bancaires en ligne? Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant?

Transcription

1 n 35 La Lettre Sécurité Édito Solucom parmi les 1 er certifiés PASSI C est avec fierté que nous pouvons annoncer que nous faisons parti des premières sociétés certifiées «Prestataires d audits de sécurité des SI» en France! Sécurité des services bancaires en ligne : où en sommes nous? Cette reconnaissance est le fruit du travail mené depuis plusieurs années et valorisé dès 2008 par une certification ISO sur le développement de nos compétences, la qualité de nos missions d audits et nos tests d intrusion. La certification PASSI, dont le référentiel a été conçu par l ANSSI, est aujourd hui la seule sur le marché qui allie audit des sites du prestataire, suivi sur le terrain d une mission et vérifications de compétences des personnes à l écrit comme à l oral. Cette complétude est un vrai gage de qualité et de confiance pour nos clients. Nous poursuivons par ailleurs le développement de notre expertise technique pour accompagner nos clients dans toutes les problématiques de cybersécurité. Nous avons ainsi été retenus et interviendrons pour la première fois lors de la BlackHat Europe sur le thème des tests d intrusion sur des automates industriels. Nous présenterons nos méthodologies et outils conçus spécifiquement pour tester la sécurité de ces éléments clés des SI industriels. Nous espérons vous y retrouver! Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information Réaliser un virement, commander un chéquier ou consulter son relevé de banque sont aujourd hui autant d opérations sensibles réalisées facilement via son ordinateur ou son smartphone. Ces services, plébiscités par les utilisateurs, sont autant d opportunités de fraude pour les pirates informatiques. La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d image ensuite, les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne. Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant? La sécurité, intégrée by design aux services bancaires en ligne? Sécuriser l accès au service, premier impératif La grande majorité des banques françaises requiert la saisie d un mot de passe composé de quatre à six chiffres, via un clavier virtuel. Un nombre plus limité de banques ne propose pas de clavier virtuel mais un champ «classique» de saisie de mot de passe. Chacune des deux solutions présente ses propres forces. Le champ «classique» présente l avantage de pouvoir imposer une politique de mot de passe plus complexe (majuscules, minuscules, chiffres, etc.) qu une simple succession de chiffres, rendant ainsi le mot de passe plus difficile à deviner. Autre argument en faveur du champ «classique», une personne située à proximité du client a plus de difficultés à identifier les caractères saisis sur un clavier physique que ceux cliqués sur un écran, plus visible. Le clavier virtuel, quant à lui, est protégé des logiciels malveillants (malwares) les plus basiques de type keylogger 1. Lorsqu il est correctement implémenté, il permet également de complexifier la saisie automatisée du mot de passe et ainsi limiter les usurpations d identités «opportunistes». Quelques rares banques françaises ont décidé de mettre en place une authentification nonrejouable pour contrôler l accès à leurs services. Ainsi, en complément de l identifiant et du mot de passe, il est nécessaire de saisir un code à usage unique (OTP pour One Time Password) fourni par la banque via SMS, matériel dédié ou encore application smartphone. Les autres banques ont décidé de n utiliser ces mécanismes d authentification non-rejouable que pour la réalisation d opérations sensibles. Suite en page 2 DÉCRYPTAGES P4 La captive d assurance, nouvel outil pour le risk manager P7 Lutte anti-ddos : la technique ne suffit pas, organisons-nous!

2 Dossier Des opérations «sensibles» sous surveillance La Banque de France a émis en 2009 des recommandations en matière de protection des opérations en ligne, avec un accent fort sur les opérations sensibles : «sont considérées en premier lieu comme opérations sensibles toutes les opérations permettant d effectuer directement ou indirectement un transfert de fonds sortant, entraînant l appauvrissement du compte client». (La surveillance des moyens de paiement et des systèmes d échange - Banque de France, 2009). Pour la Banque de France, la mise en œuvre d une authentification non-rejouable (ANR) est indispensable pour protéger l exécution d opérations sensibles, notamment les opérations de virement, mais aussi la commande de moyens de paiement, la mise à jour des données du client et l émission de chèques dématérialisés. Dans les faits, seul l ajout de bénéficiaire est considéré comme une opération sensible par l ensemble des banques françaises. A l heure actuelle, la solution la plus répandue pour la validation des opérations sensibles par les particuliers est l OTP SMS. Ainsi, à chaque demande d opération sensible, le client reçoit un SMS contenant un code unique qu il saisit sur la banque en ligne pour valider l opération. D autres solutions sont utilisées, mais de manière minoritaire, comme la carte TAN (grille papier contenant un nombre fini de codes à usage unique) ou le lecteur CAP-EMV (lecteur de carte bancaire muni d un écran et d un clavier). Plus récemment de nombreux projets de validation «Out of Band» ont été initiés. Cette solution vise à dissocier les canaux d initialisation et de validation des opérations, par exemple via l utilisation d une application mobile complémentaire au site internet. Il est à noter que pour les entreprises, la solution adoptée par la grande majorité des acteurs est le certificat (logiciel ou matériel), qui offre également des fonctionnalités de signature et garantit ainsi la non-répudiation des opérations. Des cybercriminels qui s adaptent Le mouvement de sécurisation des services bancaires a vu les cybercriminels s adapter. Plusieurs moyens simples permettent aux attaquants de voler les identifiants et mots de passe : messages de phishing menant les victimes sur de fausses mires d authentification aux couleurs de la banque, déploiement de keyloggers / formgrabbers 1, interceptions des flux de communication, etc. Toutefois, depuis que la réalisation d opérations sensibles est protégée par une ANR, la connaissance des identifiants et mots de passe n est plus suffisante pour appauvrir le compte des clients. Il en est de même pour les malwares les plus basiques, qui sont incapables de contourner ces mécanismes. Aussi, ces dernières années ont vu se développer des malwares de type Man-In-The- Browser (MITB) dédiés aux banques en ligne. Lors des navigations Web, ils modifient les pages affichées à leur victime et en parallèle initient des requêtes en leur nom. Les malwares MITB sont particulièrement adaptés au contournement des authentifications par mot de passe unique. Plus récemment, la tendance est au déploiement de malwares sur smartphone, notamment afin de détourner les OTP SMS émis par la banque. Au-delà des impacts financiers pour le client, les attaques par malwares entachent également la réputation des banques attaquées, dès lors jugées incapables de garantir la sécurité de leurs clients. Pour autant, de quels autres moyens disposent les plateformes de banque en ligne pour élever leur niveau de sécurité? Détection et réaction: le nerf de la guerre Mécanisme de protection: la ligne Maginot des banques en ligne Si l on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l amélioration continue du niveau de sécurité. Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux («listes noires d IBAN»), mise en place de plafonds sur les virements, ajout d un délai d activation du bénéficiaire, etc. Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu elles sont victimes d un type d attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs? Quelle communication vis-à-vis des clients fraudés et non-fraudés? Comment revenir à une situation «protégée» tout en maintenant le service offert aux clients? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque. L amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d anticiper les plus prédictibles. En parallèle, il est crucial d accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu. Ce constat est d ailleurs appuyé par la Banque Centrale Européenne, via ses «Recommandations pour la sécurité des paiements sur internet» publiées en janvier 2013, pour application dès le 1er février Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à 1-Logiciel ou matériel malveillant capturant les frappes du clavier, pour récupération par l attaquant 2-Logiciel malveillant en capacité de collecter les éléments saisis au sein d un navigateur 2 La Lettre Sécurité N 35 octobre 2014

3 la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maîtrisés, l accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d alerte à destination des clients. Le client au cœur du dispositif de détection de fraude Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d indicateurs de compromission à son niveau et l analyse de son comportement. Le client fraudé identifie la fraude avec certitude après consultation de l état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d information par les clients. Dans la mesure où l interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus. La présence d indicateurs de compromission caractérise l infection d un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d un logiciel à installer sur le poste du client, soit d un composant à installer sur l infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir. L analyse comportementale du client permet, sur la base d indicateurs techniques et métiers, d identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser. Réaction : un enjeu fort, une maturité hétérogène Comment réagir une fois les premiers diagnostics techniques menés si la détection n est pas réalisée par le client lui-même? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l agence concernée, la solution la plus répandue est d informer le conseiller pour qu il assure un premier traitement. L existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d une intervention, etc. En complément, les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l ensemble des clients alors que seul un nombre réduit est infecté. Afin d éviter les sur-sollicitations et d être plus efficace en cas d incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre préfiltrées par des dispositifs techniques ou organisationnels. Enfin, au-delà de l efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication. Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la «banque en ligne sécurisée 2.0» mais les efforts doivent être maintenus dans la durée. Vers une sécurité de bout en bout des opérations financières 58% des Français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts. De nombreux défis restent à relever, notamment sur l identification de nouveaux mécanismes d authentification qui doivent combiner résistance aux attaques sophistiquées, compatibilité avec les situations de mobilité et facilité d utilisation. Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s attendre dans les prochains mois à une uniformisation vers le haut tant dans l outillage que les processus internes de gestion des fraudes. Seule une imbrication poussée des filières cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs. Etienne Capgras, consultant senior etienne.capgras@solucom.fr octobre 2014 La Lettre Sécurité N 35 3

4 Dossier Décryptage La captive d assurance: un nouvel outil au service du risk manager Pauline Rouaud, consultante pauline.rouaud@solucom.fr Les captives d assurance ont longtemps eu mauvaise presse : outil d optimisation fiscale, concurrent déloyal de l assureur. Pourtant, dans un contexte d encadrement du marché et de développement massif de méthodes alternatives de financement du risque, les captives pourraient se racheter une réputation et, dans le même temps, devenir un outil privilégié du risk management et ne plus être un simple outil d optimisation fiscale! Qu est-ce qui explique ce revirement de situation? La réglementation Solvabilité 2 semble être passée par là. Un outil bien implémenté en France Une captive est un montage juridique et financier orchestré par une société industrielle ou commerciale voulant se doter de sa propre compagnie d assurance, sans que cela ne relève de son activité principale. La captive facture, tout comme un assureur classique, des primes à la maison mère et couvre en contrepartie leurs sinistres. Si l assureur reste l acteur principal du financement du risque, un grand nombre d entreprises se tournent vers cette solution. Accor, Danone, Total, Carrefour, Alstom et bien d autres ont succombé à la tendance! En 2010, on comptait 5200 captives, contre 1000 en Un outil traditionnellement aux mains du directeur financier Le directeur financier a rapidement vu en la captive d assurance une source de revenus supplémentaires, et ce à plusieurs égards. En accédant directement au marché de la réassurance, l entreprise optimise sa gestion des coûts. Moins vulnérable aux fluctuations du marché, elle peut faire rapidement varier la voilure de sa captive en fonction de la dynamique du marché et donc de ses intérêts. Le mécanisme lui permet également, dans une moindre mesure, d économiser les frais d intermédiation. Elle permet parallèlement à l entreprise d améliorer sa rentabilité : via le mécanisme de consolidation, sa comptabilité bénéficie des résultats financiers de la captive. En outre, les profits et les fonds accumulés par la captive peuvent aisément bénéficier à la maison mère : indemnisation des sinistres, distribution de dividendes, liquidation ou vente de la captive. Souvent la vision du directeur financier a été privilégiée, en témoigne la domiciliation de la plupart des captives qui relève clairement de l optimisation fiscale : plus de 30% d entre elles sont domiciliées aux Bermudes. Un outil au coeur de la gestion des risques Entrée en vigueur en janvier 2013, la règlementation Solvabilité 2 a pour objectif affiché de garantir les intérêts des assurés face aux assureurs. L assuré et l assureur se confondant dans le cas des captives, il n était pas évident que la réglementation s applique à elles. Elle n est pourtant pas dénuée d effet : comme le montre Laure Léger, elle participe à une augmentation générale des coûts des captives via l augmentation de l exigence de capital (pilier 1) et la hausse des coûts de gestion (pilier 2). Enfin, au nom de la transparence (pilier 3), la directive oblige les captives à communiquer des informations jusqu à présent classifiées comme confidentielles. Face à ces nouvelles contraintes, le directeur financier verra en Solvabilité 2 une incitation supplémentaire à domicilier sa captive dans un pays à fiscalité privilégiée et le risk manager une opportunité pour sortir son épingle du jeu et se réapproprier le concept de captive! On l oublie souvent mais la mise en place d une captive a pour objectif initial de répondre à des problématiques de risk management en couvrant les risques non pris en charge par le marché des assurances. Aussi, les risques dits non assurables trouvent enfin leurs assureurs. Si «catastrophe naturelle» sont souvent les seuls et uniques mots qui nous viennent à l esprit lorsqu on veut accoler l adjectif «non assurable» à un risque, leur nombre est susceptible d augmenter et ce pour deux raisons. Tout d abord parce que de nouveaux risques, à l image de la cybercriminalité, apparaissent et ne sont pas, aujourd hui encore, couverts de façon satisfaisante par les acteurs traditionnels du marché. Ensuite parce que les assureurs, du fait de la hausse du coût du capital induite par Solvabilité 2, risquent de cesser de couvrir certains dommages qui ne seraient plus aussi rentables et participeraient indirectement à agrandir le champ d action d un de leurs concurrents, la captive! Solvabilité 2 participe certes, on l a vu, à une augmentation du coût du capital d une captive mais incite également et indirectement les entreprises à améliorer l amortissement d un tel investissement. Pour ce faire, elles n ont pas d autres choix que de renforcer leurs stratégies de contrôle des risques. Elles doivent parallèlement optimiser leurs programmes d assurances. Pour ce faire, elles disposent de deux leviers : une meilleure gestion des rétentions qu elles doivent financer (part du risque à la charge de l assuré) et la création des polices d assurance adaptées à ses besoins et à ses contraintes financières également. En définitive, deux vents contraires semblent jouer en faveur des captives d assurance. En effet, si le contexte réglementaire actuel semble être défavorable aux captives, il participe également à leur légitimation : elles doivent faire face aux mêmes contraintes que leur grand frère, l assureur traditionnel. Dans le même temps, la frilosité des assureurs à prendre en charge les nouveaux risques pousse les entreprises à mettre en place leurs assurances home made. Au regard du contexte actuel, il est donc de la responsabilité du risk manager de s associer avec son confrère, le directeur financier, afin de donner les moyens à sa captive de jouer pleinement et simultanément sur le volet fiscalité mais aussi sur celui de la gestion de crise. De cette façon, il gagnera en efficacité mais aussi en visibilité au sein de la direction générale. 4 La Lettre Sécurité N 35 octobre 2014

5 Décryptage Continuité d activité : le repli croisé, pas si simple! Vincent Exposito, consultant senior vincent.exposito@solucom.fr En cas de crise ou de sinistre majeur rendant un bâtiment indisponible, le plan de continuité d activité (PCA) permet d assurer le maintien des activités vitales d une organisation. Il s appuie pour cela sur différentes solutions, notamment le repli de collaborateurs : sur un site de repli dédié (propre à l organisation ou chez un prestataire), sur les autres sites de l organisation non touchés par le sinistre (repli croisé), ou encore en recourant au travail à distance (par exemple depuis le domicile des employés). Le repli croisé est défini comme le repli de collaborateurs d un site sinistré sur un ou plusieurs autres sites de l organisation. Généralement les sites sont «appairés» entre eux d où la notion de repli «croisé». Il s appuie le plus souvent sur la réquisition de salles de réunion, de salle de formation ou de bureaux. Cette stratégie intéresse vivement les organisations, dans une optique de valorisation de son patrimoine immobilier et de maîtrise des coûts du PCA. En effet, la souscription à une position de secours chez un prestataire spécialisé peut paraître en comparaison onéreuse : de quelques centaines d euros par an pour une position dite mutualisée à une dizaine de milliers d euros par an pour une position dédiée. Si les avantages de coût, bien qu indéniables, méritent d être discutés, la complexité et les contraintes (organisationnelles et techniques) de construction et de maintien en conditions opérationnelles du repli croisé sont souvent sous-estimées et doivent être étudiées. Comment concevoir son repli de manière efficace? Quels sont les facteurs clés de succès? Afin d anticiper au mieux la préparation du repli croisé dans le cadre d une stratégie de continuité d activité, il convient de répondre à plusieurs problématiques et traiter le repli de bout en bout. Maîtriser le potentiel réel de repli en relation étroite avec les Moyens Généraux Avant qu une situation de crise ou de sinistre ne se produise, un référentiel des positions de repli sur l ensemble des sites de l organisation doit être constitué. Il s agit plus précisément de : Cartographier les salles de réunion des différents sites ainsi que leur capacité d accueil, et maintenir à jour cette cartographie. Un chantier d autant plus complexe lorsque les déménagements intra et inter sites ainsi que les réaffectations de locaux sont fréquents. Définir le taux de remplissage envisageable des salles, dans l esprit des règlementations applicables aux conditions de travail (luminosité, espace, etc.), bien que des conditions dégradées soient parfois envisageables. Opérationnaliser le repli croisé Il est ensuite nécessaire de s assurer que le site de repli peut accueillir une population productive. Cette opérationnalisation passe par des actions logistiques : Permettre l accès aux locaux en prévoyant des moyens ou des procédures d accès au site. Préparer la démultiplication des prises électriques en constituant notamment un stock de matériel, pour pallier à un nombre de raccordements en général limité. Pré-identifier des moyens alternatifs à la tenue de réunions (réservations d espaces collaboratifs chez des prestataires de proximité ou des hôtels par exemple), puisque les salles de réunion sont par principe réquisitionnées. L opérationnalisation s appuie également sur des actions portées par la filière informatique : Fournir des postes de travail de remplacement aux collaborateurs repliés. Pour assurer une réponse rapide, l augmentation du fond de roulement de postes de travail sur un site alternatif peut être une solution. En cas de crise, ces postes de travail seront réquisitionnés et délivrés aux premiers collaborateurs repliés. Pour ce faire, il est nécessaire de prévoir la définition d un master de secours embarquant le maximum de logiciels requis et déployable industriellement. Mais aussi la mise en place et le dimensionnement d une solution de masterisation rapide des postes de travail compatible avec le besoin de repli des collaborateurs. Démultiplier la capacité de raccordement au réseau. De la même manière que pour le raccordement électrique, il est nécessaire de fournir aux collaborateurs repliés une connexion au réseau. Cela passe par le dimensionnement des liens d interconnexions des sites, l anticipation du nombre de ports réseaux complémentaires et par la constitution d un stock de câbles réseaux et de switchs supplémentaires. Préparer les aspects techniques Le déclenchement du repli croisé va changer les conditions de travail des collaborateurs repliés et des collaborateurs du site d accueil. Il est donc indispensable de : Faciliter la vie sur le site d accueil, afin de minimiser l impact de changement de site pour les collaborateurs repliés! Prendre en compte les changements affectant les conditions de travail des employés «sinistrés». Le repli croisé induit des contraintes RH qu il convient d adresser. Communiquer sur les impacts du sinistre ainsi que sur l état d avancement de remise en service du site sinistré. Le métier de l organisation n est pas de faire du secours : porter le secours en interne nécessite des moyens dédiés et une organisation forte afin de garantir le caractère opérationnel et pérenne du PCA. Par conséquent, le repli croisé nécessite la mobilisation indispensable des Moyens Généraux et de la DSI, tant dans son élaboration que dans son maintien opérationnel dans le temps. octobre 2014 La Lettre Sécurité N 35 5

6 Décryptage Législation américaine sur les «data brokers» : une influence limitée sur la gouvernance des données personnelles? Raphaël Brun, consultant senior raphael.brun@solucom.fr En mai 2014, la Federal Trade Commission (FTC), l autorité de contrôle en charge de la protection des consommateurs américains, a publié un rapport présentant les sociétés spécialisées dans la revente de données personnelles d internautes : les data brokers. Ce rapport propose des recommandations au Congrès américain pour encadrer ces transactions. Quelles sont ces orientations? Sont-elles nouvelles ou dans la même ligne directrice que le projet de règlement européen? Une législation «permissive» aux États-Unis, une opportunité pour les data brokers Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, etc.). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic ), chacun pouvant détenir plusieurs centaines de milliards de données! Un marché qui ne cesse d augmenter, à l ère du Big Data et de l explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain. En effet, il n existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l information ou le droit à la rectification tels que nous les connaissons, sont absents. Avant les États-Unis, d autres pays ont légiféré avec difficulté De nombreux pays ont récemment tenté de légiférer dans ce sens, en s inspirant plus ou moins fortement des principes européens. C est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l Inde (2013), du Brésil (2014), ainsi que de nombreux pays d Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l intérêt croissant des pays dits «émergents» pour ce sujet qui n est plus uniquement une question européenne. L Europe est-elle en passe d imposer sa vision sur le traitement des DCP? Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s appuie sur des principes bien connus en Europe. En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s ajouter au modèle européen ou l Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s inscrire dans une optique européenne de protection que dans la logique permissive historique outre-atlantique. Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie Article rédigé en collaboration avec Pierre- Alain Pocquet, consultant. 6 La Lettre Sécurité N 35 octobre 2014

7 Décryptage Lutte anti-ddos : la technique ne suffit pas, organisons-nous! Baptistin Buchet, consultant baptistin.buchet@solucom.fr Depuis quelques années, les attaques par déni de service distribué (Distributed Denial of Service) se sont démocratisées ; leur facilité d accès et d usage, leur efficacité prouvée et leur grande variété les propulsent aujourd hui en tête des tactiques de diversion et des moyens d atteinte à l image. Une aubaine pour les cyber-attaquants qui font progresser à la fois la durée et la force des attaques. Face à ce constat, les entreprises se sont interrogées sur les moyens de protection possibles. Le marché s est adapté. Aujourd hui, deux stratégies se dessinent, entre solutions historiques manuelles et solutions novatrices hybrides (Cloud et/ou on-premise). Une question se pose toutefois : la mise en œuvre d une telle solution de protection, certes adaptée aux besoins, suffit-elle pour s assurer d une efficacité solide en cas d attaque avérée? La réponse est non! Imaginez : vous avez subi pendant plusieurs jours les effets d une attaque DDoS, avec des conséquences inacceptables pour le maintien de vos activités. Vous décidez de mettre en place une solution de protection ad hoc. Le projet démarre, vous choisissez une solution, elle est installée et fonctionne. Vous voilà enfin équipé d une solution d une efficacité prometteuse. Avec un simple ordre de bascule à donner à votre équipe de production ou à un fournisseur, elle sera mise en route. Vous êtes confiant. Activation, surveillance, désactivation : les 3 piliers d une stratégie de protection anti DDoS Pour autant, vous pourriez avoir oublié de répondre à un certain nombre de questions clés. Sur quels critères de détection et à quels seuils serez-vous en mesure de passer l ordre d activation? Serez-vous assez réactif pour qu il ne soit pas trop tard vis-à-vis des impacts business? L échelle du temps DDoS est proche du ¼ d heure... Une fois la solution activée, quelles seront les premières actions à entreprendre? Avez-vous identifié ou contrôlerez-vous les effets de bord qu elles pourront engendrer sur votre environnement de production? Faudra-il communiquer aux clients, au réseau commercial? Durant l attaque, êtes-vous certain d être apte à communiquer efficacement avec le prestataire en charge de la solution? Pourrez-vous aisément constater l efficacité de ses services? Connait-il votre contexte, votre infrastructure? Est-il à jour des derniers changements pour éviter une protection partielle? Par analogie avec l ordre d activation, saurezvous quand et comment décider du retour à la normale? Enfin, avez-vous suffisamment de visibilité pour déterminer si l attaque continue ou non en amont des barrières défensives? Les retours d expérience montrent que la mise en place d une solution protectrice seule, sans réponse à l ensemble de ces questions, ne suffit pas. Aussi ne faut-il pas se cantonner à la simple souscription d un service de protection : des moyens et des processus de détection, d activation, de communication, d arbitrage et retour à la normale devront être élaborés et régulièrement expérimentés. Les actions majeures devront être rigoureusement formalisées : le déclenchement de la solution de protection comme le retour à la normale (qui décide, qui réalise, sur quelles informations, avec quelle réactivité ). Par ailleurs, les volets surveillance et gestion de crise pendant l attaque ne doivent pas être négligés (quels moyens pour vérifier que l attaque a toujours lieu, avec quel effet, quels seuils/ indicateurs pour déclencher les escalades?). En particulier, la gestion de crise ne doit pas se cantonner au rétablissement des services. Elle doit également envisager le risque que le DDoS considéré puisse n être qu une simple diversion ou bien une partie d une attaque plus globale. Tests et exercices : les garants de la bonne gestion d une attaque DDoS Au-delà de la formalisation, trois types de tests s avèrent indispensables. Les plus simples sont les tests de «bascule à vide» : sans contrainte de temps particulière, il s agit de mettre en action les différents modes opératoires liés à l activation, au maintien ou à la désactivation de la solution de protection. Au-delà de la formation des équipes concernées, ces tests permettent de juger de la qualité des procédures techniques ; ils permettront également leur amélioration continue afin d assurer au mieux leur efficacité en cas d attaque. Des tests de «bascule en conditions réelles» sont ensuite requis : à l opposé de la «bascule à vide», une attaque simulée sera ici commanditée auprès d un organisme tiers afin que les équipes techniques puissent s exercer en conditions réelles. Les mêmes modes opératoires techniques seront mis à l épreuve, dans un objectif cependant différent : le respect des échéances théoriques et la maîtrise des impacts. Des exercices de «gestion de crise» sont également à prévoir. Complémentaires des deux premières séries ci-dessus, il s agit là de se focaliser sur l expérimentation de la gestion de crise et non sur les aspects techniques. Ces tests permettront de juger la qualité de la gestion en répondant notamment aux bonnes questions en dehors de la sphère technique et en intégrant la communication, le juridique ou encore la relation clients. Chaque tâche trouve-t-elle rapidement son porteur? L ordonnancement prévu est-il respecté? Les moyens nécessaires sontils accessibles (matériels, salles, interlocuteurs, etc.)? Les rôles prédéfinis de chacun sont-ils connus de tous et à l avance? La remontée des informations au Responsable de crise est-elle correctement réalisée? Les solutions techniques ne peuvent suffire à gérer toutes les composantes d une attaque DDos. Nécessaire et complémentaire, la mise en place d une organisation interne apte à gérer l attaque et la crise doit être considérée par les entreprises pour se protéger correctement et efficacement. octobre 2014 La Lettre Sécurité N 35 7

8 L actualité Solucom Solucom présent à la BlackHat 2014 (14-17 octobre 2014) : Pour plus d informations et vous inscrire : Arnaud Soullié, auditeur senior à Solucom, animera un workshop sur la sécurité des SI industriels et les tests d intrusion sur les automates industriels programmables (API). Les participants pourront tester sur des automates réels les méthodes et outils d attaques spécifiques aux SI industriels. Prochains évènements de l Observatoire de la Sécurité des Systèmes d Information et Réseaux : 14 octobre 2014 (dans les locaux de Solucom) 18 novembre et 9 décembre 2014 (dans les locaux de l INRIA) Pour plus d informations, consultez le site de l OSSIR : Save the date : présentation du radar du RSSI (2 décembre) Solucom animera dans ses locaux un petit déjeuner autour de l analyse du radar des tendances sécurité. Basé sur nos retours d expérience et notre analyse du marché, il permet de décrypter les mouvements de fond et thèmes émergents du secteur de la sécurité. Actualités Solucom : Chiffre d affaires au 1 er trimestre en solide progression de 11% dont 7% à périmètre comparable Au 1 er trimestre de son exercice 2014/15, Solucom a réalisé un chiffre d affaires consolidé de 37,4 M, en progression de 11% par rapport au 1 er trimestre 2013/14. A périmètre comparable, hors contribution de Lumens Consultants et Trend Consultants, la croissance du cabinet s établit à 7%. Dans le sillage du dernier exercice, Solucom a maintenu son effort en matière de recrutement. Au 30 juin 2014, les effectifs du cabinet s établissent à 1337 collaborateurs, contre 1327 au 31 mars dernier. Prochain rendez-vous : le 22 octobre (après la clôture de la Bourse), chiffre d affaires du 1 er semestre 2014/15. Pour plus de renseignements : celine.romenteau@solucom.fr Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs :, Gérôme Billois, Raphaël Brun, Baptistin Buchet, Etienne Capgras, Vincent Exposito, Pauline Rouaud Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité Revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr