection via mails et via des disques durs portables et, enfin, les cas d’attaques ciblées (utilisant Bredolab
et l’effet médiatique de la coupe du monde FIFA) ». Pour
Michel Lanaspèze, la majorité de ces techniques visent à
infecter les internautes lors de leurs accès au Web, afin de
les infecter pour dérober leurs données ou prendre le
contrôle de leurs systèmes en vue de constituer des réseaux
d’ordinateurs zombies (botnets). Pas seulement, reprend
Pierre-Marc Bureau, pour moi l’attaque la plus souvent utilisée pour infecter un ordinateur est de convaincre un utilisateur d’exécuter un programme, soit en lui laissant croire
qu’il est nécessaire (mise à jour, codec, etc.), soit en prétendant que c’est un autre type de fichier, comme un document important, une image ou même une vidéo. Viennent
ensuite les attaques de type « drive-by », où un utilisateur
visite un site Web légitime qui a été modifié pour inclure
une redirection vers un contenu malveillant. Si la victime
utilise un navigateur (Internet Explorer, Firefox, Opera, etc.)
qui n’est pas à jour, elle risque d’être infectée.
Extrait du rapport de sécurité
du premier semestre 2010 de G Data
Les rootkits mis à part (ils sont une catégorie de malwares à
part entière), les techniques employées pour rendre les malwares invisibles peuvent être utilisées dans la quasi-totalité
des catégories recensées ci-dessus, conclut Ralf Benzmüller.
Des malwares toujours plus
invisibles qui ciblent les bases
de données sensibles
Pour Ralf Benzmüller, en termes d’invisibilité, Stuxnet a,
sans conteste, été un exemple parlant. Il a utilisé une
MALWARES
faille de sécurité inconnue, déclenchée à l’affichage d’un
icône de fichier de raccourci (.lnk), pour installer un rootkit qui cachait un spyware dont le but était de voler des
données dans une base de données spécifique. Tout à fait
d’accord, reprend Pierre-Marc Bureau, ce malware est
créé pour voler des informations au cœur même des
réseaux les plus sensibles : les systèmes SCADA ; ces systèmes à haute disponibilité qui gèrent le fonctionnement
de centrales électriques, de systèmes d’armement ou
contrôlent des chaînes de montage automobile. Pour se
propager, Win32/Stuxnet exploite une faille de sécurité
qui était jusqu’alors inconnue (0day) dans le système d’exploitation Windows. En outre, cette menace utilise au
moins deux certificats pour signer son code, donnant à ce
logiciel une apparence très légitime. Avec Win32/Stuxnet,
nous sommes clairement confrontés à une équipe de programmeurs hautement professionnels et bien financés.
L’histoire continue, puisque les auteurs de Win32/Stuxnet
courent toujours et que la comptabilisation de l’étendue
des informations volées n’est pas terminée à ce jour.
Michel Lanaspèze recense, en outre, plusieurs malwares
qui ont défrayé la chronique dans l’actualité récente. En
premier lieu, la vague d’attaques durant l’été qui a utilisé
des techniques de « clickjacking ». Elle vise à détourner
les clics effectués sur une page Web en dissimulant un lien
ou un bouton sous une autre couche graphique. La victime voit un écran de fumée qui recouvre une page malveillante contenant un lien ou un bouton destiné à l’escroquer. Lorsque l'utilisateur clique sur le faux lien, un
site légitime exécute l'action déterminée par le créateur
de l'attaque : autoriser, par exemple, l'accès à ses données
personnelles, effectuer un achat ou encore ajouter un ami
ou cocher une page sur un réseau social. L'une des premières attaques de l’été, associée au domaine
fbhole.com, présentait toutes les caractéristiques du clickjacking en affichant un faux message d'erreur destiné à
faire cliquer l'utilisateur sur un bouton dissimulé en dessous. En l'espace de quelques semaines, d'autres attaques
similaires ont été constatées, se servant de balises iFrames
reliées au bouton "J'aime" sur Facebook pour pirater les
pages des utilisateurs. Par ailleurs, de nouvelles victimes
ont été piégées au moyen d'une série d'histoires étranges
et de femmes séduisantes. Des centaines de milliers d'utilisateurs de Facebook ont ainsi été touchés.
Cependant, si l’on considère la période des douze derniers
mois écoulés, les attaques les plus notoires et les plus
représentatives sont la résultante des familles Koobface et
Gumblar. Même s’il ne s’agit pas de nouveautés, puisque
les premières occurrences sont apparues respectivement
en 2008 et 2009, elles ont été et continuent à être particulièrement prolifiques en ce début d’année 2010.
KoobFace, anagramme de FaceBook, se distingue par une
impressionnante durée de vie, et s’est diversifié pour sévir
sur une grande variété de réseaux sociaux. Koobface est si
© Boguslaw Mazur
BUSTERS
sophistiqué qu'il est capable de
créer un compte Facebook, de l'activer en confirmant le
courriel envoyé à une adresse Gmail, de devenir ami avec
des inconnus inscrits sur le site, de rejoindre des groupes
Facebook et de diffuser des messages sur les murs de ses
amis (prétendant, par exemple, diriger vers des vidéos
sexy contenant en réalité du malware). De plus, un code
assure sa discrétion en permettant de restreindre le nombre de nouveaux amis qu'il accepte par jour. Koobface
illustre parfaitement l’intérêt croissant des pirates pour
les réseaux sociaux et nous verrons très probablement
davantage de malwares suivre les traces de Koobface,
créant des réseaux-zombies sur le Web 2.0 dans l'intention de dérober des données, d'afficher de fausses alertes
antivirus et d'enrichir les gangs de pirates.
Gumblar a représenté jusqu’à 40% de toutes les infections
de sites Web et, après une éclipse en fin d’année 2009, est
revenu sur le devant de la scène au mois de février 2010.
Il s’agit d’un code JavaScript malveillant infecté au sein de
sites Web légitimes, dans le but de rediriger les visiteurs
vers des sites Web contrôlés par les pirates, qui tentent
d’exploiter des vulnérabilités d’Acrobat Reader et de
Flash/Shockwave pour infecter le système. C’est un type
d’attaque appelé « drive by download », auquel appartient également la célèbre injection iFrame. La famille
Gumblar utilise largement des techniques de dissimulation du type « obfuscation JavaScript ».
Ainsi, les équipes sécurité ne sont pas au bout de leur
peine pour cette fin d’année, d’autant que la période des
fêtes amène aussi généralement son lot de menaces. La
course du gendarme et du voleur est donc loin d’être ter■■■
minée !
Eugenio Correnti,
Symantec Hosted Services :
les cas d’attaques les plus
marquants de l’année 2010
1) Bredolab
2) Zbot ou Zeus
3) Le ver de messagerie "Here You Have" Email Virus
(alias W32.Imsolk.B@mm"W32.Imsolk.B@mm ou
VBMania)
4) Les alertes au sujet des chevaux de Troie affectant les
banques Brésiliennes
5) L’attaque ciblant la FIFA pendant la coupe du monde
6) Les attaques des vers Koobface
43
© AridOcean
DATA CENTER
ANDRÉ PLANCHARD, CONCEPT DATACENTER SOLUTIONS :
DÉTECTION ANTI-INTRUSION PHYSIQUE :
LA CORRÉLATION DES INFORMATIONS
EST LA CLÉ DE LA SÉCURISATION
Le système anti-intrusion physique est un maillon essentiel d’une
politique de sécurisation d’un Data Center. Dans cette démarche,
nombreux sont les points de vigilance à prendre à compte, et très
rares sont les personnes habilitées à y pénétrer. Pour André
Planchard, Président de Concept Datacenter Solutions, il n’existe
pas, à proprement parler, de règles en la matière. C’est avant tout
une question de réflexion, de logique et de mise en corrélation des
différentes informations.
André Planchard,
Concept Datacenter Solutions
GS Mag : En matière de système de sécurité anti-intrusion dans les Data Centers, existe-t-il des normes ou un
code de bonnes pratiques en vigueur ?
André Planchard : A ce jour, la détection anti-intrusion
n'est pas légiférée. Néanmoins, des spécifications techniques ont été établies par des organismes professionnels,
notamment l'APSAD (Assemblée Plénière des Sociétés
d'Assurances Dommages) pour les compagnies d'assurances. Par exemple, pour la détection anti-intrusion, l'utilisation de produits estampillés à la marque NF A2P, qui
atteste leur conformité aux normes AFNOR, sous la tutelle
de l'UTE (Union technique de l'Electricité) sera
recommandée.
Par convention, l'accès aux salles est exclusivement
réservé aux techniciens, et les accès sécurisés par différentes authentifications (badge magnétique, authentification
par interphone, et clé sécurisée). Des vidéos caméras peuvent surveiller les sites en permanence. Mais aucun client
n'accède aux salles sans y être escorté, sans rendez-vous
ni authentification.
44
Le suivi/identification
par puce intelligente : une
technologie en plein essor
GS Mag : Quels sont les différents systèmes de contrôle d’accès existants ?
André Planchard : Ils sont multiples et parfois combinés,
que ce soit les badges, cartes magnétiques, saisie de code à
l’entrée, vidéosurveillance ou la biométrie. Cette dernière
technique est à prendre au sens large, car elle se présente
sous différentes formes allant de la reconnaissance faciale
aux empreintes, celle utilisée dans la majorité des sites.
Toutefois, une nouvelle technologie commence à prendre
de l’ampleur, le suivi/identification par puce intelligente.
C’est d’ailleurs celle que nous mettons en place dans notre
Data Center. Cette technologie présente un double intérêt
au niveau sécuritaire : l’identification et le laisser passer,
d’une part, la sécurité des personnes, d’autre part. En effet,
© Paul Fleet
DATA CENTER
cette puce intelligente permet de localiser une personne à
tout moment, mais aussi d’être averti en cas de problème
(accident, chute, malaise).
A cela on peut ajouter (comme nous le faisons dans nos
Data Centers) la détection d’ouverture de baie qui déclenche une vidéosurveillance de la dite baie ; le nec plus ultra
serait d’y adjoindre la reconnaissance faciale…
GS Mag : Quels sont ceux qui sont les plus utilisés dans les
Data Centers ?
André Planchard : Il n’y a pas de règles ni de tendances
réelles. Malgré tout, on peut dégager l’ordre suivant :
• Badges et cartes magnétiques,
• Code de sécurité à saisir,
• Vidéosurveillance,
• Biométrie.
La mise en corrélation
des informations permet
le suivi des personnes
GS Mag : Où est-il plus pertinent de positionner chacun de
ces systèmes ?
André Planchard : Là non plus il n’existe aucune règle ;
c’est plus une question de logique. Ces systèmes doivent
déjà être positionnés à l’entrée des salles.
Toutefois, de plus en plus de systèmes de mise en corrélation des différentes informations de suivi des personnes
sont mis en place. Par exemple, une personne passe la première barrière de sécurité à l’entrée du bâtiment avec création de badge et vidéo reconnaissance ; ces informations
sont stockées informatiquement. A chaque passage d’une
sécurité, les informations stockées sont vérifiées avec les
informations saisies.
Il faut un point de contrôle
à chaque endroit où
l’intrusion est possible
GS Mag : Combien de points de contrôle physique faut-il ?
André Planchard : Au minimum deux : à l’entrée du bâtiment et à l’entrée des salles. Mais, en fait, il faudrait un point
de contrôle à chaque endroit où une intrusion est possible.
GS Mag : En matière de vidéosurveillance, quels sont les
points de vigilance à prendre en compte ?
André Planchard : La vidéosurveillance est un point très
délicat à mettre en place, tant au niveau prise de vue
qu’emplacement. L’angle de prise de vue est stratégique,
mais la multiplicité des prises est également primordiale,
car elle permet un suivi et un contrôle très fins.
Comme je l’ai expliqué plus haut, pour notre part, nous
allons de l’entrée jusqu’à l’ouverture de baie.
Donc, en résumé, des caméras doivent être positionnées au
niveau de l’entrée,
du suivi couloir, de
l’entrée à la salle
et, bien sûr, de
toutes les sorties.
Les équipements normalisés :
un choix plus sûr
GS Mag : Comment choisir son équipement en la matière ?
André Planchard : Je ne me prononcerai pas sur un fabricant
ou sur un autre. Toutefois, si je devais donner un conseil, ce
serait de toujours prendre des équipements normalisés (NF
A2P, etc.) ; c’est une certification au niveau assurance.
GS Mag : De quelle manière la procédure d’habilitations
doit être pensée et mise en œuvre au sein du DC ? Qu’en
est-il pour les salariés ? Pour les visiteurs ?
André Planchard : La règle veut que seuls les techniciens
d’exploitations soient habilités à pénétrer dans le DC. Les
autres cas d’exceptions sont les techniciens de réparation,
mais uniquement accompagnés par des techniciens d’exploitations et sur ordre écrit.
Quant aux visiteurs, c’est encore plus strict, puisque très peu
d’entre eux y sont habilités, sauf dérogation spéciale et toujours accompagnés par des techniciens habilités. Malgré
tout, pour notre part, nous avons prévu une parade à cela,
beaucoup de personnes souhaitant effectivement voir le
DC. Nous avons installé un système grand écran permettant
de visualiser les grandes lignes du DC. Et nous sommes
actuellement en cours de développement d’un logiciel 3D
de visite de notre site.
GS Mag : Enfin, quels conseils pouvez-vous donner en
matière de système de sécurité anti-intrusion ?
André Planchard : Un seul et unique, surtout voir beaucoup de monde (fabricants, installateurs), bien comparer et
se faire aider par des confrères ayant déjà mis en place des
systèmes.
■■■
DATACENTER
ANDRÉ PLANCHARD,
CONCEPT DATACENTER SOLUTIONS
PHYSICAL ANTI-INTRUSION DETECTION: INFORMATION
CORRELATION IS THE KEY TO SECURE SYSTEMS
A physical anti-intrusion system is an essential part of any data
centre security strategy. With this approach, a number of points
are put under surveillance with few people authorized to access
them. According to André Planchard, president of Concept
Datacentre Solutions, there are no rules as such in this area. The
main criteria when planning a system are logical thinking and the
ability to correlate information.
45
Le magazine trimestriel sur la sécurité
TOUS CES LECTEURS SONT DÉJÀ ABONNÉS :
Les membres du Cercle Européen de la Sécurité, de l’ARCSI,
du CESIC, du CIGREF, du Comité SSI du MEDEF, du CLUSIF,
de NETFOCUS France, des Conciles de la Sécurité,
de FedISA…
TOUS CES EXPERTS VOUS CONSEILLENT TOUT AU LONG DE L’ANNÉE
Philippe Humeau (NBS System), Luc Mensah (Siva), Igor Herrmann (Vipawan), Michel Arditti (Cesic), Xavier
Paper (Paper Audit & Conseil), Garance Mathias (Avocat), Michel Bensimhon (Cabinet Pierre-Henry Scacchi &
Associés), Jean-Marc Gremy (Cabestan Consultants), Olivier Itéanu (Avocat), Julien Sebban (Avocat), Frédéric
Charpentier ( XMCO Partners), Thibault du manoir de Juaye (Avocat), Thierry Ramard (Ageris Consulting),
Diane Mullenex (Avocat)...
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 50€ TTC (TVA 19,60%), 60€ hors France Métropolitaine.
Je recevrai les 4 prochains numéros.
❒ ou je commande le numéro :
au prix unitaire de 18€ TTC (TVA 19,60%)
❒ Abonnement annuel au format PDF du magazine 30€ TTC (TVA 19,60%)
❒ ou je commande le numéro :
au format PDF 10€ TTC (TVA 19,60%)
❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce
service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés
par Global Security Mag. En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour
bénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici)
et mon adresse mail :
Nom
Je recevrai par mail une fois par semaine des informations ciblées
Prénom
Société
Fax.
E-mail
Adresse
Tél.
Règlement par chèque n°
A réception de votre règlement une facture acquittée vous sera adressée par retour.
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant.
Date, Signature et cachet de l’entreprise
Tiré sur banque à l’ordre de SIMP
A retourner à :
SIMP
17, av. Marcelin Berthelot
92320 Châtillon
Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91
[email protected]
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.
2ème édition
www.gsdays.fr
Les Journées Francophones
de la Sécurité de l’Information
PROGRAMME
30 NOVEMBRE 2010
Espace Saint-Martin
199 Bis Rue Saint-Martin 75003 Paris
Marc Jacob - Tél. 01 40 92 05 55
[email protected]
SPONSORS SILVER
SPONSORS
PROGRAMME DES CONFÉRENCES
Auditorium
8h30 - 9h00
4Accueil et petit déjeuner sponsorisé par
9h00 - 9h45
4Du juridique au technique : la nique au hacking !
4Diane Mullenex, Avocat - Paul Such, SCRT - Philippe Humeau, NBS System
9h50 -10h30
10h30 -11h00
11h00 -11h40
11h45 -12h25
12h25 -14h00
14h00 -14h40
14h45 -15h25
15h30 -16h10
16h10 -16h30
16h30 -17h10
17h15 -18h00
18h00 -19h00
2
Salle Louxor
ESPACE DU ZODIAQUE
AUDITORIUM
4Aurons-nous encore une vie privée ?
4Thibault du Manoir de Juaye, Avocat à la cour
4H@ckRAM : exploitation de la mémoire RAM sous Windows
4Arnaud Malard, Devoteam
4Pause café sponsorisée par
AUDITORIUM
SALLE LOUXOR
ESPACE DU ZODIAQUE
4Smartphones nouvelle génération : quel positionnement pour le RSSI ?
4Gérôme Billois et Chadi Hantouche, Solucom
4Contournement des systèmes de filtrage HTTP en ligne
4Paul Such, SCRT
4Exploitation de failles de sécurité. Démonstrations et présentations pratiques :
4USB, Recovery, MDP...
4Franck Rioux, ARCSI
AUDITORIUM
SALLE LOUXOR
SALLE DENDÉRAH
4L’utilisateur : l’ultime menace ?
4Eric Wies, Université Paul Verlaine – Metz
4Return Oriented Programming : rappel et pratique
4Jean-Baptiste Aviat, HSC
4L’ARCSI et Maître Thibault du Manoir de Juaye :
4Approche juridique. Obligations règlementaires. Réponses à vos questions.
4Cocktail déjeunatoire sponsorisé par
AUDITORIUM
SALLE LOUXOR
SALLE DENDÉRAH
ESPACE DU ZODIAQUE
4La sécurité d’Android
4Nicolas Ruff, EADS Innovation Works
4Les sources humaines au cœur de l’information et de la sécurité
4Frédéric Caramello, Consultant
AUDITORIUM
SALLE LOUXOR
4Une utilisation intelligente des réseaux sociaux est-elle possible ?
4Diane Mullenex, Avocat
4RFID : Radio Frequency Insecure Device ?
4Sergio Alves Domingues, SCRT
AUDITORIUM
SALLE LOUXOR
4Mesurer, améliorer et piloter votre sécurité
4Une approche pragmatique dans la recherche de conformité
4Tristan Savalle et Jérémie Jourdin, Advens
4Télétravail : frontière entre vie privée et vie publique
4Catherine Duval et Yann Fareau, Devoteam
4Pause café sponsorisée par
AUDITORIUM
SALLE LOUXOR
ESPACE DU ZODIAQUE
4La sécurité des données personnelles enfin prise au sérieux ?
4Pascale Gelly, Avocat - Bernard Foray, Casino Technology - Eric Doyen, Generali
4XSSF : démontrer le danger des XSS
4Ludovic Courgnaud et Imad Abounasr, Conix
4Exploitation de failles de sécurité.
4Démonstrations et présentations pratiques : Objet communiquant...
4Laurent Chouraki, ARCSI
AUDITORIUM
SALLE LOUXOR
SALLE DENDÉRAH
4Intégrer la sécurité dans un projet à fortes contraintes réglementaires,
4techniques et calendaires : retour d’expérience des jeux en ligne.
4Hervé Schlosser, France Pari - Anne Mur et Xavier Cessac, EdelWeb - Groupe ON-X
4L’ARCSI et Maître Thibault du Manoir de Juaye :
4Approche juridique. Obligations règlementaires. Réponses à vos questions.
4Cocktail de clôture sponsorisé par
Salle Dendérah
AUDITORIUM
SALLE DENDÉRAH
ESPACE DU ZODIAQUE
JOURNEES FRANCOPHONES DE LA SECURITE 30 NOVEMBRE 2010 – ESPACE SAINT-MARTIN - 75003 PARIS
Sponsors Silver
Présentation de l'offre TrustWay
Bull focuses on open and secure systems, and
as such is the only European-based company
offering expertise in all the key elements of the
IT value chain.
Bull assures the confidentiality and integrity of
your data, and protects your networks, through its
TrustWay® product range: TrustWay VPN solution,
TrustWay box and TrustWay Crypto PCI HSM's,
TrustWay PPS and globull™ USB modules.
Contact : Isabelle Delfosse, Marketing Manager
Rue Jean Jaurès – BP68 - 78340 Les Clayes-sousBois, France
Phone.: +33 (0)1 30 80 71 41
E-mail: [email protected]
Site Web: www.bull.com/trustway
une approche modulaire qui permet de
construire des solutions de sécurité adaptées aux
besoins spécifiques de chaque entreprise.
Orange Business Services s’adresse tant aux PME
via des solutions entièrement packagées et clés
en main, qu’aux grandes entreprises en leur proposant des solutions personnalisées et sur
mesure.
Notre actualité : Présentation de notre blog sécu-
rité (http://blogs. orange-business.com/securite)
dédié aux clients et ouverts à tous.
Ce blog permet à Orange de se positionner sur le
marché de la sécurité comme un interlocuteur
de référence en matière de sécurité.
Contact :
Herve Troalic, Orange consulting - Senior Manager
Tél. : +33 (0)2 23 20 41 40
est une société de conseil spécialisée
dans la prévention des fuites de
données et la protection des
données sensibles. Nous accompagnons les
entreprises de l’identification à la catégorisation
de leurs données, dans la mise en place de solu-
tions palliatives et correctives et également dans
la formation et sensibilisation de leur personnel.
Notre offre de services s'articule autour des 4
thématiques suivantes :
• Prévention de la fuite de données
• Anonymisation des données
• Sécurisation des bases de données
• Gestion des Données et des Accès
Contact : Data Secure Technology
87 rue Voltaire - 92800 PUTEAUX
Tél. : +33 (0)01 80 88 61 76
Fax : +33 (0)1 80 88 61 77
Site Web : www.dstechnology.fr
Fondé en 1994, EdelWeb, pôle
sécurité du groupe ON-X, est
spécialisé dans la sécurité des systèmes d'information. L'équipe sécurité se compose d’experts techniques et de consultants expérimentés disposant
d’une forte culture sécurité dans le domaine des
nouvelles technologies de l’information.
A travers une démarche rigoureuse, ils assistent
leurs clients dans la gouvernance de la sécurité
de leur système d’information pour réaliser des
analyses de risques, des politiques de sécurité,
une assistance à l’intégration de la sécurité dans
les projets, la spécification d’exigences de sécurité, la conception ou la validation de l'architecture de sécurité adaptée, l’assistance au choix des
méthodes, solutions et protocoles de sécurité, les
audits et tests de sécurité, la veille technologique
sécuritaire et une assistance à la gestion de crise
ou d’incidents de sécurité.
Les prestations sécurité du Groupe ON-X couvrent
le cycle de vie d’une architecture de sécurité afin
de maintenir le seuil de risque à un niveau
acceptable dans le temps.
Contact : Anne Mur, responsable du pôle sécurité
Tél. : +33 (0)1 40 99 14 14
Site Web : www.edelweb.fr
Bull est un spécialiste
des systèmes ouverts et
sécurisés, le seul européen positionné sur les principaux maillons de la
chaîne de valeur de l'informatique.
Bull assure l'intégrité et la confidentialité de vos
données et protège vos réseaux avec ses solutions
TrustWay® : Solution TrustWay VPN, HSM
TrustWay box et TrustWay Crypto PCI, modules
USB sécurisés TrustWay RCI et globull™.
Orange est la marque
phare de France
Télécom, un des principaux opérateurs intégrateurs de télécommunications dans le monde. France Télécom sert plus
de 200 millions de clients sur les cinq continents
en 2010.
Offre : Orange Business Service a mis en place
Data Secure Technology
Contact : Isabelle Delfosse, Responsable Marketing
Rue Jean Jaurès – BP68 - 78340 Les Clayes-sousBois, France
Tél. : +33 (0)1 30 80 71 41
Site Web : www.bull.com/trustway
Prim’X Technologies, éditeur de logiciels de confiance, a pour mission de concevoir, développer, et
commercialiser des solutions intégrées et globales de protection de l’information qui permettent de lutter efficacement contre les accès non
autorisés aux données sensibles locales ou distantes, stockées ou échangées.
Les produits de chiffrement innovants de Prim’X sont régulièrement évalués par des Certifications Critères Communs et sont conçus pour s’adapter aux Politiques de Sécurité des Entreprise et aux contraintes des
Infrastructures Bureautiques.
Contact :
Nicolas BACHELIER, Directeur Commercial
Tél. : +33 (0)1 77 72 64 80
Mobile : +33 (0)6 60 40 38 41
Site Web : www.primx.eu
ATHENA Global Services, représentant et importateur
exclusif en France d'éditeurs de solutions de sécurité
informatique propose des logiciels novateurs destinés
aux professionnels pour protéger et gérer leur environnement informatique : DeviceLock - Protection des postes de travail pour prévenir la fuite
de données confidentielles (DLP) ; ESET - Protection Antivirus, Antispyware,
Antispam et Firewall ; Storagecraft - Sauvegarde, restauration, consolidation, réplication hors site et de reprise d'activité après sinistre pour
serveurs, ordinateurs de bureau et ordinateurs portables.
Contact :
Benoit Grunemwald, Directeur Commercial
Tél. : +33 (0)1 55 89 09 21
Mobile : +33 (0)6 38 39 16 16
Site Web : www.athena-gs.com
3
SPECIAL GsDays 2010
Créé en 1985 à Bochum (Allemagne),
G Data Software AG fête cette année ses
25 ans d’existence. L’éditeur propose
depuis plus de 20 ans des solutions de sécurité et
est aujourd’hui présent dans plus de 60 pays.
Avec sa gamme business, version 10.7, et ses
produits grand public, version 2011, alliant
performance, légèreté et facilité d’utilisation,
G Data dispose d’une gamme complète pour
répondre aux besoins de sécurité des particuliers,
des PME ou des grandes entreprises.
Contact :
Stephanie Kayser, Country Manager France
Tél. : +33 (0)1 41 48 51 46
Sécurisez vos accès LAN, VPN SSL,
Intranet/extranet et Web avec une
solution unique et révolutionnaire.
GrIDsure délivre des mots de passe dynamiques
( OTP ) non rejouables pour une authentification
forte, flexible et simple d’utilisation s’adaptant à
votre sécurité d’entreprise.
GrIDsure, une solution d’authentification forte
OTP dématérialisée ( sans tokens ! ) :
• Hautement sécurisée (génération d’un mot de
passe unique)
• Très économique ( pas de token, ni aucun
matériel)
• Solution « Green business » ( pas de serveur
ou matériel )
• D’une grande simplicité pour l’utilisateur ( pas
de code à mémoriser )
• D’une grande simplicité pour l’administrateur
(pas d’oubli de mot de passe, de panne de m atériel ou de gestion de base )
Contact : Cecile Boyer, Directeur Commercial
Tél. : +44 (0) 1480 483 300
Mobile : +44 (0) 7872 127 792
NETASQ est une société IT innovante, qui se consacre à la fourniture de solutions de sécurité pour l’ensemble
de ses clients Avec plus de 60.000 produits vendus à ce jour grâce à un réseau de distribution
composé de 750 partenaires certifiés présents
dans plus de 40 pays, NETASQ s’est imposé
comme un acteur majeur du marché de la sécurité informatique. Les solutions NETASQ répondent efficacement aux exigences des entreprises
en matière de protection unifiée contre les
menaces et les SPAMs.
Contact :
Equipes de vente NETASQ
Tél. : +33 (0)1 46 21 82 30
Site Web : www.netasq.com
4
ITrust est un cabinet d’expertise sécurité indépendant. Audits, Expertise, Conseil, Formation,
Investigation.
Nous maitrisons les problématiques de gestion
de parc et sécurité de smartphones.
ITrust place l’innovation au cœur de ses préoccupations : Son logiciel Ikare de monitoring et
supervision du Cloud en mode SAAS, primé de
plusieurs concours d’innovation, permet de
détecter les comportements anormaux du SI et
ainsi anticiper sur les défaillances, malveillances,
erreurs.
Contact :
Immeuble ACTYS 1
Voie l’Occitane - 31670 LABEGE
Tél. : +33 (0)5 67 34 67 80
Site Web : www.itrust.fr
M86 Security offre a ses
clients des technologies de
sécurité éprouvées pour le
trafic Web et Email.
M86 Security protège l’entreprise contre la fuite
d’information.
Basé sur une technologie unique d’analyse comportementale brevetée, M86 Security SWG permet de détecter les codes malicieux connus et
surtout les codes malicieux dont les signatures
sont INCONNUES (Plus de 60% de la menace,
aujourd’hui).
Les solutions M86 Security existent en version
appliance, logicielle et « cloud ».
Contact :
Yves Tenenbaum, M86 Security
Tél. : +33 (0)1 60 81 12 12
Site Web : ww.m86security.com
Créée en 1989, Hervé Schauer
Consultants (HSC), est une société
spécialisée dans l’expertise de
conseil en sécurité des systèmes d’information.
De taille humaine (28 personnes dont 18 consultants), HSC apporte une vision du métier reposant sur l’indépendance, le pragmatisme, la
transparence et le partage des connaissances.
Également organisme de formation, HSC propose des formations portant aussi bien sur la
sécurité technique que la sécurité organisationnelle. Toutes nos formations sont directement
fondées sur les problématiques de nos clients et
le retour d’expérience des consultants HSC.
Contact :
Matthieu Hentzien, Hervé Schauer Consultants
4 bis rue de la Gare
92300 Levallois-Perret
Tél. : +33 (0)1 41 40 97 05
Fax : +33 (0)1 41 40 97 09
Site Web : www.hsc.fr / www.hsc-formation.fr
Le groupe
EFFIXIO, est
une société de conseil en management proposant un éventail de services de consulting aux
directions métiers et directions informatiques.
Déjà présent à Paris, Lyon, Strasbourg, notre
groupe ambitionne un développement national
et international.
Nous sommes structurés par pôles d'expertises
(IT Business Stratégie, IT Business Security,
Services and Solutions) pour accompagner nos
clients de la définition de leurs enjeux stratégiques, à leurs déclinaisons et mise œuvre de Leurs
projets et Systèmes d'Informations associés.
Associés et consultants sont impliqués auprès de
leurs clients pour garantir conseils et prestations
d'assistance.
Une organisation « Efficiente » au service de la
compétitivité et de la performance des entreprises.
Contact :
David Allouche
10, Quai Léon Blum 192150 Suresnes
Tél. : +33 (0)1 42 04 98 60
Site Web : www.effixio.com
E-mail : dallouchefdeffixio.com
Créée en 2002, SCRT est une société
Suisse spécialisée dans la sécurité des
systèmes d'informations et active
dans les domaines suivants :
• Attaque : Tests d'intrusion : internes, externe,
avec/sans social engineering,...
• Défense : Conseils et ingénierie dans le domaine
de la sécurité des sytèmes d'information
• Investigation : Analyse Forensique
• Formation : Outils & Méthodes de hacking, sensibilisation utilisateurs, sécurité des architectures
virtualisées,...
Depuis 2010, SCRT est désormais également
implantée en France et propose la même
gamme de services.
Contact :
Patrick Sonou
Mobile : +33 (0)6 16 79 46 66
Site Web : www.scrt.fr
SECUNEO est le seul éditeur français
à proposer une solution complète et
globale de prévention des fuites
d'informations : SENTINELIS. Cette
solution permet à toutes les entreprises de protéger leur patrimoine informationnel, en les aidant
à savoir qui dans l'entreprise manipule des informations sensibles ou confidentielles, comment
sont-elles utilisées et d'assurer un niveau de protection efficace qui suit l'information tout au long
de son utilisation.
Contact :
Tél. : +33 (0)4 83 73 99 10
Site Web : www.secuneo.com
LES ÉVÈNEMENTS DE SÉCURITÉ DANS LE MONDE
@\P#EVG\ : GB#@
ER@CBA@NOYR@ !*
2011
Zone A - Caen, Clermont-Ferrand, Grenoble, Lyon, Montpellier, Nancy-Metz, Nantes, Rennes, Toulouse
Zone B - Aix-Marseille, Amiens, Besançon, Dijon, Lille, Limoges, Nice, Orléans-Tours, Poitiers, Reims, Rouen, Strasbourg
Zone C - Bordeaux, Créteil, Paris, Versailles
* Participez à notre grand jeu 2011 en décryptant cette énigme. Pour trouver des indices, rendez-vous sur www.globalsecuritymag.fr/jeu,20081215,6313
JANVIER
FEVRIER
MARS
AVRIL
MAI
JUIN
PAROLE DE RSSI
SÉCURITÉ DE L’INFORMATION
RISK MANAGEMENT
CLOUD COMPUTING
SHELLCODE
SÉCURITÉ
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
12 janvier - Paris
Panorama de
la cybercriminalité 2010
www.clusif.fr
Epiphanie
Noël orthodoxe Russe
16 - 19 janvier
Washington DC (USA)
Black Hat Briefings
& Training Federal
www.blackhat.com
Indépendance
du Maroc
19 - 20 janvier - Sophia Antipolis
6ème ETSI Security Workshop
www.etsi.org/SECURITYWORKSHOP
24 janvier - Bruxelles (Belgique)
Data Breach Notifications in Europe
www.enisa.europa.eu/act/it/
data-breach-notification/
Naissance de Martin Luther King
25 janvier - Paris
Congrès FedISA
www.fedisa.eu
25 janvier - Paris
www.securityvibes.com/community/fr
25 - 26 janvier - UTT - Troyes
WISG
www-wisg2011.utt.fr/
26 – 29 janvier
San Francisco (USA)
MacWorld
www.macworldexpo.com/
28 janvier – Paris
Université AFCDP
des Correspondants
Informatique et Libertés
www.afcdp.net/
31 janvier - 2 février – Dubaï (EAU)
3e CISO Executive
Summit - Middle East
www.mistieurope.com/
www.cherry.fr
Thierry Ramard,
Ageris Group SAS
Pascal Lointier, CLUSIF
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
1er - 2 février
Disneyland Resort -Paris
IT Partners
www.itpartners.fr
1er - 2 février - Paris
iLearning Forum
www.ilearningforum.org
8 février – Paris
Diner du cercle de la sécurité
www.lecercle.biz
8 - 10 février
Paris – Porte Maillot
Microsoft TechDays
www.microsoft.com/france/mstechdays/
9 février - Paris
Conférence IDC Risk
Management
www.idc.com/france/
9 février - Luxembourg
Information Security Day
www.isaca.lu
14 - 18 février
San Francisco (USA)
RSA Conference
www.rsaconference.com/2011/usa/
15 - 16 février - Lagos (Nigeria)
IFSEC West Africa
www.ifsecwestafrica.com
President’s Day USA
Jour des défenseurs de la patrie Russe
15 - 18 février - Moscou (Russie)
Security & Safety
Technologies Moscow
www.security-moscow.com
23 – 24 février
Bangkok (Thaïlande)
Cyber Security for Government Asia
www.cybersecurityasia.com
23 - 26 février – Kiev (Ukraine)
ICT
www.ictexpo.info/
Hors Série n°005 - Décembre 2010
ISSN : 1961 - 795X
Directeur de la Publication : Marc Brami
Prix : 3 euros TTC (TVA 19,6%)
Calendrier mis à jour au 18 novembre 2010
www.orange.com
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1 - 5 mars – Hanovre (Allemagne)
CeBIT
www.cebit.de
4 Mars – Genève (Suisse)
Insomni’hack
www.scrt.ch
8 - 10 mars - Porte de Versailles - Paris
Solutions Ressources Humaines
www.solutions-ressources-humaines.com/
InThe Cloud + InThe Datacenter
+ InThe Security + InThe Saas
www.datacenter-cloud.com/
CoIP – VoIP expo
www.salon-coip.com/
Solutions Intranet & Travail
Collaboratif
www.salon-intranet.com/
10 mars - Paris
15 – 16 mars – Londres (UK)
E-Crime Congress
www.e-crimecongress.org/congress/
15 – 18 mars - Barcelone (Espagne)
Black Hat Briefings
& Training
Indépendance
de laEurope
Tunisie
www.blackhat.com
16 - 17 mars - Lille
Les Rencontres Internationales
de la Sécurité Numérique
(ex. FIC)
www.risn.fr
22 mars - Paris
JSSI
www.ossir.org
23 - 24 mars - Bruxelles (Belgique)
Infosecurity Belgium
www.infosecurity.be - www.storage-expo.be
23 - 24 mars – CNIT - Paris La Défense
Documation
www.documation.fr
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Même avec le « cloud
computing », il faudra
appliquer la politique de
sécurité : le RSSI survivra
au DSI.
Dans la sécurité, l'important
est de travailler avec des
partenaires de confiance
\x80\xe8\xdc\xff\xff\xff/
bin/sh
Hervé Schauer, HSC
Paul Such, SCRT
5 - 8 avril - Las Vegas (USA)
ISC West
www.iscwest.com
Indépendance du Sénégal
6 – 7 avril - Montréal (Canada)
9ème Boule de Cristal du CRIM
www.crim.ca
7 – 9 avril - Ouarzazate (Maroc)
ICMCS
www.icmcs11.org
Journée des Martyrs de la Tunisie
18 – 20 avril - Orlando (USA)
InfoSec World
www.misti.com
19 - 20 avril - Londres (UK)
Counter Terror Expo
www.counterterrorexpo.com
19 - 21 avril – Londres (UK)
Infosecurity Europe
www.infosec.co.uk
20 - 22 avril - Taipei (Taiwan)
Secutech
www.secutech.com
20 – 22 avril – Taipei (Taiwan)
CompoSec
www.composec.com/
26 – 28 avril - Sao Paulo (Brésil)
ISC Brasil & Inter Security
www.iscexpo.com.br
28 avril – Paris
www.lecercle.biz
RFID
www.rfid-show.com
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
2 - 4 mai - São Paulo (Brésil)
CARDS
www.cards2011.com.br/
8 - 12 mai - Las Vegas (USA)
Interop Las Vegas
www.interop.com/lasvegas/
9 - 11 mai – Alger (Algérie)
Med IT Alger
www.xcom.fr
Fête de l’indépendance
3
10 mai - Paris
ème
GSDAYS
www.gsdays.fr
10 - 12 mai - Porte de Versailles - Paris
Solutions Linux + Opensource
www.solutionslinux.fr
11 - 14 mai - Berlin (Allemagne)
Linux Tag
Salon Européen de l’Open Source
www.linuxtag.org
12 mai - Paris
CSO Interchange (SecurityVibes)
16 - 19 mai - NEC Birmingham (UK)
IFSEC
www.ifsec.co.uk/
17 - 19 mai - Porte de Versailles - Paris
HIT
www.health-it.fr/
18 - 19 mai - Porte de Versailles – Paris
i-expo
www.i-expo.net/
18 - 19 mai - Porte de Versailles – Paris
Online + Mobile Payment Expo
www.online-expo.fr/
www.mobilepaymentexpo.com
25 – 27 mai – Saint-Tropez
Memorial Day
7ème
Rencontres de l’Identity
et de l’Access Management
www.les-riam.fr/
31 mai - 2 juin - Sydney (Australie)
CeBIT Australia
www.cebit.com.au/
29 - 31 mars - Hong Kong (Chine)
Cartes in Asia
www.cartes-asia.com
www.primx.eu
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
www.trendmicro.com
www.forefront.fr
Le plus important dans la
sécurité, ce ne sont pas les
moyens, c'est ce que vous
en faites.
Anne Mur,
EdelWeb – Groupe ON-X
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Anniversaire de la République
Ascension
3 - 4 juin – Maubeuge
RSSIL
www.rssil.org
6 - 10 juin - Tokyo (Japon)
Interop Japan
www.interop.jp
7 juin – Paris
www.lecercle.biz
Réalisation : www.imadjinn.fr
Bernard Foray,
Casino Technology
Le goût du risque ne réduit
pas le coût du risque !
Pentecôte
8 juin - Londres (UK)
E-crime Cloud Security Forum
www.e-crimecongress.org/cloud/
8 - 10 juin - Rennes
SSTIC
www.sstic.org
14 juin - Paris
Klever Days
www.kleverware.com/fr/kleverdays
Fête nationale Luxembourg
28 – 29 juin - Paris
USI
www.universite-du-si.com/
28 – 30 juin - Tel Aviv (Israël)
Security Israël
www.securityisrael.com/
ais sur
u en franç
n
ti
n
o
c
n
on e
sur
’informati
n anglais
ag.fr et e
Votre fil d
m
ty
ri
u
c
e
als
mag.com
www.glob
alsecurity
www.glob
www.securityvibes.com
Crédits photos : ©Franck Boston - ©Oleg Zaicev
« Point n'est besoin d'espérer
pour entreprendre, ni de
réussir pour persévérer ».
Citation de Guillaume
d’Orange
RSSI =
Reste Suffisamment
Serein et Imaginatif
LES ÉVÈNEMENTS DE SÉCURITÉ DANS LE MONDE
@\P#EVG\ : GB#@
ER@CBA@NOYR@ !*
2011
Zone A - Caen, Clermont-Ferrand, Grenoble, Lyon, Montpellier, Nancy-Metz, Nantes, Rennes, Toulouse
Zone B - Aix-Marseille, Amiens, Besançon, Dijon, Lille, Limoges, Nice, Orléans-Tours, Poitiers, Reims, Rouen, Strasbourg
Zone C - Bordeaux, Créteil, Paris, Versailles
* Participez à notre grand jeu 2011 en décryptant cette énigme. Pour trouver des indices, rendez-vous sur www.globalsecuritymag.fr/jeu,20081215,6313
JUILLET
AOUT
SEPTEMBRE
OCTOBRE
NOVEMBRE
DECEMBRE
FORMATION
FORENSIC
CLOUD COMPUTING
SMSI
RÉSEAUX SOCIAUX
SÉCURITÉ
Si nos informations et
services informatiques
s'envolent dans l'éther, gardons
bien les pieds sur terre et
n'oublions pas leur sécurité
pour qu'ils ne s'évaporent pas.
Philippe Humeau,
NBS System
Diane Mullenex, Avocat
« Avancer sans savoir où
l’on va, c’est risquer de
perdre beaucoup d’énergie
pour rester là où l’on est ».
Dotez-vous d’un vrai
tableau de bord sécurité !
Jean-Marc Grémy,
Cabestan Consultants
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Fête nationale USA
5 juillet – Paris
Matinale du Cercle de la sécurité
www.lecercle.biz
7 juillet - Paris
Fête nationale
Fête nationale
Jour de la République
Fête du Trône
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Fête nationale
Début du Ramadan
30 juillet - 4 août – Las Vegas (USA)
Black Hat Briefings
& Training Federal
www.blackhat.com
4 – 7 août – Las Vegas (USA)
19ème DEFCON
www.defcon.org
Journée de la femme
Fête de la jeunesse
24-26 août - Sydney (Australie)
Security Expo
www.securityexpo.com.au/
Fin du Ramadan
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Fête du travail
8 septembre - Paris
19 - 21 septembre – Sophia Antipolis
NFC World Congress
www.nfcworldcongress.com/
21 - 22 septembre - Londres (UK)
360°IT
www.360itevent.com
21 - 23 septembre - Sophia Antipolis
Smart Event
www.strategiestm.com
28 – 30 septembre – Bombay (Inde)
Interop Mumbai
www.interop.in/
« Le silence est le sanctuaire
de la prudence ».
Citation de Baltasar
Gracian Y Morales
www.orange.com
www.primx.eu
Edouard Jeanson, Sogeti
Global Security Mag
Matthieu Bonenfant,
Advens
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
3 – 7 octobre - New York (USA)
Fête nationale
Interop New York
www.interop.com/newyork/
4 - 6 octobre - CNIT Paris La Défense
Salons Solutions
www.salons-solutions.com
5 – 7 octobre - Barcelone (Espagne)
Virus Bulletin
www.virusbtn.com/conference/vb2011/
Columbus Day
5 - 8 octobre - Monaco
Les Assises de la Sécurité
www.les-assises-de-la-securite.com
6 - 9 octobre - Istanbul (Turquie)
CeBit Bilisim Eurasia
www.cebitbilisim.com
11 - 13 octobre - Londres (UK)
RSA Conference Europe
www.rsaconference.com
12 - 14 octobre -Singapour
Safety and Security Asia
www.safetysecurityasia.com.sg/
18 – 20 octobre
Porte de Versailles - Paris
IP Convergence
Cloud & IT expo
www.ipconvergence.fr
www.cloud-and-it-expo.fr
18 – 20 octobre - Londres (UK)
Biometrics
www.biometrics.elsevier.com
18 – 21 octobre - Porte de
Versailles - Paris
Milipol
www.milipol.com
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
2 - 3 novembre - Francfort (Allemagne)
SNW Europe
www.snweurope.com
2 – 3 novembre
Jaabeurs Utrech (Pays-Bas)
Infosecurity Netherlands
Marchewww.infosecurity.nl
Verte
6 – 11 novembre
Washington DC (USA)
CSI
www.csiannual.com
10 novembre - Paris
13 – 17 novembre - Las Vegas (USA)
CA World
www.ca.com/us/caworld
Fête belge germanophone
15 – 17 novembre – Casablanca (Maroc)
Med IT Casablanca
www.xcom.fr
Fête nationale
15 – 17 novembre - Paris Nord Villepinte
Cartes
www.cartes.com
16 – 18 novembre – Moscou (Russie)
Infosecurity Russia
www.infosecurityrussia.ru
Thanks Giving
www.trendmicro.com
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
D
L
M
M
J
V
S
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Fête Nationale
Immaculée Conception
Noël
26 – 29 décembre – Berlin (Allemagne)
Chaos Communication Congress
www.ccc.de
ais sur
u en franç
n
ti
n
o
c
n
on e
sur
’informati
n anglais
ag.fr et e
Votre fil d
m
ty
ri
u
c
e
als
mag.com
www.glob
alsecurity
www.glob
Hors Série n°005 - Décembre 2010
ISSN : 1961 - 795X
Directeur de la Publication : Marc Brami
Prix : 3 euros TTC (TVA 19,6%)
Calendrier mis à jour au 9 novembre 2010
www.cherry.fr
La sécurité, c’est du bon
sens paysan
www.forefront.fr
www.securityvibes.com
Réalisation : www.imadjinn.fr
Retrouver un pirate est
toujours plus facile quand
il est en pleine action.
Crédits photos : ©Franck Boston - ©Oleg Zaicev
En matière de sécurité
informatique, le maillon
faible c'est l'humain. Ne
négligez pas la formation!

Le filtrage face aux libertés fondamentales

Transcription

Documents pareils

Télécharger le PDF

Tableau de calibres

Tableau de calibres

0000-ADLB-CDC-octobre 2015:Mise en page 1

CLEAR INNOVATIVE DURABLE

Les premières formalités

L`ogre Primark à Dijon, entre euphorie et rachat d`image

Boîtes pour munitions

Communiqué de presse sur les Rencontres Mahfoud 2016 et

Télécharger le programme