Compte rendu de la table ronde :

Transcription

1 Compte rendu de la table ronde : DU RISQUE SI AUX RISQUES BUSINESS Jeudi 5 mars 2015

2 SOMMAIRE Du risque SI au risque business. Pour le développement d'une culture numérique responsable Rui Teixeira Guerra, administrateur FNTC et associé gérant de Darwin.... p.3 Loyauté et confiance dans l environnement numérique : à la croisée des chemins Paul-Olivier Gibert, président de l'association française des correspondants à la protection des données personnelles (AFCDP)..... p.4 Du risque SI au risque business Alexandre Fernandez Toro, RSSI Grand compte, auteur du livre "Implémentation ISO et ISO Management de la sécurité de l'information"....p.6 Bonnes pratiques de certification, de conformité Jérôme Bordier, directeur associé de Sealweb. p.7 Combattre le phreaking Christophe Fornes, directeur général de Mémobox p.8 2

3 Pour le développement d'une culture numérique responsable Rui Teixeira Guerra, administrateur FNTC et associé gérant de Darwin. Les technologies de la confiance numérique et la bonne gestion du risque SI font bon ménage. Identités numériques, signature électronique permettent de créer une chaîne de confiance numérique permettant de réduire les risques SI, et les risques business associés. La Fédération nationale des tiers de confiance, qui devient une fédération internationale, traite de la confiance numérique, clé d'abordage de cette problématique de l'avènement du numérique. J'ai retenu une phrase, entendue il y a quelques mois de la bouche d'un officier des renseignements : «faire confiance c est bien, contrôler c est mieux», ce qui est un peu paradoxal. On se rend compte que quand on parle de confiance numérique, c'est qu'on met en place des mécanismes pour contrôler facilement et automatiquement ce qui se fait en numérique (signatures, documents, données, dates, décisions...). On construit la confiance numérique avec des outils qui permettent de faire confiance. Si la problématique de la confiance numérique est si importante, c'est que contrairement au monde physique, on n'a pas la personne face à soi, donc on ne peut pas l'identifier. L'intervention d'un tiers neutre, qui va être un médiateur d'une transaction, est donc essentielle. D'où l'apparition de la FNTC dans les années 2000 notamment à l'initiative de l'ordre des experts comptables. On a essayé de définir ce qu'est le tiers de confiance numérique. Il doit, premier élément, être reconnu par ses pairs et répondre à une charte d'éthique. Deuxième élément, la notion de neutralité. Troisième axe, le respect des normes et labels avec une traçabilité des actes et des audits externes réguliers. Quatrième élément, la notion de pérennité et de continuité de services associée à une notion de réversibilité. Le point de départ de la chaîne de la confiance numérique est l'identité numérique, le deuxième maillon la signature électronique, le troisième élément, la conservation de l'acte, et enfin, le dernier élément, la notion de preuve : elle est fondamentale puisque tous les autres éléments de la chaîne doivent être utilisables pour prouver quelque chose. Aux Etats-Unis, depuis 2013, plus de 300 millions de contrats électroniques ont été réalisés sur la seule plate-forme Docusign. Ces contrats ont une valeur proche de zéro dans toute l'europe continentale car l'approche Docusign est jugée juridiquement incomplète et risquée. Les avocats en France se sont donc demandé comment faire signer des contrats numériques à leurs clients simplement et dans de bonnes conditions. Le CNB a combiné la simplicité de la signature des plateformes américaines avec une approche technique et juridique, garantie par l'intervention de l'avocat. Ce genre de plateforme est possible grâce aux autorités de certification françaises, dont la majorité est membre de la FNTC. Pour parler maintenant de la notion de confidentialité des archives, elle implique à mon avis la notion de chiffrement. Chiffrement et archivage ne font 3

4 pas toujours bon ménage car le chiffrement protège la confidentialité mais introduit un risque de perte d accès à une archive, en cas de perte des clés de déchiffrement. Dans ce contexte global, comment gérer les risques? L'entreprise doit se soucier d'une bonne construction de la confiance numérique par l'utilisation d'identités numériques : Qui a fait quoi dans l'entreprise? À quel moment? Qui s'est logué sur le système? Cette identité est-elle fiable? Comment je crée cette identité? Comment je crée la preuve que cette personne a fait quelque chose? Comment je protège mes logs? Comment je protège mes traces? La notion de tiers est aussi pertinente à l'intérieur de l'entreprise au sens où moi, patron, je ne suis pas neutre dans cette gestion d'identité. C'est pour cela que beaucoup d'entreprises commencent à utiliser des autorités de certification externes tiers de confiance neutres - pour leur fournir des identités à l'intérieur de l'entreprise. Loyauté et confiance dans l environnement numérique : à la croisée des chemins Paul-Olivier Gibert, président de l'association française des correspondants à la protection des données personnelles (AFCDP) L'association a été créée en 2004, juste après la modification de la loi Informatique & Libertés de 1978 et en a repris la terminologie puisque cette loi a créé la fonction de correspondant à la protection des données à caractère personnel. Elle transposait en droit français une disposition d'une directive de 1995 qui permet de désigner un délégué à la protection des données à caractère personnel, chargé de veiller à la protection des droits et libertés des personnes par la bonne application de ses dispositions. L'AFCDP compte environ 600 adhérents et 1500 personnes physiques qui contribuent à ses travaux. Sa fonction est d'être la place du village du professionnel de la protection de la vie privée en France via notamment un réseau social associatif ou encore une université annuelle, lieu d'échange avec la CNIL et lieu d'échange d'expériences. La protection des données à caractère personnel est une obligation qui vient de la loi Informatique & Libertés y compris dans sa version initiale de Une entreprise a obligation de protéger les données à caractère personnel qu'elle utilise, qu'elle gère, sous peine de sanctions. Celles-ci sont pour l'instant relativement légères dans le cadre de la réglementation actuelle : au maximum euros en cas de récidive. Un manquement peut toutefois provoquer un certain nombre de dommages d'image : il peut y avoir des sanctions ou même des avertissements publics de la part de la CNIL. Il y a donc cette notion de protection et finalement aussi de "risque SI" puisqu'une intrusion ou une perte de données peuvent provoquer des problèmes et se traduire par une difficulté "business". 4

5 On est dans une période de croisée des chemins pour plusieurs raisons. D'abord, parce que le cadre légal et réglementaire va évoluer. Un projet de règlement européen va instaurer un cadre légal uniforme pour l'ensemble de l'union européenne. C'est un changement important, utile et nécessaire parce que la loi de 1978 est fondée sur une territorialité ce qui pose un premier problème : une territorialité à l'échelle nationale est un cadre beaucoup trop restreint par rapport à la situation actuelle. La deuxième question que l'on peut se poser - mais ce sont des évolutions à échéance beaucoup plus lointaine - est de savoir si la notion de territorialité est encore pertinente à l'ère numérique. Un exemple très simple : on a longtemps pensé qu'une donnée était localisée sur un serveur uniquement. Maintenant, avec la logique du cloud, il y a de grandes chances qu'elle soit sur "n" serveurs avec des logiques de réplication entre ces serveurs. Un certain nombre de techniques de sécurité - en particulier chez Gmail - consistent par exemple à ne jamais conserver la totalité d'un mail sur un seul serveur mais sur plusieurs serveurs répartis un peu partout, et à la reconstituer par des algorithmes. Dans ce cas-là, quelle est la territorialité de la donnée? Le projet de règlement européen a de bonnes chances d'être adopté d'ici fin Quelles sont les principales évolutions de ce texte : la notion de territorialité européenne donc, celle d'"accountability" : les entreprises devront documenter les motivations, les analyses de sécurité sur les nouveaux traitements et cela remplacera très largement les mécanismes de déclaration préalable actuels. Il y a une nouvelle notion dont il faut bien mesurer la portée, c'est celle de portabilité des données : elle permettra à tout personne de demander à un organisme qui a des données à caractère personnel la concernant de les lui fournir dans un format réutilisable. Les données deviendront beaucoup plus facilement contrôlables par les individus et c'est un changement extrêmement important. Il y a aussi une discussion sur le montant des sanctions. Il est prévu qu'il soit en pourcentage du chiffre d'affaires mondial. Les éléments du nouveau règlement européen : moins de formalités préalables, une protection renforcée pour les individus, des sanctions plus fortes et un plus gros travail de documentation et de justification de la nécessité du traitement. Il sera aussi nécessaire de réaliser une analyse de l'impact potentiel sur la vie privée d'un traitement envisagé. 5

6 Du risque SI au risque business Alexandre Fernandez Toro, RSSI Grand compte, auteur du livre "Implémentation ISO et ISO Management de la sécurité de l'information" Je suis responsable sécurité des systèmes d'information d'une entité d'environ 2000 personnes au sein d'un grand groupe industriel. C'est de ce point de vue que je vais vous parler du "risque SI au risque business". Comment suis-je arrivé au risque business, sachant que je suis plutôt informaticien et que quand on parle de risque je pense plutôt au risque SI? J'y suis arrivé par le risque SI. Dans l'entité où je me trouve, nous avions un projet de certification ISO qui impose la mise en place d'un système de management de la sécurité de l'information. C'est ce projet qui m'a conduit vers le risque business. Une des toutes premières étapes de la est de faire une appréciation des risques en sécurité de l'information. Il existe énormément de méthodes pour cela et un ensemble de fournisseurs compétents et expérimentés en la matière. J'ai choisi la simplifiée et décidé de faire l'appréciation des risques moi-même en interne. L'appréciation des risques n'est pas scientifique, c'est une modélisation des risques. Ce n'est pas la méthode d'appréciation qui va vous faire trouver des risques dans votre SI ; elle va vous faire rencontrer les différents responsables dans l'entreprise et c'est eux qui vont vous aider à les trouver. L'appréciation des risques permet de mettre les choses à plat car chaque direction, chaque département, chaque employé a sa vision des risques qui est partielle. À son issue, ça permet de faire un plan d'action de traitement des risques : on établit une cartographie des risques et on identifie les différentes mesures de sécurité qu'on va mettre en place. Je suis ensuite allé voir le comité de direction et j'ai présenté les risques résiduels et les actions prévues. C'est là qu'intervient le lien entre risque SI et risque business car malgré le fait que j'aie demandé son avis à chaque membre du CODIR avant la réunion, on s'est rendu compte que j'étais passé à côté de certains risques qui n'étaient pas liés à l'informatique mais qui étaient surtout de gros risques business : je n'avais pas du tout pensé au recouvrement, or pas de recouvrement pas de trésorerie, pas de trésorerie pas d'approvisionnement et pas d'approvisionnement, pas de production industrielle. Le deuxième intérêt de rencontrer le CODIR a été de l'informer des aspects réels d'un plan de continuité de service. Appréciation et plan de traitement des risques ne sont que la partie émergée de l'iceberg dans la gestion de risque. En dessous, il y a les projets de sécurisation puis la sécurité opérationnelle que l'on met en place dans la durée pour préserver et faire monter en maturité la sécurité. La direction a plusieurs types de risques à gérer et c'est très important de lui faire comprendre que ce projet de gestion des risques va prendre plusieurs années. 6

7 Bonnes pratiques de certification, de conformité Jérôme Bordier, directeur associé de Sealweb Pour tout prestataire de service sur Internet, une des questions est de savoir "comment je garantis à mes usagers que mon service est de bonne qualité sécuritaire"? Cette question est relativement complexe. On a pas trouvé d'autre solution que des diplômes, donc, pour être clair, des audit de services pour garantir - sans pour autant dire qu'on est infaillible - qu'on a mis tous les moyens nécessaires en œuvre afin d'assurer au système d'information la plus grande maîtrise sécuritaire possible. Ces diplômes sont attribués soit à des personnes soit à des services soit encore à des produits. Les diplômes de personnes sont assez nombreux. Ils attestent de la compétence individuelle. Pléthore de gens en France ont aujourd'hui des compétences en sécurité dont on peut affirmer qu'elles sont bonnes car certifiées par des formations et examens. Certains diplômes visent les systèmes des entreprises et en particulier les services de confiance numérique. Certains connus comme l'iso ou moins connus comme la certification RGS. C'est un décret, "référentiel général de sécurité" de l'anssi. On peut aussi faire certifier ses services de confiance numérique par des normes de l'etsi, le label PASSI (Prestataires d Audit de la Sécurité des Systèmes d Information) ou pour le cloud par des labels de confiance comme Cloud Confidence. Enfin, il y a les diplômes de produits dédiés aux offreurs de logiciels et matériels. Je souhaite attirer particulièrement votre attention sur les diplômes relatifs à la qualité de la sécurité des systèmes d'information. La norme 27001, dont on a parlé précédemment, en fait partie. Toute certification est attribuée après un audit. On ne fait pas auditer une seule fois mais régulièrement car le plus difficile pour un prestataire est de garantir le niveau de sécurité dans le temps au regard de l'évolution permanente des problèmes de sécurité. Certification ETSI et qualification RGS (qui ne s'applique pas au BtoB) sont moins connues mais à terme, ce sera un enjeu plus critique. En effet, quand je fais des échanges avec ma banque, avec mon assurance, avec mon offreur de services sur Internet, ils me garantissent qu'ils sont bien du même niveau de qualité que le papier. Voire même plus sécurisés. Car quand on passe en électronique, on fait le travail des fournisseurs de services (assurance en ligne...). Progressivement, des services comme l'identité, la signature et l'eurodatage électroniques se mettent en place permettant d'obtenir le même niveau de valeur juridique que le papier. Ils ont intérêt à d'obtenir des labels de confiance français ou internationaux. Et on retrouve sur Internet, produisant des identités électroniques, toutes les institutions françaises. Les différents diplômes sont en cours de mutation, le contexte réglementaire européen en place depuis 15 ans évoluant. La Commission a voté en septembre dernier un règlement 7

8 européen, eidas, applicable à partir du 1er juillet Un organisme aura par exemple interdiction de refuser un document au motif qu'il est électronique. Il pourra par-contre organiser les procédures pour des raisons sécuritaires. On pourra auditer à partir de cette date tous les services d'identité numérique et de confiance numérique. Il existe d'autres diplômes un peu moins matures comme le label PASSI de l'anssi et Cloud Confidence qui est une garantie de non utilisation par un prestataire cloud des données personnelles à d'autres fins que celles définies... Combattre le phreaking Christophe Fornes, directeur général de Mémobox Le phreaking, qui consiste à pirater les PABX, permet à des tierces personnes d'entrer sur le système téléphonique d'une entreprise. Des robots composent des numéros au hasard et tentent une action quand le téléphone décroche de préférence à des moments où l'entreprise est déserte car le meilleur moyen de rentrer sur le PABX est de le faire par les messageries ou répondeurs. Les passerelles ainsi créées permettent d'effectuer un certain nombre de programmations sur le PABX et d'envoyer, dès la reprise du trafic, des appels qui sont re-routés à partir de l'autocommutateur et dont la charge financière sera assurée par l'entreprise attaquée. C'est un phénomène qui se produit un peu partout par vagues. Mémobox est spécialisé dans l'édition de solutions de "call accounting", notamment pour repérer ce genre d'attaque. Le phreaking n'est pas facile à détecter car, en général, il a lieu le week-end et l'entreprise ne s'en aperçoit que le lundi ou le mardi, en fonction notamment de la réactivité de l'opérateur téléphonique qui surveille également les lignes. Généralement il est trop tard et ça provoque des coûts assez importants. Les témoignages sont peu nombreux car les victimes ne tiennent pas à faire de la publicité. Parfois même elles ne s'en aperçoivent pas du tout. Les exemples que je vais donner sont ceux de nos clients : une communauté d'agglomération qui, en 2013, a subi un préjudice de euros, une grande administration multi sites qui, en un week-end, a eu appels sur l'un d'eux vers des mobiles étrangers, ce qui a provoqué une hausse de facture de 3750%... Certaines attaques entraînent des surcoûts de plusieurs dizaines de milliers d euros. Plus une société dispose de sites, plus elle a de chances de se faire hacker puisqu'elle dispose d'un grand nombre de SDA et que les attaques se font sur de la numérotation SDA. La première chose à faire pour prévenir le phreaking est de changer régulièrement les mots de passe et codes d'accès à la maintenance de son PABX. Ensuite, on peut mettre en place des solutions d'alerte par par exemple. Des systèmes d'assurance en cas de fraude existent également. 8