Télécharger la version intégrale des actes du FIC
Transcription
Télécharger la version intégrale des actes du FIC
1 SOMMAIRE Discours d'introduction .............................................................................11 Un cyber pôle d’excellence de lutte contre la criminalité numérique ............ 11 Pierre de SAINTIGNON .................................................................................................... 11 Le Web, un nouvel espace pour la criminalité ............................................... 11 Stefaan de CLERCK ......................................................................................................... 11 De la sécurité dans le numérique ................................................................. 12 Général d'armée Roland GILLES ........................................................................................ 12 Les engagements de l’Etat ............................................................................ 12 Jean-Michel BERARD ....................................................................................................... 12 Conférence plénière d'ouverture « La mobilisation européenne et internationale pour la lutte contre la cybercriminalité » .........................14 Europol, un outil européen contre la menace cybercriminelle ...................... 14 Rob WAINWRIGHT .......................................................................................................... 14 Eurojust, une procédure efficace à l’échelle européenne .............................. 15 Gérard LOUBENS ............................................................................................................. 15 Vers une harmonie des réglementations ...................................................... 16 Alexander SEGER ............................................................................................................ 16 Panorama de la cybercriminalité africaine .................................................... 16 Dr Mohamed CHAWKI ...................................................................................................... 16 Echanges avec la salle .................................................................................. 17 E-réputation et Social engineering : nouvel enjeu de société ..................20 Modérateur : Jean-Paul PINTE .......................................................................................... 20 Attention au social engineering .................................................................... 20 Garance MATHIAS ........................................................................................................... 20 « Je pars en vacances cet été dans le Sud » ................................................ 20 Marc BLANCHARD ........................................................................................................... 20 La e-réputation par les salariés et la veille ................................................... 21 Liane MATHIAUT ............................................................................................................. 21 Typologie des prises de parole ..................................................................... 21 Me Olivier ITEANU ........................................................................................................... 21 Doper son e-réputation ................................................................................ 21 Emilie OGEZ ................................................................................................................... 21 Utiliser les réseaux sociaux à des fins d’enquête.......................................... 22 Capitaine Frédérick GAUDREAU ......................................................................................... 22 Jeux d’argent en ligne : la lutte contre la fraude s’organise ....................23 Modérateur : Juliette de la NOUE ...................................................................................... 23 Une concentration de menaces connues ....................................................... 23 Olivier KHUN .................................................................................................................. 23 Point de vue d’un opérateur de paiement ..................................................... 23 Bertrand LATHOUD .......................................................................................................... 23 2 Point de vue d’un opérateur de jeu en ligne ................................................. 24 Angelika KOLLER ............................................................................................................. 24 Un cadre juridique européen ........................................................................ 25 César LORENZANA GONZALEZ .......................................................................................... 25 Que fait la Commission européenne ? ........................................................... 25 Chef d’escadron de Gendarmerie Christian TOURNIE ........................................................... 25 Echanges avec la salle .................................................................................. 25 Présentation des outils de sensibilisation aux dangers d’Internet ..........27 Modérateur : Carole GAY .................................................................................................. 27 Sensibiliser les parents aux dangers d’Internet ........................................... 27 Capitaine Didier PETIT ..................................................................................................... 27 Prévenir la cybercriminalité envers les mineurs ........................................... 27 Sidi-Mohammed BELDJILALI ............................................................................................. 27 Comprendre Internet.................................................................................... 28 Laurent BAUP ................................................................................................................. 28 2025 exmachina ........................................................................................... 28 Emilie PEINCHAUD .......................................................................................................... 28 Action Innocence.......................................................................................... 28 Vanessa COUPEZ ............................................................................................................. 28 Protéger les jeunes ...................................................................................... 29 Jean-Luc MARTIN ............................................................................................................ 29 Safer Internet .............................................................................................. 29 Carole GAY ..................................................................................................................... 29 Echanges avec la salle .................................................................................. 30 L'informatique industrielle, talon d'Achille des entreprises .....................31 Modérateur : Jean-Claude BOURRET ................................................................................. 31 Des entreprises de plus en plus vulnérables ................................................. 31 Victor VUILLARD ............................................................................................................. 31 Les services généraux : le cheval de Troie des entreprises........................... 32 Pascal LOINTIER ............................................................................................................. 32 La norme ISA-99, le bouclier du RSSI .......................................................... 32 Jean-Pierre HAUET .......................................................................................................... 32 Michelin, un géant sous protection ............................................................... 33 José Patrick BOE ............................................................................................................. 33 La SSI, une chimère ? ................................................................................... 33 Jean-François PACAULT .................................................................................................... 33 Des moyens de défense mis à disposition de chacun .................................... 33 Thomas PILLOT .............................................................................................................. 33 La première arme des entreprises : prendre conscience du danger .............. 34 Lieutenant-colonel Philippe DAVADIE ................................................................................. 34 La révélation des failles de sécurité, risques et enjeux ............................35 Modérateur : Martine RICOUART-MAILLET .......................................................................... 35 Obligation de sécurité informatique des données personnelles .................... 35 Bruno RASLE .................................................................................................................. 35 Air Force lutte en équipe contre les failles de sécurité ................................. 36 Willet ADOFO ................................................................................................................. 36 Le protocole d’alerte Zataz ........................................................................... 36 Damien BANCAL .............................................................................................................. 36 Le hacking éthique ....................................................................................... 37 Franck EBEL ................................................................................................................... 37 Raphaël RAULT ............................................................................................................... 37 Echanges avec la salle .................................................................................. 38 Cybersécurité, entre frein et support à la créativité et à la performance dans l'entreprise .......................................................................................39 Modérateur : Clémence CODRON ...................................................................................... 39 Les PME, une cible pour la cybercriminalité .................................................. 39 Clémence CODRON .......................................................................................................... 39 Permettre la créativité dans les limites de l’entreprise................................. 39 Luc DOUBLET ................................................................................................................. 39 Assurer la cybersécurité en entreprise ......................................................... 40 Nicolas ARPAGIAN ........................................................................................................... 40 Echanges avec la salle .................................................................................. 40 Général de corps d'armée (2S) Jean-Claude THOMANN........................................................ 40 Haine et intolérance sur le Net : quelle réponse ?....................................42 Modérateur : Adjudant Franck GIANQUINTO ...................................................................... 42 La France, dotée d’un arsenal juridique complet .......................................... 42 Laurent BAUP ................................................................................................................. 42 Eduquer pour éviter l’escalade de l’intolérance ............................................ 43 Véronique FIMA-FROMAGET ............................................................................................. 43 L’universalisation des droits de l’homme sur la toile ? ................................. 43 Monique MARCHAL .......................................................................................................... 43 Lutte contre la haine nationale en Estonie.................................................... 44 Anu BAUM ...................................................................................................................... 44 Kalev KARU .................................................................................................................... 44 Données sensibles : quelles solutions de stockage sécurisé ....................45 Modérateur : Dominique CIUPA ......................................................................................... 45 Définition de la notion de données sensibles ................................................ 45 Sabine MARCELLIN .......................................................................................................... 45 Pascal LOINTIER ............................................................................................................. 45 Fréderic MARTINEZ ......................................................................................................... 46 Risques de l’externalisation du stockage de données ................................... 46 Alain CORPEL ................................................................................................................. 46 Nicolas DEVIN ................................................................................................................ 46 Audit et contrat d’externalisation : quelles clauses essentielles ? ................ 47 Les certifications des info-gérants sont-elles des garanties de gestion des risques suffisantes ?..................................................................................... 47 Parer au risque de vol de données ................................................................ 47 Echanges avec la salle .................................................................................. 48 Plate-forme de signalement de contenus illicites : vers une plate-forme européenne ...............................................................................................49 Préambule .................................................................................................... 49 Modérateur : Christian AGHROUM ..................................................................................... 49 I-Cros, beaucoup d’attentes ......................................................................... 49 Nicola DILEONE .............................................................................................................. 49 ECOPS, l’exemple belge ................................................................................ 50 Laurent BOUNAMEAU ....................................................................................................... 50 Pharos, la plate-forme française................................................................... 50 Lieutenant-colonel Alain PERMINGEAT ............................................................................... 50 Point de contact.net ..................................................................................... 51 Quentin AOUSTIN ........................................................................................................... 51 Apport de l’UE aux plates-formes ................................................................. 51 Radomir JANSKY ............................................................................................................. 51 Echanges avec la salle .................................................................................. 51 Atelier démonstration – Module de prévention aux dangers sur internet ..................................................................................................................53 Enquêteurs N’Tech .......................................................................................................... 53 Les mineurs victimes .................................................................................... 53 Les mineurs auteurs ..................................................................................... 53 Mesures préventives..................................................................................... 54 Conclusion .................................................................................................... 54 Essor du nomadisme : une sécurité suffisante ? ......................................55 Modérateur : Jean-Philippe BICHARD................................................................................. 55 Gérer les risques humains en situation de nomadisme ................................. 55 Isabelle TISSERAND ........................................................................................................ 55 Protéger l’homme et la machine ................................................................... 55 Denis LANGLOIS ............................................................................................................. 55 Biométrie : une réponse aux exigences de sécurité ...................................... 56 Boulbaba BEN AMOR ....................................................................................................... 56 Nomadisme : une pratique à risques ............................................................ 56 Mdl/c Olivier HERLIN ....................................................................................................... 56 Le télétravailleur, un autre nomade ............................................................. 56 Sébastien VILLAIN .......................................................................................................... 56 Nomadisme et malwares : « scénario catastrophe » .................................... 57 Nicolas BRULEZ ............................................................................................................... 57 Le commerce du futur : sécurisation des données et confiance du consommateur ..........................................................................................58 Modérateur : Didier LIEVEN .............................................................................................. 58 Gérer l’identité numérique pour restaurer la confiance entre fournisseurs et utilisateurs ................................................................................................... 58 Olivier MAAS ................................................................................................................... 58 Certificats d’identité numérique pour authentifier la fiabilité des sites et des utilisateurs ................................................................................................... 59 Yannick LEPLARD ............................................................................................................ 59 Enjeux de l’authentification des produits ..................................................... 59 Xavier BARRAS ................................................................................................................ 59 Sécurisation des échanges de messages électroniques ................................ 59 Philippe LECLERC ............................................................................................................ 59 Centres de relation client et cybercriminalité ............................................... 60 Eric DHAUSSY ................................................................................................................. 60 Echanges avec la salle .................................................................................. 60 Quels profils pour les futurs Responsables sécurité des systèmes d’information (RSSI) ? ..............................................................................61 Modérateur : Pierre-Luc REFALO ....................................................................................... 61 Le RSSI : cartographie d’un profil en pleine évolution .................................. 61 Gérard LEYMARIE ............................................................................................................ 61 Portrait du RSSI : qualités, connaissances et savoirs essentiels................... 62 La santé effectue sa révolution numérique ................................................... 62 Vincent LEROUX .............................................................................................................. 62 Liliane DENIS-CUSSAGET ................................................................................................. 62 Echanges avec la salle .................................................................................. 62 Liliane DENIS-CUSSAGET ................................................................................................. 63 Conclusion .................................................................................................... 63 Cyberdéfense : quelle coopération public-privé dans le cadre du livre blanc sur la défense et la sécurité nationale ? .........................................64 Modérateur : Commandant Sébastien MORDELET ............................................................... 64 La coopération public-privé dans la cyberdéfense ........................................ 64 Guillaume TISSIER .......................................................................................................... 64 Le facteur humain dans la cybersécurité ...................................................... 64 Sébastien HEON .............................................................................................................. 64 Des partenariats public-privé dans un cadre de confiance ............................ 65 Stanislas De MAUPEOU .................................................................................................... 65 Coopération de l’ANSSI avec les CERT et le secteur privé ............................. 65 Philippe WOLF ................................................................................................................ 65 Coopération dans la lutte contre les botnets ................................................ 65 Jean-Pierre DARDAYROL .................................................................................................. 65 Echanges avec la salle .................................................................................. 66 Conférence / La protection des systèmes d’information (SI) : véritable enjeu de sécurité nationale ......................................................................67 Modérateur : Sylvain KLECZEWSKI .................................................................................... 67 Sensibiliser les entreprises à la sécurité des SI ............................................ 67 Emmanuel SARTORIUS .................................................................................................... 67 Les salariés, source de risque pour les entreprises ...................................... 67 Gilles GRAY .................................................................................................................... 67 Sensibiliser les citoyens à la sécurité informatique ...................................... 68 Patrick PAILLOUX ............................................................................................................ 68 La protection d’un opérateur d’importance vitale ......................................... 68 Jean-Jacques HENRY ....................................................................................................... 68 Le rôle du ministère de l’Intérieur dans la sécurité des SI ........................... 69 Yann JOUNOT ................................................................................................................. 69 Echanges avec la salle .................................................................................. 70 Jeux d'argent en ligne : comment combattre les sites illégaux ? ............72 Modérateur : Me Thibault VERBIEST .................................................................................. 72 Une loi pour réguler le marché des jeux en ligne .......................................... 72 François TRUCY .............................................................................................................. 72 L’ARJEL, un outil pour appliquer la loi .......................................................... 72 Frédéric EPAULARD ......................................................................................................... 72 D’importantes difficultés techniques ............................................................ 73 Cyril LEVY ...................................................................................................................... 73 Quand le légal cache l’illégal ........................................................................ 73 Frédéric ABADIE ............................................................................................................. 73 Echanges avec la salle .................................................................................. 73 Lutte anti-virale en environnement informatique ....................................74 Modérateur : Maître Garance MATHIAS .............................................................................. 74 Attaques Gumblar au Japon.......................................................................... 74 Nobutaka MANTANI ......................................................................................................... 74 L’infection virale dans les hôpitaux .............................................................. 74 Philippe LOUDENOT ......................................................................................................... 74 Les nouveaux vers ........................................................................................ 75 Marc BLANCHARD ........................................................................................................... 75 Conficker ...................................................................................................... 75 Cyrille RENAUD ............................................................................................................... 75 Echanges avec la salle .................................................................................. 76 Lutte contre les téléchargements illicites d’œuvres multimédias ............77 Modérateur : Daniel GUINIER ........................................................................................... 77 Harmoniser les législations européennes d’accès aux données personnelles 77 François HONNORAT ........................................................................................................ 77 Lutte contre les réseaux P2P au Japon ......................................................... 77 Yoshio YAMADA ............................................................................................................... 77 Techniques de détection et de caractérisation de fichiers illicites ................ 78 François HONNORAT ........................................................................................................ 78 Marc PIC ........................................................................................................................ 78 Difficultés juridiques et pratiques des lois HADOPI ...................................... 78 Corinne THIERACHE ........................................................................................................ 78 Echanges avec la salle .................................................................................. 79 E-démocratie – Opportunités et menaces pour les collectivités territoriales ...............................................................................................80 Modérateur : Richard OLSZEWSKI ..................................................................................... 80 Présentation des enjeux généraux ............................................................... 80 Bruno PIETRINI .............................................................................................................. 80 Un exemple d’utilisation des TIC dans un débat public ................................. 81 Hervé DELEERSNYDER ..................................................................................................... 81 Présentation des enjeux juridiques .............................................................. 81 Me Martine RICOUART-MAILLET ........................................................................................ 81 Exemple de la Communauté Urbaine de Lille (CUDL) .................................... 81 Fethi CHAOUI ................................................................................................................. 81 Perspectives ................................................................................................. 82 François GARAY .............................................................................................................. 82 SSI : rôle et responsabilité du chef d’entreprise ......................................83 Modérateur : Sylvaine LUCKX ........................................................................................... 83 Illustrations concrètes ................................................................................. 83 Adjudant chef David CASSEL ............................................................................................ 83 Colonel Joël FERRY ......................................................................................................... 83 L’étendue de la responsabilité du chef d’entreprise ..................................... 83 Blandine POIDEVIN ......................................................................................................... 83 La traçabilité de la responsabilité ................................................................. 84 Sébastien VILLAIN .......................................................................................................... 84 Le télétravail, source de sécurité .................................................................. 84 Serge LE ROUX ............................................................................................................... 84 Echanges avec la salle .................................................................................. 84 De la salle ...................................................................................................................... 84 Blandine POIDEVIN ......................................................................................................... 84 De la salle ...................................................................................................................... 85 Blandine POIDEVIN ......................................................................................................... 85 Etablissements bancaires : gestion de la sécurité des opérations en ligne ..................................................................................................................86 Modérateur : Me Benoît LOUVET ....................................................................................... 86 Une sécurité suffisante ? .............................................................................. 86 Me Benoît LOUVET .......................................................................................................... 86 Le client, une menace ? ................................................................................ 86 Gilles DUTEIL ................................................................................................................. 86 Clients : l’éducation à la sécurité .................................................................. 86 Patrick PICHEREAU .......................................................................................................... 86 Miser sur la non-rejouabilité ........................................................................ 87 Alexandre STERVINOU ..................................................................................................... 87 Plusieurs outils pour garantir la sécurité ...................................................... 87 Gil DELILLE .................................................................................................................... 87 Différents freins techniques ......................................................................... 87 Alain FAUVARQUE ........................................................................................................... 87 Echanges avec la salle .................................................................................. 88 La cybercriminalité s’intéresse à votre santé ...........................................89 Modérateur : Dr Vincent LEROUX ...................................................................................... 89 Panorama de la cybercriminalité dans le domaine de la santé ...................... 89 Philippe LOUDENOT ......................................................................................................... 89 La lutte contre le trafic de médicaments ...................................................... 89 Commissaire Eric OCCHINI ............................................................................................... 89 Commissaire Luis Martin PEROLIN ..................................................................................... 90 La sécurité informatique, une exigence déontologique ................................. 90 Dr Jacques LUCAS ........................................................................................................... 90 Bénéfices et risques des échanges de données pour les patients ................. 90 Christian SAOUT ............................................................................................................. 90 Anticiper les catastrophes provoquées par la cybercriminalité ..................... 91 Médecin général René NOTO ............................................................................................ 91 Echanges avec la salle .................................................................................. 91 Web 2.0, web 3.0, web2, Internet des objets : quel est l’avenir du net ? 93 Modérateur : Jean-Paul Pinte ............................................................................................ 93 Historique du web ........................................................................................ 93 Louis POUZIN ................................................................................................................. 93 Internet, un espace de non droit ? ............................................................... 93 Samuel MORILLON .......................................................................................................... 93 Olivier LE DEUFF ............................................................................................................. 94 Eric DELCROIX ................................................................................................................ 94 Internet modifie les mœurs et les valeurs .................................................... 94 Inculquer une culture technique pour une meilleure utilisation d’Internet .. 94 Laisser des traces sur Internet ..................................................................... 95 Echanges avec la salle .................................................................................. 96 Cyberinfiltration ........................................................................................97 Modérateur : Sylvia BREGER ............................................................................................. 97 Le cas français : présentation du STRJD ....................................................... 97 Lieutenant – colonel Alain PERMINGEAT ............................................................................ 97 Le fonctionnement de la cyberinfiltration au Québec.................................... 98 Sergent Sylvain TREMBLAY ............................................................................................... 98 Le cas américain : présentation de l’AFOSI .................................................. 98 Craig S. HOTALING .......................................................................................................... 98 Echanges avec la salle .................................................................................. 98 Contrefaçon sur le Net : quelles solutions ? ...........................................100 Modérateur : Maurice DHOOGE ....................................................................................... 100 Modélisation de la gestion des risques ....................................................... 100 Christophe ROQUILLY .................................................................................................... 100 Les solutions apportées par la loi ............................................................... 100 Myriam QUEMENER ....................................................................................................... 100 La démarche d’enquête en Italie ................................................................ 101 Massimo GRILLO ........................................................................................................... 101 Les solutions apportées par l’Union Européenne ........................................ 101 Christian TOURNIE ........................................................................................................ 101 Solutions pratiques et perspectives ............................................................ 101 Martin GRASSET ............................................................................................................ 101 Colloque OSCE: Une approche globale de la cyber-sécurité ...................103 Intervenants: Kurt EINZIGER, membre du conseil de l'ISPA, ancien président de l'Euro ISPA, Marco GERCKE, Director Cybercrime Research Institute, Evan KOHLMANN, Consultant terrorisme international Globalterroalert, Nemanja MALISEVIC, Associate programme officer OSCE, Raphael PERL, Head of Anti-Terrorism Issues OSCE, John ROLLINS, Specialist in Terrorism and National Security Library of Congres, Mirco RORH, Kaspersky Labs GmbH, Keith VERRALLS, Detective Inspector Counter Terrorism Command New Scotland Yard ................................................ 103 Recommendations and Suggestions ........................................................... 103 Recommandations et Suggestions [unofficial Translation] ......................... 104 Conférence plénière de clôture / Droit à l'oubli sur le Web : ultime protection de l'identité numérique ? ......................................................106 Facebook, un succès et des risques ............................................................ 106 Jacques HENNO ............................................................................................................ 106 Défendre la notion d’intimité ...................................................................... 106 Alex TURK .................................................................................................................... 106 « Etre le gendarme de ses propres données » ........................................... 107 Yves DETRAIGNE .......................................................................................................... 107 Le droit à l’oubli en entreprise .................................................................... 107 Me Blandine POIDEVIN .................................................................................................. 107 Entreprises, sécurité et technique .............................................................. 107 Me Martine RICOUART-MAILLET ...................................................................................... 107 Lieutenant-colonel Eric FREYSSINET ................................................................................ 108 Vers un droit à l’oubli international ? ......................................................... 108 L’identité numérique chez nos voisins européens....................................... 109 Coopération entre services de police .......................................................... 109 Une législation complémentaire ................................................................. 109 Echanges avec la salle ................................................................................ 110 Clôture ....................................................................................................111 Général d'armée Marc WATIN-AUGOUARD ........................................................................ 111 Sigles .......................................................................................................112 Annexes...................................................................................................114 Intervention du Général d'armée Roland GILLES, Directeur général de la Gendarmerie – Forum cybercriminalite – 01/04/2010 ............................... 114 Discours de M. Brice Hortefeux prononcé par M. BERARD, Préfet de la région Nord-Pas de Calais, Préfet du Nord, Préfet de la zone de défense Nord ...... 116 Interventions d’ouverture .......................................................................... 121 Discours d’ouverture de Stefaan De Clerck, Ministre fédéral de la Justice belge, Président de l'Eurométropole ........................................................... 124 Discours d'introduction Un cyber pôle d’excellence de lutte contre la criminalité numérique Pierre de SAINTIGNON Premier adjoint au maire de Lille – Vice-président du conseil régional du Nord – Pas de Calais Accueillir le Forum international sur la cybercriminalité (FIC) à Lille est une grande fierté pour notre ville, qui veut être une pionnière au cœur de la révolution des moyens de communication. Notre ville est au centre d’un carrefour européen et elle s’impose en tant que capitale de l’Europe du Nord. Aujourd’hui, la protection des données informatiques et la lutte contre la cybercriminalité sont des impératifs catégoriques. Ce sont par ailleurs les fondements mêmes de ce forum. Face à des menaces qui ignorent les frontières, seule une approche globale permettra de lutter contre la cybercriminalité. Il s’agit à la fois de renforcer la coopération internationale, mais aussi de donner de l’importance aux acteurs locaux, aux collectivités locales. En effet, ces dernières sont très attentives à la protection du droit du citoyen. Le FIC, car il est un outil de sensibilisation et d’information sur les dangers de la cybercriminalité, permet l’échange de bonnes pratiques. Il doit cependant trouver son prolongement dans notre quotidien ; c’est pourquoi je propose de développer, à EuraTechnologies, un cyber pôle d’excellence de lutte contre la criminalité numérique. Faisons-en le symbole d’une lutte contre les atteintes aux libertés qui se profilent derrière la cybercriminalité. Le Web, un nouvel espace pour la criminalité Stefaan de CLERCK Ministre belge de la Justice, Président de l'Eurométropole Lille-Kortrijk-Tournai Aujourd’hui, le monde virtuel se développe à une vitesse phénoménale, en nous proposant des outils qui auraient pu sembler inconcevables il y a à peine dix ans. Le Web, cet espace de libertés illimité, est dans le même temps devenu un nouvel espace pour la criminalité. A l’échelle internationale, les nombreux délits de la cybercriminalité – escroquerie organisée, attaques contre des réseaux, pédopornographie, etc. – génèrent un chiffre d’affaires supérieur à celui du trafic de drogue 1. Dans une société où la protection des systèmes d’information est essentielle, tous les acteurs doivent faire preuve de vigilance. Les utilisateurs – particuliers ou dans les entreprises – peuvent utiliser des copies de logiciels illégales ou sont parfois imprudents lors du partage d’informations personnelles. Il est impératif de lancer une campagne d’information massive pour permettre plus de sécurité. Par ailleurs, il est nécessaire de fournir un cadre à la justice et à la police, dont les évolutions sont plus lentes que celles du cyberespace. Dans ce contexte, la formation et la recherche doivent être stimulées. C’est pourquoi l’université de Louvain va bâtir un pôle national d’excellence en matière de cybercriminalité. 1 Europol évalue les pertes liées à la cybercriminalité à 700 milliards d'Euros par an (source Europol). Organisé autour de trois actions – échange de bonnes pratiques, recherches académiques et formations des services de police et de magistrature –, ce centre sollicitera évidemment la volonté transfrontalière pour lutter contre une criminalité qui ne connaît aucune frontière. De la sécurité dans le numérique Général d'armée Roland GILLES Directeur général de la Gendarmerie nationale A mesure que les mondes numériques croissent – en volume et en intensité –, la question de la sécurité devient centrale pour la société en tant que corps social, mais aussi en tant qu’ensemble des citoyens individuels. Face à cette menace, le FIC se propose d’abolir les frontières entre les différents mondes professionnels (justice et sécurité, université, entreprise et finance), mais aussi entre les échelons de traitement de la cybercriminalité (du niveau international, avec la présence de 40 pays de cinq continents, jusqu’aux collectivités locales). Il me semble aussi qu’il faut empêcher l’instauration d’une frontière entre un Etat responsable d’une part et un citoyen irresponsable d’autre part. Dans ce contexte, l’Etat doit être un promoteur équitable de la sécurité de tous et le citoyen le promoteur de sa liberté propre. Ce forum sur la cybercriminalité entend chasser la vision angélique d’un certain monde économique. Elle consisterait à dire que les territoires économiques jouissent d’une sécurité immanente et que les stratégies classiques de sécurité continueront à s’appliquer sans subir la révolution numérique. En somme, la réponse à cette menace consiste à injecter de la sécurité dans le numérique et à faire passer la sécurité à l’heure du numérique. Les engagements de l’Etat Jean-Michel BERARD Préfet de la région Nord-Pas de Calais, Préfet du Nord, Préfet de la zone de défense Nord En tant que préfet, je me ferai la voix du ministre de l’Intérieur, Brice Hortefeux. Les réseaux numériques forment un vecteur à la puissance jamais atteinte. Or, nous assistons à l’émergence de nombreuses formes de délinquance, qui se jouent des frontières et des réglementations. Enjeu fondamental pour la sécurité nationale, les technologies de l’information doivent être protégées et maîtrisées. Dans ce contexte de lutte contre la cybercriminalité, la situation est préoccupante. Les acteurs économiques sont des cibles de choix et, en France, on dénombre encore de nombreuses infrastructures extrêmement vulnérables. Des attaques sur les réseaux sont donc susceptibles de fragiliser notre économie nationale. Nous poursuivons le but de faire d’Internet un espace plus sûr. Pour mener cette lutte, nous avons besoin de la mobilisation de tous les services du ministère de l’Intérieur. Actuellement, nous pouvons compter sur 450 enquêteurs spécialisés au sein des services de police et de gendarmerie ; ils seront 600 en 2012. Le système Pharos, qui permet de signaler des contenus illicites en ligne, a recueilli 53 000 signalements en 2009 ; la moitié d’entre eux concerne des escroqueries. Dans le même temps, la plateforme Info escroquerie a traité plus de 20 000 appels. Nous devons inventer une législation adaptée et efficace, pour bloquer les sites à caractère pédopornographique. D’un point de vue moral, nous devons répondre à la violence de ces sites, qui cachent la criminalité, la prostitution infantile et les viols. Ainsi, la loi Lopsi autorise le blocage de l’accès aux sites hébergés en France. Il ne s’agit pas de restreindre l’accès des citoyens au Web ; nous œuvrons pour qu’Internet ne devienne pas une zone de non-droit. En outre, l’avènement des réseaux sociaux nous invite à mettre en place des dispositions en ce qui concerne l’usurpation d’identité. En effet, si ce délit n’est réprimé qu’en cas de préjudice financier, il faudra demain qu’il le soit au titre du préjudice moral. Ensemble, usagers, fournisseurs d’accès et autorités publiques, nous trouverons des réponses face à ces nombreux problèmes de cybercriminalité. Conférence plénière d'ouverture « La mobilisation européenne et internationale pour la lutte contre la cybercriminalité » La cybercriminalité dépasse les frontières et touche des domaines extrêmement variées (trafic de drogue, contrefaçon, pédopornographie...). Face à ce défi, l'Europe dispose d'outils de lutte efficaces: Europol et Eurojust. Mais il faut développer une harmonisation des réglementations qui dépasse l'échelle européenne. La cybercriminalité augmente ainsi tout particulièrement en Afrique. Europol, un outil européen contre la menace cybercriminelle Rob WAINWRIGHT Directeur, Europol - La Haye (Pays-Bas) La cybercriminalité, meilleur exemple de la criminalité moderne, mine la confiance de notre société, et ce de manière transnationale. La tâche d’Europol, qui peut compter sur 700 experts dans les domaines du terrorisme et de la criminalité, est de lutter contre la criminalité organisée. Cette nouvelle criminalité, complexe et d’une ampleur sans précédent, impose que les acteurs internationaux s’associent. Europol aide les pays européens à s’organiser, notamment en rassemblant des informations sur une plateforme partagée et en coordonnant des actions transfrontalières. L’Union européenne (UE) peut en effet compter sur quelque 2 millions d’unités de répression. Internet facilite le développement de la cybercriminalité, qu’elle concerne la drogue, la fraude organisée, la contrefaction ou encore l’armement. A cela s’ajoute un danger majeur, celui de l’anonymat que permet Internet. C’est dans ce contexte que des groupes organisés font du Web un outil de communication et un véritable camp de formation pour le terrorisme. Pour terminer, on estime à 1 500 le nombre de sites pédophiles. Dans notre économie numérique mondialisée, de nouvelles activités telles que le phishing – ou hameçonnage – seraient responsables d’un manque à gagner de 700 milliards d’euros par an. Le nombre d’ordinateurs piratés chaque jour est évalué à 150 000 ; ils permettent de commettre des délits ou de propager des virus et des codes malicieux. L’Internet mobile, qui n’a de cesse de se développer, entraîne davantage de fragilité ; il sera manifestement la prochaine cible des cybercriminels. Face à ce phénomène qui ne connaît aucune frontière, Europol a développé un forum d’expertise légale. En structurant l’échange de bonnes pratiques et la formation dans l’UE, ce portail permet d’augmenter le niveau d’expérience de tous les acteurs. Nos ambitions à cinq ans sont de renforcer nos capacités de lutte contre la cybercriminalité, de toujours mieux partager le renseignement, d’améliorer la collaboration avec le secteur privé et les universités et de développer une meilleure appréhension de cette menace pour la société toute entière. Eurojust, une procédure efficace à l’échelle européenne Gérard LOUBENS Représentant de la France à Eurojust - La Haye (Pays-Bas) Eurojust, créée en 2002, est une unité de coopération judiciaire européenne. Cette instance, installée à La Haye, regroupe 27 membres nationaux, qui sont autant de magistrats du parquet auxquels il faut ajouter 200 autres membres du personnel. Notre budget s’élève à 30,1 millions d’euros et nos partenaires sont divers : ministères, magistrats de liaison, Europol, juridictions nationales, réseau judiciaire européen… Eurojust instruit les dossiers qui lui sont confiés, organise des réunions de coordination, participe à des réflexions au travers de college teams et alimente les fichiers d’Europol (comme Cyborg, relatif à la cybercriminalité). Il me semble essentiel que chacun s’empare de la procédure Eurojust, car la saisine est très simple. En effet, une fois la demande effectuée, elle est soumise au collège des 27 membres, qui vérifie si l’infraction en question relève de la compétence d’Eurojust. Pour faire suite à cette réunion de niveau 1, une réunion de niveau 2 rassemble les pays concernés par la saisine. Pour terminer, des praticiens – des magistrats enquêteurs – aident les représentants des pays concernés à prendre des décisions extrêmement importantes. Le dossier Rimonabant Le dossier Rimonabant concerne des médicaments contrefaits vendus sur Internet. Fin 2005, Sanofi-Aventis dépose une plainte pour le vol de la molécule du rimonabant. Cette dernière, qui lutte contre l’obésité, entraîne d’importants effets secondaires. Le laboratoire retrouve son produit sur des sites Internet étrangers ; il s’agit de la même molécule, si ce n’est que la prescription est de 40 mg, soit le double de la dose maximale journalière prescriptible. Suite à cette plainte, une enquête a été ouverte pour contrefaçon de marque, de brevets et pour vol… Ensuite, les magistrats instructeurs en charge du dossier ont sollicité Eurojust, ce qui a abouti à une réunion de niveau 3 à La Haye. Suite aux décisions qui y ont été prises, quatre opérations de police ont été effectuées simultanément dans quatre pays. Deux ressortissants suédois qui organisaient le trafic ont été arrêtés. Le cas Koala Le cas Koala concerne une affaire de pédopornographie, qui débute en juillet 2006 lorsque la police australienne découvre une vidéo de viol infantile. Les services de police constatent qu’elle provient de Belgique, raison pour laquelle Interpol Belgique est saisi. L’auteur et ses deux victimes – de 9 et 11 ans – sont identifiés. Le réalisateur possède un studio en Ukraine et alimente un site Internet qui propose 1 million de photos et de vidéos à 2 500 clients. L’enquête a permis de déterminer que 19 pays, dont 16 européens, étaient concernés. Quatre réunions de coordination ont été nécessaires à Eurojust pour examiner les éventuelles différences juridiques concernant l’âge sexuel ou la législation sur le téléchargement. L’action d’Eurojust a conduit à l’arrestation de 25 personnes. Le nombre de dossiers qui nous ont été confiés a rapidement évolué, pour passer de 202 dossiers en 2002 à 1 372 pour l’année 2009. La lutte contre la cybercriminalité reste une des priorités opérationnelles d’Eurojust. Vers une harmonie des réglementations Alexander SEGER Head of Economic Crime Division, Directorate General of Human Rights and Legal Affairs, Conseil de l'Europe - Strasbourg (France) En ce qui concerne la lutte contre la cybercriminalité, l’Union européenne peut s’appuyer sur la Convention de Budapest, votée en 2001. Elle instaure la « lutte contre le trafic de données informatiques », criminalise certains comportements et définit un ensemble de normes internationales de référence. Cet accord a déclenché une tendance dans le sens d’une harmonisation des législations. Par exemple, le Sénégal et l’Inde ont adopté une législation conciliable avec la Convention de Budapest. Ainsi, nous pouvons légitimement affirmer qu’un pays qui souhaiterait se doter d’une législation en la matière peut s’inspirer de cette convention. Les Nations Unies proposent en ce moment l’élaboration d’une nouvelle convention au sujet de la cybercriminalité. Je crains donc que la Convention de Budapest ne souffre d’une telle concurrence. Au niveau européen, nous avons progressé dans le sens de la coopération, alors qu’une telle action semblait inconcevable il y a encore cinq ans. A cet égard, Europol et Eurojust sont des outils importants pour enquêter sur la cybercriminalité et pour former tous les acteurs. A l’avenir, un consensus de base entre les différents partenaires clés permettra un progrès. Notre but n’est pas de réduire les normes, mais bien de les harmoniser dans le monde entier. Panorama de la cybercriminalité africaine Dr Mohamed CHAWKI Magistrat au Conseil d'état d'Egypte, Président de l'Association internationale de lutte contre la cybercriminalité, Chercheur à l'ISPEC de l'Université d'Aix-Marseille III et au CEDEJ (CNRS/MAEE) – Le Caire (Egypte) La situation de la cybercriminalité africaine est tout à fait particulière. Alors que le premier pays africain utilisateur de l’Internet, l’Egypte, ne compte que 12,5 millions d’internautes, un rapport du FBI identifie trois pays africains parmi les dix premiers vecteurs de la cybercriminalité – le Nigeria est en troisième position derrière les Etats-Unis et la GrandeBretagne. Il est important de lutter contre la cybercriminalité en Afrique, parce que les fournisseurs d’accès ne sont soumis à aucune responsabilité morale, que le continent africain manque d’experts dans ce domaine et qu’aucune législation spécifique n’existe. Les manifestations de cette criminalité numérique sont de natures différentes. Par exemple, la fraude 419 – dont le numéro correspond à celui de l’article du code pénal nigérian – ou « arnaque à la nigériane » utilise l’e-mail pour prof iter de la crédulité d’un internaute et lui soutirer de l’argent 2. On retrouve aussi le phishing, qui entend obtenir un numéro bancaire par mail, ou encore le vol d’identité. En revanche, sur les 52 pays africains, seulement 9 sont soumis à une législation spécifique, notamment la Zambie, l’Algérie, le Nigeria et le Kenya. En Europe, ce sont 36 des 46 pays qui possèdent une législation spécifique. Des projets de lois sont discutés en Ouganda et en Egypte. Dans ce dernier pays, il est néanmoins possible d’invoquer certaines lois existantes telles que celles sur la propriété intellectuelle, la signature électronique ou encore la réglementation des télécommunications. Afin de combattre efficacement la cybercriminalité africaine, un travail sur trois niveaux s’impose. Tout d’abord, à l’échelon national, les réformes doivent se poursuivre, ainsi que la sensibilisation et la formation aux TIC3 et des textes réglementaires doivent être adoptés. Ensuite, à l’échelle continentale, un travail doit s’engager avec différentes instances : avec l'Organisation pour l'harmonisation en Afrique du droit des affaires (OHADA) ainsi que des actions portant sur L’ African information society initiative (AISI). Pour finir, il est impératif d’agir à l’échelle internationale dans les domaines politique, institutionnel et réglementaire. Echanges avec la salle De la salle Vous nous avez fourni de nombreuses informations sur les typologies de la cybercriminalité, mais peu de statistiques. En France, combien de personnes ont été victimes d’attaques ? Rob WAINWRIGHT Il est difficile d’estimer précisément l’impact de la cybercriminalité parce qu’elle est internationale. Nous savons que 120 000 virus et codes malicieux sont actuellement en circulation et que, chaque jour, 150 000 ordinateurs sont touchés. En somme, tous les citoyens européens sont des cibles potentielles. Dr Mohamed CHAWKI Actuellement, la France ne dispose pas de statistique précise en ce qui concerne ces infractions. 2 3 On estime que 70 % des e-mails expédiés du Nigeria vers les Etats-Unis relèvent de la fraude 419 Technologies de l’information et de la communication Alexander SEGER La majeure partie de ces attaques provient du Nigeria. Or, il ne s’agit pas de cybercriminalité en tant que telle, car elle n’est pas pénalisée. Des poursuites ne peuvent être engagées qu’en cas de fraude bancaire ou financière. Dr Mohamed CHAWKI Le fait que neuf pays africains possèdent une législation n’est pas suffisant. Il faut que des spécialistes se penchent sur le problème pour qu’une fois le fraudeur identifié, il puisse être placé derrière les verrous. En 1991, un virus a sévi sur Internet ; le FBI et la CIA avaient identifié les hackers philippins à l’origine de l’attaque. En l’absence de réglementation appropriée aux Philippines, ils ont été innocentés. De la salle Pensez-vous que la formation à destination des juges est suffisante pour qu’ils aient le réflexe de saisir Eurojust ? Gérard LOUBENS Il me semble que la formation n’est pas suffisante. Actuellement, je me rends dans les huit juridictions interrégionales spécialisées et les invite à nous saisir. En ce qui concerne les magistrats de liaison, il arrive qu’Eurojust porte une assistance juridique à certains pays. Ainsi, nous avons mis en place un protocole d’assistance avec huit pays et avons un point de contact avec 23 autres. De la salle S’agissant d’Europol, quelle sera la stratégie future et les perspectives à trois et cinq ans ? Rob WAINWRIGHT Nous avons observé les bonnes pratiques dans de nombreux pays et avons remarqué qu’elles étaient généralement indépendantes les unes des autres. Or, nous savons à l’heure actuelle que la menace cybercriminelle impose une réaction transnationale. Europol aspire à un meilleur lien entre les pays membres, de manière à aboutir à une réponse intégrée au sein de l’Union européenne. Notre mission prioritaire est d’assurer la sécurité et la sûreté au cœur de l’Union européenne, d’où la nécessité de continuer à développer notre plateforme d’échanges des bonnes pratiques. De la salle Qu’en est-il de la protection contre les attaques du système informatique d’Europol ? Rob WAINWRIGHT Nos mesures de sécurités sont extrêmement strictes. De la salle Pouvez-vous nous fournir quelques détails sur les systèmes de reporting au sein de l’UE ? Rob WAINWRIGHT Grâce à notre forum, des équipes de police peuvent échanger des notifications et des mémos afin de communiquer entre collègues à l’échelle européenne. E-réputation et Social engineering : nouvel enjeu de société Internet regorge d’informations, d’archives et de données parfois sensibles… Dans ces conditions, il est possible d’en extraire des bribes à des fins malveillantes, au besoin en manipulant l'internaute (social engineering ). Par ailleurs, cette inflation des contenus personnels en ligne impose une gestion de la e-réputation. Elle peut concerner les individus mais aussi et surtout les entreprises et les services de police, tant en interne qu’en externe. Si la visibilté est assez simple à contrôler, il n'en est pas de même pour la e-réputation. Cela nécessite des efforts de pédagogie, notammentsur l'utilisation des réseaux sociaux et la mise en place d’une veille (suivi constant de l’évolution des technologies par exemple). Modérateur : Jean-Paul PINTE Docteur en information scientifique et technique, Maître de conférences, Expert en veille et intelligence compétitive à l'Université catholique de Lille, Lieutenant-colonel (LC) de la gendarmerie nationale - Lille (France) Attention au social engineering Garance MATHIAS Avocat spécialisé dans le droit des nouvelles technologies - Paris (France) Le social engineering, pratique consistant à manipuler par toute méthode une ou plusieurs personnes afin d'obtenir des informations sensibles, a connu une progression fulgurante suite à l’avènement du Web 2.0 et cela même si cette pratique est ancienne. Dans une société où l’utilisateur conserve toutes ses informations (mails archivés…), il existe une somme d’informations qui peuvent être utilisées à des fins malveillantes. Les attaques peuvent être matérielles (à partir des informations confidentielles jetées à la poubelle mais pas détruites), personnelles (recherche de coordonnées sur 123People) ou numériques (usurpation d’identité ou accès à un réseau non autorisé). « Je pars en vacances cet été dans le Sud » Marc BLANCHARD Epidémiologiste, Directeur des laboratoires BitDefender en France- Montrouge (France) Sur l’ensemble de nos conversations, 10 % peuvent être exploitées par le social engineering , le reste n’est que garbage . Sur le Web, quand je réponds publiquement à la question « Tu pars en vacances ? » , je donne de nombreuses informations à d’éventuels attaquants. « Je pars cet été dans le Sud de la France » offre des informations isomorphiques (il part seul ou reste discret sur sa famille), homomorphiques (il renseigne les dates de disponibilité de ses systèmes d’informations) et qui concernent le système d’influence (il consultera peu ses emails et le système sera ouvert). C’est la raison pour laquelle il faut faire attention à ce que l’on écrit. En effet un attaquant ne pense pas comme vous: une information qui peut vous sembler anodine peut avoir une grande valeur pour qui saura s'en servir. La e-réputation par les salariés et la veille Liane MATHIAUT Responsable Veille-Image, Direction de la communication de la SNCF - Paris (France) La SNCF compte 220 000 salariés et autant de personnes capables de prendre la parole et d’avoir une influence sur la e-réputation de l’entreprise. Depuis 2009, nous formons l’ensemble du personnel à « Attitude 3D ». Ce programme de bonnes pratiques apprend à crypter les mails confidentiels, à être vigilant sur les réseaux sociaux où lors d’une conversation dans un lieu public. En outre, nous avons mis en place il y a quelques années une veille concernant notre image. Nous analysons les tendances à partir des blogs, des forums ou des médias en ligne pour comprendre l’image de l’entreprise sur Internet. Les décideurs reçoivent des alertes et peuvent réagir dans des conditions plus confortables. De plus, nous évaluons les sujets sensibles à venir afin de les anticiper (en préparant des réponses par exemple). Enfin nous surveillons les ventes d'objet « corporate » sur des plates-formes comme e-bay Typologie des prises de parole Me Olivier ITEANU Avocat, Président honoraire de l'ISOC 4France - Paris (France) La prise de parole des internautes peut faire reculer les projets d’un certain nombre d’entreprises ou de marques. Par exemple, les blogueurs ont de plus en plus d’influence et ils constituent parfois un véritable pouvoir. Il faut bien distinguer deux prises de parole : d’une part, celle des collaborateurs d’une entreprise, qu’il est nécessaire de réguler par des outils pédagogiques (charte d’usage d’Internet) ou même juridiques (en cas de diffamation ou de révélation d’un secret industriel par exemple) ; d’autre part, celles des personnes extérieures à l’entreprise et qui sont susceptibles d’exercer une influence néfaste sur son image. Dans ce dernier cas, si les limites de la liberté d’expression sont dépassées, un arsenal juridique peut être mis en branle… mais à condition de repérer l’internaute, souvent anonyme (identification grâce à l’IP). Doper son e-réputation Emilie OGEZ Experte en médias sociaux et gestion de l'identité numérique - Paris (France) Internet peut être un véritable tremplin pour gagner en visibilité : d’un point de vue personnel (trouver un emploi) ou professionnel (développer une marque). Mais si l’on peut contrôler sa visibilité, on ne gère pas ce que l’on dit de nous. La e-réputation renvoie à un ensemble de traces volontaires (laissées par l’internaute) et involontaires (laissées par d’autres internautes sur la personne en question). Le défi est de contrôler sa réputation dans un flux grossissant d’informations et de supports. C’est pourquoi il est impératif que l’internaute utilise les outils adaptés à ces objectifs et besoins (moteurs de blogs, suivi de commentaires, recherche sur 4 Internet Society Twitter…). Pour les entreprises disposant de peu de moyens, les alertes google permettent une veille relativement efficace. Utiliser les réseaux sociaux à des fins d’enquête Capitaine Frédérick GAUDREAU Responsable du bureau de coordination des enquêtes sur les délits informatiques, Sûreté du Québec Montréal (Canada) Le paradoxe actuel est que les gens se plaignent de l’intrusion de l’Etat alors qu’ils exposent de plus en plus d’informations personnelles sur des sites accessibles à tous. En 2010, les services de police en apprennent plus sur Facebook que dans leurs bases de données traditionnelles. Mais si les policiers utilisent ces données (en complément d’autres preuves) devant un juge, les avocats de la défense n’hésitent pas à ternir l’image des enquêteurs. C’est pourquoi nous devons répéter à nos policiers de faire attention à ce qu’ils disent sur les réseaux sociaux. Mais aussi à ce qu’ils font : un agent new-yorkais a trahi la confidentialité d’une enquête en diffusant sur le Web les photos d’une scène de crime. Nota : mardi 30 mars, le réseau de distribution d'applications Blue Cat Systems a rendu public un rapport très complet sur les tendances de la cybercriminalité: de 2008 à 2009, le nombre d'attaques utilisant des sites communautaires a augmenté de 500%. Selon ce rapport, les gens sont plus prudents à l'égard des e-mails, cependant la prise de conscience des menaces émanant des forums, réseaux sociaux... reste très faible. Jeux d’argent en ligne : la lutte contre la fraude s’organise Sans être totalement nouvelles, les fraudes liées aux jeux d’argent en ligne intéressent la criminalité organisée en raison des enjeux financiers (possibilités de manipulation, de détournement), et des possibilités de recyclage d’argent sale venu d’ailleurs. Désormais, la 3 e directive européenne anti blanchiment (2005/60/CE), désormais transposée en droit français, s’impose aux casinos et aux jeux en ligne ; de plus, une loi française spécifique aux jeux en ligne et plus contraignante pour les opérateurs est actuellement en discussion au Parlement français. Et les probables mesures techniques et réglementaires qui en découlent sont plutôt rassurantes. Reste à organiser et coordonner la lutte à l’échelle européenne et internationale, ce qui est complexe, étant donné la diversité des lois et réglementations existantes. Modérateur : Juliette de la NOUE Directeur éthique & jeu responsable, Mangas Gaming (Paris) Une concentration de menaces connues Olivier KHUN Directeur des opérations Média & Telecom, Atos Wordline (Seclin) Les risques de fraude sont assez classiques et inhérents au commerce en ligne. On distingue la manipulation des résultats sportifs, la corruption et la tricherie d’un côté et les situations de jeux anormales de l’autre (escroqueries dont sont victimes des joueurs). La fraude liée aux moyens de paiement est un troisième pan de menaces : test ou utilisation de numéros de cartes bleues récupérées malhonnêtement par exemple. L’Etat a bien conscience des enjeux : la future loi sera dure pour les opérateurs, qui devront s’assurer de l’identité du joueur candidat, restreindre les moyens de paiement, tracer et archiver les opérations de jeux pendant 5 ans, etc. Cette « boîte noire » sera mise à disposition de l’Arjel5 ou des cyberdouaniers en cas d’enquête. Elle leur offrira des moyens d’investigation solides, dont ils ne disposent pas dans le monde physique. Point de vue d’un opérateur de paiement Bertrand LATHOUD Information risk manager EU, Paypal (Luxembourg) Paypal, créée en 1998 et rachetée en 2002 par Ebay, est opérateur de paiement en ligne partout en Europe, les jeux en ligne représentant 15 % des volumes de paiement. Chaque compte Paypal présente un identifiant unique et il est alimenté par plusieurs moyens (carte de crédit, virements…). Nous étudions à l’échelle mondiale la délinquance en ligne. Depuis environ 2 ans, nous observons l’émergence d’un véritable marché de la délinquance en ligne dans lequel des groupes offrent des services criminels. Leur process est rôdé : repérage de cibles, préparation de l’attaque, mise en œuvre, création de monnaie et enfin blanchiment, l’étape la 5 Autorité de régulation des jeux en ligne (Arjel) plus épineuse pour les criminels. De notre point de vue, les risques traditionnels liés aux jeux se complexifient en raison des menaces liées au crime électronique, et un miracle technologique ou réglementaire ne résoudra pas tout. Nous avons la conviction que la lutte consiste en un ensemble de mesures. Quels sont les principes de notre politique de protection ? Nous appliquons les mêmes mesures que les établissements de crédit : gestion du risque « pays », paiements exclusivement en circuit fermé, vérifications systématiques (de l’identité jusqu’à la situation financière) lors de l’ouverture d’un compte, et du franchissement de certains seuils. Les opérateurs illégaux sont bien sûr bloqués. En interne, notre équipe « sécurité des systèmes d’information » collabore étroitement avec les forces de l’ordre : Ainsi, 250 personnes sont chargées de l’analyse des risques, et 2 500 agents opérationnels neutralisent les risques sur le terrain. A l’échelle mondiale, industries et pouvoirs publics – en partenariat – ont tous un rôle à jouer dans la déstabilisation des marchés criminels, en leur rendant la vie impossible (augmentation des coûts, dissuasion). En matière de cybercriminalité, les spécialistes ne sont pas si nombreux, et une fois identifiés et arrêtés, les mouvements criminels auxquels ils appartiennent peuvent vraiment être freinés. Point de vue d’un opérateur de jeu en ligne Angelika KOLLER Senior Team Leader Fraud & Risk, Sportingbet (Royaume-Uni) Depuis les risques de collusion entre joueurs de pokers jusqu’aux jetons frauduleux, l’éventail des fraudes est clairement établi. Tout comme un établissement de crédit, nous analysons la situation financière des clients potentiels. Les procédures quotidiennes, lors de la création d’un compte par exemple, sont particulièrement strictes. Un seul exemple : si un même client détient des comptes bancaires à Lille, Paris, et Toulouse, il est rejeté d’office. Un deuxième cercle de mesures consiste à limiter les sommes misées, la création de comptes Sportingbet (un seul autorisé), et même à imposer un seul ordinateur où la connexion est possible. Nous vérifions les informations données par le client (en lien avec les banques) ou encore la cohérence de jeu : un joueur mauvais devenant tout à coup un très grand joueur constitue une alerte. Nos mesures graduelles face au risque sont des demandes d’informations supplémentaires, puis des mesures de restriction, puis une inscription à notre liste noire. Nous menons des comparaisons entre nos bases de données et celle répertoriant les terroristes, les personnes exposées politiquement, ou encore les joueurs addictifs. Nous avons parfaitement conscience de notre co-responsabilité vis-à-vis du blanchiment d’argent. En cas de soupçon sur une transaction, notre rapport détaillé est communiqué aux forces de l’ordre. Les joueurs résidant dans certains pays d’Afrique de l’Ouest ne sont pas autorisés, ainsi que ceux des pays de l’ex-Union soviétique : c’est une question de confiance dans leur système de lutte contre le blanchiment. Un cadre juridique européen César LORENZANA GONZALEZ Groupe criminalité informatique, centre opérationnel de la Guardia civil (Madrid) Nous allons devoir vivre avec ces risques, car les paris et les jeux en ligne feront toujours partie des solutions pour le blanchiment. Si la France s’apprête à réglementer les sites de jeux en ligne, en Espagne la réglementation est inexistante. Même si vous voyez des publicités sur les T-shirt de joueurs de football, ces sites ne sont généralement pas légaux ! Les opérateurs ont évoqué l’identification des utilisateurs, mais le problème reste entier sur Internet pour toute l’activité commerciale : il sera toujours impossible d’identifier formellement la personne derrière l’ordinateur. On connaît aussi la difficulté d’intenter des procédures contre une société dont les bases légales se situent dans des pays n’ayant pas noué d’accords avec le nôtre. Or, il est facile pour les criminels de récupérer un numéro de carte de crédit, de faire des paris, de mettre l’argent sur Money Bookers, et de récupérer le cash. La transaction prend 15 minutes, et les forces de l’ordre mettront peut-être 5 ans pour retrouver le criminel : les données auront alors disparu. Créons donc un cadre juridique européen. Puisque les criminels se déplacent rapidement, et dans le monde entier, nous aussi pouvoirs publics devons éliminer les frontières. Que fait la Commission européenne ? Chef d’escadron de Gendarmerie Christian TOURNIE Expert national détaché, Direction générale justice, libertés, et sécurité (DG/JLS), Bruxelles Notre mission consiste à lutter contre la criminalité organisée et à mener un travail normatif en concertation avec les différents Etats de l’Union. Entre liberté d’établissement et règles, nous recherchons sans cesse un équilibre. Pour les jeux en ligne, l’idée prédominante est qu’il ne s’agit pas de services comme les autres : les Etats membres pourraient donc choisir leur approche en veillant à rester conformes aux traités. Les travaux du Conseil européen mettent en effet en évidence des différences de pratiques du jeu dans les 27 Etats. La lutte contre la criminalité organisée est un autre défi. Dans certains Etats, une fraude est punie par une simple amende, ce qui n’est pas de nature à renforcer la coordination entre les pays. Derrière les paris sportifs en ligne apparaît le sujet du financement du sport : une étude sur les rapports entre jeux et sports sera financée par la Commission européenne. Pour être opérationnels enfin, il nous faut en Europe des enquêteurs spécialistes des investigations financières, des juristes aguerris, des techniciens de haut vol : le progrès ici passera par la recherche et la formation, que la Commission soutiendra financièrement. Echanges avec la salle De la salle L’arrivée du PMU et de la Française des jeux en ligne change-t-elle la donne ? Juliette de NOUE Non, l’intérêt du PMU et la Française des jeux pour les jeux en ligne n’est pas nouveau. Par ailleurs, le fait que l’Etat soit actionnaire de la Française des jeux (72 %) ne change pas grandchose à l’échelle européenne. De la salle Où en sont les projets sur l’identité numérique certifiée ? Olivier KHUN Le projet de carte d’identité électronique, envisagée pour authentifier l’internaute, est effectivement dans les tuyaux du gouvernement. De la salle Que faire pour les sites illégaux ? Olivier KHUN Les sites illégaux n’auront pas d’agrément et figureront donc sur une liste noire. Le projet de loi prévoit un blocage des paiements et une mesure technique de blocage d’accès au site par les Fournisseurs d’accès à Internet. Présentation des outils de sensibilisation aux dangers d’Internet Les pouvoirs publics et les associations ont développé différents programmes et outils pour sensibiliser le public aux dangers d’Internet. Dès l’école primaire, les enfants sont familiarisés à Internet sans avoir conscience des risques qu'ils encourent, et les faits divers numériques sont en constante augmentation (et ce dans tous les milieux). Les parents doivent prendre conscience de leur rôle essentiel de prévention. Mais n’est-il pas réducteur de ne considérer Internet que sous l’angle des dangers ? Parents, enfants et grands-parents doivent certes être sensibilisés à ces risques, mais ils doivent maîtriser cet outil et prendrre conscience de leur responsabilité citoyenne lorsqu’ils naviguent et publient des informations sur la toile. Modérateur : Carole GAY Responsable des affaires juridiques et réglementaires, Association des fournisseurs d'accès et de services Internet (AFA), Paris Sensibiliser les parents aux dangers d’Internet Capitaine Didier PETIT Officier prévention-partenariat, Groupement de gendarmerie du Pas-de-Calais - Arras (France) Depuis quelques années, le Groupement de gendarmerie du Pas-de-Calais développe une action judiciaire contre les infractions sur Internet et une action préventive, menée en partenariat avec l’Education nationale. En 2009, 5 200 collégiens ont ainsi été sensibilisés aux risques qu’ils encourent en tant que victime ou auteur sur Internet. Le groupement a également sensibilisé 450 parents, car ceux-ci doivent jouer le premier rôle de la prévention aux risques. Prévenir la cybercriminalité envers les mineurs Sidi-Mohammed BELDJILALI Etudiant-chercheur en relations internationales, membre de la Ligue des Droits de l'Homme - Colmar (France) Comment prévenir les jeunes de la cybercriminalité, définie comme « l’ensemble des infractions commises sur Internet » ? En effet, l’anonymat du cyberespace offre à cette population un sentiment de liberté désinhibant qui peut les mettre en danger. Les 1217 ans sont les plus vulnérables. En réponse, le programme WebPrévention, engagé avec différents partenaires (forces de l’ordre, parents, enseignants…) vise à éduquer les jeunes aux dangers de la toile. Comprendre Internet Laurent BAUP Juriste et chargé de mission, Legal connel, Forum des droits sur l'Internet - Paris (France) Créé en 2001, le Forum des droits sur l’Internet est un organisme de co-régulation réunissant les industriels, la société civile et les institutions. Il travaille principalement à l’élaboration de recommandations. Celle intitulée « Les enfants du net » a permis la création d’une nouvelle incrimination pénale : l’émission de propositions à caractère sexuel à destination de mineurs par le biais d’Internet. Il ne s’agit pas seulement de sensibiliser les internautes aux dangers d’Internet, mais surtout de les aider à maîtriser cet outil et à comprendre leurs responsabilités sur la toile. Pour ce faire, le Forum a publié trois guides et 400 fiches pratiques6, il offre également des services de médiation et d’information en ligne. Ces outils de sensibilisation doivent toucher le plus grand nombre : mineurs, parents, grands-parents… 2025 exmachina Emilie PEINCHAUD Chargée de communication, Tralalère, Internet Sans Crainte - Paris (France) [Projection de la bande-annonce de « 2025 exmachina »] Les adolescents français connaissent très bien les règles du Web, mais ils ne les appliquent pas nécessairement. « Internet sans crainte », le programme national de sensibilisation des jeunes aux bons usages de l’Internet, a donc créé 2025 exmachina7, un serious game d’éducation critique aux médias. Son objectif est notamment de faire prendre conscience aux adolescents de l’impact de leurs actions ou leurs responsabilités sur la toile. Action Innocence Vanessa COUPEZ Psychologue, responsable de la prévention, Action Innocence France - Paris (France) Outre la lutte menée avec les services de police d’Europe contre les fichiers pédopornographiques, la prévention sur les dangers d’Internet dans les établissements scolaires et auprès des gendarmes est une action primordiale de l’association Action Innocence. En CM2, un enfant sur deux a déjà vu des images pornographiques, mais il n’en parle pas de peur d’être puni. L’association a donc mis en place différents modules de prévention pour les 8-12 ans et les collégiens. Elle intervient surtout à la demande de parents ou de professionnels déroutés par un fait divers numérique survenu dans leur établissement. En 2009, en France, 15 000 adolescents ont été ainsi sensibilisés. Ces faits divers numériques, en constante augmentation, touchent tous les établissements, toutes les classes sociales, autant en milieu rural qu’urbain. 6 7 Disponibles gratuitement sur www.foruminternet.org www.2025exmachina.net La prévention doit reposer sur un cadre, favoriser le dialogue, responsabiliser les enfants et intégrer l’éducation aux Nouvelles technologies de l’information et de la communication (NTIC) dans l’éducation parentale. Protéger les jeunes Jean-Luc MARTIN Représentant de l'Ecole des grands-parents européens (EGPE) Nord - Lille (France) Les résultats de deux enquêtes, l’une réalisée par l’EGPE auprès de 305 jeunes de l’agglomération de Lille-Roubaix-Tourcoing, l’autre par l’UDAF 8 auprès de parents du département du Nord, démontrent l’urgence de sensibiliser les jeunes, les parents et les grands-parents aux intérêts et dangers d’Internet. D’après la première enquête, la plupart des jeunes possède un mobile (presque 100 %), un ordinateur (70 %), une console de jeux (58 %) et une télévision (56 %). De nombreux jeunes passent ainsi beaucoup de temps devant leur écran. 81 % des jeunes déclarent avoir eu des propositions sur Internet (échanges de messages, rencontres…) et 82 % des ordinateurs sont utilisés sans contrôle parental. Les parents doivent donc protéger leurs enfants et ne pas surestimer leur autodiscipline. Safer Internet Carole GAY Responsable des affaires juridiques et réglementaires, Association des fournisseurs d'accès et de services Internet (AFA), Paris Depuis 1999, la Commission européenne a successivement mis en place trois programmes « Safer Internet » 9 pour rendre Internet plus sûr. Un réseau européen de helplines, de hotlines (permettant aux internautes de signaler les contenus illicites) et de nœuds de sensibilisation (« Internet sans crainte » en France) a ainsi été créé. Chaque pays adapte les directives émises par le programme européen. Gérée par l’Association des fournisseurs d’accès et de services Internet (AFA), la hotline française a reçu, en 2009, 8 000 signalements de sites, dont 2 970 étaient potentiellement illégaux. L’AFA a également collaboré à la publication d’une norme AFNOR sur la performance des solutions de contrôle parental proposées par les Fournisseurs d’accès à Internet (FAI). 8 Union nationale des associations familiales Premier programme de 1999 à 2004 (budget : 38,3 millions d’euros), deuxième programme de 2005 à 2008 (budget : 45 millions d’euros), troisième programme de 2009 à 2013 (budget : 55 millions d’euros) 9 Echanges avec la salle De la salle Pouvez-vous évaluer le contrôle parental proposé par Microsoft ? Réponse commune des intervenants Le site www.filtra.info classe les différents logiciels de contrôle parental, mais ceux-ci ne remplaceront jamais la surveillance des parents. De la salle Les programmes scolaires font également de la prévention sur les dangers d’Internet… Réponse commune des intervenants Il existe effectivement le B2I, mais l’Education nationale semble en retard en matière de prévention. De la salle Les différents projets présentés ne sont-ils pas concurrents ? Avez-vous prévu de regrouper vos actions ? Réponse commune des intervenants Tous les partenaires sont regroupés au niveau européen et collaborent ponctuellement, comme sur le projet Pédagojeux10. Mais chacun développe des thématiques spécifiques et trouve sa place dans le champ vaste de la prévention. 10 www.pedagojeux.fr L'informatique industrielle, talon d'Achille des entreprises La sécurité des entreprises passe aujourd’hui par une prise de conscience des nombreux dangers auxquels sont exposés leurs Systèmes d’Informations (SI). Les responsables de leur sûreté font face à des pratiques endémiques à risques qu’il est difficile de modifier. Les risques encourus ne sont plus seulement dus à des menaces accidentelles mais de plus en plus à des actions intentionnelles. La prise de conscience de cet enjeu est donc capitale. Si l’Etat semble en prendre désormais la mesure en protégeant les secteurs critiques et en proposant des inspections (notamment avec l'ANSSI), il manque cependant cruellement d’experts formés et d’outils suffisants. Les entreprises s’en remettent donc souvent aux initiatives privées (International Society of Automation) ou internes. Il faut à ce sujet réaffirmer l'importance des RSSI. Modérateur : Jean-Claude BOURRET Journaliste - Paris (France) [Projection d’une vidéo L'informatique industrielle, talon d'Achille des entreprises] Des entreprises de plus en plus vulnérables Victor VUILLARD Chef du bureau inspection au sein de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) - Paris (France) L’ANSSI procède à des inspections de sécurité chez des opérateurs publics et privés « d’importance vitale », dans le secteur de l’énergie ou de la défense notamment. Ces audits révèlent que la sécurité physique (protéger le périmètre d’une usine par exemple) obtient de bonnes performances. En revanche, la protection des systèmes d’informations (SI) est une préoccupation récente, voire inexistante en l’absence d’obligation. Les industriels doivent comprendre que la sûreté doit certes prendre en compte des menaces accidentelles mais également des menaces intentionnelles envers la continuité de la production et envers la protection des personnes et de l’environnement (centrale nucléaire…). Les défenses traditionnelles, souvent dupliquées à plusieurs niveaux, ne protègent donc pas efficacement des attaques malveillantes. L’exploitation des vulnérabilités était hier affaire de spécialistes mais aujourd’hui, les failles sont plus faciles à exploiter, fragilisées par la mise en marché de systèmes d’exploitation grand public moins coûteux : il en résulte des vulnérabilités au quotidien pour les entreprises. Les impératifs de production en continu ou de contrôle à distance de la production (SCADA) et les trop longs cycles de renouvellement des équipements sont autant de facteurs aggravants pour le monde industriel. Cependant, des solutions simples existent comme la suppression des systèmes de mots de passe par défaut ou une meilleure conciliation des objectifs respectifs des industriels et de leurs chargés de Sécurité des Systèmes d’Informations (SSI). Les services généraux : le cheval de Troie des entreprises Pascal LOINTIER Président du Club de la sécurité de l'informatique français (CLUSIF), Conseiller sécurité de l'information CHARTIS - Paris (France) La compréhension par les chefs d’entreprises des enjeux de la SSI est capitale. Il est donc nécessaire de les éclairer sur les dangers que peuvent notamment présenter leurs services généraux, cibles fréquentes de malveillance. On relève d’ailleurs plusieurs types de failles dans ces services qui peuvent avoir de graves conséquences. La migration IP des équipements a mis à jour des risques d’attaque via les périphériques (virus CodeRed dès 2001) et la destruction ou mise hors service d’équipements annexes (groupes électrogènes numérisés en 2007, ventilation d’un hôpital en 2009). Les dispositifs SCADA et les réseaux Wif i pour l’accès à distance ou le transfert de données sont vecteurs d’autres malveillances : prise de contrôle de systèmes de surveillance caméra, interception d’informations, voire arrêt de l’activité de certaines entreprises (feux de signalisation de Los Angeles en 2009). Il faut insister sur le fait que tout le monde, sans exception, est concerné dans l’entreprise. Dans les entreprises où il n’existe pas encore de matériel pour la convergence de la SSI et des services généraux, le Responsable de la Sécurité des Systèmes d’information (RSSI) est d’autant plus central pour la sécurité des équipements. La norme ISA-99, le bouclier du RSSI Jean-Pierre HAUET Président de l'ISA France - Paris (France) L’International Society of Automation (ISA) crée des standards internationaux et des cahiers des charges pour les professionnels de l’automatisme, du contrôle et de l’instrumentation. Les failles existantes identifiées suite au 11 septembre 2001 dans les secteurs critiques (énergie…) ont élevé la cybersécurité au rang de priorité pour l’ISA. Le risque de perte de données ou de mise en danger de l’environnement est bien réel. De plus, de nouvelles situations à risques se présentent aujourd’hui comme les collaborations interentreprises (échanges de clés USB…) ou l’utilisation de systèmes banalisés (attaque du Large Hadron Collider en 2008). Malheureusement les entreprises communiquent actuellement peu sur ces sujets. La création de la norme ISA-99 répond à ces préoccupations. Sa démarche repose sur une analyse rationnelle des actifs à protéger et des menaces potentielles, dans le but de construire une architecture sécurisée. Elle s’appuie sur la « défense en profondeur » qui multiplie les défenses et cloisonne les zones potentiellement défaillantes. Néanmoins, le pré-requis à ces mesures est la convergence des personnels vers une culture cybersécuritaire. Michelin, un géant sous protection José Patrick BOE Responsable sûreté des systèmes d'information, Groupe Sûreté Michelin - Clermont-Ferrand (France) Michelin, en tant que groupe international, a un impératif d’homogénéité de sa politique de sûreté. Il la divise en deux domaines : la protection physique et la sûreté de l’information. Trois types de besoins de SSI y sont déclinés : la confidentialité, pour protéger les « technologies joyaux » ; l’intégrité des données - pour assurer la qualité des produits - et du système - pour garantir la sécurité des postes de travail ; enfin, la disponibilité pour maintenir la continuité de l’outil de production. Pour établir une liste des risques, la méthode de Michelin repose d’abord sur une étude de la corrélation entre les menaces génériques et les vulnérabilités identifiées en interne. Ensuite, des règles générales sont ainsi établies et déclinées sur chaque SI. Les solutions mises en place vont du cloisonnement (des réseaux d’automates par exemple), à la sécurisation des SI de production (la maintenance…), jusqu’à la protection des transferts de données en passant par l’exclusion des outils de bureautique. Enfin, un Système de Management de la Sûreté de l’Information s’avère primordial pour clarifier les responsabilités et simplifier les réponses aux clients. La SSI, une chimère ? Jean-François PACAULT Service du haut fonctionnaire de défense et de sécurité, Ministère de l'économie, industrie et de l'emploi (MEIE) - Paris (France) La protection de l’informatique des entreprises tend à s’améliorer (ISA, Michelin…) mais pas assez rapidement face au développement des incidents constatés. Les Etats sont d’ores et déjà sensibilisés et leurs interventions peuvent accélérer ce processus grâce aux guides de bonnes pratiques ou à leur action auprès des secteurs sensibles (l’énergie…). Un travail de sensibilisation reste à faire auprès des chefs d’entreprises. Hormis aux USA où des formations et des actions de recherche existent, l’expertise reste rare en France. De ce fait, les quelques réglementations qui incluent implicitement la SSI sont rarement appliquées. Le MEIE tente d’y remédier à travers des formations et des guides, mais insiste sur un indispensable dialogue entre RSSI et chefs d’entreprises. Des moyens de défense mis à disposition de chacun Thomas PILLOT Chef du Service développement industriel et technologique, Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) - Douai (France) La mission de la DIRECCTE et de son équipe d’ingénieurs est ici de défendre la compétitivité des entreprises du territoire (PME, tailles intermédiaires) en mettant à leur disposition des informations qui leur sont difficilement accessibles. Ainsi, sous l’impulsion du programme « Sécurité Economique », l’intelligence économique et la SSI sont abordées d’abord à travers des questionnaires pour évaluer les niveaux de connaissances puis via des recommandations et des mises en relation avec des entreprises spécialisées. La première arme des entreprises : prendre conscience du danger Lieutenant-colonel Philippe DAVADIE Commandant le groupement de gendarmerie de l'Indre - Châteauroux (France) La SSI demeure un sujet méconnu bien que très sensible. S’il concerne tous les secteurs et les PME autant que les grands groupes, les niveaux de connaissance sont très inégaux. Ainsi, on peut pointer du doigt plus particulièrement en France le secteur de l’agroalimentaire qui semble ne pas réaliser l’importance de la SSI face à l’enjeu de sécurité sanitaire par exemple. L’Etat s’implique et propose divers outils (guides, DVD…) pour sensibiliser les entreprises à cet enjeu qui dépasse la simple sécurité bureautique et concerne à terme leur compétitivité. La révélation des failles de sécurité, risques et enjeux La protection des données personnelles sur la toile passe peu à peu le pas de la législation. Si les réponses apportées à ce problème divergent, la prise de conscience est de plus en plus forte. Le mot d’ordre est la responsabilisation de tous : utilisateurs, entreprises, opérateurs télécom… La loi Informatique et libertés invitait déjà depuis 2004 à prendre les précautions pour éviter les failles de sécurité, mais les textes en cours vont plus loin et obligeront bientôt à signaler ces failles. Les organisations (entreprises, associations ou institutions), qui brassent de nombreuses données informatiques sensibles, prennent ces risques très au sérieux. Elles sont nombreuses depuis 2005 à avoir choisi de désigner un correspondant informatique et liberté et/ou un responsable de la sécurité des systèmes d’information (RSSI). Modérateur : Martine RICOUART-MAILLET Avocat associé, BRM Avocats – Lille (France) Deux textes de loi en cours obligent à révéler les failles de sécurité à la CNIL ou au correspondant informatique et liberté d’une entreprise : - Une Directive européenne (prévue pour mai 2011) ne concernant que les opérateurs télécom - la proposition de loi du 23 mars 2010 concernant toutes les entreprises françaises. Obligation de sécurité informatique des données personnelles Bruno RASLE Délégué général de l’Association française des correspondants aux données personnelles (AFCDP) – Paris (France) Depuis sa modification en 2004, la loi Informatique et libertés invite les responsables du traitement à prendre toutes les précautions utiles pour protéger les données personnelles. En cas de manquement à cette obligation de moyens, le risque pénal encouru est de 5 ans de prison et 300 000 € d’amende. Déjà passée en première lecture, la proposition de loi du 23 mars dernier sur l’obligation de notification des failles de sécurité pourrait encore être renforcée quant aux violations de traitement de données personnelles qui vont au-delà de la faille informatique (ex : des listes laissées dans des poubelles sur le trottoir). L’AFCDP anticipe l’obligation de notification car la législation ne détaillera les conditions d’une « violation de données à caractère personnel » que dans le décret d’application. L’impact de la notification d’une faille (à la CNIL mais aussi aux personnes concernées) peut être préjudiciable en matière d’image et de communication. Dans la plupart des Etats américains, la loi oblige à expliquer au client les détails d’un incident sur ses données personnelles. Dans d’autres au contraire, c’est interdit pour ne pas livrer de détails aux pirates. Malgré ce « patchwork » législatif américain, ces lois ont l’impact positif de faire prendre la sécurité informatique au sérieux. Autre impact : alors qu’en France, c’est la loi qui interdit la conservation de données, les Américains les purgent d’eux-mêmes pour réduire leur exposition aux risques. Air Force lutte en équipe contre les failles de sécurité Willet ADOFO Computer crime investigator US, AFOSI – Vogelweh (Allemagne) Air Force base sa défense contre les failles de sécurité sur les compétences des bureaux d’investigation en cybercriminalité et sur l’équipe de réponse aux urgences informatiques, l’AFCERT 11. L’AFCERT détermine s’il y a une menace réelle et quelle est sa catégorie : est-ce du ressort d’une simple application de la loi ou du contre-espionnage ? L’enquête porte alors sur la nature de l’attaque, la sensibilité des données, et la préservation des preuves. L’AFCERT interroge directement les personnes impliquées, analyse le matériel, et s’entoure d’avocats pour s’adapter aux législations des différents Etats. Elle bénéficie de 90 jours pour approfondir les recherches sans que les preuves ne soient détruites. L’enquête dévoile les techniques utilisées par l’adversaire, les détails de l’intrusion, et permet d’identifier la personne responsable, la ou les machine(s) infectée(s), mais aussi les faiblesses du réseau d’Air Force. Le protocole d’alerte Zataz Damien BANCAL Journaliste spécialisé dans la sécurité informatique, ZATAZ – Paris (France) Le site Zataz.com est un protocole d’alerte. Par l’intermédiaire de nos lecteurs ou de nos propres outils, les « honey zataz12 », nous recevons des alertes sur les fuites de données (lorsqu’un webmaster oublie de verrouiller une partie d’un site par exemple). Notre mission est alors de faire pression sur les entreprises qui laissent des données personnelles accessibles sur le Net. Les honey pots sont mis en place pour attirer les attaques et recueillir des informations sur le site piraté et l’entreprise par laquelle passe l’attaque, le pays concerné, le nombre et la durée de l’attaque. Ils parviennent même à détecter la préparation d’attaque de masse. Zataz a détecté la présence de 400 000 données bancaires sur le Net : nous avons prévenu l’entreprise pour qu’elle corrige la faille, puis en tant que journaliste, j’ai informé les 400 000 personnes concernées par la presse, après correction de la faille. J’ai été attaqué au Tribunal civil pour diffamation (procès perdu) et au pénal pour piratage informatique (procès gagné). A l’heure actuelle, l’entreprise n’a toujours pas prévenu ses clients. Depuis le 1 er janvier 2010, Zataz a identifié 1 863 entreprises françaises qui ont laissé des informations nominatives sur Internet en source ouverte : 900 nous ont répondu, 300 ont corrigé la faille. 11 12 Air Force Computer Emergency Response Team En référence aux honey pots Les phases du protocole d’alerte Le hacking éthique Franck EBEL Enseignant, responsable de la licence Collaborateur pour la défense et l’anti intrusion des systèmes informatiques (CDAISI), IUT Informatique – Maubeuge (France) Raphaël RAULT Avocat, BRM Avocats – Lille (France) Pour illustrer notre intervention, nous partirons d’un scénario fictif. Un pays de l’Est propose un forum international auquel une société décide d’envoyer l’un de ses cadres, Monsieur Delarevue. Depuis l’hôtel, il consulte ses e-mails via une connexion free Wifi, qui est en réalité une borne pirate. Le pirate se place entre son ordinateur et le Wifi et capte ses informations. - infraction pénale d’accès de maintien frauduleux dans un système d’information pour le pirate : 2 ans de prison et 30 000 € d’amende - manquement à l’obligation à sécuriser et surveiller son accès Internet pour l’abonné à un fournisseur Internet : 1 500 € d’amende et la coupure de l’accès Internet pendant 1 an. Lors d’un atelier du forum, l’intervenant propose de prêter sa clé usb pour récupérer les diaporamas : C’est une clé U3 qui exécute un programme aspirant des documents. Opération passible de 2 à 5 ans de prison et de 30 000 € à 75 000 € d’amende d’après la loi Godfrain si le caractère frauduleux et intentionnel est prouvé. Monsieur Delarevue laisse son ordinateur au coffre de sa chambre pendant que le personnel la nettoie. Le « faux » personnel de l’hôtel doit récupérer un maximum d’informations sur les participants au forum. Il extrait le portable du coffre, introduit une clé usb déclenchant un programme avant le redémarrage du système et contourne ainsi le mot de passe. Au redémarrage suivant, le mot de passe sera à nouveau demandé : l’infraction est donc invisible. Ce logiciel est disponible sur le Net. Infraction relative à loi Godfrain. > Les personnes morales craignent des attaques internes et externes. Pour se prémunir de ces attaques, l’entreprise doit mener une politique de sécurité interne qui se concrétise par une charte informatique. Bruno RASLE Le correspondant informatique et liberté a été instauré il y a 5 ans13 et est un protecteur et conseiller au sein de l’entreprise, qui épaule le Responsable de la sécurité et des systèmes d’information (RSSI), en charge de la sécurité des données personnelles. Echanges avec la salle De la salle Une entreprise peut avoir accès à des données personnelles à travers une faille informatique, sans savoir qu’il s’agit d’une faille. Est-elle alors hors la loi ? Réponse commune des intervenants La faille de l’entreprise livrant 400 000 données bancaires a été révélée par un adolescent de 15 ans qui les a trouvées simplement en tapant le mot « contrat » sur Google. Pour s’en prémunir, il faut quitter le site sans consulter ou modifier les données. Sans caractère intentionnel ou frauduleux de votre part, c’est l’éditeur, le moteur de recherche ou l’entreprise qui n’a pas protégé ses données qui sera mis en cause. De la salle Au même titre que l’invention de la route, le monde de l’Internet requiert une signalisation et des règles à respecter. Internet est une « poule aux œufs d’or » : on ne tue pas une poule aux œufs d’or, on essaie d’informer les gens, de les cadrer, et de rendre Internet plus sûr pour tous. 13 Décret d’application juin 2005 Cybersécurité, entre frein et support à la créativité et à la performance dans l'entreprise Dans la société actuelle, l’information est la première ressource pour une entreprise. C’est pourquoi elle doit la protéger grâce à une politique de cybersécurité, ce qui implique à la fois la sécurité physique des réseaux et la gestion des flux d'informations. Si des initiatives, comme celle de Doublet SA, soutiennent la créativité, les entreprises sous-estiment leur vulnérabilité et le manque à gagner éventuel. Les Petites et moyennes entreprises (PME) sont les plus fragiles : elles ne soupçonnent pas les risques qu’elles courent et n’ont généralement aucun système de protection, or les attaques cybercriminelles ont des conséquences bien réelles (destruction de données, détournement d'argent). Pour garantir la performance en entreprise, il faut donc impliquer la hiérarchie, anticiper les attaques et développer la pédagogie en direction des collaborateurs. Modérateur : Clémence CODRON Doctorante, Membre de la mission LEDS14 - Lille (France) Les PME, une cible pour la cybercriminalité Clémence CODRON Animateur, Doctorante, Membre de la mission Lille Eurométropole défense sécurité (LEDS) - Lille (France) Si les attaques cybercriminelles sont virtuelles, leurs conséquences sont bien réelles : destruction de données, détournement d’argent… Les grandes entreprises ont déjà compris le danger que cette menace représentait ; les PME tardent à appréhender leur vulnérabilité. Permettre la créativité dans les limites de l’entreprise Luc DOUBLET Président du comité de surveillance, Société DOUBLET SA - Avelin (France) La créativité en entreprise impose que chaque collaborateur puisse s’exprimer et accéder aux informations de l’entreprise pour les exploiter. Doublet SA est une entreprise ouverte qui mélange les générations ( digital native et digital migrant ) et les fonctions – communication, design et recherche travaillent dans les mêmes bureaux. La rencontre de deux générations exige que nous définissions des bonnes pratiques et des limites. Par exemple, un jeune designer d’une autre société a publié le prototype d’une basquette sur Facebook ; le modèle est déjà copié en Chine. Les paradigmes changent et les notions de liberté ne sont plus les mêmes selon les générations. Pour stimuler la créativité, nous utilisons un système de gestion complet qui permet à chacun de voir ce que chacun fait et d’alimenter ou de corriger un wiki collectif. Ce système est l’illustration d’une certaine philosophie de la gestion des informations. Même si ce système 14 Lille Eurométropole défense sécurité singulier peut empêcher les joint-venture , notre culture d’ouverture a généralement un effet salvateur sur des structures qui cultivaient une culture étanche. Assurer la cybersécurité en entreprise Nicolas ARPAGIAN Institut national des hautes études de sécurité-Justice (INHES-J), Rédacteur en chef de la revue “Prospective stratégique” - Paris (France) La cybersécurité repose sur deux bases : la sécurité physique des réseaux et la gestion des flux d’informations. Ce dernier point invite les entreprises à définir les données stratégiques et celles qui ne le sont pas, et à les protéger en conséquence. A cela, il faut ajouter le vol ou la perte d’appareils électroniques (PDA15, ordinateurs), qui sont autant d’éléments de fragilisation d’une entreprise. Quant au cloud computing, il permet certes des réductions de coûts, mais l’hébergement des données n’est plus maîtrisé. Echanges avec la salle De la salle Quels conseils donneriez-vous aux PME plus préoccupées par leur gestion quotidienne que par leur cybersécurité ? Luc DOUBLET La plupart des outils de protection informatique ne sont pas compris des PME. Certaines d’entre elles ne perçoivent pas l’évolution du monde et deviennent technopathes. Je crois qu’il ne faut pas attendre qu’une attaque ait lieu pour s’y intéresser. Général de corps d'armée (2S) Jean-Claude THOMANN Animateur de la mission LEDS - Lille (France) Pour pouvoir introduire l’informatique dans les armées, il s’agissait d’y créer une culture de masse. Pour y parvenir, il fallait impliquer la hiérarchie afin d’affirmer le caractère prioritaire de l’opération et développer des plans de sensibilisation réguliers. Il en va de même avec les PME. De la salle Comment encourager les efforts en faveur de la pédagogie ? Nicolas ARPAGIAN En général, il faut malheureusement attendre une crise pour que des efforts de pédagogie soient mis en place. Et même dans ces cas-là, les dépôts de plainte sont marginaux : l’entreprise n’a pas connaissance de l’attaque ou elle cherche à la taire. La pédagogie doit se structurer autour d’individualités ou de cénacles capables de former les collaborateurs. De la salle Quelles sont les tendances à venir en entreprise ? 15 Personal digital assistant Nicolas ARPAGIAN L’outil informatique se développe et il n’est pas rare qu’un individu possède des outils plus perfectionnés que ceux qu’il utilise en entreprise. Par ailleurs, les collaborateurs sont des utilisateurs de plus en plus chevronnés de l’outil informatique. Cette pression extérieure impose de mettre en place des règlements au sein de l’entreprise (pour s’assurer que les informations ne transitent pas vers l’ordinateur personnel par exemple…). Haine et intolérance sur le Net : quelle réponse ? Si Internet permet à chacun de s’exprimer et d’appartenir à une communauté humaine, il est malheureusement aussi le support de propos violents à caractère raciste et l’outil de propagande de groupes extrémistes. Face à cela, la France a développé un arsenal juridique complet (par exemple les associations et prestataires techniques doivent signaler aux autorités les contenus à caractère raciste et une politique pénale adaptée doit être développée). Néanmoins, l’implication française dans la lutte contre les contenus déviants sur Internet contraste avec le faible engagement des autres pays, notamment européens, qui n’en ont pas forcément fait une priorité. Sur une Toile qui ne connaît pas de frontières, un effort d’harmonisation au plan mondial semble indispensable, de même que la création d’un cadre éthique commun à la société civile internationale. Le rôle de l'éducation est également primordial. Modérateur : Adjudant Franck GIANQUINTO Enquêteur N’Tech, Section de recherches (SR) – Lille (France) La France, dotée d’un arsenal juridique complet Laurent BAUP Juriste et chargé de mission, Legal councel forum, Forum des droits sur l’Internet – Paris (France) Etabli à partir de très nombreuses auditions (pouvoirs publics, associations…), le rapport « Lutter contre le racisme sur Internet » 16 remis au Premier ministre en janvier 2010 vise à déterminer si ce type de médias participe à la propagation de contenus à caractère raciste. Les contenus racistes sont fortement présents sur Internet, mais ils restent difficilement quantifiables d’une part parce qu’ils sont de natures diverses et d’autre part parce que les bases de données sont trop récentes (plate-forme Pharos) ou qu’elles ne distinguent pas encore les actes racistes réels (profanation de cimetières, etc.) de ceux que l’on trouve sur Internet. Les contenus à caractère raciste sur Internet ne visent pas une communauté en particulier et sont protéiformes (vidéos, images…). Deux types de racismes apparaissent : un racisme conjoncturel qui s’exprime selon les événements, et un racisme de fond et élaboré 17. Face à cela, la France dispose d’un arsenal juridique complet 18 qui contraste avec le plus faible engagement des autres pays européens, alors qu’une harmonisation semble indispensable. La politique pénale française n’est toutefois pas suffisamment adaptée à Internet. Par ailleurs, les associations et prestataires techniques ont un rôle important à jouer ; ces derniers ont été chargés par les autorités françaises de signaler les contenus à caractère raciste, une mission plus ou moins accomplie. Aujourd’hui, un plan d’actions qui impliquera tous les acteurs doit être mis en place et devra : développer une politique pénale adaptée à Internet, uniformiser 16 A la suite de l’opération « Plomb endurci » menée dans la bande de Gaza, le Comité interministériel français de lutte contre le racisme et l’antisémitisme a demandé au CSA, à Isabelle Falque-Pierrotin et au Forum des droits sur Internet, d’établir un rapport sur le poids d’Internet dans la propagation de contenus à caractère raciste 17 Les instigateurs connaissent les codes et les lois ; ils choisissent d’héberger leurs sites dans des pays moins regardants que la France 18 Loi relative aux infractions de presse, Loi pour la confiance en l’économie numérique (LCEN) les référentiels, poursuivre la campagne d’information et de sensibilisation, améliorer la visibilité des procédures de signalement ou encore inciter les Européens à ratifier le protocole additionnel sur la cybercriminalité. Eduquer pour éviter l’escalade de l’intolérance Véronique FIMA-FROMAGET Directrice d’Action Innocence France – Paris (France) Aujourd’hui, Internet peut aussi bien être le support de propos violents ou l’outil de propagande de groupes à caractère haineux ou racistes. Le racisme prend plusieurs formes : du discours construit de propagande à un racisme ordinaire. Nous devons nous interroger sur le moment à partir duquel on peut juger qu’un propos est intolérant, car les insultes diverses (sur le physique, la race, la religion, les tendances sexuelles, etc.) se banalisent et le risque d’escalade de l’intolérance existe. 5 % des 50 000 dérives signalées en 2009 (sur des sites comme Internet.gouv.fr) concernent des faits de xénophobie et des discriminations. Il reste à faire un travail de pédagogie pour sensibiliser les internautes, encore réticents à l’idée de dénoncer des contenus déviants. Quoi qu’il en soit, les adolescents se disent eux-mêmes choqués par la banalisation du racisme sur Internet qu’ils constatent au quotidien. Par ailleurs, à leur âge, ils sont une cible potentielle de recrutement par des groupes à caractère haineux. Nous avons tous un rôle à jouer dans l’éducation de ces enfants : les modérateurs, les parents, les associations. Action Innocence sensibilise les enfants en insistant en particulier sur le fait qu’Internet n’est pas une zone de non-droit. L’universalisation des droits de l’homme sur la toile ? Monique MARCHAL Déléguée régionale de l'Alsace de la Ligue des Droits de l’Homme – Colmar (France) Comment juguler l’intolérance et la haine sur le Net ? Alors que l’Europe détient tous les éléments juridiques nécessaires, l’équilibre entre sécurité sur Internet et respect des droits pour tous est difficile à trouver. Toutes les conventions internationales rappellent aux Etats qu’ils ne doivent pas s’immiscer dans la vie des personnes. La question de l’implication interindividuelle transnationale des Droits de l’Homme surgit inévitablement : il faut créer un cadre éthique mondial au sein de la société civile internationale. En France, la CNIL 19, les officiers spécialisés et les gendarmes N’Tech jouent un rôle important dans la surveillance du Net, mais ils manquent encore de moyens. Il faudrait : créer une police de proximité pour informer les jeunes ; motiver les procureurs encore peu intéressés par le sujet ; former les policiers et gendarmes à la lutte contre la cybercriminalité, et les enquêteurs et magistrats aux procédures d’infractions sur le Net ; inciter les collectivités territoriales à prendre des mesures adéquates contre les tendances racistes et xénophobes ; intégrer, dans les établissements scolaires, l’éducation aux libertés fondamentales… Enfin, grâce à Internet, chacun peut devenir l’interlocuteur de tout autre et jouer un rôle positif dans la consolidation de la communauté humaine. 19 Commission nationale de l’informatique et des libertés Lutte contre la haine nationale en Estonie Anu BAUM Chef de l’unité de lutte contre la cybercriminalité, Estonian Police and Guard Board, Criminal Department Police Leading Inspector – Tallinn (Estonie) Comme la France, l’Estonie développe des programmes de surveillance d’Internet, un média sur lequel se multiplient les incitations à la violence contre les autres nationalités. Kalev KARU Spécialiste de l’unité d’analyses criminelles de la Police judiciaire, Préfecture de Police Nord – Tallinn (Estonie) De façon évidente, Internet a joué un rôle dans les émeutes de 2007 qui n’auraient autrement pas pris la même ampleur. Contrairement à la France, l’Estonie est davantage confrontée à la haine vis-à-vis d’autres nationalités qu’à des propos à caractère raciste. En discutant avec les responsables de portails Internet et en obtenant la fermeture de ceux qui faisaient l’objet du plus de déviances, nous avons pu calmer la situation. Mais l’incitation à la haine nationale n’est toujours pas sanctionnée pénalement. Données sensibles : quelles solutions de stockage sécurisé Il n’existe pas de définition unique de la notion de données sensibles, comme le montrent les différences de protection juridique des données sensibles en France. Les entreprises ont tendance à sous-estimer leur vulnérabilité (impact de la perte de données) et les risques qu’elles encourent. Le vol de données est un risque réel, qui a pour corollaire la nécessité de mettre en place un système de protection et de stockage sécurisé des données. Cela est actuellement du ressort du RSSI, ce qui pose problème lors de la phase d'attribution des budgets. Ceci explique les recours fréquents à un stockage externalisé. Il faut alors prendre garde à ce que le contrat d’info-gérance soit correctement négocié et rédigé, et que les risques (physiques ou virtuels) de l’externalisation soient mesurés. Modérateur : Dominique CIUPA Consultant en sécurité des systèmes d’information chez Bull, directeur de la rédaction de Mag-Securs – Paris (France) Définition de la notion de données sensibles Sabine MARCELLIN Juriste à CA-CIB animatrice du groupe de travail du Forum sur l’archivage électronique dans les entreprises – Paris (France) Le droit ne propose pas une définition unique de la notion de données sensibles. Pour l’individu, le Code civil et la Commission Nationale Informatique et Liberté (CNIL) protègent les données relatives à la vie privée (art.9 du Code civil) et à caractère personnel (numéro de compte bancaire…). L’entreprise, verra, elle, sa propriété intellectuelle, son savoir-faire et ses informations propres (risque de concurrence déloyale) protégées par la loi. De même, les données sensibles sectorielles (secret bancaire…) sont protégées par d’autres dispositifs (instaurés par le Code pénal et la jurisprudence). Enfin, le Code pénal prévoit la protection des données sensibles de l’Etat (secret-défense et secret administratif) et la loi de blocage 20 protège les informations stratégiques d’un pays (économiques, scientifiques). Pascal LOINTIER Président du Club de la sécurité de l’informatique française (CLUSIF), conseiller sécurité de l’information CHARTIS – Paris (France) Plus de 50 % des entreprises ne font pas d’analyse globale des risques encourus. Une cartographie des risques permet pourtant d’établir une politique de sécurité des données en fonction du caractère critique des données de chaque entreprise. 20 Il s’agit de la loi n° 80-538 du 16 juillet 1980 – dite « loi de blocage » – modifiant la loi n°68-678 du 26 juillet 1968. Fréderic MARTINEZ Architecte solution sécurité EMEA, Alcatel-Lucent France - Vélizy (France) Actuellement, l’estimation des données sensibles et de l’impact d’une dégradation des données est du ressort du RSSI. Cette configuration pose problème dans l’attribution des budgets de protection (le retour sur investissement est difficile à prouver) et dans la pertinence des choix (les directions métiers seraient plus à même de caractériser les données comme sensibles). Les moyens de protection, même s’ils peuvent représenter une contrainte (limitation de la rapidité d’accès), doivent être opérationnels en permanence et ne doivent pas être contournés. Risques de l’externalisation du stockage de données Pascal LOINTIER L’entreprise s’expose à des risques en externalisant le stockage de ses données, puisqu’elle se repose entièrement sur l’entité extérieure. Or, il ne faut pas être naïf, le niveau de sécurité mis en place est directement fonction du niveau de paiement. Il est donc essentiel que les contrats d’info-gérance soient lus attentivement, tant par les services juridique et informatique que par les directions métiers. Par ailleurs, l’externalisation des données ne met pas fin au risque physique de pertes de données (panne électrique). Fréderic MARTINEZ L’externalisation ne représente pas toujours une prise de risque. Selon les métiers, la protection standard mise en place par l’hébergeur peut s’avérer supérieure à celle qui aurait été mise en place en interne. Alain CORPEL Enseignant-chercheur sécurité des systèmes d’information, lead auditor ISO/IEC 27001, Université de technologie de Troyes (UTT) – Troyes (France) En cas d’externalisation, pour choisir son prestataire, l’entreprise doit s’intéresser à la méthode de cloisonnement des données et à la méthode d’accès aux données (le prestataire est-il le seul à y avoir accès ?). L’entreprise doit également pouvoir effectuer des audits chez son prestataire. Nicolas DEVIN Enquêteur N’Tech, Section de recherches (SR) – Lille (France) En tant que gendarmes, nous n’intervenons pas sur la sécurisation du stockage des données, mais en fin de chaîne, lorsque les données ont été perdues : nous en retrouvons la trace. Les données dont nous retrouvons la trace le plus aisément sont celles qui ont été externalisées en France (pas besoin d’un accord juridique international pour les récupérer) et dans une entreprise qui n’a pas déposé le bilan (si les serveurs ont été formatés, les logs 21 ne sont plus récupérables). 21 Journal, historique Audit et contrat d’externalisation : quelles clauses essentielles ? Sabine MARCELLIN Le contrat peut être un garde-fou précieux. Il permet d’évoquer dès les départs les différents problèmes qui pourraient être rencontrés, et de formaliser les obligations du prestataire. Pascal LOINTIER Une PME n’a pas le pouvoir de négocier les clauses d’un contrat ou d’imposer un audit à son prestataire. Elle a donc intérêt à surveiller certains éléments du contrat, qui sont autant de marqueurs de danger, tels que les délais de reprise d’activité en cas d’incident, et la possibilité que le prestataire se relocalise ou sous-traite sans l’annoncer. Fréderic MARTINEZ Le client doit pouvoir vérifier que les conditions négociées dans le contrat sont pérennes. Il doit pouvoir visiter le site et faire un audit. L’audit, néanmoins, ne doit pas permettre d’accéder aux données des autres clients du prestataire et ralentir le fonctionnement de l’hébergeur (pas d’audit d’intrusion). Alain CORPEL Les clauses de réversibilité (pour récupérer les données initiales), et d’obligation de plan de secours (en cas d’incident de force majeure) sont à intégrer au contrat. Les certifications des info-gérants sont-elles des garanties de gestion des risques suffisantes ? Pascal LOINTIER et Alain CORPEL La norme ISO 27001 ne correspond pas à un niveau de sécurité. C’est donc un élément de réponse mais qui ne suffit pas à garantir la gestion des risques par le prestataire. Parer au risque de vol de données Pascal LOINTIER La démarche de chiffrement des données sensibles, bien qu’accessible à tous, est sous-utilisée par les entreprises. Sabine MARCELLIN Lors du choix du lieu de stockage des données, il faut s’intéresser à des éléments géographiques et économiques (concurrence) et à la réglementation locale (accès des autorités aux données légalement, comme aux Etats-Unis ?). Nicolas DEVIN Le vol de données n’existe pas en France, puisque la notion de vol ne porte pas sur l’immatériel. Néanmoins, le vol de données est raccroché à la législation française par le biais des infractions (par exemple l’utilisation de données donne lieu à un abus de confiance) Pascal LOINTIER Pour parer à la malveillance, il faut mettre en place d’un système de sécurité, durcir le niveau de sécurité (pour ralentir l’intrusion) et enfin archiver les atypismes (zones faibles) du fonctionnement du système de sécurité, pour que les attaques, même de faible charge, soient détectées en amont et entrainent le déclenchement d’un mécanisme d’investigation. Echanges avec la salle De la salle Aux Etats-Unis, certains Etats imposent l’obligation de déclarer les fraudes. Pourquoi n’est-ce pas le cas en France ? Dominique CIUPA et Sabine MARCELLIN Une proposition de loi vise à instaurer l’obligation de déclaration de perte de données. Ainsi, la notification d’incidents, qu’une directive européenne rend déjà obligatoire, pourrait devenir prochainement obligatoire en France. Plate-forme de signalement de contenus illicites : vers une plate-forme européenne Pour lutter contre la cybercriminalité, les autorités judiciaires des Etats se dotent de platesformes de signalement, publiques ou privées, avec leurs spécificités propres. A l’échelon européen, I-cros sera chargée de consolider ces données nationales pour éviter les redondances d’enquêtes, accélérer et améliorer la lutte contre les fraudes via Europol. Les plates-formes nationales ne sont pas toutes au même niveau de développement – 7 pays européens n’en n’ont d’ailleurs pas – mais toutes ont besoin d’amélioration technologique pour optimiser le traitement des signalements, les transmissions des infractions et leur propre visibilité vis-à-vis du citoyen. Préambule Modérateur : Christian AGHROUM Commissaire divisionnaire, chef de l’OCLCTIC – Paris (France) Les 65 gendarmes et policiers de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) combattent le piratage informatique mais aussi tous les délits que les TIC aident à résoudre. L’idée d’une plate-forme européenne de signalement de contenus illicites est née pendant la présidence française de l’Union européenne. I-Cros, beaucoup d’attentes Nicola DILEONE First Officer o3, Criminal Finances & Technology, Europol – La Haye (Pays-Bas) Pour lutter contre la cybercriminalité, Europol utilise le système ECCP (European cyber crime platform ), composé de trois éléments : I-Cross, les enquêtes nationales, et IFOREX (un forum de partage des meilleurs pratiques et outils existants). La plate-forme I-Cros a été créée pour pallier l’absence en Europe de chiffres fiables sur le sujet, améliorer la coordination internationale (éviter notamment les doublons d’enquête) et lutter contre les nouveaux délits. Via I-Cros, Europol aura accès à des données consolidées. Aux Etats-membres revient la responsabilité de contrôler l’efficacité de leur système national. A l’état de pilote 22, I-cros sera étendue aux 27 membres par la suite. Il est impossible de gérer 27 réalités sur le signalement. Il faut une gestion du système pour chaque Etat membre et une centralisation du dossier au niveau européen. 22 13 partenaires dans le groupe de travail depuis février 2009 ECOPS, l’exemple belge Laurent BOUNAMEAU Commissaire, Police fédérale judiciaire, FCCU – Bruxelles (Belgique) Le Federal Computer Crime Unit, l’unité belge 23 de lutte contre la cybercriminalité a créé en 2007 la plate-forme de signalements www.ecops.be. Dès la première année de fonctionnement, la plate-forme a reçu près de 15 000 signalements (dont 8 900 infractions constatées) : la pertinence des messages s’est améliorée par rapport à l’ancien système d’envois par e-mails. Quand une infraction est constatée (fraude nigériane, fraude financière, pédo-pornographie, ventes d’organes humains), il faut déterminer – parfois avec difficulté – quel service doit le traiter. Le FCCU collabore avec les ministères, les polices locales, le Régional Computer Crime Unit, les ONG, et envisage à l’avenir de se rapprocher davantage des ISP. Le signalement d’une infraction sur la plate-forme ne vaut pas dépôt de plainte, ce dernier doit toujours se réaliser au commissariat. L’intérêt d’une telle plate-forme est évident au niveau national, la consolidation internationale des données ne peut être que bénéfique et prouver à la classe dirigeante la menace réelle de la cybercriminalité. Pharos, la plate-forme française Lieutenant-colonel Alain PERMINGEAT Chef de la division Lutte contre la cybercriminalité, service technique de recherches judiciaires et de documentation (STRJD) – Rosny-sous-Bois (France) La plate-forme PHAROS (Plate-forme d’harmonisation d’analyse - Regroupement organisation des signalements) est intégrée au ministère de l’Intérieur 24. Le système judiciaire français, fondé sur le principe de territorialité, est peu armé pour lutter contre des fraudes informatiques qui se moquent des frontières. En 1998, les fournisseurs d’accès mettent en place un point de contact pour signaler la lutte contre la xénophobie ou contre la pédophilie. En 2000, l’OCLCTIC se crée (avec une première plate-forme de signalement contre les abus sur mineurs). Au fil des ans, le secteur s’organise jusqu’à un point de contact unique en 2007, PHAROS, accessible sur le site www.internet-signalement.fr. Le nombre élevé de pages à remplir dans le formulaire permet de se débarrasser des plaisantins. En 2009, PHAROS a collecté 52 000 signalements dont 6 000 ont été transmis en France. 312 ont fait l'objet d'enquêtes nationales et 1800 ont été transmis à Europol. La moitié des infractions concernent les escroqueries et le tiers des infractions sont des atteintes aux mineurs. 23 24 Cette unité compte 200 personnes Direction centrale de la police judiciaire Point de contact.net Quentin AOUSTIN Juriste, Analyste de contenus, Association des fournisseurs d’accès et de services Internet (AFA) – Paris (France) L’AFA a créé en 1998 une plate-forme accessible à tout internaute, depuis tout support, pour signaler un contenu choquant. A l’initiative des fournisseurs d’accès et précédant la loi LCEN 25 de juin 2004, cette plate-forme de signalement rejoint ensuite le réseau INHOPE. Son champ de compétence est un peu plus restreint que celui de la plate-forme PHAROS ; quand le contenu est pédo-pornographique, le signalement est transmis à la plate-forme PHAROS et au pays concerné. Les autres informations hors de son champ de compétence (envoi abusif d’offres commerciales), sont écartées. Avec l’usage des captchas 26, les signalements sont de meilleure qualité. Christian AGHROUM Rappelons que le domaine de la cybercriminalité est assez jeune et soudé, les collaborations inter-services fonctionnement bien. Apport de l’UE aux plates-formes Radomir JANSKY Policy officer, Fight against Organized Crime, Direction générale justice, liberté et sécurité (DG/JLS), Commission européenne – Bruxelles (Belgique) Depuis les conclusions du Conseil de l’Europe en 2008 et la mise en place de la plate-forme de lutte à Europol, l’apport de l’Union européenne à la lutte contre la cybercriminalité ne cesse de se renforcer, tant sur le plan politique que sur le plan financier. Sur le plan politique, la mention dans le programme multi-annuel de « Stockholm » de la plate-forme européenne est déjà un signe fort : le texte invite les Etats-membres à apporter leur appui aux plates-formes nationales de lutte contre la cybercriminalité, qui restent une première étape de filtrage indispensable. Sept pays d’ailleurs ne sont pas encore dotés de systèmes nationaux : l’Espagne, l’Estonie, la Hongrie, les Pays-Bas, la Pologne, le Portugal et la Slovaquie. Sur le plan financier ensuite, le programme Prévenir et combattre la criminalité (ISEC) financera par un appel à projets en juin 2010, le développement de la plate-forme. Pour le moment, son coût a été optimisé en utilisant les outils existants. Echanges avec la salle De la salle Je suis surpris par l’écart des chiffres entre la Belgique et la France : un nombre de signalements identique pour des populations différentes et des taux de résolutions faibles en France ? 25 Loi pour la confiance dans l'économie numérique Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur 26 De la tribune On ne sait pas si les 8 000 signalements transmis aux autorités d’enquêtes (sur 15 000) en Belgique sont résolus. Le citoyen français a peut être moins la culture du signalement. De la salle Comment faites-vous pour retirer le contenu illégal des sites ? Nicola DI LEONE La nouvelle structure d’Europol pourrait avoir des accords avec le secteur privé (les ISP) pour retirer le contenu illégal : c’est effectivement un point fondamental sur lequel nous devons travailler. Laurent BOUNAMEAU Lorsqu’il s’agit de pédo-pornographie et qu’on ne peut saisir le contenu, nous en bloquons l’accès via l’adresse IP. Atelier démonstration – Module de prévention aux dangers sur internet Le Pas-de-Calais a développé un module de prévention intitulé « Dangers sur internet » pour informer les mineurs – et leurs parents qui en ont rarement conscience – des risques que peut comporter une navigation non encadrée sur Internet. Les mineurs peuvent en effet être exposés à des contenus à caractère pédopornographiques ou à des personnes malveillantes. Les mineurs peuvent également être des cyberdélinquants (téléchargement illicite). Dans les deux cas, le module présente des mesures préventives qui peuvent permettre aux parents de protéger leurs enfants (mesures techniques de contrôle parental) et de les sensibiliser (réflexion sur l’utilisation d’internet, mises en garde). De même l'action de la police ou de la gendarmerie dépend de l'action parentale (sauvegarde des données). Enquêteurs N’Tech Groupement de gendarmerie du Pas-de-Calais – Arras (France) Les mineurs utilisent de plus en plus Internet. Pourtant, leurs parents ont rarement conscience des dangers qu’une navigation non encadrée peut représenter. Dans le Pas-de-Calais, un module de prévention « Dangers sur internet » permet de les en informer. Ce module traite de trois sujets : les mineurs victimes d’infraction, les mineurs auteurs d’infraction et des mesures préventives. Les mineurs victimes En utilisant les outils et support du web – que l’on pense généralement sans danger – les mineurs visionnent des messages parfois violents ou choquants. Ainsi, une simple recherche sur Google peut les exposer à des contenus à caractère pédopornographique (comme des clips de dessins animés détournés à des fins pornographiques…). Les blogs, véritables journaux intimes virtuels, peuvent aussi véhiculer aussi des messages d’incitation au suicide ou au satanisme. Ces signes préoccupants, dont les adolescents sont les auteurs, demeurent la plupart du temps ignorés des parents. Enfin, les chats ou les mondes virtuels comme Second Life sont les canaux de rencontre que privilégient les individus malhonnêtes pour corrompre les mineurs en leur extorquant des images compromettantes ( strip-tease ). Usant du chantage, ils essaient d’obtenir ensuite un vrai rendez-vous. Les enfants, mus par la culpabilité, gardent trop souvent le silence sur de tels faits. La législation française est particulièrement bien pourvue en matière de protection des mineurs. Néanmoins, l’enquête et l’exécution de la condamnation sont souvent compliquées par le fait que les inculpés agissent en dehors de la France. Les mineurs auteurs Le nombre d’infractions relevant de la cyberdélinquance des mineurs augmente chaque année. Elles relèvent de l’atteinte aux biens (escroquerie bancaire grâce à des logiciels faciles d’accès et d’utilisation…) ou bien de l’atteinte à la vie privée (vidéo humiliante tournée à l’insu d’un professeur puis mise en ligne, happy slapping…). Piratage et téléchargement illégal sont aussi fréquents. Méconnues des mineurs et des parents, les peines encourues pour ces infractions sont pourtant sévères. Dans le cas du happy slapping, elles peuvent aller jusqu’à trois ans de prison ferme et 45 000 € d’amende. Mesures préventives Plusieurs solutions techniques s’offrent aux parents qui souhaitent protéger leurs enfants des dangers d’internet (configuration du contrôle parental, installation d’un pare-feu ou d’un antivirus…). Néanmoins, établir un dialogue au sein de la famille sur l’utilisation d’internet est certainement le meilleur moyen de prévenir les risques. Ainsi le choix du lieu d’installation de l’ordinateur ou la limitation du temps passé sur internet peuvent faire l’objet de discussions. Des conseils et des mises en garde très simples se révèlent aussi efficaces (se méfier des curieux, ne divulguer aucune information personnelle, utiliser systématiquement un pseudonyme…). Face à une situation problématique, deux précautions s’imposent d’emblée : tout d’abord matérialiser les faits (sauvegarde des données d’un chat , impression d’écran…) puis ne jamais supprimer aucun contenu. En agissant ainsi, les parents facilitent considérablement le travail des policiers et des gendarmes. Conclusion L’efficacité de la police et de la gendarmerie dépend fortement de l’aide des parents, qui ne doivent pas hésiter à signaler des faits douteux. Par ailleurs, une relation de confiance entre les parents et leurs enfants ne doit pas exclure un certain niveau de contrôle. Essor du nomadisme : une sécurité suffisante ? Le nomadisme est une pratique émergente qui comporte de nombreux risques. En cas de voyage à l’étranger, le collaborateur d’une entreprise doit se préoccuper de la sûreté (les risques humains comme la corruption ou les agressions) autant que de la sécurité matérielle (sanctuariser son environnement de travail, chiffrer ses données…). Le nomadisme peut, dans le cas d’un déficit de sécurité, devenir une catastrophe pour l’entreprise, dont le réseau peut être très rapidement infecté. Pour terminer, le télétravail est aussi une situation de nomadisme qui exige des précautions supplémentaires. Modérateur : Jean-Philippe BICHARD Directeur de la communication, Kaspersky Lab – Rueil-Malmaison (France) Gérer les risques humains en situation de nomadisme Isabelle TISSERAND Docteur de l'EHESS, Coordinatrice du Cercle européen de la sécurité des systèmes d'information Paris (France) En situation de nomadisme ou de voyages d’affaires, les risques humains ne doivent pas être oubliés. Une personne VIP (médiatisée ou dont le savoir-faire est envié par exemple) peut être approchée pour des raisons financières ou afin d’obtenir des renseignements stratégiques. Pour ce faire, les agresseurs utilisent les vulnérabilités comportementales (goût pour l’argent, appétence pour les voitures de sport, orientations politiques…) ou des méthodes violentes (pressions psychologiques ou physiques, filatures sauvages…). Depuis peu, le fait de proposer une protection est un moyen d’approche fréquemment utilisé. Pour éviter ces risques, le collaborateur en situation de nomadisme ne doit pas divulguer d’informations à caractère personnel, connaître les techniques de manipulation et s’informer sur les codes culturels des pays dans lesquels il voyage. Il doit par ailleurs savoir que, du point de vue comportemental, la fatigue, le stress et la distance affective sont des points faibles. En somme, plus les Ressources Humaines sont informées, mieux elles sont protégées. Protéger l’homme et la machine Denis LANGLOIS Responsable du pôle menaces et vulnérabilités, Securymind - Paris (France) Lors de séjours prolongés à l’étranger, il est essentiel d’allier sécurité informatique et sûreté humaine. Trois lieux sont privilégiés dans l’attaque de données sensibles : d’une part, dans les transports, il est important de surveiller ses affaires et de les protéger des regards indiscrets ; d’autre part, lors du passage en douane, il est possible (sous le scanner d’objets) d’ajouter ou d’enlever des informations ; pour finir, l’hôtel est une zone ennemie dans laquelle on se croit chez soi. Or, c’est la zone de faiblesse par excellence, dans laquelle il faut surveiller en permanence ses équipements. Pour éviter d’être victime d’attaques, il est possible de chiffrer l’information, d’utiliser des Virtual Private Network 27 (VPN) ou de sanctuariser les espaces dans lesquels on travaille. Biométrie : une réponse aux exigences de sécurité Boulbaba BEN AMOR Maître de conférences, Télécom Lille I - Lille (France) La biométrie, invention française d’Alphonse Bertillon, est une manière fiable de prouver son identité. Parmi les technologies actuellement disponibles – géométrie de la main, du visage, de l’iris ou empreinte digitale – la reconnaissance faciale est la moins fiable, même si elle présente l’intérêt de ne pas réclamer la coopération de l’utilisateur. A l’avenir, des équipements mobiles utiliseront les technologies dites « à la volée » (On the fly ou On the move ) qui sont moins intrusives. De plus, l’intégration de la 3D et la fusion de plusieurs technologies (multi-biométrie combinant empreinte digitale et iris par exemple) vont améliorer la performance de la biométrie. A terme, les mots de passe seront probablement remplacés par des identifications biométriques. Nomadisme : une pratique à risques Mdl/c Olivier HERLIN Enquêteur N'Tech, Section de recherches (SR) - Lille (France) Le nomadisme comprend de nombreux risques, de l’extorsion avec violence à l’étranger à l’utilisation de troyens en passant par le vol de matériel (dix ordinateurs disparaissent chaque jour dans les aéroports parisiens et 4 000 chaque semaine dans les aéroports européens). Le télétravailleur, un autre nomade Sébastien VILLAIN Consultant en sécurité, SPIE Communications - Lille (France) En 2009, la perspective d’une pandémie (Grippe A H1N1) a dynamisé les ventes de VPN et a vu naître le token à la demande qui permet des connexions uniques. Le télétravail s’appuie aujourd’hui sur la volonté de réduire les déplacements et leur impact écologique (pollution). Ainsi, le télétravailleur utilise un ordinateur personnel ou celui d’un cybercafé, d’où la nécessité de transporter de manière sécurisée son environnement de travail. 27 Ce réseau privé virtuel représente une extension des réseaux locaux ; il préserve la sécurité existant à l'intérieur d'un réseau local Nomadisme et malwares : « scénario catastrophe » Nicolas BRULEZ Malware senior researcher - Kaspersky Lab – Rueil-Malmaison (France) Les supports amovibles (Clés USB, téléphones ou disques durs externes) sont généralement utilisés à des fins personnelles et professionnelles. Si ce support est infecté ou si l’utilisateur, connecté à la borne Wifi d’un hôtel, clique sur un lien malicieux (tel que le lien dans un commentaire sur un site communautaire), il risque d’infecter son poste professionnel. En cas de protection Internet défaillante, le malware peut se mettre à jour. Ensuite, il peut se propager dans l’entreprise, suite à une connexion à son réseau à l’aide d’un VPN, ou par branchement de la machine infectée directement au réseau. Finalement, le virus infecte les fichiers exécutables mais aussi l’ordinateur du webmaster, qui met par exemple en ligne un site institutionnel infecté. Microsoft, IBM, Vodafone ont récemment distribué des téléphones dans lesquels étaient installés des malwares . En somme, toute l’entreprise est infectée à partir d’une situation de nomadisme non protégée. Le commerce du futur : sécurisation des données et confiance du consommateur Alors que 85 % des internautes utilisent des sites e-commerce, seuls 51 % disent avoir confiance en ces sites. Et pour cause, la cybercriminalité ne cesse de se développer. L'identité numérique est délicate à gérer. En outre, les internautes, tout comme les e-commerçants, sont encore peu sensibilisés aux systèmes qui pourraient leur permettre de garantir la fiabilité de leurs transactions. Pourtant, les initiatives et projets en ce sens se multiplient : projet collaboratif FC 2 pour certifier l’identité numérique, certificats d’identité numériques, plateforme pour authentifier les produits vendus sur le Net ou encore système de sécurisation des messages électroniques. Modérateur : Didier LIEVEN Chargé de l’animation R&D technologique, Pôle des industries du commerce (PICOM) – Marcq-enBaroeul (France) La cybercriminalité désigne l’ensemble des infractions pénales commises via les réseaux informatiques. Or les réseaux évoluent très rapidement et les internautes prennent davantage de pouvoir. Dans ce contexte, les e-commerçants doivent relever le défi de la sécurité, en particulier celle de l’atteinte aux biens (fraude à la carte bancaire, vente d’objets volés…). Selon une étude publiée le 23 mars 2010, alors que 85 % des internautes utilisent des sites de e-commerce, seuls 51 % disent avoir confiance en ces sites. Près d’un acheteur sur deux craint avant tout le piratage des données bancaires et personnelles. Quelles principales questions se posent autour de l’identité des utilisateurs, dès lors qu’ils opèrent une transaction en ligne ? Gérer l’identité numérique pour restaurer la confiance entre fournisseurs et utilisateurs Olivier MAAS Project Management O&D – R&D, intervenant sur le projet FC²28, ATOS Worldline29 – Blois (France) L’identité numérique apparaît dès lors qu’un internaute renseigne un formulaire avec des données qui le concernent (nom, prénom, âge...). Le fait que les données soient déclaratives limite les services proposés – comme l’ouverture d’un compte bancaire – qui, parce qu’ils nécessitent la confiance du fournisseur du service vis-à-vis de l’internaute, ne peuvent pas être dématérialisés. Dans la vraie vie, la présentation d’une pièce d’identité certifie l’identité, qui n’est plus uniquement basée sur une déclaration. L’identité numérique est donc au cœur du développement du commerce en ligne. ATOS Worldline participe au projet collaboratif FC2 sur l’identité numérique. FC 2 souhaite valider une architecture interopérable et des composants qui permettront de certifier l’identité en ligne, afin d’améliorer la confiance des internautes et des fournisseurs de services. Les solutions qui seront développées devront être suffisamment ergonomiques et ne pas rallonger le parcours des utilisateurs pour être acceptées. Pour le fournisseur de services, le coût d’intégration devra être acceptable. Le prototype développé par FC 2 a été favorablement accueilli, en particulier le lecteur de carte. 28 29 Fédération des cercles de confiance Entreprise spécialisée dans le traitement des transactions électroniques sécurisées Certificats d’identité numérique pour authentifier la fiabilité des sites et des utilisateurs Yannick LEPLARD Directeur R&D Dhimyotis (entreprise spécialisée en cryptologie) – Lille (France) Les certificats SSL 30 des sites Web assurent l’internaute qu’il se trouve bien sur le bon site et rendent confidentielles toutes les données qu’il y entrera. Par ailleurs, les internautes peuvent eux-mêmes se doter d’un certificat d’identité pour que les e-commerçants puissent les authentifier. Les internautes ont alors un unique mot de passe pour tous les sites Web qui utilisent des certificats numériques, et n’ont à délivrer leurs informations personnelles qu’une seule fois. Récemment, un décret a instauré la norme PRIS/RGS pour que des entreprises puissent être certifiées par l’Etat comme étant aptes à délivrer des certificats numériques aux internautes. Les cartes d’identité numériques contribueront ainsi certainement au développement du e-commerce, d’autant qu’elles sont simples d’utilisation. Reste encore à sensibiliser les internautes sur l’existence de ces solutions de sécurité. Enjeux de l’authentification des produits Xavier BARRAS Directeur Innovation et Technologies GS1 France31 – Issy-Les-Moulineaux (France) Les enjeux de l’authentification des produits vendus sur Internet sont importants, à la fois pour l’internaute, la marque et le e-commerçant. Ce dernier doit à la fois contrôler l’authenticité des produits qu’il vend, et celle des produits qui lui sont retournés. Au-delà des produits de luxe, la contrefaçon s’attaque de plus en plus aux biens de consommation courante. Aujourd’hui, les acteurs de la lutte contre la contrefaçon doivent s’organiser et aider les commerçants à identifier les produits contrefaits. GS1 a ainsi lancé l’initiative Estceauthentique.org pour faciliter l’échange d’informations entre celui qui veut authentifier son produit et celui qui connaît les éléments qui permettent de le faire (éléments visuels, numéros de série…). Sécurisation des échanges de messages électroniques Philippe LECLERC Directeur informatique, Document Channel32 – Paris (France) Document Channel a lancé le service « e.velop » pour instaurer la confiance dans les échanges numériques entre un destinataire et un réceptionnaire d’un message électronique, assurer la traçabilité du message, et trouver une solution interopérable pour sécuriser l’envoi de courriels. L’expéditeur d’une « e.velop » s’identifie, crée son message puis l’envoie ; l’enveloppe électronique cryptée « e.velop » est alors créée. Le destinataire reçoit une notification contenant le lien qui lui permet de se connecter à l’espace sécurisé d’« e.velop ». Le bureau de poste virtuel vérifie l’intégrité du message envoyé et authentifie l’identité de la 30 Secure Sockets Layer GS1 définit des standards d’échange d’information entre entreprises, dans le domaine du commerce, de la santé, du transport et du négoce des matériaux 32 Document Channel développe une offre pour améliorer la confiance dans les échanges numériques 31 personne qui demande à le lire. L’expéditeur est quant à lui prévenu à la réception et à la lecture du message. Aujourd’hui, des informations telles que des codes secrets de comptes bancaires peuvent transiter par « e.velop ». La première mesure de sécurité à prendre est de faire preuve de rigueur dans la gestion des informations personnelles. Centres de relation client et cybercriminalité Eric DHAUSSY Directeur du développement Arvato Services33 – Lille (France) Pour lutter contre la cybercriminalité, les centres de relation client des entreprises qui vendent des produits par Internet doivent avant tout être vigilants avec leurs processus. Ainsi, il convient a minima de confronter les coordonnées du client qu’ils ont au téléphone avec celles contenues dans la base de données, comme il faut être critique par exemple vis-à-vis des commandes en très grande quantité. Par ailleurs, les communautés en ligne se multiplient et sont le support de systèmes déviants (annonceurs peu scrupuleux, faux « amis »). Les jeux en ligne notamment qui nécessitent de livrer des informations personnelles, parfois des coordonnées bancaires, sont le lieu d’usurpation d’identité numérique. C’est pourquoi il est indispensable de sensibiliser davantage les internautes et les commerçants aux enjeux de sécurité. Didier LIEVEN Les acteurs du e-commerce ont donc pris à bras-le-corps le problème de la cybercriminalité. Echanges avec la salle De la salle Comment l’internaute pourra-t-il contrôler l’utilisation de ses informations alors qu’elles seront utilisées par différents sites détenteur d’un certificat numérique ? Réponse commune des intervenants De nouveaux systèmes de cartes d’identité numériques, associés à un logiciel installé sur l’ordinateur de l’utilisateur, lui permettront de décider des informations qu’il délivrera au commerçant. Le principe est de réduire au minimum les informations à transmettre. Par ailleurs, pour que les certificats se développent, ils doivent s’accompagner de nouveaux services : éviter d’avoir à se déplacer pour signer un prêt automobile, récupérer par Internet des documents administratifs… 33 Leader de la relation client Quels profils pour les futurs Responsables sécurité des systèmes d’information (RSSI) ? De plus en plus de professions (comme le secteur de la santé) intègrent le métier de Responsable sécurité des systèmes d’informations (RSSI) dans leur fonctionnement. Le métier de RSSI est en pleine mutation tant au niveau de ses fonctions (évolution des rôles que le RSSI doit incarner) qu’au niveau des compétences et savoirs qu’il doit posséder (le RSSI doit être de plus en plus polyvalent). Il se consacre principalement à la protection du patrimoine immatériel, à la protection des données personnelles et à la lutte contre la fraude. L’offre de formation au métier du RSSI, par l'ingénierie technique ou l'audit informatique doit donc s’adapter en conséquence. Modérateur : Pierre-Luc REFALO Directeur associé, Hapsis – Paris (France) Le RSSI : cartographie d’un profil en pleine évolution Pierre-Luc REFALO Le métier de RSSI est apparu au début des années 1980s, avec la découverte des premiers virus. Il a depuis fortement muté pour devenir un métier en plein essor. Dans un milieu de plus en plus compétitif, la fonction de RSSI tend à devenir un métier de vocation. Toutes les professions peuvent avoir besoin d’y faire appel car le risque informatique est désormais partie intégrante de la sécurité globale de toute entreprise. En 2009, la fonction de RSSI se consacre principalement à trois thèmes majeurs : la protection du patrimoine immatériel (l’information), la protection des données personnelles et la lutte contre la fraude. Le responsable sécurité assume en moyenne une douzaine de rôles différents, allant de l’analyste des risques à celui de formateur en sécurité informatique. Selon les cas, un RSSI peut présenter un profil de pilote, d’architecte (qui élabore les plans de sécurité), ou d’administrateur (qui se positionne principalement dans l’opérationnel). Gérard LEYMARIE Adjoint du directeur sécurité informatique et méthodes, Groupe ACCOR – Paris (France) Le métier de RSSI connaît en effet une mutation profonde. A terme, les trois profils différents qui peuvent caractériser un RSSI, devraient se fondre en un seul. Deux voies, l’ingénierie technique et l’audit informatique, mènent au métier de RSSI. Ceci contribue à ce que co-existent deux conceptions différentes du métier ; les uns disposent d’une bonne compréhension des outils du RSSI tandis que les autres comprennent davantage la méthode et les enjeux du métier. Dans les deux cas, cependant, l’offre de formation, bien que déjà existante, reste à améliorer. Portrait du RSSI : qualités, connaissances et savoirs essentiels Le responsable sécurité doit être polyvalent : doté d’un socle de connaissances techniques (qui assoient sa crédibilité), il possède des compétences en management, un savoir juridique et une capacité à assurer une veille permanente sur son métier et sur son entreprise. De plus, le métier exige des qualités humaines (pragmatisme, résistance au stress, pédagogie), comportementales (adaptation culturelle, capacité à se remettre en cause, facilité à se créer des réseaux). La santé effectue sa révolution numérique Vincent LEROUX Médecin des hôpitaux, co-responsable du pôle ingénierie de la santé et de la gestion des risques, professeur l’école centrale de Paris, auditeur de l’IHEDN – Paris (France) L’essor d’Internet et des nouvelles technologies a changé la réalité de la santé : 50 % de la dépense d’un hôpital passe désormais dans le traitement de l’information. L’information santé constitue un patrimoine singulier : elle est à la fois collective et individuelle (patient) et constituée de données très sensibles. La santé a une problématique de sécurité informatique qui lui est propre et que le RSSI doit intégrer, en ce sens que la qualité et la sécurité de l’informatique participent à la qualité et la sécurité des soins. Par ailleurs, le RSSI doit comprendre la spécificité et les complexités du modèle non linéaire du monde de la santé, combinant entreprises et établissements, approche locale et mondiale, interaction entre informatisation et 34 urbanisation …. Le métier de RSSI dans le secteur santé exige donc des professionnels ouverts sur un environnement complexe et en mutation. Liliane DENIS-CUSSAGET Directrice de l’Institut informatique et entreprise (IIE), CCI du Valenciennois, commandant (RC) de la gendarmerie nationale – Valenciennes (France) L’IIE forme depuis 30 ans par alternance des spécialistes du développement informatique et des réseaux. Depuis 2008, l’offre de formation s’est enrichie grâce à une nouvelle formation au métier chef de projet en sécurité des systèmes d’information (SSI). La thématique de sécurité de l’information est intégrée dans toutes les formations, pour que ce ne soit pas uniquement une option d’étude, afin de proposer des métiers qui répondent aux besoins des entreprises. La formation en alternance, conçues pour et avec les entreprises permet aux élèves de développer une palette de compétences (techniques, gestion de projet) et de qualités comportementales (résistance au stress) qui leur confère une certaine crédibilité dans le milieu. Echanges avec la salle De la salle Le métier de RSSI peut-il convenir à un débutant ? 34 L’hospitalisation à domicile s’accompagne désormais de technologie numérique Liliane DENIS-CUSSAGET et Gérard LEYMARIE et Pierre-Luc REFALO Il n’y a pas d’âge pour débuter, tout dépend de la maturité de la personne. Il est tout à fait possible d’employer des débutants mais il est important de bien les encadrer et les accompagner. A l’inverse, une personne qui connaît tout de l’entreprise mais débute complètement en SSI peut devenir un très bon RSSI en quelques mois. De la salle Quels sont les liens entre intelligence économique (IE) et protection de l’information ? Pierre-Luc REFALO Il n’existe pas pour l’instant de modèle d’intégration entre IE et SSI, tout dépend encore de la maturité et de l’appétence de l’entreprise. Historiquement, le SSI vient des assurances, tandis que l’IE provient du monde de la défense. Deux logiques (assurance ou démarche de protection stratégique) s’affrontent. Cependant, les deux notions seront peut-être fondues dans le cadre de la sécurité globale. De la salle Dans le contexte actuel, le RSSI peut se retrouver à avoir à défendre ses budgets. Que peut-il faire ? Pierre-Luc REFALO La sécurité est une entité dont l’utilité est de plus en plus reconnue. Le RSSI doit donc insister sur ce point. De la salle Il est important de contraster le budget sécurité avec d’autres budgets : aujourd’hui, un budget de sensibilisation à 10 € par personne et par an fait bondir, tandis que le budget café, bien plus élevé, lui, ne choque personne. Liliane DENIS-CUSSAGET L’action la plus efficace pour souligner l’importance d’un RSSI est de montrer concrètement aux entreprises, notamment aux PME, les risques qu’elles encourent. Conclusion Pierre-Luc REFALO Les facteurs clés d’un RSSI, comprennent, entre autres, certaines capacités (savoir faire un choix, et savoir proposer des solutions adaptées) et un certain charisme (il faut savoir réseauter, et être un bon communiquant). Cyberdéfense : quelle coopération public-privé dans le cadre du livre blanc sur la défense et la sécurité nationale ? Publié en 2008, le livre blanc sur la défense et la sécurité nationale souligne l’importance que prendront les cybermenaces dans les quinze prochaines années (botnets ). Les Etats ne peuvent pas assurer seuls la cyberdéfense, c’est pourquoi les coopérations entre eux et avec le secteur privé doivent se renforcer. Pour ce faire, il est primordial de bâtir un cadre de confiance entre les partenaires, de replacer le facteur humain au cœur des dispositifs de sécurité et de développer la prévention, la protection, la R&D et la promotion de normes dans ce domaine. Modérateur : Commandant Sébastien MORDELET Stagiaire au Collège interarmées de défense (CID) – Paris (France) La coopération public-privé dans la cyberdéfense Guillaume TISSIER Directeur, Pôle risques opérationnels, Compagnie européenne d’intelligence stratégique (CEIS), Paris La coopération public-privé dans la cyberdéfense est essentielle pour plusieurs raisons : 80 % des infrastructures sont gérées par des industriels, Internet est devenu une structure vitale, la suprématie américaine dans ce domaine s’efface, le politique reprend la main sur le cyberespace, certains Etats ou groupuscules pourraient utiliser l’informatique comme une arme. Parce que les déséquilibres du monde réel se retrouvent sur Internet, la sécurité des citoyens et des Etats est en jeu. Si chaque acteur comprend les intérêts de ses différents partenaires (opérateurs Internet, gouvernements, consommateurs, entreprises…) la coopération s’en trouvera renforcée. Celle-ci doit se concentrer sur le développement de la prévention, l’organisation de la réponse aux incidents, l’encouragement de la R&D et la promotion de normes et standards. Le facteur humain dans la cybersécurité Sébastien HEON Senior manager, EADS - Elancourt (France) La cybersécurité a atteint un premier palier de maturité grâce à l’élaboration de doctrines étatiques et au développement de l’offre industrielle dans ce domaine. Afin d’améliorer encore son efficacité, le facteur humain doit être placé au centre des dispositifs de sécurité, tant sur la gestion des crises que dans l’analyse des menaces. Une cybersécurité efficace passe donc par l’alliance de technologies, de processus métiers et du facteur humain. Elle offre ainsi un cadre parfait pour un partenariat public-privé : nous devons rapidement échanger nos meilleures pratiques, car les cybercriminels ne nous attendent pas ! Des partenariats public-privé dans un cadre de confiance Stanislas De MAUPEOU Chef de projet cyberdéfense, THALES - Paris (France) Dans son volet prévention, le livre blanc insiste sur la lutte contre l’apparition de menaces. Des partenariats public-privé peuvent ainsi naître dans les phases d’avant-crise : traitement des vulnérabilités, développement des exercices de sécurité, préparation de la gestion de crise. Dans les phases de crise et de stabilisation, les industriels doivent être à la disposition des Etats qui dirigent les opérations. Le livre blanc s’intéresse également à la protection face aux agressions intentionnelles et non intentionnelles. Dans ce domaine, les réseaux résilients et les clubs de travail sur la sécurité sont de bons espaces de partenariats. Ces partenariats doivent se réaliser avec des industriels de confiance. Coopération de l’ANSSI avec les CERT et le secteur privé Philippe WOLF Ingénieur général de l’armement, ANSSI - Paris (France) L’Agence nationale de la sécurité des systèmes d’information (ANSSI) collabore de différentes manières avec les CERT 35 et le secteur privé. Ainsi, le CERTA36 (qui est rattaché à l’ANSSI) travaille en partenariat avec les autres CERT et les grands éditeurs qui publient des correctifs de sécurité. L’ANSSI sensibilise également les industriels à la nécessaire prise en compte de la sécurité dès la conception de leurs produits, en leur délivrant notamment des Certificats de sécurité de premier niveau (CSPN). Elle publiera en 2010 un guide de bonnes pratiques pour gérer, dans les entreprises, la sécurité des Systèmes d’information (SI) et évaluer les risques avant leur externalisation. Par ailleurs, l’ANSSI a mis en ligne 37 12 modules d’autoformation sur la sécurité des SI. Coopération dans la lutte contre les botnets Jean-Pierre DARDAYROL Ingénieur général des mines, Conseil général de l'industrie, de l'énergie et des technologies - Paris (France) La cybercriminalité est avant tout une économie puissante, innovatrice et mondialisée. Les botnets sont des réseaux de machines « zombies » (PC contrôlés par un tiers à l’insu de leur utilisateur) commandés de façon décentralisée et sécurisée. Véritable « Cinquième colonne » de l’Internet, ils pourraient y semer une grande paranoïa. La France intéresse les contrôleurs de botnets , car elle appartient à la zone euro et dispose d’ordinateurs et d’un réseau puissants. Les botnets permettent avant tout d’envoyer des pourriels, mais ils collectent également des données bancaires et sont à la racine de délits de services. Des organisations terroristes pourraient s’en servir. Pour lutter efficacement contre ces réseaux, les Etats, les Fournisseurs d’accès à Internet (FAI) et les éditeurs de logiciels doivent coopérer, car aucune réponse 35 Computer Emergency Response Team Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques 37 www.securite-informatique.gouv.fr 36 technique ne peut les détruire. Certains pays trouvent un intérêt à ces réseaux, et un code de bonne conduite des Etats sur ce point devra être adopté mondialement. Les botnets prolifèrent également par des PC domestiques souvent mal protégés : la formation des jeunes utilisateurs est essentielle. Echanges avec la salle De la salle Comment veiller à ce que des infrastructures non classées secret-défense mais néanmoins stratégiques ne soient pas gérées par des sous-traitants à l’étranger ? Réponse commune des intervenants Dans la Défense, le choix d’industriels de confiance est réglementaire et impératif, mais elle a un coût. En revanche la dimension juridique clé de « protection du secret d’affaires » n’a pas encore fait l’objet d’une loi, d’où la nécessité des analyses de risques avant d’externaliser. En outre, il n’existe pas de souveraineté numérique en Europe, il faudrait donc inventer un cloud à l’européenne en travaillant sur des outils de sécurité ouverts et interopérables en Europe. De la salle Le monde politique français est-il vraiment conscient des problèmes liés à la cybercriminalité ? Réponse commune des intervenants Le livre blanc a été l’occasion d’une réelle prise de conscience et de la création de l’ANSSI. De la salle Où en est la coopération juridique internationale sur la cybercriminalité ? Réponse commune des intervenants La coopération juridique internationale sur la cybercriminalité progresse, comme en témoigne la Convention de Budapest 38 39( . La jurisprudence sur les attaques informatiques reste cependant peu importante, car les vrais cybercriminels ne laissent pas de trace, mais surtout parce que - en France notamment - trop peu d’entreprises osent communiquer sur les pertes de données qu’elles ont subies et ne portent pas plainte. C’est un problème de prise de conscience des risques et de détection des attaques. Une réflexion sur le droit international reste à mener, notamment avec les Etats qui ont toléré sur leur territoire des botnets ou des pirates. 38 http://conventions.coe.int/Treaty/fr/Treaties/Html/185.htm Cette convention a été adoptée le 23 novembre 2001 et est entrée en vigueur le 1er juillet 2004. Elle réunit 30 Etats signataires: les membres du Conseil de l'Europe, les Etats-Unis, le Canada, le Japon et l'Afrique du Sud. Elle comporte trois objectifs: harmoniser les législations des Etats signataires en matière de cybercriminalité, compléter les législations en matière procédurale et améliorer la coopération internationale en matière d'extradition et d'entraide répressive 39 Conférence / La protection des systèmes d’information (SI) : véritable enjeu de sécurité nationale Les technologies de l'information et de la communication sont des moteurs de la croissance et de la compétitivité. Il est indispensable de sensibiliser les entreprises, notamment les PME et PMI à la sécurité des systèmes d'information ainsi que leurs salariés, source de risque par leur comportement (atteinte à l'image via des réseaux sociaux). Chaque entreprise doit mettre en place une politique de sécurité des SI propre à sa situation. Au niveau étatqiue, cette protection est à la charge de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Cette dernière diffusera aussi un guide des bonnes pratiques. Modérateur : Sylvain KLECZEWSKI Directeur de la communication, Chambre régionale de commerce et d'industrie (CRCI), Lille Sensibiliser les entreprises à la sécurité des SI Emmanuel SARTORIUS Haut fonctionnaire de défense et de sécurité, Ministère de l'Economie Industrie et de l'Emploi (MEIE), Paris Les Technologies de l’information et de la communication (TIC) sont des moteurs de croissance et de compétitivité : l’e-commerce a ainsi réalisé un chiffre d’affaires de 25 milliards d’euros en 2009 contre 20 milliards en 2008. La protection informatique est donc essentielle. Outre les pourriels, les consommateurs risquent de se faire pirater leurs données bancaires ( phishing), d’acheter des produits contrefaits ou dangereux, etc. Les entreprises peuvent voir quant à elles leur site attaqué. La sécurité des sites de fiscalité en ligne est un enjeu crucial pour le ministère de l'Economie Industrie et de l'Emploi (MEIE). Ce dernier s’emploie fortement à sensibiliser les entreprises à la sécurité des Systèmes d’information (SI), notamment les PME et PMI 40, plus démunies que les grandes entreprises. Les entreprises appartenant à des pôles de compétitivité sont mondialement repérées comme des entreprises innovantes, et peuvent donc être attaquées. De fait, les métiers de la sécurité des entreprises sont promis à un bel avenir, d’autant plus que l’interconnexion de tous les réseaux par l’ Internet protocol (IP) est un facteur de risque supplémentaire. Les salariés, source de risque pour les entreprises Gilles GRAY Adjoint au délégué interministériel à l’intelligence économique, chef du pôle sécurité économique, sécurité affaires intérieures et actions territoriales - Paris (France) Depuis 2006, les autorités publiques ont recensé 5 000 agressions subies par les entreprises sur le territoire français, dont 70 % étaient liées à des comportements humains. La délégation 40 Petites et moyennes entreprises, petites et moyennes industries interministérielle à l’intelligence économique cherche donc à sensibiliser les entreprises à la sécurité de leur SI. Ces dernières peuvent subir des attaques anonymes. Ainsi, à la veille d’un défilé, le site Internet de Chanel a été piraté, de telle sorte qu’en cliquant dessus, une photo d’un renard sanguinolent apparaissait. Mais l’Etat est très inquiet des risques que peuvent faire encourir les salariés à leur propre entreprise. En effet, ces derniers donnent de nombreuses informations sur leur entreprise via les réseaux sociaux ou des sites comme www.notetonentreprise.com et peuvent ainsi porter atteinte à son image. Pour y remédier, certaines entreprises ont d’ailleurs ajouté à leurs contrats de travail des clauses de confidentialité. La délégation interministérielle s’est également attelée à l’élaboration d’une formation obligatoire en intelligence économique pour les grandes écoles de l’Etat, les universités… Sensibiliser les citoyens à la sécurité informatique Patrick PAILLOUX Directeur général, ANSSI, Paris L’Agence nationale de la sécurité des systèmes d'information (ANSSI) s’occupe de la protection technique des SI. Depuis peu, elle cherche à sensibiliser les citoyens à la sécurité informatique, en communiquant davantage sur la protection de l’information, une préoccupation qui n’est pas inscrite dans la culture française. Elle conseille également les entreprises privées, en particulier les grands opérateurs d’infrastructures critiques (transport, santé…) dont dépend le bien-être des citoyens. Le partenariat entre l’ANSSI et les entreprises prend plusieurs formes : de l’analyse de la menace à la diffusion de produits de très haute sécurité. Structurellement, nos sociétés dépendent des SI pour vivre, toute attaque pourrait donc être dramatique. Pourtant, tout reste à créer en matière de cyberdéfense. Dans la défense classique, les agresseurs sont connus et les armes de défense développées par les Etats. En revanche, les cybercriminels sont très difficiles à identifier, et les armes numériques sont propagées par le grand public. C’est pour cela que la sensibilisation et la formation des citoyens sont primordiales. Les chefs d’entreprises et les autorités notamment croient se protéger en installant une solution technique (firewall , antivirus…), alors que c’est le facteur humain qui est source de vulnérabilité. De plus, l’utilisation personnelle de l’informatique est techniquement en avance sur l’utilisation professionnelle et les décideurs ne savent pas comment jouer leur rôle en matière de sécurité. L’arrivée sur le marché du travail de générations plus familiarisées avec les TIC sera un atout pour la sécurité des SI. La protection d’un opérateur d’importance vitale Jean-Jacques HENRY Directeur de la sûreté, SNCF, Paris La SNCF a été désignée par l’Etat comme « opérateur d’importance vitale », parce qu’elle fait circuler 10 000 trains par jour et alimente de nombreuses industries. Aujourd’hui, les SI sont omniprésents dans son fonctionnement (système d’exploitation, information des voyageurs, site de vente par correspondance…) et doivent donc être fiables. La SNCF est cible d’attaques, comme en 2007 où ses serveurs ont subi 70 000 attaques en cinq heures : la SNCF a réagi avec efficacité, mais sa messagerie est restée bloquée pendant 24 heures. La communication de crise lors de tels événements est très délicate (il faut être transparent sans affoler) et doit donc être préparée en amont. Afin de se protéger, la SNCF a structuré la sécurité des SI en nommant dans chaque branche « de haut niveau » un responsable, aisément en contact avec les dirigeants. Un processus d’analyse des risques et une démarche de maîtrise progressive de ces risques font l’objet d’un suivi rigoureux. D’autre part, le plus grand danger pour la sécurité des SI provenant de l’imprudence des hommes, la SNCF sensibilise donc ses salariés. Cette sécurité passe également par la coopération avec l’Etat, les autres entreprises, etc. Le rôle du ministère de l’Intérieur dans la sécurité des SI Yann JOUNOT Préfet, Haut fonctionnaire de défense adjoint, Directeur de la planification de sécurité nationale, ministère de l'Intérieur - Paris (France) Le ministère de l’Intérieur a l’obligation de protéger son SI, d’autant plus que ses responsabilités régaliennes touchent à la sécurité et à la liberté des citoyens. En outre, le livre blanc sur la défense et la sécurité nationale renforce son rôle de maintien des capacités de gouvernance de l’Etat sur tout le territoire. La protection de chaque entité publique sur le territoire passe - sous le contrôle de l’ANSSI par la mise en place d’une politique de sécurité des SI, qui touche à la fois des questions techniques, d’organisation et de formation (pour agir sur les comportements humains). Une réelle gouvernance de la sécurité des SI est donc essentielle : il est nécessaire de se préoccuper de la sécurité des SI dès leur conception, ainsi que de la mise en responsabilité des chaînes humaines. La capacité à détecter les attaques est une des conditions de protection des systèmes. Les outils d’analyse des risques doivent être simples, rationnalisés et ergonomiques pour être utilisés correctement. Le projet « Cyberdéfense » du ministère est un audit « en continu » de ses sites, afin de vérifier qu’ils continueraient à fonctionner malgré les attaques et de repérer les mauvaises utilisations des SI. Le ministère et l’ANSSI collaborent également sur la mise en place d’observatoires zonaux (sept en métropole), pour diffuser la culture de la sécurité auprès des services déconcentrés de l’Etat, des collectivités territoriales et des entités parapubliques. Patrick PAILLOUX Ces observatoires sont en quelque sorte des « clubs » qui fédèrent les acteurs, leur apportent de l’information tout en faisant remonter leurs attentes au ministère. La coopération doit également se développer sur le plan international, entre Etats et avec les industriels. Elle a considérablement progressé récemment ; reste à améliorer la communication envers les populations. En outre, les organisations qui nient faire l’objet d’attaques informatiques ne sont pas crédibles. Echanges avec la salle De la salle (Responsable de la sécurité informatique de l’hôpital de Valenciennes) Pour les prochaines années, quels sont les ambitions et les objectifs de l’Etat dans le domaine de la sécurité des SI ? Patrick PAILLOUX Les grandes priorités de l’ANSSI sont d’augmenter la capacité de cyberdéfense et de se doter de capacité de détection. Elle cherchera par ailleurs à développer des guides, des recommandations et l’assistance pour les services publics et les industriels. L’agence s’intéresse également à la problématique des infrastructures vitales. Par exemple, la mise en réseau de toutes les machines dans les hôpitaux les rend vulnérables aux virus, et le ministère de la Santé réfléchit à ce problème. Enfin l'ANSSI devrait avoir un centre de supervision des systèmes de détection pleinement opérationnel en 2012. De la salle (Patrice VENDER, fonctionnaire sécurité défense à l’INSERM) Les universités doivent bénéficier de formations à l’intelligence économique. Gilles GRAY Effectivement. L’Etat cherche à faire passer le message de l’intelligence économique au monde de la recherche, mais celui-ci étant un monde d’échanges, cela est très difficile. La délégation interministérielle à l’intelligence économique travaille en outre avec l’ANSSI et la Direction de la planification de sécurité nationale (DPSN) sur la sécurisation des plateformes des pôles de compétitivité. De la salle (Emmanuel EMAN, consultant en intelligence économique) Les TPE41 et PME sont moins sensibilisées que les grandes entreprises à la sécurité du développement économique, et le guide de l’ANSSI devrait leur être distribué par les CCI42. Patrick PAILLOUX Ce guide est fait pour tous. L’ANSSI souhaiterait connaître les besoins des acteurs de terrain. Gilles GRAY La Confédération générale des PME a adressé un questionnaire à ses adhérents sur l’intelligence et la sécurité économique : 47 % des PME ont en entendu parler, contre 5 % il y a cinq ans. De la salle (Chef d’escadron Dominique SCHOENHER, chargé de mission en intelligence et sécurité économiques, Nord – Pas de Calais) L’ANSSI mettra-t-elle bientôt en place une politique de certification des SI des PME ? Patrick PAILLOUX L’ANSSI a mis en place un système d’évaluation de premier niveau permettant de certifier les produits des entreprises 43. Elle créera également un label pour les prestataires de service, en 41 42 Très petites entreprises Chambres de commerce et d’industrie particulier d’audit. L’achat de produits labellisés par les utilisateurs incitera les industriels à faire certifier leurs produits. De la salle (Général DESVIGNES) Microsoft a proposé de mettre en quarantaine les PC non sécurisés. Si l’ANSSI agissait comme l’agence sanitaire, certains produits de Microsoft n’auraient pas obtenu d’autorisation de mise sur le marché… Patrick PAILLOUX Il peut être pertinent pour une entreprise de vérifier l’ordinateur d’un collaborateur qui revient de l’étranger. En revanche, il est impossible de blacklister les produits dans lesquels on ne peut avoir confiance à 100 % : il n’en resterait quasiment aucun ! Microsoft a reproché à l’ANSSI d’avoir diffusé une alerte à la vulnérabilité pour Internet Explorer. 43 Leur liste est consultable sur www.securite-informatique.gouv.fr et sur www.ssi.gouv.fr Jeux d'argent en ligne : comment combattre les sites illégaux ? Pour réguler cet immense marché des jeux en ligne, une loi semblait nécessaire. Ses objectifs sont clairs : lutter contre la fraude, le jeu excessif et l’accès à ces sites par les mineurs. Pour appliquer la loi et délivrer les agréments légaux, l’Etat peut compter sur l’ARJEL et ses instances. Mais ces initiatives suffiront-elles dans un environnement où l’identification des joueurs et des opérateurs est rendue difficile ? Pour terminer, certains sites d’apparence légale sont les lieux privilégiés de fraudeurs. Modérateur : Me Thibault VERBIEST Avocat aux Barreaux de Paris et de Bruxelles, Chargé de cours à l'Université Paris I SorbonnePanthéon – Paris (France) Une loi pour réguler le marché des jeux en ligne François TRUCY Sénateur du Var, Rapporteur du projet de loi sur les jeux en ligne - Paris (France) La loi sur les jeux en ligne entend réguler un marché qui voit fleurir des sites illégaux : sur les 3 milliards d’euros de chiffre d’affaires qu’ils génèrent, seul 1 milliard provient de sites légaux (PMU et Française des jeux). Ainsi, cette loi de 58 articles crée l’Autorité de régulation des jeux en ligne (ARJEL), qui distribue des agréments aux sites qui veulent entrer dans la légalité. Ces derniers seront soumis aux obligations de la loi : conforter la politique de jeu responsable en protégeant les mineurs et les joueurs fragiles – refus de l’accès aux interdits de jeu, messages de prévention… – et assurer les ressources de l’Etat en luttant contre la fraude et le blanchiment. En revanche, les responsables de sites qui proposeront une offre en ligne sans disposer d’agrément risqueront 3 ans de prison et 90 000 euros d’amende, 7 ans et 200 000 euros s’il s’agit d’une bande organisée. L’ARJEL, un outil pour appliquer la loi Frédéric EPAULARD Secrétaire général de la mission de préfiguration de l'Autorité de régulation des jeux en ligne (ARJEL) - Paris (France) En l’absence de définition officielle, doivent être considérés comme illégaux tous les sites qui n’ont pas obtenu d’agrément et qui s’adressent à la population française (par exemple, un site en langue française qui propose de parier sur la ligue 1 de football). Pour lutter contre les sites illégaux, l’ARJEL emploie différentes dispositions : interdiction de publicité dans tous les médias, possibilité de saisir le président du Tribunal de grande instance (TGI) de Paris pour stopper la diffusion d’un site auprès d’un fournisseur d’accès ou blocage des virements du compte de l’opérateur vers celui des joueurs. Pour les sites qui demandent un agrément, le collège de l’ARJEL étudie les dossiers à partir d’éléments techniques, économiques (provenance des fonds) et juridiques. Cette instance espère que – suivant la promulgation de la loi – le marché sera ouvert début juin, pour permettre les paris sur les matchs de la Coupe du monde de football en Afrique du sud. D’importantes difficultés techniques Cyril LEVY Spécialiste des questions de sécurité liées au jeu en ligne, Agence Salamandre - Paris (France) Face au nombre de sites de jeux en ligne (25 000), certains obstacles techniques freinent le contrôle des sites illégaux. En effet, des outils extrêmement simples d’utilisation assurent l’anonymat des internautes : programme Ultrasurf, site Anonymizer ou VPN virtuels qui brouillent les adresses IP, seules à permettre l’identification et la localisation d’un joueur ou d’un opérateur. Difficile, dans ces conditions, de déterminer si le joueur est français. Par ailleurs, les opérateurs de jeu illégaux investissent massivement pour sécuriser leur activité. Les combattre relève généralement de la partie de cache-cache, comme l’ont prouvé de récentes procédures en Italie. Quand le légal cache l’illégal Frédéric ABADIE Rédacteur en chef, Journal des casinos - Troyes (France) Si l’industrie des casinos physiques est aujourd’hui bien régulée, celle des sites légaux peut dissimuler des activités délictueuses. Par exemple, le Kahnawake – petite réserve du Québec qui compte 8 500 habitants – héberge 400 sites de poker, dont Absolute Poker . Deux administrateurs de ce site légal ont manipulé les cartes pour réaliser une fraude qui s’élève à 500 000 euros. Quand l’argent circule aussi vite, il est difficile d’évaluer si les joueurs sont sincères et de déceler une fraude qui aurait lieu sur un site légal. Se pose aussi la question des paris truqués, principalement en ce qui concerne le football (90 % des cas). Ainsi, un réseau allemand a été démantelé en 2009 ; il avait truqué 200 rencontres dans 17 pays, dont 7 matchs du tour préliminaire de la Ligue des Champions. Il s’agit une fois de plus de fraudes qui ont un impact sur les jeux en ligne. Echanges avec la salle De la salle Quelles sont les garanties pour les mineurs ? François TRUCY Le joueur qui souhaite s’inscrire doit fournir sa carte d’identité et un RIB. Evidemment, un mineur pourra toujours utiliser la pièce d’identité de son père… Mais la procédure d’identification s’inspire de celle de la Française des jeux et du monde bancaire ; le système français sera le plus strict d’Europe. Frédéric EPAULARD En ce qui concerne la lutte contre l’addiction, des audits et autres procédures permettent de s’assurer que les sites s’engagent réellement contre ce phénomène. Lutte anti-virale en environnement informatique Aujourd’hui, les Systèmes d’information (SI) des organisations sont de plus en plus interconnectés entre eux et gèrent de plus en plus d’activités. En parallèle, de nouveaux malware 44 et vers (worms ) peuvent provoquer quasi instantanément des dégâts dans les SI et engager la responsabilité pénale des utilisateurs. Ceux-ci ont pourtant du mal à saisir les risques de ces attaques nouvelles, et ne se protègent pas assez. Pour contrer ces attaques, différentes mesures doivent être prises : négocier les protocoles de sécurité des contrats de maintenance des machines, collaborer avec les laboratoires antivirus et autres organisations, etc. Modérateur : Maître Garance MATHIAS Avocat spécialisé dans le droit des nouvelles technologies, Paris Attaques Gumblar au Japon Nobutaka MANTANI Technical official, High-Tech Crime Technology Division, National Police Agency, Tokyo (Japon) [Rédigé à partir de l’interprétariat] En mai et décembre 2009, le Japon a été largement touché par des attaques Gumblar45, dites des attaques « drive by download ». Gumblar provoque des dégâts en injectant du java script dans le code des sites web (plus de 200 sites touchés, dont des sites de grandes entreprises). Le java script injecté endommage les sites et redirige les internautes vers des sites malveillants, qui infectent à leur tour les ordinateurs de ces mêmes internautes (en y installant des malware). De plus, Gumblar récupère les codes d’accès des serveurs FTP46 des sites infectés et s’en sert pour transmettre les malware, ce qui accélère l’infection (réactions en chaîne). Pour lutter contre Gumblar, les mises à jour sécurité de Windows et des logiciels anti-virus (notamment contre les malware) sont primordiales. Les webmasters peuvent de plus, mettre à jour leur site en passant par du FTPS47 ou du SSH48 au lieu du FTP traditionnel. Enfin, une surveillance régulière des log d’accès au serveur FTP est également recommandée pour détecter toute activité suspecte. L’infection virale dans les hôpitaux Philippe LOUDENOT Fonctionnaire de sécurité des systèmes d'information adjoint, ministère de la Santé, Paris Dans les hôpitaux, les SI sont désormais omniprésents, interconnectés entre eux et télémaintenus. Ils sont donc particulièrement vulnérables aux attaques virales, or le monde de 44 Logiciel malveillant Le nom est tiré du nom de domaine du site utilisé à l’origine pour lancer les attaques virales 46 File transfer protocol 47 FTP sécurisé 48 Secure Shell 45 la santé est peu sensible à leur sécurité. L’infection par Conficker49 de nombreux hôpitaux a eu de nombreuses conséquences : rupture de la communication avec l’extérieur, pertes financières, suspicion sur l’intégrité des données médicales, risque de poursuites pénales… Pour parer ces attaques, il est primordial de définir le périmètre des SSI50, d’inventorier les valeurs de l’entreprise (actifs), d’impliquer l’ensemble des acteurs dans la sécurité, d’ajouter des clauses de sécurité dans les contrats de maintenance. Les utilisateurs doivent comprendre également que ce qui n’est pas autorisé explicitement est interdit. Garance MATHIAS Les données médicales sont personnelles et sensibles et bénéficient d’une protection juridique renforcée. Le droit appréhende les dommages et préjudices causés par les attaques, d’un point de vue pénal (en cas de plainte) et civil (obligations contractuelles des prestataires). Les nouveaux vers Marc BLANCHARD Epidémiologiste, directeur des laboratoires technologiques & scientifiques BitDefender, Montrouge Depuis 1 an, de nouveaux vers (worms ) arrivent sur les ordinateurs via les moteurs de recherche, les applications communicantes…, et plus seulement par mail. Les pirates utilisent des technologies déportées, comme si plusieurs voitures faisaient passer une mitrailleuse en pièces détachées à la douane : ils pénètrent une machine, ne l’infectent pas mais l’affectent en installant un process en mémoire qui se fait référencer et récupère ensuite les exploits de l’extérieur. Ces vers ont une durée de vie très longue, car ils s’attaquent à l’environnement et non plus seulement à un fichier. En cas d’attaque, les utilisateurs doivent contacter immédiatement leur laboratoire antivirus et suivre scrupuleusement les procédures données, car les vers capitalisent sur l’expérience et changent aussitôt de comportement. Avant même d’intervenir sur la machine infectée, il faut la cloner physiquement, la mettre en quarantaine et la remettre aux autorités. Aujourd’hui, un ver peut contaminer 160 000 machines en 35 secondes, et il faut moins de quatre minutes pour exploiter les failles de sécurité d’un système. Conficker Conficker est un stormworm 51 capable de nombreuses malveillances : délit de services, faux serveurs de blog , etc. On ne sait pas où il se cache aujourd’hui, mais il est toujours vivant. Cyrille RENAUD Expert en attaques réseaux de malware, BitDefender, Montrouge Conficker a stoppé pendant 1h les Domain Name Systems (DNS) locaux d’une grande société française pour récupérer sa bande passante, mais les utilisateurs croyaient avoir perdu leur connexion Internet. Le serveur a succombé à deux attaques d’environ 10 mn, de 49 Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu fin novembre 2008 50 Sécurité des systèmes d’information 51 Littéralement ver orage, capable d’attaques foudroyantes respectivement 60 000 et 47 000 requêtes envoyées. Quand le hacker a terminé, il a redonné la main sur les DNS pour que l’administrateur ne reformate pas ses machines. Il est donc primordial de fournir les logs du firewall à un laboratoire antivirus qui le demande, pour détecter les méthodes d’attaques. Echanges avec la salle De la salle Comment se protéger des patchs qui désactivent les firewall ? Réponse commune des intervenants On ne peut pas détecter les codes, car ils n’ont pas de header 52. Il faut se protéger en utilisant les dernières applications des logiciels antivirus, qui doivent être capables d’analyser les requêtes en mémoire et stopper les process malveillants. De la salle Quel est le statut juridique des logs ? Réponse commune des intervenants Les logs sont considérés juridiquement comme des données à caractère personnel. Mais les laboratoires antivirus en ont besoin pour intervenir et ils seront surtout retenus comme preuves par la justice en cas d’affaire. Ils doivent être donc communiqués si nécessaire, mais à des personnes de confiance. De la salle Faut-il séparer les différentes parties d’un réseau ? Réponse commune des intervenants Sans couper l’accès à Internet aux utilisateurs, les SI les plus sensibles d’une organisation doivent être cloisonnés, et les flux importants doivent être cryptés. Les utilisateurs sont toujours réticents à cela, mais ils peuvent le comprendre si on leur explique les risques. Dans les contrats de maintenance, il ne faut pas se laisser imposer les protocoles de sécurité des fournisseurs de machines mais au contraire les négocier avec eux. De la salle Peut-on avoir confiance dans les antivirus ? Réponse commune des intervenants Un antivirus prévient d’abord les attaques connues et il n’est plus suffisant face aux nouvelles infections. Pour les contrer, il faut toujours posséder la dernière version d’un antivirus, appliquer immédiatement les patchs de sécurité de Microsoft et collaborer (avec les laboratoires antivirus…). 52 En tête de fichier informatique Lutte contre les téléchargements illicites d’œuvres multimédias Les mesures de lutte contre le téléchargement illégal sont de plus en plus efficaces grâce aux techniques innovantes de détection de fichiers contrefaits ; elles varient de pays à pays (au Japon, le décrochage d’utilisateurs des réseaux de P2P montre l’efficacité des mesures) et ont parfois du mal à être harmonisée (cas des modalités d’échange des données personnelles en Europe). Dans le cadre de la lutte contre le téléchargement illégal, la France est dotée d’un cadre législatif singulier, HADOPI, qui présente des difficultés juridiques et pratiques. Modérateur : Daniel GUINIER Expert judiciaire honoraire, docteur ès sciences CISSP/ISSAP/ISSMP/MBCI, lieutenant-colonel (RC) de la gendarmerie nationale – Strasbourg (France) Harmoniser les législations européennes d’accès aux données personnelles François HONNORAT Avocat associé, spécialiste en droit pénal et économique, cabinet Racine – Paris (France) Malgré la volonté des Etats membres d’unifier leurs approches de lutte contre les téléchargements illicites, la création d’un espace juridique homogène demeure un objectif idéal, qui se heurte aux marges d’appréciation étatiques, notamment en matière de collecte de données. Ainsi, pour lutter contre le téléchargement illégal, la France a choisi de mettre en place un dispositif singulier : la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI). Cette autorité ne dispose pas de pouvoirs juridictionnels (répression) mais peut collecter à un niveau administratif des données à caractère privé d’utilisateurs qui téléchargent de façon illicite. Or, à l’exception de ce dispositif original en France, l’accès aux données personnelles demeure en Europe du ressort du juge (appréciation de l’opportunité de divulguer des données au Royaume-Uni). Les modalités d’échanges de données personnelles au niveau européen restent donc à définir. Lutte contre les réseaux P2P au Japon Yoshio YAMADA Assistant director, High-Tech Crime Technology Division, National Police Agency – Tokyo (Japon) Deux plates-formes de téléchargement illicites peer to peer (P2P) posent particulièrement problème au Japon en raison de leur popularité : Winny (4 millions de fichiers partagés par jour) et Share (900 000 fichiers par jour). Le fonctionnement particulier des plates-formes de P2P empêche de remonter aux fournisseurs des fichiers illicites : chaque fichier est enregistré dans un index, qui conserve les données essentielles mais pas le contenu. Dès qu’un utilisateur accède à ces données essentielles, l’adresse IP 53 d’origine liée au fichier est changée. La mise en place de contre-mesures, notamment de suivi des contenus ( monitoring) et de collecte de 53 Internet protocol données ainsi que le vote de lois contre le téléchargement illicite contribuent néanmoins à ce que des informations sur les fournisseurs de fichiers illicites soient rassemblées. Ces actions de répression du téléchargement illégal ont été couronnées de succès : il a été constaté une baisse conséquente du nombre d’utilisateurs se connectant aux réseaux de P2P (200 000 utilisateurs en moins sur Share en 3 mois en 2009). Techniques de détection et de caractérisation de fichiers illicites François HONNORAT Avocat associé, spécialiste en droit pénal et économique, cabinet Racine – Paris (France) Pour lutter contre le téléchargement illicite, des techniques innovantes de détection ont été développées. Elles font appel au concept de robustesse (persistance des informations malgré les changements de format, de position, de dimension…) et au concept de similitude (entre une base de données et un fichier). Ainsi, la détection par empreinte intègre ces concepts pour la vidéo : les images d’une image sont caractérisées grâce à leurs zones remarquables (calcul des points de minutie). Marc PIC Directeur des opérations techniques, Hologram Industries, Division Média, Advestigo – Paris (France) Si la surveillance et le suivi des fichiers illicites peuvent être automatisés, l’apport de la preuve de la contrefaçon est encore un grand chantier à mener. La notion de hash (signature des fichiers) est exploitée pour surveiller Internet dans sa globalité : tous les fichiers portant un hash qualifié en contrefaçon peuvent être automatiquement reconnus. Toutes les personnes qui partagent ce fichier illicite sont donc ensuite détectées. Dès lors que cette collecte de données d’utilisateurs est effectuée, les agents assermentés peuvent compiler et sélectionner des adresses IP pour ensuite les sanctionner selon le principe de riposte graduée, estampillé « HADOPI ». Néanmoins, pour pouvoir le faire, la contrefaçon doit être obligatoirement caractérisée : un échange entre l’agent et l’internaute doit donc avoir lieu pour que l’agent constate que l’internaute suspecté dispose bien du contenu détecté dans une quantité non-négligeable. Difficultés juridiques et pratiques des lois HADOPI Corinne THIERACHE Avocat associé droit des TIC et propriété intellectuelle, présidente de l’association Cyberlex – Paris (France) De nombreuses difficultés sont attendues à tous les niveaux de la mise en place du nouveau cadre législatif HADOPI : en amont du téléchargement illicite (obligation légale de sécurisation de l’accès, complexe à circonscrire et à mettre en place), lors de la constatation du téléchargement illicite (remise en cause de la fiabilité de l’IP, qui est pour l’instant la clef de voute de cette constatation), lors de mise en œuvre de la riposte (doutes quant au respect du droit à l’information des internautes…) et enfin lors de l’instruction des dossiers (manque de ressources, financières et humaines). Pour autant, le caractère applicable des lois ne peut encore être jugé puisque leurs décrets n’ont pas encore paru. Echanges avec la salle De la salle (Dominique CIUPA, directeur de la rédaction de Mag-Securs) Que faire face à des initiatives (payantes ou gratuites) qui permettent de télécharger sans laisser de traces ? François HONNORAT Si les initiatives payantes habituent les internautes à ce que le contenu téléchargé acquière une valeur forfaitaire, ce serait un progrès. Ainsi, à terme, les Fournisseurs d’accès Internet (FAI) pourront intégrer dans le prix de leur forfait un droit à télécharger. Les initiatives gratuites, qui ont vocation à protéger l’accès à l’information des internautes, n’ont, elles, pas vocation à laisser télécharger n’importe quoi et ne présentent donc pas de risque dans la répression du téléchargement illicite. De la salle Sous quel mandat considère-t-on le partage de fichiers dans le cadre du réseau Friend to Friend ? Corinne THIERACHE Le Friend to Friend n’est pas la priorité des pouvoirs publics. Dans ce type de réseau, seule la provenance du fichier est observée. François HONNORAT Le réseau Friend to Friend sera le vrai challenge du futur : les réseaux d’amis sont difficilement pénétrables. E-démocratie – Opportunités et menaces pour les collectivités territoriales Les collectivités locales recourent de plus en plus à Internet, y compris pour animer la vie démocratique. Opportunité économique certaine, l’e-démocratie n’en soulève pas moins des enjeux sécuritaires complexes (risque de piratage, de manipulation de données…). Ces difficultés peuvent néanmoins être dépassées comme le montre l’expérience de la Communauté de communes de l’Atrébatie. Des précautions permettent ainsi de se prémunir du risque juridique que représente la gestion d’un site Internet, comme par exemple la conservation des données d'indentification et une modération des propos. La création d’un poste dédié à la sécurité des systèmes d’information comme c’est le cas à la Communauté Urbaine de Lille (CUDL) est aussi un moyen d’instaurer une bonne gestion d’Internet. Enfin, toute collectivité doit clairement délimiter le cadre de son usage d’Internet. Modérateur : Richard OLSZEWSKI Conseiller communautaire délégué prévention des risques, Lille métropole communauté urbaine (LMCU), Vice-président de l'association S@ntinel - Lille (France) Avec la multiplication des procédures d’appel d’offres gérées en ligne ou la numérisation des fichiers d’état civil, l’administration se dématérialise chaque jour un peu plus. Suivant le même élan, la démocratie tend aussi à recourir à l’outil Internet. Quelles sont alors les opportunités et les menaces de cette nouvelle tendance pour les collectivités territoriales ? Présentation des enjeux généraux Bruno PIETRINI Chargé de mission, Service TIC, Direction recherche, enseignement supérieur, santé, technologies de l'information et de la communication, Conseil régional Nord-Pas-de-Calais - Lille (France). Environ 1,7 milliard de personnes dans le monde ont accès à Internet, soit autant de citoyens qui peuvent être consultés en direct par le biais d’Internet, grâce à une multitude d’outils (blogs, forums, chats…). Dans un tel contexte, l’utilisation d’Internet, pour améliorer la démocratie, devient incontournable. Le développement de l'e-démocratie est aussi très attractif puisque de nombreuses opportunités économiques y sont associées. Ainsi, chaque nouveau service (débat public, gestion de l’image…) requiert une solution numérique spécifique. Véritable eldorado économique, l’e-démocratie soulève, toutefois, d’autres enjeux d’ordre sécuritaire (protection contre le piratage du système des collectivités territoriales) ou juridique (garantie de l’anonymat des internautes qui utilisent les services des collectivités et maîtrise de la législation en vigueur). En outre, les nouvelles solutions de la démocratie numérique ne sont pas à l’abri des manipulations (des données d’un sondage par exemple) qui pourraient mettre les élus en difficulté. Si la tendance de l’e-démocratisation est lancée, son avenir en termes d’opportunités et de menaces reste donc flou. Un exemple d’utilisation des TIC dans un débat public Hervé DELEERSNYDER Chef de projet territoire numérique, Communauté de communes de l'Atrébatie - Avesnes-Le-Comte (France) Afin d’associer les citoyens à la prise de décisions, la Communauté de communes de l’Atrébatie a intégré, en 2005, les TIC54 dans le débat public relatif à l’implantation d’éoliennes sur le territoire. En amont du débat présentiel, les citoyens ont pu soumettre les questions sur lesquelles ils souhaitaient débattre et avoir accès à toutes les informations nécessaires pour se former une opinion sur un site Internet dédié au débat. Avec une moyenne quotidienne de 40 visiteurs sur le site durant la phase préparatoire du débat, le recours aux TIC a été un succès. Néanmoins, il ne faut pas négliger que sur le Net, comme ailleurs, les débats demeurent l’emprise de ceux qui ont la capacité et la facilité de s’exprimer. Présentation des enjeux juridiques Me Martine RICOUART-MAILLET Avocat associé BRM Avocats, Administrateur de l'AFCDP - Lille (France) Le modèle de l’e-démocratie impose aux collectivités territoriales de prendre plusieurs précautions pour limiter leur responsabilité en cas de dérapage de la liberté d’expression. La conservation des données d’identification de chaque éditeur en fait partie. L’existence d’un système efficace de modération des propos est aussi importante, mais sa mise en œuvre n’est pas toujours évidente puisque la frontière entre critique admissible et propos diffamatoire est parfois ténue. La gestion des données personnelles apparaît comme un autre défi à relever. D’une part, le respect de plusieurs principes s’impose (droit à l’oubli pour les personnes ayant déménagé, utilisation du fichier électoral pour les seules élections…) et d’autre part, la législation tend à rendre obligatoire la notification de toute faille de sécurité à la CNIL55 voire aux personnes concernées. Dans ce contexte, la désignation d'un Correspondant Informatique et Libertés, (CIL) dans une entreprise, une collectivité locale ou une administration peut être judicieuse. En effet, le CIL a une mission de sensibilisation et d'alerte. Exemple de la Communauté Urbaine de Lille (CUDL) Fethi CHAOUI Responsable systèmes d'information, Lille métropole communauté urbaine (LMCU) - Lille (France), En 2008, un audit a révélé un manque d’encadrement des systèmes d’information de la CUDL. Le poste de responsable de la sécurité des systèmes d’information (RSSI) a été créé en conséquence. Le RSSI, aux responsabilités à la fois organisationnelles et fonctionnelles, inscrit la sécurité des systèmes d’information dans une démarche d’amélioration continue. 54 55 Technologies de l’information et de la communication Commission nationale de l’informatique et des libertés Aujourd’hui, l’objectif est d’assurer une plus grande disponibilité du réseau Internet pour les usagers de la CUDL en réduisant les défaillances électroniques qui peuvent générer la perte de données ou l’arrêt des communications téléphoniques et ainsi mettre en péril l’image de la CUDL. Peu à peu, un cercle vertueux se met en place pour assurer une sécurité permanente des systèmes d'information. Perspectives François GARAY Maire – Les Mureaux (France) La municipalité des Mureaux travaille sur l’e-démocratie depuis 2001. Trois réflexions principales émergent dans ce débat. Tout d’abord, il est nécessaire, pour une municipalité de se doter d’un plan local d’urbanisme d’information. Ensuite, l’espace virtuel doit non seulement être contrôlé mais aussi clairement délimité. Ainsi, il faut décider jusqu’où cet espace virtuel peut être utilisé : pour permettre la consultation d’informations, pour faciliter la vie des citoyens (services administratifs en ligne…) ou bien pour créer une participation citoyenne active (référendum d’initiative locale organisé sur internet par exemple) ? Enfin, ce projet doit s’inscrire dans une démarche de qualité. SSI : rôle et responsabilité du chef d’entreprise Dans une entreprise, la responsabilité des SSI incombe à son dirigeant. Celui-ci l’ignore trop souvent et, méconnaissant les risques qui l’entourent, il ne prend donc aucune précaution. Pourtant, cette responsabilité est très large et peut être liée aussi bien à un contenu (téléchargement illégal de fichiers par un salarié par exemple) qu’à du matériel. Bien que fastidieux à mettre en œuvre, un système de traçabilité de la responsabilité est très utile pour identifier clairement l’origine d’une infraction. Par ailleurs, le télétravail, contrairement aux idées reçues, est un autre moyen de renforcer la sécurité informatique de son entreprise. Modérateur : Sylvaine LUCKX Journaliste, rédactrice en chef de Mag Securs - Suresnes (France) Le développement d’Internet et des réseaux complique le rôle du chef d’entreprise : la sécurité des systèmes informatiques (SSI) relève en effet de sa responsabilité, bien que le chef d’entreprise l’ignore souvent. Illustrations concrètes Adjudant chef David CASSEL Enquêteur N'Tech, chef de la cellule IC, Groupement de gendarmerie du Pas-de-Calais - Arras (France) La responsabilité du chef d’entreprise peut être mise en cause pour divers motifs comme la pédopornographie (dès qu’un salarié utilise sa connexion professionnelle pour télécharger de telles images). Le plus souvent, le chef d’entreprise est surpris par l’intervention des forces de l’ordre car il ignore les risques encourus. Les politiques de sécurité informatique sont rares dans les entreprises et, lorsqu’elles existent, sont souvent obsolètes du fait de l’évolution rapide des nouvelles technologies. Colonel Joël FERRY Commandant de la Section de recherches de Versailles (France) La plupart des grandes entreprises ont mis au point une politique de sécurité informatique. En revanche, les TPE et PME ne mesurent pas l’ampleur des richesses qu’elles ont à protéger (fichiers clients, archives…) et ne prennent donc aucune mesure pour assurer la sécurité de leurs systèmes informatiques. Ainsi, les codes de sécurité sont rarement modifiés : un ancien salarié malveillant peut donc aisément accéder à des données à caractère privé (coordonnées des clients notamment) stockées sur le réseau de l’entreprise. Or, le chef d’entreprise a pour obligation légale de sécuriser ces données. Lorsque la police ou la gendarmerie intervient dans ces affaires, elle enquête mais tente également de sensibiliser le chef d’entreprise aux risques encourus. L’étendue de la responsabilité du chef d’entreprise Blandine POIDEVIN Avocat spécialisé dans le droit des nouvelles technologies, Jurisexpert, - Lille (France) La plupart des affaires mettent en cause la responsabilité de l’entreprise en tant que personne morale et non le chef d’entreprise en tant que personne physique. La responsabilité informatique peut être liée à un contenu délictueux (atteinte à la vie privée, diffamation…) ou au matériel mis à disposition des salariés. La responsabilité liée au contenu est très large car elle est mise en cause devant un tribunal pénal dès qu’il y a facilitation de l’infraction. Ainsi, le chef d’entreprise peut être inquiété en tant que fournisseur d’accès à internet – tant la connexion fixe que nomade – pour ses salariés, ou en tant qu’hébergeur de contenus. Dès lors, la sécurisation des données et des accès est indispensable. En tant que cabinet, nous intervenons lorsque l’infraction est commise mais nous en profitons aussi pour apporter des conseils (rédaction d’une charte, déclaration à la CNIL…) qui préviendront d’autres risques éventuels. La traçabilité de la responsabilité Sébastien VILLAIN Consultant en sécurité, SPIE Communications – Lille (France) Plusieurs problèmes se posent lorsque l’on cherche à retrouver la trace d’une infraction et la responsabilité qui en découle. Tout d’abord, les entreprises ne collectent généralement pas de façon automatique les logs qui permettent de remonter à une adresse Ip. Ensuite, le stockage de ces logs est difficile puisqu’ils représentent plusieurs téra-octets de données. Enfin, le filtrage et la mise en relation des logs pour faire émerger une anomalie relève d’un travail fastidieux. Le télétravail, source de sécurité Serge LE ROUX Vice-président de l'Association française du télétravail et de téléactivités (AFTT), Gérant de CAP Télétravail, Animateur du Réseau de recherches sur l'innovation (RRI) - Noordpeene (France) Le télétravail, outre ses effets bénéfiques sur l’entreprise (accroissement de la confiance entre salariés et responsables, développement de la créativité…), facilite aussi la mise en place d’une politique de sécurité informatique. Dépendant de l’outil collaboratif qu’il utilise pour travailler (pour échanger de données et d’informations avec ses collègues au bureau), le salarié devient en effet acteur de cette politique. Auparavant, elle aurait au contraire pu être vécue comme une contrainte supplémentaire. La méfiance française vis-à-vis du télétravail mériterait donc largement d’être dépassée. Echanges avec la salle De la salle La responsabilité des conseils ou des infos-gérants peut-elle être mise en cause ? Blandine POIDEVIN Tout conseil a obligation d’information. Dans ce cadre, il peut donc être mis en cause. Par exemple, pour l’obligation de sécurisation des données personnelles, c’est à l’hébergeur de prouver qu’il a bien informé le chef de d’entreprise de sa responsabilité dans le domaine (dans le contrat ou dans une charte d’utilisation par exemple). De la salle Peut-on se décharger de cette responsabilité grâce à une délégation de pouvoir faite au profit du directeur informatique ? Blandine POIDEVIN On peut procéder ainsi à condition que le délégataire dispose de toutes les responsabilités et de tous les moyens entourant cette délégation. Etablissements bancaires : gestion de la sécurité des opérations en ligne Le nombre croissant d’utilisateurs des services bancaires en ligne ne manque pas de poser des questions de sécurité. Les cyberdéliquants profitent bien souvent du manque d’information de l’utilisateur lui-même, qui prend des risques qu’il ne mesure pas (laisser une session ouverte, se connecter depuis une borne Wifi publique…). Par ailleurs, des outils (token et codes nonrejouables) permettent de renforcer la sécurité en ligne. Il ne reste plus qu’à les démocratiser et informer le client… Modérateur : Me Benoît LOUVET Avocat spécialiste en droit des nouvelles technologies – Paris (France) Une sécurité suffisante ? Me Benoît LOUVET Animateur, avocat spécialiste en droit des nouvelles technologies - Paris (France) Les utilisateurs sont de plus en plus nombreux à se connecter à l’interface de leur banque pour consulter leurs comptes ou effectuer des virements. Depuis peu, ces opérations en ligne concernent aussi les Smartphones. Les conditions de sécurité sont-elles suffisantes ? Le client, une menace ? Gilles DUTEIL Docteur ès sciences de gestion - HDR, Directeur du Centre d'études des techniques financières et d'ingénierie (CEFTI) et du Groupe européen de recherches sur la délinquance financière et la criminalité organisée, Expert judiciaire près la Cour d'appel - Aix-en-Provence (France) Les banques qui proposent des opérations en ligne doivent se prémunir contre différentes menaces. Il peut s’agir d’attaques externes d’organisations structurées, d’attaques internes à la banque ou causées par le manque de précaution du client lui-même. Dans ce dernier cas, un utilisateur peut se faire voler ses identifiants par phishing (pratique qui décline), pharming (virus qui nous redirige vers un site d’apparence identique mais au contenu frauduleux) ou par des key-loggers qui enregistrent ce que l’on frappe sur le clavier. Le client peut aussi prendre des risques en mémorisant son mot de passe, en laissant une session publique ouverte ou en utilisant les bornes Wifi d’un aéroport ou d’un hôtel. Clients : l’éducation à la sécurité Patrick PICHEREAU Responsable de l'unité sécurité multimédia, Crédit Agricole Groupe - Paris (France) Le Crédit Agricole sensibilise ses collaborateurs en interne, qui eux-mêmes transmettent les bonnes pratiques à leurs clients. Les dispositifs d’authentification rendent moins efficaces les attaques qui cherchent à soutirer des informations bancaires. Le phishing est ainsi en fin de vie. En revanche, il faut redouter l’arrivée massive de malwares (logiciels malveillants) qui, grâce à l’interaction de l’utilisateur, contournent les systèmes d’identification. Miser sur la non-rejouabilité Alexandre STERVINOU Expert sécurité, Banque de France - Paris (France) La Banque de France a encouragé la généralisation des services bancaires en ligne en invitant l’utilisateur à la confiance. L’authentification est un maillon essentiel de la chaîne bancaire. L’utilisation de codes non-rejouables – à usage unique – garantit la sécurité lors d’activités sensibles (virement par exemple). Il est essentiel que ces outils d’authentification soient généralisés aux particuliers et aux entreprises et qu’ils évoluent pour répondre à la mutation des menaces. Il faut prendre garde aux virements SEPA qui permettent de virer de l'argent directement vers des destinataires étrangers sans passer par des « mules » (une tierce personne localisée dans le même pays renverra l'argent au pirate par d'autres moyens). Plusieurs outils pour garantir la sécurité Gil DELILLE Responsable sécurité des systèmes d'information, Crédit Agricole Groupe - Paris (France) Le pic de fraudes bancaires en ligne a eu lieu en 2004, ce qui correspond à la naissance des sites et à l’inflation des opérations réalisables sur Internet. A l’heure actuelle, la sécurité repose sur l’utilisation de clés non-rejouables délivrées par SMS, de cartes bancaires capables de générer des codes uniques ou de certificats. Pour étoffer la gamme des services en ligne, les banques travaillent au développement de la signature électronique – pour souscrire un contrat d’assurance vie de chez soi par exemple. La veille et le suivi des menaces sont essentiels pour détecter les fraudes avant qu’elles ne se développent. Différents freins techniques Alain FAUVARQUE Directeur de la sécurité des systèmes d'information, Crédit du Nord - Lille (France) La protection des utilisateurs se confronte à plusieurs problèmes. D’une part, le nombre de clients à équiper fait obstacle à l’intérêt évident des token (codes non-rejouables) ; les centaines de milliers de clients posent un important problème logistique. D’autre part, les cartes bancaires qui génèrent des codes uniques ne peuvent pas s’adresser à des clients qui ne possèdent pas de carte. Pour terminer, il semble impossible qu’un client ait en permanence sur lui un token ou un lecteur de cartes. Ainsi, la sécurité des opérations bancaires en ligne est confrontée à l’évolution des technologies. Il faut adapter les processus banquaires en parallèle des réflexions technologiques pures. Echanges avec la salle De la salle Les utilisateurs sont-ils assez bien protégés des attaques ? Quel est le taux de réussite de ces attaques ? Gilles DUTEIL En général, les gens possèdent les protections minimales livrées avec l’ordinateur. Le taux d’efficacité du phishing est ridiculement bas : les fraudeurs envoient des spams (pourriels) par millions en espérant obtenir quelques réponses 56. En outre, il arrive qu’une fenêtre apparaisse sur votre écran et que l’utilisateur trouve la question technique ou complexe ; elle propose ensuite de cliquer sur « oui » ou sur « non ». Les fraudeurs ont une chance sur deux de pénétrer votre ordinateur. De la salle Pensez-vous que les clients soient assez sensibilisés sur l’utilisation des codes non-rejouables ? Alexandre STERVINOU Les utilisateurs ne connaissent pas encore suffisamment ces outils. C’est aux banques d’établir la confiance, de les informer et de les éduquer. 56 Cependant selon Nucleus research Inc., les spams (pourriels) auraient coûté 71 milliards de dollars en 2007 en terme de perte de productivité (temps passé à les supprimer, à s'en protéger...). La cybercriminalité s’intéresse à votre santé Le domaine de la santé concerne des millions de patients, de professionnels et de très nombreuses entreprises. Le numérique change la réalité de la santé : informatisation des systèmes de santé, la télésanté, les nanosciences… Mais la gouvernance de la santé en France est difficile à appréhender, tout comme les risques cybercriminels qui commencent à impacter le domaine de la santé. Il est donc grand temps de dresser l’état des lieux des risques (piratage des données de santé, vente illégale de médicaments, contrefaçons) et des solutions pour y répondre (sensibilisation des médecins). Modérateur : Dr Vincent LEROUX Médecin des Hôpitaux, co-responsable du pôle ingénierie de la santé et gestion des risques, Professeur à l'école centrale de Paris, Auditeur de l'IHEDN, Paris Panorama de la cybercriminalité dans le domaine de la santé Philippe LOUDENOT Fonctionnaire de sécurité des systèmes d'information adjoint, ministère de la Santé, Paris L’intérêt sensible des données médicales offre un vaste champ d’action à la cybercriminalité. Le domaine médical doit faire face à de nombreux risques qui n’ont pas tous été identifiés : - la nuisance à la réputation d’une personne ou d’un établissement - la problématique de la fausse information, en particulier véhiculée sur Internet, qui nuit gravement à la santé des patients - l’infection des Systèmes d’information (SI) des établissements hospitaliers, comme l’attaque du ver Conficker en 2009, qui a paralysé plusieurs hôpitaux français - les problèmes liés à la confidentialité des données de santé : aux USA, 8 millions de dossiers médicaux ont été ainsi pris en otage contre une rançon - la prise en main à distance d’un implant cardiaque la vente illégale sur Internet de médicaments contrefaits et le trafic d’organes 57. Aujourd'hui, les scanners et les IRM sont tous connectés. Il est nécessaire que les poistes de santé soient criptés. La lutte contre le trafic de médicaments Commissaire Eric OCCHINI Chef adjoint de l’Office central de lutte contre les atteintes à l'environnement et à la santé publique (OCLAESP) - Paris (France) Le marché mondial des médicaments représente 700 milliards de dollars, dont 33 en France. Or, les médicaments contrefaits représentent 10 % de ce marché, mettant ainsi en péril la santé de leurs utilisateurs. Le principal vecteur utilisé pour le trafic est Internet : des structures très organisées fabriquent ces produits en Asie, développent une chaîne de 57 Selon une étude du conseil de l’Europe, 5 à 10 % des greffes d’organes sont issues de trafic. grossistes et de dealers et contactent via les spam les acheteurs, qui récupèrent leur livraison par voie postale. Sous l’égide d’Interpol, les services de police et de gendarmerie de 27 pays ont mené une opération coup-de-poing sur les sites de vente de médicaments. En octobre 2009, 165 sites français ont ainsi été repérés, dont 22 ont fait l’objet de procédures d’interpellation et quatre ont subi une condamnation. Le parquet peut faire fermer ces sites. Commissaire Luis Martin PEROLIN Spécialiste de la lutte contre la contrefaçon de médicaments, OCLAESP - Paris (France) Pour condamner ces trafics, nous nous appuyons sur la législation en matière d’exercice illégal de la profession de pharmacien. La sécurité informatique, une exigence déontologique Dr Jacques LUCAS Vice-président du CNOM, chargé des systèmes d'information en santé - Paris (France) L’informatisation du système de santé présente de nombreux intérêts, mais elle suppose en parallèle de se défendre face à la cybercriminalité : sites Internet véhiculant de fausses informations ou vendant de faux médicaments, pollution des données médicales via l’infection des SI, piratage des Dossiers médicaux personnels (DMP) qui peuvent nuire à l’équilibre psychologique des patients, piratage des appareils médicaux communicants (défibrillateurs…). Le Conseil national de l'ordre des médecins (CNOM) estime que la sécurité informatique est une exigence déontologique. Une forte pédagogie reste à mener auprès des médecins, qui ne peuvent pas être experts en sécurité informatique. Ils doivent crypter leurs données et limiter l’accès à leurs ordinateurs, éviter l’usage de clés USB, être vigilants face à la publication d’informations sur Internet, aux téléconsultations… Parce que la cybercriminalité n’a pas de frontières, la lutte doit être a minima européenne. Ainsi, il est heureux que le groupe 2958 de la Commission européenne se soit élevé contre la révision de la directive de 199559 sur la protection des données personnelles. Bénéfices et risques des échanges de données pour les patients Christian SAOUT Président du Collectif inter associatif sur la santé (CISS) - Paris (France) Les associations de patients sont prêtes à accepter la libéralisation des échanges de données de santé pour augmenter leurs chances d’être mieux soignés. Néanmoins, elles demandent un profond respect des libertés individuelles, car la divulgation de données personnelles peut atteindre à la réputation ou à la vie privée des personnes. Elles n’ont pas encore intégré tous les risques liés à la sécurité informatique (notamment ceux liés à l’atteinte au bien physique des personnes). Elles ont cependant demandé aux décideurs politiques de pénaliser 58 59 Organe consultatif européen indépendant créé par l’article 29 de la directive 95/46/CE http://europa.eu/legislation_summaries/information_society/l14012_fr.htm fortement les professionnels de santé mésusant des données personnelles, mais elles n’ont pas été entendues, et se demandent si cela est pertinent. Pour les patients, l’équilibre entre les bénéfices des échanges de données (obtenir les soins les plus opportuns au meilleur moment) et les risques est donc difficile à trouver. Un débat de société doit être mené à ce sujet. Anticiper les catastrophes provoquées par la cybercriminalité Médecin général René NOTO Président de la Société française de médecine de catastrophe (SFMC) - Paris (France) La médecine de catastrophe est une médecine de terrain, d’urgence et d’anticipation. Aux côtés des catastrophes naturelles et technologiques, elle est confrontée depuis vingt ans aux catastrophes sociétales, dont la cybercriminalité fait partie. Il est primordial d’inventorier ses différentes manifestations, ses cibles potentielles et ses conséquences. La cybercriminalité dans le domaine de la santé n’en est qu’à ses débuts. Demain, on peut tout à fait imaginer qu'une prothèse cardiaque soit manipulée à distance. Si des coups ont été portés à la santé individuelle et collective, la santé publique n’a pas encore été attaquée. Les médecins de catastrophe doivent donc anticiper les menaces de demain et y sensibiliser les autorités. Echanges avec la salle De la salle Combien de temps est-il nécessaire pour former le monde médical aux risques cybercriminels ? Général René NOTO La formation à ces risques doit commencer le plus tôt possible, car les cybercriminels ont déjà une longueur d’avance. Dr Jacques LUCAS Afin de sensibiliser les professionnels de santé à ce problème, l’Agence des systèmes d’informations partagés de santé (ASIP) organisera en 2010 des assises nationales sur la protection des données. Des dispositions réglementaires comme le décret « confidentialité relatif à la protection des données de santé » prévoient des dispositifs de formation, mais elles ne sont pas applicables. L’Etat doit assurer sa mission régalienne sur ce point et organiser une campagne publique sur la protection des données de santé personnelle. De la salle Pensez-vous agréer certaines sociétés pour aider les maisons médicales à gérer les données des patients ? Philippe LOUDENOT Les vendeurs de solutions de gestion de bases de données ne sont pas formés aux problèmes de sécurité. Un document établissant les exigences minimales en cas d’intégration de matériel biomédical sur un réseau d’établissement de soins a été réalisé par des Responsables de la sécurité des systèmes informatiques (RSSI) et les ingénieurs et techniciens biomédicaux. Le service du haut fonctionnaire de défense et de sécurité souhaite diffuser largement ce document, y compris en Europe. Dr Jacques LUCAS Il serait également intéressant de s’inspirer du ministère belge de la Santé, qui garantit qu’il prendra en charge les mises à jour des logiciels de sécurité, car cette exigence est relative à la sécurité publique. De la salle Que pensez-vous du partage de l’information entre la Sécurité sociale et les mutuelles ? Christian SAOUT Le partage des données entre la Sécurité sociale et les mutuelles est régi au sein de l’Institut des données de santé (IDS), mais cela ne fonctionne pas. Le partage s’est organisé hors de cette institution, l’Etat a échangé l’accès des données de santé aux mutuelles contre un million d’euros. Dr Jacques LUCAS La guerre informatique est déjà ouverte : les politiques publiques, qui ont été défaillantes sur l’informatisation des systèmes de santé, doivent rattraper leur retard. Le futur conseil national stratégique de l’informatisation de la santé devra comporter un volet sécurité. Complément d'information: une proposition de loi permettant le transport de certains dossiers médicaux sur des supports portables a été adopté en première lecture à l'Assemblée nationale le 24 mars 2010. Ce nomadisme amplifiera les risques quant à la confidentialité. Web 2.0, web 3.0, web2, Internet des objets : quel est l’avenir du net ? Internet, au gré de ses évolutions, connaît des appellations différentes (actuellement web 2.0 pour le web axé sur les réseaux sociaux). En outre, ses nombreuses mutations posent constamment de nouvelles questions sur son utilisation : faut-il instaurer un droit d’Internet ? Que faire face à l’impact d’Internet sur nos comportements ? Actuellement espace sous régulé, Internet influence nos moeurs. Il faut une éducation à cet outil (technique, sensibilisation à l'eréputation) et ce d'autant plus que semble apparaître un web 3.0 qui se détache de l’interface traditionnelle de l’ordinateur pour s’incarner dans tous les objets quotidiens. Modérateur : Jean-Paul Pinte Docteur en information scientifique et technique, maître de conférences, expert en veille et intelligence compétitive à l’université catholique, lieutenant-colonel de la réserve citoyenne de la gendarmerie nationale – Lille (France) Historique du web Jean-Paul PINTE L’Internet actuel est à l’heure du web 2.0, à l’ère du web social. Le web de demain sera lui, un web 3.0, sémantique (avec des puces Radio Frequency Identification ([RFID]60 notamment). Louis POUZIN Président d’honneur de la société française d’Internet – Paris (France) Malgré ses 30 ans d’existence, Internet demeure toujours le même réseau expérimental qu’il était à ses origines en 1974 : une base Transmission Control Protocol/Internet Protocol (TCP/IP). Depuis, la base n’a pas été retouchée et toutes les avancées d’Internet ont été effectuées au niveau de ses applications. Internet, un espace de non droit ? Louis POUZIN Souvenons-nous qu’Internet est un espace de non droit et qu’il est impensable de le voir comme un espace de droit commun. On pourrait toutefois songer à créer des espaces de droit localisés, régionaux. Mais en l’absence d’un cadre juridique défini, Internet est largement devenu une affaire de monopoles (Google, Microsoft). Samuel MORILLON Directeur général délégué, Cybion SA, co-fondateur d’Agoraxvox– Paris (France) Pour le moment, un droit international du web n’est pas envisageable puisqu’Internet est un espace sans contrôle. Néanmoins, le contrôle d’Internet devient de plus en plus un enjeu fondamental, tant sur les réseaux classiques que les réseaux mobiles. Microsoft dépense 1 milliard de dollars en Recherche & Développement (R&D) chaque année, dont 80 % sont 60 En français, RFID signifie identification par radio fréquence consacrés à la sécurité de Windows. De plus, l’émergence d’un Internet local ( e-commerce, streaming ) accentue le besoin d’un droit régionalisé d’Internet. Olivier LE DEUFF Docteur en information - communication, spécialiste : culture de l’information et formation à l’information, Ater en information - communication, Université Lyon 3 – Lyon (France) Il n’y a pas de droit international du Web mais Internet est régulé par des normes techniques. Eric DELCROIX Expert en réseaux sociaux et web temps réel - Université de Lille III Si l’on souhaite disposer d’un Internet qui conserve des droits par pays, il faut revenir au minitel car Internet n’a pas cette vocation ! Pour autant, Internet devient de plus en plus un espace de droit dans lequel subsistent des zones de non-droit. L’usurpation d’identité est l’un de ces domaines peu légiféré. Internet modifie les mœurs et les valeurs Samuel MORILLON Avec l’avènement de jeux qui créent des mondes virtuels (World of Warcraft ), les relations entre individus évoluent et les tabous peuvent changer. Ainsi, selon les pays, entre 2 et 8 connections sur 10 sont liées à la pornographie. La haine est aussi véhiculée par Internet, avec une ampleur sans précédent depuis 50 ans. Oliver LE DEUFF La haine « sort » du cadre des sites caractérisés comme violents et se croise à de nombreux endroits du web. Ce phénomène réinterroge la liberté d’expression et les modes de contrôle du web (censure, action judiciaire, sensibilisation…). Samuel MORILLON L’Internet moderne a rendu la relation à l’écran irrationnelle, émotionnelle, parfois addictive . C’est le système de valeurs induit par cette nouvelle relation, qu’il faut éduquer et comprendre. Eric DELCROIX La publication de photos personnelles est un bon exemple de la différence de valeur entre la jeune et l’ancienne génération ; pour autant, les jeunes ne sont pas si inconscients de leurs actes qu’on pourrait le croire. Inculquer une culture technique pour une meilleure utilisation d’Internet Jean-Paul PINTE L’internaute averti du fonctionnement d’Internet peut aisément être référencé premier sur Google, sans avoir forcément des choses à dire. Oliver LE DEUFF Notre société devient une société de veille, où chacun, grâce aux réseaux sociaux, veille sur son identité numérique et celle des autres. L’apparition de nouveaux outils doit s’accompagner de l’éducation nécessaire à la maîtrise de leurs usages Samuel MORILLON 95 % des usages d’Internet relèvent d’une sorte de « fange numérique » et seule une élite utilise le web pour transmettre un savoir (Ipad avec option vidéoconférence). Eric DELCROIX Internet n’est pas le grand village social si souvent décrit, ou seulement pour une élite. Pour les autres, les novices, il représente un danger face auquel il faut des clés de lecture. Laisser des traces sur Internet Jean-Paul PINTE Est-il dangereux de laisser des traces personnelles ou professionnelles sur Internet ? Sur des sites comme webmii.com , de nombreuses informations, parfois obsolètes, demeurent accessibles dans le cimetière des pages Web. En cas d’usurpation d’identité, la réputation peut être ternie de façon durable : l’ e-reputation est un phénomène qui prend de l’ampleur. Les risques classiques vont augmenter avec le web 3.0, notamment pour la recherche frauduleuse d'informations et les usurpations d'identité. Olivier LE DEUFF La crainte de laisser des traces ne doit pas gouverner notre navigation sur Internet. Mieux vaut imposer ses propres traces, en construisant et en veillant à son identité numérique à long terme (ne pas laisser apparaître des informations nuisibles). Samuel MORILLON Il y a beaucoup de bruit sur Internet, sur les informations personnelles, la réputation. Cependant, en raison de ce bruit, l’information de qualité est difficile à trouver. Vers un Web des objets Jean-Paul PINTE L’Internet des objets paraît étrange à ceux qui ne sont pas des digital natives comme l’est la jeune génération : le Domain naming service (DNS) est remplacé par l‘ Object naming service (ONS). Olivier LE DEUFF L’Internet des ordinateurs est voué à disparaître. La généralisation du protocole IPv6 (nombre illimité d’adresses IP) changera la donne des interfaces d’Internet : demain, les objets (habits, frigidaire) seront reliés à Internet. Louis POUZIN Le web des objets a aussi tendance à vouloir remplacer les personnes par des capteurs, ce qui est inquiétant. Les processus automatisés sont de plus en plus complexes, sans qu’une intervention humaine ne soit prévue en cas de problème. Une charte pour l’utilisateur devrait parer à ces possibles défaillances. Echanges avec la salle De la salle Un projet de loi souhaite introduire la notion de l’homo numéricus et propose de chiffrer les données, d’instaurer un droit à l’oubli et à faire taire les puces Radio Frequency Identification (RFID 61). Si ce projet présente de bonnes idées, il n’est pas réaliste : le droit à l’oubli est encore difficile mis en œuvre sur Internet. Samuel MORILLON Le droit n’avance pas à la même vitesse que le web heureusement. L’Etat a pris conscience du phénomène numérique et essaye de mettre en place une réponse juridique pérenne. De la salle De nombreux pays (Etats-Unis, Inde, Chine) sont en train de développer un web des connaissances ( cyber-infrastructure) . Pourquoi n’est-ce pas le cas de la France ? Olivier LE DEUFF L’échange de données dans une cyber-infrastructure est un mythe. Un tel projet, de grande ampleur, présente des risques, et il faudrait lui privilégier des petits projets, aux applications concrètes. Samuel MORILLON Il ne faut pas attendre que l’Etat finance un tel projet, mais plutôt solliciter des financements privés (avoir une approche business du Web, comme aux Etats-Unis). 61 En français, RFID signifie identification par radio fréquence Cyberinfiltration La cyberinfiltration permet d’appréhender des cybercriminels en endossant une fausse identité. Cette technique d’enquête se répand dans plusieurs pays et notamment en France, au Canada (Québec) et aux Etats-Unis. En France, les enquêteurs du STRJD suscitent des contacts avec des pédophiles ou des escrocs du Net pour mieux les interpeller ensuite. Leurs homologues québecois privilégient une approche grâce aux chats et aux réseaux sociaux. Enfin, aux EtatsUnis, les enquêteurs de l’AFOSI sont spécialisés dans l’analyse des technologies les plus récentes. Cette maîtrise leur permet de débusquer les preuves qui permettront, par exemple, l’inculpation d’individus pédophiles. Modérateur : Sylvia BREGER Spécialiste en criminologie, Directrice de l'association CriminoNET - Paris (France). Consultante en criminologie, Correspondante scientifique pour la Gendarmerie nationale au sein du STRJD Technique d’investigation récente, la cyberinfiltration consiste à s’infiltrer dans un espace virtuel sous une fausse identité pour appréhender un individu malveillant. Cet atelier présente les moyens techniques et humains mis en œuvre par la cyberinfiltration en France, au Québec et aux États-Unis. Le cas français : présentation du STRJD Lieutenant – colonel Alain PERMINGEAT Chef de la division Lutte contre la cybercriminalité, Service technique de recherches judiciaires et de documentation (STRJD) - Rosny-sous-Bois (France). En France, plusieurs acteurs interviennent pour lutter contre la cybercriminalité. Parmi eux, le STRJD se charge des enquêtes au niveau national. Le STRJD comprend deux entités : un département de sciences du comportement (les profilers ) et une division de lutte contre la cyberinfiltration qui fait l’objet de cette présentation. L’équipe de la division de la lutte contre la cyberinfiltration surveille le réseau Internet. Lorsqu’elle détecte une infraction, elle peut identifier l’abonné grâce à la connexion utilisée et remonter ainsi jusqu’à l’auteur du délit. Les champs d’intervention sont multiples et peuvent relever aussi bien de la pédophilie que de l’escroquerie ou de la contrefaçon. La lutte contre la cybercriminalité est encadrée par la loi du 5 mars 2007 qui oblige les policiers et gendarmes à disposer d’une habilitation pour participer à des missions de cyberinfiltration. Cette habilitation les autorise à utiliser de fausses identités ou à entrer en contact avec des pédophiles. La cyberinfiltration est un travail difficile et au « goût malsain », car elle requiert d’endosser le rôle d’enfants ou bien de pédophiles ; les enquêteurs bénéficient donc d’une formation à cette technique en amont puis d’un suivi psychologique. En outre, ils œuvrent toujours en binôme. Enfin, contrairement aux idées reçues, la pédopornographie et la pédophilie ne sont pas les actes de cyberdélinquance les plus nombreux : ils sont devancés par les escroqueries. Le fonctionnement de la cyberinfiltration au Québec Sergent Sylvain TREMBLAY Enquêteur, Bureau de coordination des enquêtes sur les délits informatiques, Sûreté du Québec Montréal (Canada) La cyberinfiltration est utilisée au Québec dans des cas variés : pédopornographie, pédophilie mais aussi vente de stupéfiants, fugues… Les enquêteurs québécois agissent via les chats (MSN par exemple) et les réseaux sociaux (Facebook, Netlog…) où ils entretiennent en permanence plusieurs profils et comptes qu’ils adaptent en fonction des affaires en cours. Bien qu’elle soit reconnue comme technique d’enquête, la cyberinfiltration fait l’objet au Québec d’un vide juridique. Rien ne l’interdit mais rien ne l’autorise non plus. Les enquêteurs sont donc simplement attentifs à ne pas commettre d’infraction au code criminel, en vérifiant par exemple que les identités qu’ils utilisent sont bien fictives. Enfin, les enquêteurs du Département de la sécurité du Québec ne bénéficient d’aucune formation spécifique à la cyberinfiltration. Le cas américain : présentation de l’AFOSI Craig S. HOTALING Superintendent, Cyber Operations and Investigations US, AFOSI – Vogelweh (Allemagne) Créée en 1948 par le FBI, l’AFOSI est une agence fédérale de service répressif. Son siège est à Washington D.C. mais elle possède d’autres unités aux Etats-Unis et à l’étranger (Allemagne, Japon…). Dans le cadre de la lutte contre la cybercriminalité, elle mène des enquêtes avec le concours de la police locale ou fédérale. En ce qui concerne la lutte contre la pédopornographie, la loi américaine interdit de voir, télécharger ou distribuer des images à caractère pédopornographique. L’exploitation des mineurs (à des fins pornographiques) est aussi illégale. Munis d’un mandat, les agents de l'AFOSI peuvent aussi accéder à l’ordinateur personnel d’un individu aux agissements suspicieux. Les enquêteurs de l’AFOSI sont spécialisés dans l’analyse de systèmes informatiques et de fichiers médias et utilisent les technologies les plus récentes. Ils doivent être vigilants dans leurs procédures d’enquêtes car, lorsqu’une affaire paraît devant la justice, les avocats de la défense s’empressent de chercher une faille dans le dossier. Echanges avec la salle De la salle (Sylvia BREGER) Quelle serait la cyberinfiltration idéale ? Lieutenant – colonel PERMINGEAT L’utilisation de la cyberinfiltration sur différents types d’infractions serait une avancée idéale. Sergent Sylvain TREMBLAY et Craig S. HOTALING L’idéal serait de disposer d’un réseau de policiers formés à la cyberinfiltration présents sur tout le territoire et dans chaque service. Contrefaçon sur le Net : quelles solutions ? La contrefaçon touche de nombreux produits (bijoux, maroquinerie, médicaments, vêtements…) et profite du Net pour se développer. Pour les entreprises, la gestion de ce risque nécessite la combinaison de réponses à la fois juridiques et non juridiques. La législation française, bien que renforcée en la matière demeure peu utilisée. Au niveau européen, plusieurs évolutions participent à mieux encadrer la contrefaçon, notamment grâce à une harmonisation du droit des États membres. En Italie, une démarche d’enquête spécifique a été mise en place par la Guardia di Finanza pour remonter des réseaux de contrefaçon. Enfin, d’autres solutions demeurent encore à exploiter. Modérateur : Maurice DHOOGE Vice-président santé, sûreté et sécurité, Schneider Electric Industries SAS - Rueil Malmaison (France). Si la contrefaçon est surtout connue pour les produits de luxe, elle couvre en réalité un large spectre de marchandises (jouets, vêtements, médicaments, jeux vidéos…). On évalue la valeur de la contrefaçon à 5 % du PNB mondial. Quelles sont les solutions pour freiner la progression de ce fléau sur le Net ? Modélisation de la gestion des risques Christophe ROQUILLY Professeur, Directeur du centre de recherche Legaledhec, Ecole des hautes études commerciales du Nord (EDHEC) - Lille (France) La contrefaçon constitue un risque pour l’entreprise qui a donc tout intérêt à réduire les incertitudes qui l’entourent pour mieux le maîtriser. Face à la contrefaçon, les entreprises peuvent se trouver dans différentes positions : certaines sont responsables d’un comportement de contrefaçon, d’autres en sont victimes et d’autres encore sont à la fois victimes et responsables (Ebay, par exemple, véhicule à son insu des produits contrefaits). Le risque de contrefaçon peut être de nature juridique ou non juridique (financier, économique, de réputation…). Pour gérer ce risque de façon optimale, l’entreprise doit, en conséquence, articuler des réponses à la fois d’ordre juridique et non juridique. Par exemple, pour lutter contre le risque de perte de confiance (risque non juridique) des utilisateurs, Ebay peut développer une politique contractuelle stricte à l’égard des utilisateurs (gestion juridique) et l’associer à un système de surveillance étroit de son site (gestion non juridique). Les solutions apportées par la loi Myriam QUEMENER Magistrat au Parquet général, Cour d'appel - Versailles (France) Les comportements de contrefaçon sont de plus en plus nombreux s’inscrivent de plus en plus dans une logique de réseaux. Pour tenter d’enrayer ces développements la législation française s’est renforcée. Ainsi, la loi du 9 mars 2004 a accru les sanctions pour contrefaçon et l’infraction est de nature aggravée lorsqu’elle est commise en ligne. Bien que complet, l’arsenal législatif français n’en demeure pas moins sous-utilisé. Une spécialisation des parquets, une meilleure coordination des actions pénales et douanières ou encore une mutualisation des informations sont autant de moyens qui pourraient renforcer l’optimisation de l’activité pénale en matière de contrefaçon. La démarche d’enquête en Italie Massimo GRILLO Colonel, chef du service des relations internationales, quartier général de la Guardia di finanza - Rome (Italie) La Guardia di Finanza est une police financière qui dépend du ministère de l’Economie et des Finances italien, et l’une de ses missions est la lutte contre la contrefaçon. Lors d’une affaire récente, l’enquête s’est déroulée en deux phases successives. L’enquête a commencé tout d’abord par l’analyse et la surveillance des enchères de certains produits d’une grande marque italienne sur le site Ebay. Ensuite, la détection du premier fournisseur a permis de retrouver le fournisseur italien ainsi que les entrepôts de stockage des produits contrefaits. Cette affaire a mobilisé 500 agents et officiers ; elle a permis de retrouver 600 000 biens de contrefaçon. Par ailleurs, 148 personnes ont été déférées à l’autorité judiciaire. Les solutions apportées par l’Union Européenne Christian TOURNIE Chef d’escadron, expert national détaché, Direction générale justice, libertés et sécurité (DG/JLS) Bruxelles (Belgique) La lutte contre la contrefaçon est un enjeu européen majeur, car elle permet de protéger l’innovation et le marché intérieur. Dans ce cadre, l’Union Européenne a tout d’abord procédé à l’harmonisation du droit de la propriété intellectuelle. Ensuite, le règlement douanier, en date de 2003, permet d’améliorer le contrôle des biens et en favorise la rétention en cas de soupçon de contrefaçon. Une directive de 2003 contraint aussi les États membres à mettre en place des sanctions et des mesures suffisamment dissuasives en matière de contrefaçon. En outre, dans le champ pénal, une proposition d’harmonisation est en cours d’élaboration. Enfin, un plan européen global de lutte contre la contrefaçon et le piratage a été mis en place. Il a notamment permis la création de l’Observatoire européen pour la contrefaçon et le piratage. Solutions pratiques et perspectives Martin GRASSET Avocat spécialiste en droit des marques, dessins et modèles - Lille (France) La contrefaçon est une activité très lucrative. Les gains sont importants et les risques, tout du moins en France, sont en comparaison dérisoires (5 ans de prison ou 500 000 € d’amende). Plusieurs arrêts récents de la Cour de Justice de l’Union Européenne (CJUE) tendent à alléger de plus en plus la responsabilité de l’annonceur (par exemple Ebay ou Price Minister…). En dépit de cette évolution, les plateformes de vente aux enchères en ligne et les grandes marques ont signé, en France, une charte pour lutter contre la contrefaçon. Si elle a le mérite d’exister, cette charte n’en est pas pour autant contraignante. La création de la cyberdouane, en 2009, constitue une autre avancée. Malheureusement, ses effectifs demeurent restreints (15 personnes seulement). Plusieurs perspectives restent à exploiter comme la signature d’un accord entre l’Union des fabricants (UNIFAB) et Google ou l’obligation d’afficher un jugement pour contrefaçon sur le site poursuivi. Colloque OSCE: Une approche globale de la cybersécurité Intervenants: Kurt EINZIGER, membre du conseil de l'ISPA, ancien président de l'Euro ISPA, Marco GERCKE, Director Cybercrime Research Institute, Evan KOHLMANN, Consultant terrorisme international Globalterroalert, Nemanja MALISEVIC, Associate programme officer OSCE, Raphael PERL, Head of Anti-Terrorism Issues OSCE, John ROLLINS, Specialist in Terrorism and National Security Library of Congres, Mirco RORH, Kaspersky Labs GmbH, Keith VERRALLS, Detective Inspector Counter Terrorism Command New Scotland Yard Recommendations and Suggestions On 1 April 2010, the OSCE Action against Terrorism Unit (ATU) organized an expert panel at the Fourth International Forum on Cybercriminality , in Lille, France to discuss responses, countermeasures and the way forward in securing cyberspace. Building on previous efforts by the OSCE, the panel focused on a comprehensive approach to cyber security - an approach that strengthens national security; tackles cybercrime; inhibits terrorist use of the Internet; takes into account all possible risks and threats, and enables authorities to protect a wide spectrum of targets, from the individual Internet user to critical infrastructures. Concrete recommendations and suggestions made by participants of the OSCE expert panel include the following62: International co-operation aimed at comprehensively enhancing cyber security should be strengthened. Cyber-threats are global threats and can therefore only be resolved globally. Similarly, pertinent national and international legal frameworks should be harmonised. Reliable data should be collected on how effective current national and international cyber-security initiatives really are. Public-private partnerships (PPP) aimed at comprehensively enhancing cyber security should be enhanced. Expertise and technical knowledge from the private sector should be sought and utilised in a systematic manner supported by formulating unambiguous laws and intensified Internet Service Provider (ISP) – law enforcement cooperation, including in vital areas such as data disclosure and data protection. Co-operation at the practitioner level should be enhanced. Such co-operation is essential to ensure the timely response to cyber incidents. On the first responder/law enforcement level it should involve real-time communication lines, and on the judicial level it should include thorough processes to ensure the usability of evidence in courts. The establishment of pertinent liaison officers should be explored. 62 These suggestions and recommendations are not to be interpreted as official OSCE recommendations based on a consensus decision. They reflect opinions expressed by panellists and do not represent an official OSCE position, or that of any particular OSCE participating State. Cyber security should be proactive rather than reactive. This includes the need to share intelligence among relevant stakeholders in a timely manner but also to develop national and international emergency plans/disaster recovery to enhance preparedness and resiliency in response to cyber incidents. Awareness of decision makers needs to be raised regarding the fact that the Internet itself is a critical infrastructure and needs to be protected accordingly. End-user education should be significantly improved. Internet users remain the weakest link in terms of cyber security. Raising awareness and continuously educating Internet users on how to stay safe online is essential. Recommandations et Suggestions [unofficial Translation] Dans le cadre du 4ème Forum International sur la Cybercriminalité tenu à Lille les 31 mars et 1er avril 2010, l’Unité d’Action contre le Terrorisme (ATU) de l’OSCE a organisé un panel de discussion sur les différentes étapes à suivre et possibles contre-mesures à adopter pour sécuriser l’espace numérique. Le panel d’experts, réuni par l’OSCE dans la continuité de ses précédentes activités en la matière, a mis l’accent sur le besoin d’une approche globale de la cyber-sécurité. Cette approche comporte plusieurs enjeux : le renforcement de la sécurité nationale ; la lutte contre la cybercriminalité et l’utilisation d’Internet à des fins terroristes ; la prise en compte de l’ensemble des risques et menaces ; et la capacité des pouvoirs publics à assurer la protection d’une multitude de cibles potentielles, allant de l’utilisateur Internet lambda aux infrastructures sensibles. Voici certaines des recommandations et suggestions concrètes avancées par le panel modéré par l’OSCE 63: L’amélioration globale de la sécurité numérique nécessite un renforcement de la coopération internationale. Les menaces numériques sont de nature globale et ne peuvent dès lors être résolues que de manière globale. Il faut donc harmoniser les législations nationales et internationales en ce sens. Il serait également utile de tenter d’évaluer, par la collecte de données fiables, l’efficacité réelle des initiatives nationales et internationales existantes en matière de cyber-sécurité. Les partenariats public-privé (PPP) visant à l’amélioration globale de la cybersécurité doivent être encouragés. Les compétences et connaissances techniques du secteur privé doivent être mises à contribution de manière systématique. Cela requiert l’élaboration d’un cadre législatif et réglementaire clair et l’intensification de la collaboration entre les autorités et les Fournisseurs d’Accès à Internet (FAI), en particulier sur les questions de divulgation et protection des données. La coopération au niveau opérationnel doit être renforcée, car d’elle dépend notamment l’efficacité de la réponse aux incidents numériques. Dans le cas des services de protection civile, il conviendrait de mettre en place des lignes de communication en temps réel. Quant aux systèmes judiciaires, il faudrait les doter de procédés efficaces assurant la recevabilité de preuves auprès des tribunaux compétents. Il conviendrait également d’envisager la nomination d’agents de liaison entre toutes les parties concernées. 63 Ces recommandations et suggestions ne sont que le reflet d’opinions exprimées par les participants du panel d’experts et ne peuvent en aucun cas être interprétées comme position officielle de l’OSCE ou de l’un de ses États participants. La cyber-sécurité doit être abordée de manière proactive et non réactive. Il est non seulement indispensable que les différentes parties prenantes partagent leurs informations de manière diligente, mais il faut également veiller à la mise en place de plans d’urgence et de reprise d’activité, aux niveaux national et international, renforçant les capacités de préparation et de résilience face aux incidents numériques. Il est par ailleurs indispensable de sensibiliser les décisionnaires au fait que l’Internet est une infrastructure sensible en soi, qui doit être protégée en tant que telle. L’éducation des internautes doit être considérablement développée car ils demeurent le maillon faible en matière de cyber-sécurité. Il est essentiel d’œuvrer vers une sensibilisation et un effort d’éveil constant de l’ensemble des utilisateurs de l’Internet aux précautions nécessaires au maintien de leur sécurité dans l’espace numérique. Conférence plénière de clôture / Droit à l'oubli sur le Web : ultime protection de l'identité numérique ? La question du droit à l'oubli se pose notamment dans le cadre des réseaux sociaux qui ont tendance à rendre public par défaut toute information publiée. L'e-réputation est une question centrale pour l'internaute ou l'entreprise, toute information publiée sur le web laisse des traces qui peuvent servir ou déservir cette réputation numérique. Le droit à l'oubli, alors qu'il peut nuire à la bonne administration de la justice, ne fait pas l'objet d'un consensus international et ne remplacera pas les législations nationales; il n'apparaît donc pas comme une solution immédiate contrairement à l'éducation des internautes. Facebook, un succès et des risques Jacques HENNO Journaliste indépendant, auteur, conférencier spécialiste N'Tech – Paris (France). Quand on pense au droit à l’oubli, on pense à Facebook, à ses 400 millions d’utilisateurs et aux trois millions de photos publiées chaque mois. On pense aussi au récent changement de la politique de confidentialité du site, qui rend publiques toutes les informations d’un profil. Dans ce contexte, comment protéger les adolescents d’eux-mêmes ? Les jeunes ont-ils vraiment conscience des risques que peut entraîner la publication de ces photos ? Défendre la notion d’intimité Alex TURK Sénateur du Nord, Président de la Commission nationale informatique et libertés (CNIL) – Paris (France) Je conçois aisément que ces photos puissent gêner des adolescents dans leur avenir. La réponse de la CNIL repose sur la pédagogie et l’intérêt de préserver son intimité. Il faut impérativement aller contre l’idée du « je n’ai rien à cacher » et ne pas confondre légitimité et intimité. Mark Zuckerberg, le créateur de Facebook, a affirmé qu’il nous fallait revoir notre définition de l’intimité. Je m’oppose à cette idée, en réaffirmant le devoir de protéger nos droits fondamentaux et de mettre la technologie à notre service. Jacques HENNO Ainsi, 14 % des DRH français affirment avoir déjà écarté un candidat en raison de sa réputation en ligne64. Alex TURK Il faut aussi dire aux jeunes que les policiers en apprennent plus sur eux sur Facebook qu’en consultant le Système de traitement des infractions constatées (STIC) ou le fichier Edvige65. 64 65 Le chiffre atteint 70 % aux Etats-Unis Exploitation documentaire et valorisation de l'information générale « Etre le gendarme de ses propres données » Yves DETRAIGNE Sénateur de la Marne, Co-auteur du rapport “La vie privée à l'heure des mémoires numériques” et de la proposition de loi visant à “Mieux garantir le droit à la vie privée à l'heure du numérique” – Paris (France) Il est essentiel de rendre l’internaute conscient des risques qu’il peut prendre face à son écran, et en particulier lorsqu’il livre publiquement des informations personnelles. En somme, il s’agit d’être le gendarme de ses propres données. C’est d’autant plus le cas quand des parents ne sont pas en mesure d’alerter leurs enfants. Actuellement, le Brevet informatique et Internet (B2I) que passent les collégiens relève plus de l’apprentissage technique que de la sensibilisation aux éventuels risques. Il y deux objectifs majeurs: mettre l'internaute en situation de pouvoir connaître ses droits et le rendre conscient des risques éventuels sur internet. Jacques HENNO Faut-il envisager un droit à l’oubli numérique professionnel ? Le droit à l’oubli en entreprise Me Blandine POIDEVIN Avocat spécialiste dans le droit des nouvelles technologies – Lille (France) Puisque l’entreprise conserve un grand nombre de données – l’historique des connexions par exemple – le droit à l’oubli doit aussi concerner la sphère professionnelle. Combien d’utilisateurs utilisent leur messagerie personnelle dans un cadre professionnel ? Combien utilisent Facebook dans le cadre de leur travail ? Aussi suis-je favorable à ce que la législation nationale s’applique à l’utilisation des réseaux sociaux66. En somme, le droit à l’oubli impose de définir à la fois la durée de conservation des données et la finalité des données stockées. Jacques HENNO En ce qui concerne ce droit à l’oubli, l’argument technique est-il recevable ? Entreprises, sécurité et technique Me Martine RICOUART-MAILLET Avocat associé BRM Avocats, Administrateur de l'Association française des correspondants aux données personnelles (AFCDP) – Lille (France) Je ne crois pas que Google puisse arguer d’une difficulté technique, lui qui peut être prompt à blacklister ou à déréférencer un site quand il le souhaite. Il faut bien savoir que les acteurs américains de l’Internet conçoivent les contraintes légales comme autant de censures. En effet, ils partent du principe que les internautes, pleins de bon sens et de courtoisie, doivent prendre leurs responsabilités. 66 Pour l’heure, les utilisateurs de Facebook sont soumis à la législation californienne Yves DETRAIGNE Aux Etats-Unis, les failles de sécurité – qui aboutissent au vol d’informations par exemple – doivent être déclarées et sont sévèrement punies. En France, il n’existe aucune obligation. Une telle contrainte pousserait les gestionnaires de sites à prendre des dispositions et rassurerait la personne dont l’entreprise utilise les données. Il est nécessaire de développer des technologies « privacy by design »; undispositif de notification des atteintes au traitement des données personnelles a été approuvé le 23 ami au Sénat; c'est une bonne chose: la politique de sécurité sera pensée en amont. Jacques HENNO Qu’en est-il de la transparence des entreprises par rapport aux failles de sécurité ? Lieutenant-colonel Eric FREYSSINET Section technologies numériques-cybercriminalité, Bureau de la police judiciaire, Direction générale de la gendarmerie nationale (BPJ / DGGN) – Paris (France) Il est nécessaire de considérer la gestion des incidents de sécurité de façon positive. En cas d’incident, il faut que l’entreprise identifie les problèmes techniques qu’elle a rencontrés, les solutions judiciaires capables de punir l’attaque et les mesures correctrices pour éviter de nouveaux incidents. Le droit à l'oubli ne doit pas nuire à l'insécurité: quand on a commis un délit sur internet, il faut pouvoir en identifier l'auteur. Notre devoir est de préserver les libertés ; le droit à l’oubli en est une dans un pays où nous pouvons bénéficier de la prescription, de la publication anonyme des sentences judiciaires… Vers un droit à l’oubli international ? Jacques HENNO Le droit à l’oubli serait-il une exception française ? Comment réussir à convaincre les Américains ? Alex TURK Le droit à l’oubli n’est pas une invention française. Les grands acteurs américains de l’Internet considèrent qu’ils n’ont pas à appliquer le droit européen sur notre territoire. Aujourd’hui, une quarantaine d’Etats – ce qui représente 10 % de la population mondiale – partage notre conception sur le droit à l’oubli. Notre objectif est de faire adhérer la Chine, la Russie, les Etats-Unis, les pays africains… Malheureusement, nous aurons besoin d’une vingtaine d’années pour y parvenir et d’ici-là, la société numérique aura encore changé. Jacques HENNO Y a-t-il tout de même une lueur d’espoir ? Alex TURK Lors du changement de la politique de confidentialité de Facebook, 100 000 utilisateurs – sur 400 millions – ont réagi négativement. Yves DETRAIGNE Aujourd’hui, les applications numériques sont considérées du point de vue utilitaire – elles nous simplifient la vie –, ce qui nous éloigne des risques liés à la généralisation de la société numérique. Dans une loi future, un utilisateur victime de l’utilisation non désirée de ses données pourrait saisir un juge dans le pays où est hébergé le serveur. Cette règle, qui permettrait alors de passer outre les frontières, existe déjà dans le droit de la consommation. L’identité numérique chez nos voisins européens Jacques HENNO La définition de l’identité numérique est-elle la même pour nos voisins européens ? Blandine POIDEVIN On peut déjà se demander ce qu’est une identité numérique : est-ce un identifiant et un mot de passe ? Martine RICOUART-MAILLET Le droit à l’oubli numérique n’est pas inscrit dans les textes de loi belges. En revanche, cette notion peut devenir un argument pour certaines décisions, en lien avec les lois sur la vie privée. Coopération entre services de police Jacques HENNO Vos homologues étrangers vous donnent-ils facilement accès aux traces des cyberdélinquants ? Eric FREYSSINET Les grands groupes privés américains disposent de services de police extrêmement actifs. Quand nous nous intéressons à un site dont le nom de domaine s’achève par .fr, ils nous donnent accès à leurs données. Nous rencontrons certes des problèmes de délai, de traduction ou d’incompréhension, mais nous constatons de réelles avancées. Pour mener efficacement nos enquêtes, nous devons expliquer aux citoyens où se situent leurs informations et pourquoi nous en avons besoin pour travailler. Une législation complémentaire Jacques HENNO Ce droit à l’oubli numérique ne risque-t-il pas de nous faire oublier les fichiers commerciaux classiques, au format papier ? Alex TURK Cette réflexion sur le droit à l’oubli numérique est une démarche complémentaire ; elle ne remplacera pas les autres législations. Yves DETRAIGNE Je me réjouis de la généralisation des correspondants informatique et libertés dans les entreprises. Nous notons tout de même qu’ils sont plus nombreux dans le secteur privé que dans les collectivités publiques, moins sensibilisées à la sécurisation de leurs données et moins conscientes des risques. Eric FREYSSINET Je tiens à rappeler la grande transparence concernant les bases de données judiciaires : elles sont toutes connues du grand public et font l’objet de textes réglementaires. Lorsqu’un policier ou gendarme veut accéder à ces fichiers, un suivi de sa consultation en assure la traçabilité. En revanche, je nourris plus d’inquiétudes en ce qui concerne les grandes entreprises qui fichent leurs salariés sans notre consentement. Echanges avec la salle De la salle Pourquoi ne dispose-t-on pas encore d’une convention internationale ? Alex TURK A l’heure actuelle, la ratification d’une telle convention internationale semble très complexe. Or, quand 45 % du commerce mondial se fait entre les Etats-Unis et l’Europe, il semble important d’y réfléchir. Par ailleurs, pourquoi ne pas faire un Kyoto des données personnelles, car il s’agit d’un enjeu à la fois pour nos concitoyens et pour le commerce international ? De la salle Il est techniquement impossible d’effacer toutes les traces d’un internaute. Plutôt que d’intenter un procès à Facebook, je pense qu’il est préférable d’éduquer les utilisateurs. Alex TURK Tout d’abord, il faut répéter que les moteurs de recherche et les réseaux sociaux sont aussi des sources de progrès, qui permettent le rapprochement des personnes et le partage de connaissances ou de valeurs. Concernant l’éducation, la CNIL multiplie les initiatives pour former les utilisateurs d’Internet. Néanmoins, tout ne relève pas de la pédagogie : que faire par exemple face à une classe de CM2 où 85 % des enfants sont inscrits sur Facebook, alors que le site est interdit aux moins de 13 ans et que l’entreprise californienne semble indifférente ? Clôture Général d'armée Marc WATIN-AUGOUARD Inspecteur général des armées-Gendarmerie nationale Pendant la durée du Forum international sur la cybercriminalité, Lille est devenue la capitale du cybermonde. En 2007, la Commission européenne avait demandé aux Etats de coopérer pour faire tomber les barrières entre secteurs public et privé et abolir les frontières entre les Etats. Pour donner du sens au cyberespace, nous devons absolument poursuivre cette aventure ensemble. En effet, les nations ne parviendront pas, seules, à répondre aux enjeux de demain, mais aussi d’aujourd’hui. Comme à chaque fois que l’homme conquiert un nouvel espace (terrestre, maritime ou extrastratosphérique), il doit imposer un ordre public. Il s’agit d’un standard de société qui recherche un équilibre parfait entre les libertés d’une part – de communication, de commerce, d’industrie et d’accès à l’information… – et un ensemble de contraintes. Nous devons construire cette espace pour qu’il soit au service de l’homme. Dans l’histoire de la criminalité, la cybercriminalité est sans conteste la révolution du 21 ème siècle. Elle fait suite aux atteintes contre les personnes (à l’époque agricole), aux atteintes aux biens (à l’époque des biens manufacturés) et aux crimes plus intelligents (avec l’émergence de l’économie de services). Internet ne doit plus être le Far-West. Il faut protéger le faible contre le fort. La cybercriminalité n'est pas le prolongement de la criminalité classique, elle est une véritable rupture ; elle correspond à l’économie quaternaire. Ce bouleversement impose que la justice et les services de sécurité prennent en considération ces enjeux. Notre responsabilité est collective. Nous devons par ailleurs faire face à une nouvelle menace, la cyberguerre. Il s’agit, comme ce fut le cas en Estonie ou en Géorgie, d’anéantir l’adversaire et non plus de gagner illégalement de l’argent. C’est la raison pour laquelle nous devons faire évoluer nos dispositifs vers la cyberdéfense. A l’heure actuelle, c’est aussi le droit, en particulier international qui devra évoluer. Qu’est-ce qu’un agresseur ? L’usage de la force peut-il se définir comme le prévoyait la Convention de Genève ? Qu’est-ce que la légitime défense ? Pour être fort, nous devons être unis. Personne ne peut dire qu’il possède la réponse à la problématique de la cybercriminalité. Chacun doit jouer son rôle et nous devons agir ensemble pour un espace numérique plus sûr. Sigles AFA : Association des fournisseurs d'accès et de services Internet AFCDP : Association française des correspondants aux données personnelles AFCERT : Air Force Computer Emergency Response Team AFOSI : Air Force Office of Special Investigation AISI : African information society initiative ANSSI : Agence nationale de la sécurité des systèmes d’information ARJEL : Autorité de régulation des jeux en ligne ASIP : Agence des systèmes d’informations partagés de santé B2I : Brevet informatique et Internet CCI : Chambre de commerce et d’industrie CDAISI : Collaborateur pour la défense et l’anti intrusion des systèmes informatiques CEFTI : Centre d'études des techniques financières et d'ingénierie CEIS : Compagnie européenne d’intelligence stratégique CERT : Computer Emergency Response Team CERTA : Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques CID : Collège interarmées de défense CIL : Correspondant informatique et libertés CISS : Collectif inter associatif sur la santé CJUE : Cour de justice de l’Union Européenne CNIL : Commission nationale de l’informatique et des libertés CNOM : Conseil national de l'ordre des médecins CRCI : Chambre régionale de commerce et d'industrie CSPN : Certificat de sécurité de premier niveau CUDL : Communauté urbaine de Lille DMP : Dossier médical personnel DNS : Domain Name System DPSN : Direction de la planification de sécurité nationale ECCP : European cyber crime platform EDVIGE : Exploitation documentaire et valorisation de l'information générale EGPE : Ecole des grands-parents européens Europol : European police office FAI : Fournisseurs d’accès à Internet FBI : Federal Bureau of Investigation FCCU : Federal Computer Crime Unit FIC : Forum international sur la cybercriminalité FTP : File transfer protocol FTPS : Secure file transfer protocol HADOPI : Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet I-Cros : Internet Crime Reporting Online System IDS : Institut des données de santé IE : Intelligence économique IIE : Institut informatique et entreprise INHOPE : International Association of Internet Hotlines IP : Internet Protocol ISP : Internet Service Provider LCEN : Loi pour la confiance dans l'économie numérique LEDS : Lille Eurométropole défense sécurité MEIE : Ministère de l'économie industrie et de l'emploi NTIC : Nouvelles technologies de l’information et de la communication OCLAESP : Office central de lutte contre les atteintes à l'environnement et à la santé publique OCLCTIC : Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication OHADA : organisation pour l'harmonisation en Afrique du droit des affaires ONS : Object naming system P2P : Peer to Peer (en français, Pair à pair) PDA : Personal Digital Assistant PHAROS : Plate-forme d’harmonisation d’analyse - Regroupement organisation des signalements PME : Petites et moyennes entreprises RCCU : Régional Computer Crime Unit RSSI : Responsable de la Sécurité des Systèmes d’Informations SCADA : Supervisory Control And Data Acquisition SFMC : Société française de médecine de catastrophe SI : Système d’informations SR : Section de recherche SSH : Secure shell SSI : Sécurité des Systèmes d’Informations SSL : Secure Sockets Layer STIC : Système de Traitement des Infractions Constatées STRJD : Service technique de recherches judiciaires et de documentation TCP/IP : Transmission Control Protocol/Internet Protocol TGI : Tribunal de grande instance TIC : Technologies de l’information et de la communication TPE : Très Petites Entreprises UDAF : Union nationale des associations familiales UE : Union européenne UNIFAB : Union des fabricants VPC : Vente par correspondance VPN : Virtual Private Network Annexes Intervention du Général d'armée Roland GILLES, Directeur général de la Gendarmerie – Forum cybercriminalite – 01/04/2010 Monsieur le Ministre, Monsieur le Préfet, Monsieur l'adjoint au maire, Messieurs les généraux, Mesdames et Messieurs, Je suis particulièrement heureux d'ouvrir pour la seconde année, aux côtés de Monsieur le ministre – Monsieur DE CLERK, Monsieur le préfet BERARD et de Monsieur l'adjoint de maire – Monsieur DE SAINTIGNON, le forum international sur la cybercriminalité – un forum que son retentissement en France et à l'étranger désigne comme un lieu fondamental d'échange sur les mondes numériques. A mesure que les mondes numériques croissent tant en volume qu'en densité et en intensité, la question de leur sécurité passe du statut de question marginale au statut de question centrale, du statut de question fermée à l'usage des spécialistes au statut de question ouverte à l'usage de tous les citoyens. Cette question de la sécurité des espaces numériques est fondamentalement une question de société – c'est à dire une question qui concerne à la fois tous les individus, et chaque individu, le corps social dans son ensemble et chaque citoyen en particulier. Comme la menace à laquelle il se propose de faire face – une menace qui joue souplement sur tous les tableaux et à toutes les échelles, le FIC s'applique à promouvoir la rencontre et l'échange entre des mondes encore trop souvent cloisonnés. Ce forum propose d'abord d'abolir les frontières qui séparent encore les différents univers professionnels concernés par la cybercriminalité : - monde de la sécurité et de la justice – représentés ici par 23 partenaires institutionnels, gendarmes, policiers et magistrats de nombreux pays, - monde de l'université, - monde de l'entreprise et de la finance – représenté ici aussi bien par des PME que par des grandes entreprises internationales. Ce forum propose ensuite d'abolir les frontières qui demeurent entre les différents échelons de traitement des problèmes liés à la cybercriminalité : - Echelon international – je salue les 40 pays représentés et les 5 organisations internationales qui sont venus des 5 continents pour réfléchir ensemble à un sujet qui ne connaît pas les frontières. - Echelon national – je salue en particulier la présence de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC), de l'Institut de Recherche Criminelle de la Gendarmerie (IRCGN) et de l'institut national des hautes études de la sécurité et de la justice (INHESJ), et de toutes les forces qui oeuvrent au quotidien pour un monde numérique plus sûr. - Echelon local – je salue en particulier l'implication des collectivités territoriales à commencer par la région Nord Pas de calais, Lille métropole, et la ville de Lille. Ce forum permet enfin d'empêcher que ne s'instaure dans le domaine des mondes numériques une frontière infranchissable : - entre un Etat responsable et un citoyen irresponsable, - entre un Etat qui ne permettrait rien et un citoyen qui se permettrait tout, - entre un Etat promoteur équitable de sécurité au profit de la liberté du plus grand nombre et un citoyen promoteur de sa liberté propre au détriment de la liberté du plus grand nombre. Comme la menace à laquelle nous devons faire face – une menace qui joue sur l'expansion des mondes numériques pour introduire en permanence de l'insécurité dans les espaces encore insuffisamment connus et stabilisés, ce forum s'applique à tisser du lien entre le monde de la sécurité et le monde économique. Il permet ainsi de sortir de deux visions qui conduisent chacune à la paralysie des pouvoirs publics et la vulnérabilité des citoyens : La vision selon laquelle les territoires numériques disposent d'une sécurité et d'une justice immanente – cette vision angélique du monde numérique comme une société universelle et idéale capable en permanence de faire émerger et évoluer l'intérêt général a des conséquences dramatiques : irresponsabilité des acteurs publics et privés, effacement de l'Etat, fabrique d'une citoyenneté imaginaire dégagée de tout devoir ; La vision selon laquelle les stratégies de sécurité classiques peuvent s'appliquer aux territoires numériques sans subir l'influence de la révolution numérique – cette vision archaïque de la sécurité comme une stratégie abstraite, s'appliquant verticalement sur la société sans jamais en recevoir l'empreinte a également des conséquences dramatiques : impuissance des acteurs publics et privés, vulnérabilité de l'Etat, vulnérabilité du citoyen. Considérer au contraire la sécurité dans le monde numérique et le monde numérique dans la sécurité, voilà la seule réponse – mais une réponse difficile, une réponse complexe, une réponse coûteuse, une réponse qui suppose à la fois du savoir et de la pratique. C'est au service de cette réponse que la gendarmerie s'engage en favorisant toutes les idées, toutes les pratiques et toutes les découvertes qui permettent à la fois de mettre l'espace numérique en sécurité et de faire passer la sécurité à l'âge du numérique. C'est au service de cette réponse que le Forum international qui nous réunit travaille – tissant avec souplesse et obstination des réseaux capables de faire face aux réseaux criminels qui cherchent à contrôler l'accès des nouveaux espaces numériques à mesure qu'ils se libèrent. Discours de M. Brice Hortefeux prononcé par M. BERARD, Préfet de la région Nord-Pas de Calais, Préfet du Nord, Préfet de la zone de défense Nord – Seul le prononcé fait foi – Mesdames et Messieurs, Si je n’ai pu être présent parmi vous, aujourd’hui, à l’occasion de la clôture de cette 4 ème édition du forum international sur la cybercriminalité, j’ai tenu à vous faire parvenir ces quelques mots. Vous arrivez au terme de deux journées de réflexion et de travail. Les questions de sécurité, de justice et de défense ont été évoquées, ainsi que les enjeux du développement de la société numérique pour nos collectivités territoriales et les moyens de protéger nos entreprises face aux risques numériques [diffusion du guide pratique du chef d’entreprise face au risque numérique dont vous avez signé la préface]. Le réseau internet est, en effet, devenu un vecteur de communication d’une puissance jamais atteinte. Il donne lieu au développement d’une économie, favorise les échanges et l’émergence d’une culture, notamment au travers des blogs et des nouveaux services interactifs. Ces aspects positifs ont cependant un revers : l'émergence et la facilitation, dans un total anonymat, de nombreuses formes de délinquance qui se jouent des frontières et des législations : escroqueries, usurpation d’identité, vols de numéros de cartes bancaires, piratage, mais aussi pédopornographie, terrorisme, pénétration de réseaux ou prise de contrôle à distance de systèmes d’informations stratégiques. Enjeu fondamental pour la sécurité nationale, les nouvelles technologies de l'information doivent donc être à la fois protégées et maîtrisées sous peine d'être infiltrées ou dévoyées. I. Où en sommes-nous de la lutte contre la cybercriminalité ? (1) Le constat reste, aujourd’hui, préoccupant. La cybercriminalité est essentiellement une criminalité transnationale. Concrètement, une action commise par une personne dans un pays peut affecter des milliers de personnes dans plusieurs autres pays. Les acteurs économiques sont des cibles de choix, tout comme les administrations publiques et les citoyens. Il faut le dire : il existe encore, en France comme dans les pays industrialisés, de nombreuses infrastructures extrêmement vulnérables à la criminalité informatique, susceptibles de déstabiliser l'économie entière d'un pays. Je pense notamment à ce pirate informatique, « hacker-croll », interpellé la semaine dernière à Clermont-Ferrand, grâce à la coopération des autorités américaines, et qui était en mesure d’infiltrer le réseau social Twitter. (2) Face à cette menace, il est non seulement nécessaire d’accroître la coopération avec tous les acteurs de l’économie numérique mais aussi de renforcer l’action internationale Pour être pleinement efficaces, les enquêtes de cybercriminalité requièrent, tout d’abord, une coopération accrue avec les fournisseurs d’accès et de services sur Internet. Dans les faits, la lutte contre la cybercriminalité se heurte parfois à des obstacles en raison de la complexité des réseaux informatiques, de la rapidité avec laquelle les infractions sont commises et de la difficulté à rassembler les preuves, généralement électroniques et volatiles. Je sais que forces de l’ordre et fournisseurs d’accès ont chacun un rôle bien précis : les uns doivent faire respecter la loi, les autres doivent offrir à leurs clients la capacité de communiquer. Mais nous poursuivons tous le même but : rendre Internet plus sûr. C’est tout le sens de ce forum international auquel vous participez, que vous soyez élus, responsables des collectivités territoriales, universitaires, issus du monde de l’entreprise, ou représentants des forces de sécurité et des pouvoirs publics. Je tiens d’ailleurs à féliciter tous ses organisateurs, la gendarmerie, l’union européenne, les pays partenaires, les collectivités et les grandes sociétés, qui ont permis de réunir plus de 1 500 participants, acteurs publics, fournisseurs d’accès, juristes, clients, pendant ces 2 jours pour débattre de ce sujet et proposer de nouveaux partenariats. Vos travaux vous ont aussi conduit à réfléchir sur la mobilisation européenne et internationale nécessaire pour améliorer la lutte contre la cybercriminalité. Votre rendez-vous intervient quelques jours après la conférence de Strasbourg sur la coopération contre la cybercriminalité [23 au 25 mars 2010] et quelques jours avant le congrès des Nations Unies sur la prévention de la criminalité et la justice pénale [12 au 19 avril 2010]. Celui-ci sera l’occasion, pour le Conseil de l'Europe, de lancer un appel en faveur d’un soutien mondial pour permettre aux Etats de répondre aux défis liés à la cybercriminalité, en s’appuyant au mieux sur les outils et les instruments existants, dont sa Convention sur la cybercriminalité [adoptée à Budapest en 2001], aujourd’hui ratifiée par de nombreux pays [29 pays, avec l’adhésion du Monténégro, du Portugal et de l’Azerbaïdjan lors de la conférence de Strasbourg la semaine dernière] . Vous avez, notamment, évoqué la plate-forme européenne de signalement des contenus illicites sur Internet. Cette plate-forme européenne, dont l’annonce avait été faite lors de la présidence française de l’Union européenne, mobilise toutes les énergies. De nombreux pays, déterminés à voir aboutir ce projet, se mettent en ordre de bataille. Je vous le dis : je souhaite que tout soit mis en œuvre afin que ce projet aboutisse le plus rapidement possible. La protection de nos enfants des prédateurs sexuels sur Internet est une priorité qui ne peut attendre. II. La mobilisation des pouvoirs publics contre la cybercriminalité est une priorité et la France y associe étroitement les acteurs privés. (1) Il faut développer la politique nationale de sécurité des entreprises. Les acteurs économiques et les utilisateurs d’Internet ont pris conscience qu’ils constituent des cibles pour les cybercriminels. J’ai demandé aux services du ministère de continuer d’apporter aux entreprises un soutien actif dans l’évaluation du « cyber-risque » et dans la préparation des plans de protection de leurs implantations. Des plans triennaux de promotion de l’intelligence économique ont été mis en place par chaque préfet de région. Ils ont pour objectif la promotion des mesures les plus adaptées pour mieux sécuriser la circulation de l’information au sein des entreprises implantées dans leur région. Je rappelle que des observatoires zonaux de sécurité des systèmes d’information ont également été créés, récemment, sous l’autorité des préfets de zone. Ils s’adressent notamment aux chambres professionnelles et servent, entre autre, à sensibiliser les responsables économiques, à les aider à mieux protéger leurs informations sensibles et à maintenir leur activité. C’est, d’ailleurs, l’objet du « guide du chef d’entreprise face au risque numérique » que vous avez reçu en participant à ce forum. Fruit de la réflexion commune d’acteurs publics et privés, il permet à l’entrepreneur de prendre connaissance des risques que court son entreprise dans le domaine numérique et de découvrir les solutions mises à sa disposition. (2) Outre les entrepreneurs, les fournisseurs d’accès ont un rôle majeur à jouer pour l’information des utilisateurs. Les fournisseurs d’accès et de services à Internet doivent continuer de protéger le mieux possible leurs clients dans le cadre du projet d’accord qui lie le ministère de l’intérieur et l’association des fournisseurs d’accès et de services Internet (AFA). Il est évidemment normal que les utilisateurs soient informés sur les risques que peut présenter Internet pour leurs droits, leur sécurité et leur vie privée. Il est aussi nécessaire qu’ils soient informés sur les outils et les logiciels disponibles à utiliser pour une meilleure protection. (3) Nos forces de sécurité s’investissent également totalement dans la lutte contre la cybercriminalité 450 enquêteurs spécialisés dans la lutte contre la cybercriminalité ont déjà été formés au sein de la police et de la gendarmerie. J’ai fixé à 600 le nombre de personnels formés d’ici 2012. Ces enquêteurs sont notamment chargés de la recherche et de la préservation des preuves numériques des infractions. Depuis l’été dernier, des policiers et gendarmes effectuent des cyber-patrouilles. Cette nouvelle forme d’investigation, basée sur l’infiltration, favorise l’administration de la preuve pour une plus grande efficacité des enquêtes. A ce jour, plusieurs dizaines de dossiers ont été menés à terme avec interpellation des prédateurs qui ont été déférés devant la justice. J’ai demandé que le nombre des personnels, habilités à effectuer ces cyber-patrouilles, soit augmenté dès 2010. Outre ces enquêteurs, la plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (P.H.A.R.O.S.), composée de policiers et de gendarmes, a pour objectif le recueil et le traitement des signalements des contenus illicites d’Internet. En 2009, elle a reçu près de 53 000 signalements, soit plus de 1 000 signalements par semaine. La moitié concernaient des escroqueries commises sur Internet ; 28% des atteintes sur les mineurs et 5% des actes relatifs à la xénophobie et discrimination. Depuis le 1er janvier 2010, ce sont déjà 18 355 signalements qui ont été reçus, dont 4 296 concernent des atteintes contre les mineurs [soit plus de 23%]. Enfin, une plate-forme téléphonique « info-escroqueries », dédiée à l’information du public, a également été mise en place l’année dernière. Elle a déjà traité plus de 20 000 appels dont près de la moitié concernaient des victimes d’infraction. III. Aujourd'hui, une part importante de la solution passe par une législation claire et adaptée qui définisse les responsabilités de chacun. C’est l’enjeu de la LOPPSI. (1) J’entends, en premier lieu, bloquer les sites et contenus à caractère pédopornographiques. Le Gouvernement n’a pas l’intention de bouleverser l’équilibre d’ensemble établi par la loi du 21 juin 2004 pour la confiance dans l’économie numérique, qui a établi le droit sur Internet. Il n’est absolument pas dans ses intentions de restreindre l’accès des citoyens à Internet. Cependant, Internet ne peut devenir un espace de non-droit. Or, un nombre croissant d’infractions sont commises par son biais, notamment la pédopornographie. C’est une obligation morale que d’adapter la réponse de l’Etat à cette violence. Derrière les contenus pédopornographiques, nous le savons, il y a la prostitution infantile, des viols et la criminalité organisée. C’est la raison pour laquelle, à l’instar de ce qui existe dans de nombreuses démocraties voisines, la LOPPSI crée un dispositif autorisant le blocage de l’accès aux sites et contenus à caractère pédopornographique. Le principe est simple : le ministère de l’Intérieur indique aux fournisseurs d’accès à Internet la liste noire des sites et contenus à bloquer, et ce sont les fournisseurs qui empêchent l’accès à ces sites et à ces contenus depuis un ordinateur en France. J’entends les voix qui s’élèvent pour dire, en même temps, que la lutte contre la pédopornographie rassemble et ne fait pas débat, et que les mesures proposées par le Gouvernement ne sont pas efficaces et seront très vite contournées en faisant peser une menace de blocage sur Internet. J’entends aussi, et ce sont souvent les mêmes, ceux qui considèrent que les policiers et les gendarmes, dont c’est le métier, ne seraient pas capables, sans porter atteinte aux libertés fondamentales, d’identifier les sites en infraction pour en dresser la liste, alors que les internautes le font sans difficulté. Car il faut le constater, les internautes sont de plus en plus matures et responsables, y compris lorsqu’ils sont mineurs, et reconnaissent de mieux en mieux les infractions. Moins de 7% des signalements reçus en 2009 par la plate-forme PHAROS étaient infondés. C’est également le constat que fait l’AFA, qui a reçu près de 8 000 signalements sur son site en 2009 [pointdecontact.net] et qui agit, comme d’autres acteurs privés, en parfaite complémentarité avec la plate-forme de signalement du Gouvernement. Cette association constate, d’ailleurs, qu’en 2009, les sites signalés par les internautes comme présentant un contenu pédopornographique sont en augmentation de plus de 30% par rapport à 2008. A tous, je réponds qu’il est urgent d’agir pour limiter préventivement l’accès des internautes à de tels sites. A tous, je réponds que l’efficacité est dans le pragmatisme et qu’il ne faut pas renoncer parce que la solution n’est pas absolument parfaite. C’est bien l’addition de plusieurs mesures – le renforcement de la coopération internationale, avec la création de la plate-forme européenne de signalement, et les techniques de blocage des fournisseurs d’accès - qui nous permettra de faire reculer la pédopornographie sur Internet. (2) Je suis aussi totalement déterminé à lutter contre l’usurpation d’identité sur les réseaux de télécommunications Aujourd’hui, l’usage d’éléments d’identité d’un tiers sur un réseau de télécommunications n’est réprimé que lorsqu’il en résulte un préjudice financier. Cela ne suffit pas. L’engouement pour les réseaux sociaux, par exemple, comme « facebook » ou « twitter », où l’on expose sa vie privée sans toujours en maîtriser les conséquences, que vous avez évoqué pendant ces 2 jours, nous invite à mettre en place des dispositifs de régulation. C’est pourquoi j’ai souhaité que le fait d’usurper l’identité d’une personne sur internet, même s’il n’y a pas de préjudice financier, soit désormais condamnable. Il n’est plus question de nier le préjudice moral que représente l’utilisation de l’identité d’une personne sur des forums de toute nature ou encore son inscription, à son insu ou contre son gré, sur des réseaux sociaux. C’est à la loi de protéger ces victimes et c’est mon rôle de faire voter ces lois. La mission que m’a confié le Président de la République, celle de protéger tous les Français, suppose un engagement total de ma part pour améliorer, au quotidien, le dispositif de sécurité dans notre pays. Assurer la sécurité des Français et des acteurs économiques sur Internet n’est pas une mission simple. Face aux atteintes, parfois extrêmement violentes, que peuvent subir nos entreprises ou des personnes vulnérables, vous ne m’entendrez jamais dire « nous n’y pouvons rien – on a tout essayé ». Ceux qui rejettent toute amélioration du dispositif actuel se trompent. C’est mon devoir de responsable politique de rechercher et de proposer toutes les pistes d’amélioration possibles. Loin de tout sensationnalisme, je souhaite avancer avec sérénité et conviction sur ce dossier majeur. Et je sais que je ne suis pas seul. La collaboration entre usagers, fournisseurs d’accès et autorités publiques, au niveau national et international, constitue la clé du succès. Soyez assurés de mon entière détermination à répondre au défi que constitue la lutte contre la cybercriminalité. Interventions d’ouverture - Pierre de Saintignon, Premier adjoint au Maire de Lille, Vice-président du Conseil régional Nord-Pas de Calais - M. DE CLERCK (Ministre fédéral de la Justice belge et Président de l'Eurométropole), Le général d'armée GILLES (directeur général de la gendarmerie nationale) ou son représentant, - M. BERARD (Préfet de la Région Nord-Pas-de-Calais, Préfet du Nord, Préfet de la zone de défense Nord), 5 à 8 minutes (sous réserve de sa disponibilité) Monsieur le Ministre, Monsieur le Préfet, Messieurs les Officiers Généraux, Et, vous tous, Mesdames, Mesdemoiselles, Messieurs, La présence à mes côtés de Stephan De Clerck, Ministre Belge de la justice, Bourgmestre de Courtrai et surtout Président de l’Euro métropole Lille-Courtrai-Tournai est un symbole fort, celui du réseau des villes qui veulent aussi être pionnières dans la révolution Technologique des moyens de communications électroniques et de leur protection autour d’un pôle Transfrontalier d’excellence européenne qui pourrait associer le « Two-Center » de Courtrai, le pôle image sur le site de l’Union à Roubaix et Tourcoing et Euratechnologies à Lille. Ce souci, cette volonté, cet impératif catégorique de protéger les données informatiques et de lutter contre la cybercriminalité est le fondement même de ce forum. Je voudrais ici remercier et féliciter ces initiatives en particulier le Général Déanaz et le Colonel Régis Fohrer de la Gendarmerie Nationale et les assurer du soutien pérenne des collectivités locales. Et ce n’est pas à l’avocat Stephan De Clerck, que je dois de rappeler combien, dans leur domaine de compétence, les collectivités locales sont attentives à la protection des droits des citoyens et à l’éducation citoyenne. En ce sens, je voudrai une fois de plus souligner l’importance de la démarche citoyenne initiée à Lille par Martine Aubry et portée par le Général Jean-Claude Thomann, chargé de la mission Lille Euro Métropole Défense Sécurité qui participe à ce forum par le biais d’un atelier dont l’animation a été confiée à des étudiants. La Région Nord-Pas-de-Calais et Lille en particulier ont un positionnement géographique qui en fait un carrefour européen, capitale de l’Europe ! Il y a une vieille tradition d’échanges dans cette région. Nous sommes dans une région et une métropole marchande où sans attendre les progrès du e-commerce, nombre d’affaires se traitent de façon immatérielle. Ce n’est pas par hasard si les leaders de la VPC restent des acteurs économiques régionaux majeurs. Il y a aussi une situation géostratégique où l’histoire de l’Europe s’est souvent inscrite dans cette région où on ne compte plus les lieux de bataille qui ont marqué 2 000 ans d’histoire. Cela se traduit encore désormais par le fait que Lille accueille quelques grands commandements militaires, celui des Forces Terrestres, celui des Corps de Réaction Rapide, celui de la zone de défense Nord Picardie et enfin celui de la Gendarmerie Nord-Pas-de-Calais qui est à l’origine du FIC. Les menaces en matière de cybercriminalité ignorent et dépassent les frontières. Pour renforcer la lutte contre la cybercriminalité, il faut, non seulement, une approche globale, fondée sur la coopération internationale mais aussi un élargissement à un maximum d’acteurs. Parmi ceux-ci, il y a désormais les collectivités locales qui prennent de plus en plus d’importance dans tous les dispositifs de prévention et de sécurité. Le FIC a ainsi un rôle majeur en terme de sensibilisation et d’information sur les divers dangers de l’espace numérique, en y présentant des échanges d’expériences et de savoir-faire et en étant, aussi, désormais un moment de réflexion attendu. Cette vocation doit aussi trouver un prolongement au quotidien, c’est pour cela que je renouvelle ma proposition de développer à Euratechnologies, un cyber-pôle d’excellence de lutte contre la criminalité numérique. En Belgique et en Flandre, les Beffrois des Hôtels de Ville sont les symboles des libertés communales, faisons ensemble, du « Beffroi d’Euratechnologies » le symbole de la lutte contre les atteintes aux libertés qui se profilent derrière la cybercriminalité. C’est pour cela que le Conseil Régional qui s’est doté d’une mission sur la sécurité de l’information et la Ville de Lille ne peuvent pas passer à côté de cette occasion unique de réunir les meilleurs experts nationaux et internationaux. Ce rendez-vous, nous voulons qu’il devienne incontournable et notre volonté est qu’il s’inscrive dans la durée à Lille. Encore Bienvenue à Lille Merci d’être venus jusqu’à nous Bons travaux à tous et à chacun Discours d’ouverture de Stefaan De Clerck, Ministre fédéral de la Justice belge, Président de l'Eurométropole Minister van Justitie Monsieur le Préfet du Nord (Jean-Michel Bérard), Monsieur le Vice-Président de la Région Nord-Pas-de-Calais et Premier Adjoint au Maire de Lille (Pierre de Saintignon) Monsieur le Général D’armée et Directeur Général de la gendarmerie (Roland Gilles) Monsieur le Général de division et Commandant de la région de gendarmerie Nord-Pas-deCalais (Gérard Deanaz) Mesdames, Messieurs, 1. I NTRODUCTION C’est pour moi un grand plaisir d’être présent ici à Lille au Forum sur la cybercriminalité, édition 2010. C’est en 2009, que j’ai découvert cet évènement de très haut niveau à l’occasion de la présentation du guide « Cybercriminalité – Réflexes et Bonnes Pratiques ». La cybercriminalité est un phénomène relativement neuf. Le succès croissant de ce Forum montre l’importance de ce sujet pour notre société. Le monde virtuel se développe à une vitesse phénoménale via l’évolution de l’internet et de nombreuses applications qui ont été développées dans ce cadre. Des applications encore inconcevables il y a une décennie, sont aujourd’hui acquises. La technologie du haut débit et le système mobile d’internet ont relancé le chargement et téléchargement de matériel multimédia à une vitesse incontrôlable. Le Web 2.0 a créé de nouvelles possibilités pour utiliser internet. L’objectif du phénomène Internet s’est déplacé : non seulement procurer des informations, mais surtout et principalement faciliter l’interactivité. L’espace de créativité est presque illimitée dans le monde numérique. II. D U CYBER - ESPACE A LA CYBER - CRIMINALITE Si l’élargissement du réseau de l’internet est un grand progrès pour notre société il constitue également un nouveau terrain pour la criminalité, la dite cybercriminalité. La criminalité n’utilise pas uniquement les moyens et voies « traditionnels ». Elle s’accroche sur tous les circuits économiques et financiers. La percée de la technologie de communication et d’informations digitales a pour conséquence que de nombreux délits sont également commis via des systèmes de communication électroniques par lesquels le criminel ne laisse plus que des traces électroniques. Pensons par exemple à la diffusion de la pédo-pornographie via internet, aux escroqueries organisées via internet ou aux attaques contre les réseaux de communications mêmes. Des études révèlent que le chiffre d’affaires d’une telle cybercriminalité surpasse largement celui des délits « traditionnels » comme par exemple celui du trafic de drogues. Tous les acteurs doivent dès lors faire preuve d’une vigilance accrue et d’une stratégie adaptée. Pour une société qui dépend en grande mesure de ses systèmes de communication, il est important que l’ordre et la justice puissent être maintenus dans ce monde virtuel. Cela concerne avant tout l’utilisateur. Nous constatons souvent que la source de l’abus d’un compte internet se trouve chez l’utilisateur lui-même. Je vous donne quelques exemples : - les copies illégales ou le manque de respect pour la propriété intellectuelle du software ou de s produits artistiques (musique, film, vidéo..) - le manque de bons logiciels de sécurité actualisés comme l’antivirus-software et les firewalls. - la nonchalance dans l’utilisation du login ; - l’imprudence lorsqu’il partage des informations sur son identité avec le monde entier. C’est pourquoi une campagne de prévention intensive et constante doit être le premier pas vers une société plus sécurisée sur le net. De plus, le Législateur doit procurer un cadre légal clair à la police et à la justice afin de lutter contre la cybercriminalité. Il existe une différence importante entre la vitesse du développement du cyberespace et la vitesse du processus législatif qui doit cadrer ces développements. Il faut donc examiner les procédures pénales internes et leurs compétences territoriales. Si un serveur web est utilisé à des fins criminelles en Belgique et en France, est-ce la justice belge ou la justice française qui est alors compétente ? Des fournisseurs et des gestionnaires du réseau internet peuvent-ils encore se cacher derrière une législation étrangère afin de ne plus devoir collaborer dans une enquête judiciaire ? Heureusement, de plus en plus d’entreprises comprennent l’importance d’une bonne collaboration avec les autorités judiciaires dans l’intérêt de notre société. Cependant, les méthodes de détection et d’obtention des preuves doivent faire l’objet d’une évaluation constante, si bien que beaucoup de législations ne sont malheureusement pas encore suffisamment adaptées aux développements actuels pour combattre ce phénomène. Des méthodes modernes de détection et un principe de territorialité plus flexible ne sont utilisables que s’il existe des règles légales claires déterminant la conservation de traces électroniques. Soyons clair : la cybercriminalité laisse uniquement des traces électroniques. Si ces traces ne sont pas conservées, il est impossible pour la justice d’enquêter. C’est pour cette raison que la directive de rétention des données doit être transposée au plus vite en droit interne. Il va de soi qu’il faudra, dans ce cadre, tenir compte de la protection de la vie privée. Mais un équilibre doit être trouvé pour que d’autres valeurs essentielles puissent également être protégées, comme la vie, l’identité, l’intégrité physique et sexuelle. III. VERS UN CENTRE BELGE Outre une plus grande attention auprès des utilisateurs et un cadre légal adapté afin d’intervenir rapidement et efficacement, nous devons, à l’avenir, également investir dans des formations et la recherche. Dans ce cadre, un certain nombre d’initiatives ont été prises et une expertise certaine a été acquise tant au niveau de la Magistrature, de la Police ou d’autres services publics que dans le monde académique et le secteur privé. Nous constatons cependant que l’expertise multidisciplinaire existante n’est pas suffisamment rassemblée, échangée et utilisée dans la lutte contre la cybercriminalité. Il faut donc d’urgence coordonner ces nouvelles initiatives afin d’améliorer la lutte contre la cybercriminalité. A la suite des contacts que j’ai eus à l’occasion du forum précédent, j’ai récemment visité la ville de Dublin où un centre d’expertise en matière de cybercriminalité à été créé à l’université. Une initiative semblable a également été entreprise ici en France, dans la ville de Troyes. La Belgique a également besoin d’un tel centre d’expertise. Je suis dès lors ravi de vous confirmer que l’Université de Louvain, va prendre l’initiative de collaborer avec les autres institutions académiques, l’autorité belge, la Commission européenne et un certain nombre de partenaires privés, pour lancer et développer, à court terme, un pool national en matière de cybercriminalité. Un dossier sera prochainement soumis à la commission européenne afin d’obtenir des subsides européens 67. 67 Une déclaration d'intention a été signée le 20 avril 2010 par des ministères, de grandes entreprises (Microsoft, CSC belgium, Cisco systems et Atosorigin Belgium) et la fédération du secteur financier (Febelfin). Le centre devrait être opérationnel en octobre 2010. Ce Belgian Cybercrime Centre of Excellence for Training, Research and Education développera les actions suivantes: Organisation d’une plateforme où les différents acteurs confrontés à la cybercriminalité peuvent entrer en contact les uns avec les autres et ont l’occasion d’échanger leurs points de vues, leurs expériences et leurs « bonnes pratiques » ; Exécution de recherches académiques interdisciplinaires avancées (juridique, criminologique, technique) dans le domaine de la cybercriminalité ; Formation des services de police, de la magistrature et des acteurs privés afin d’optimiser et d’intensifier la lutte contre la cybercriminalité; Malgré qu’il s’agisse d’un centre national, le reflexe transfrontalier et européen est évident. La cybercriminalité est une criminalité transfrontalière par excellence. Pour la Belgique, il dès lors important de collaborer avec d’autres centres au projet européen 2-centre dès le début. Je ne manquerai pas de soutenir, pendant la Présidence belge de l’Union européenne, la collaboration dans le domaine de la cybercriminalité, et de faciliter cette collaboration là où elle est nécessaire et possible. IV. CONSIDERATIONS FINALES : LA C YBERCRIMINALITE ET L’E UROMETROPOLE Mesdames et messieurs, Le FIC peut déjà être considéré comme un grand succès vu le public présent aujourd’hui et la qualité du programme. Cependant, le succès de telles initiatives ne pourra être véritablement mesuré que par le succès de la lutte proprement dite contre la cybercriminalité. Notre Forum d’aujourd’hui y contribue. Et en tant que président de l’Eurométropole LilleKortrijk-Tournai, je suis heureux qu’un évènement d’ une telle portée ait lieu dans l’Eurométropole. Nous devons multiplier les contacts pour développer l’Eurométropole Lille-Kortrijk-Tournai en un centre important en matière de lutte conte la cybercriminalité, mais également comme plaque tournante économique dans le domaine de la sécurité en matière d’informations et d’informatique. La lutte contre la cybercriminalité représente aussi une opportunité économique. Voilà l’ambition de notre Eurométropole. Je vous remercie, Stefaan DE CLERCK Actes du FIC 2010 © Région de gendarmerie Nord-Pas-de-Calais 2010 Réalisation de la synthèse :