De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles :

Transcription

1 n 30 La Lettre Sécurité Édito Cybercriminalité : think global! La cybercriminalité est sous les feux de la rampe : préoccupation des États et des entreprises, elle fait émerger de nouvelles réglementations et impose de nouvelles stratégies de détection et de réaction. Chef d orchestre de la réponse de l entreprise face à ce nouveau risque, le RSSI doit y voir une opportunité d élargir son champ d action en intégrant toujours plus les métiers à la démarche sécurité. Comment adapter la gestion de crise métier pour mieux gérer ses évènements multiformes? Doit-on souscrire à des contrats de cyber-assurance? Par où débuter pour définir une stratégie de notification afin de préserver au mieux la relation client? Ces sujets sont clés pour nous aujourd hui, c est pourquoi nous avons décidé d en faire le thème de notre atelier aux Assises de la sécurité. Nous aurons l occasion de vous présenter notre vision et de partager le retour d expérience de SFR avec son responsable de la gestion de crise cybercriminalité. Gérôme Billois, Manager au sein de la practice Risk management & sécurité de l information DDoS : comment se protéger face à des attaques qui se diversifient? Les attaques par déni de service distribué, plus communément appelées «DDoS» (Distributed Denial of Service), font aujourd hui de plus en plus parler d elles. Au-delà de leur multiplication due à une efficacité démontrée, c est leur diversité qui se voit plus étonnamment grandissante. De nouvelles formes d attaques Au fil des années, les débits internet ont augmenté, les performances des équipements et la répartition des charges également ; l attaque DDoS historique visant à submerger une victime par de multiples requêtes ne suffit plus. De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles : Les attaques volumétriques : elles visent à submerger des équipements ou liaisons stratégiques afin de les rendre indisponibles. La nouveauté est qu elles s opèrent tant sur la couche réseau (TCP SYN flood ) qu applicative (par exemple HTTP GET floods ) pour épuiser les ressources des serveurs exposés sur internet. Les attaques «par saturation de tables d état» : plus astucieuses, ces attaques ne requièrent pas nécessairement un grand nombre de ressources attaquantes. Leur principe est d utiliser les limites des protocoles de communication pour commettre des méfaits. Elles visent également les couches réseau (Slow attacks ) et applicative (Slowloris ). Elles s avèrent très efficaces et malheureusement difficiles à contrer au vu de leur comportement a priori inoffensif. Pour ces deux familles, les attaques visant la couche applicative resteront de loin les plus difficiles à détecter. En effet, considérées comme des flux réseaux légitimes, elles ne pourront pas être arrêtées par les équipements de protection classiques comme les pare-feu. Une sécurité proche de la couche applicative sera donc nécessaire, en utilisant par exemple des équipements de type Web Application Firewall (WAF) ou des solutions spécifiques anti-ddos Suite en page 2 DÉCRYPTAGES P4 Souscrire une cyber-assurance : mode d emploi P7 Révélations sur les capacités d écoute et d action de la NSA aux Etats-Unis : une chance pour le RSSI?

2 Décryptage Des conséquences bien réelles pour les entreprises En cas d attaques DDoS, l entreprise ciblée doit faire face à des conséquences importantes. À la fois visibles et immédiates, les conséquences directes d une attaque DDoS recouvrent par exemple l indisponibilité de services cruciaux (site de vente en ligne, plateforme partenaire ) entraînant une perte financière évidente, le dysfonctionnement des processus métiers mais aussi l atteinte à l image due à la médiatisation de l évènement. Moins immédiates, les conséquences indirectes n en sont pas moins importantes : une attaque DDoS peut également être un moyen de diversion permettant d établir une attaque ciblée plus évoluée. En effet, en jouant un rôle de «bélier» visant la mise à mal des moyens de protection du SI, une intrusion deviendra plus facile Les attaques commises contre les sociétés RSA ou Sony en sont des exemples criants. Comment se protéger contre ces attaques de plus en plus courantes? Au vu de leurs impacts immédiats et visibles de tous, les DDoS deviennent un des outils attitrés des cybercriminels. Parallèlement, en pleine montée de l hacktivisme, des outils automatisés et simples d usage ont fait leur apparition sur internet (notamment «LOIC», utilisé par les Anonymous). Ces nouveaux services «clé en main», peu coûteux, ont permis une démocratisation des attaques par déni de service ; elles deviennent aujourd hui accessibles à tout un chacun. Après les nombreux évènements de l année 2012 et la récente attaque record contre Spamhaus, les DDoS représentent aujourd hui une menace évidente. La question de la «protection anti-ddos» entre donc au cœur des décisions SSI pour l ensemble des grandes entreprises à risque. Mais comment se protéger? Un choix technologique et stratégique Les mesures techniques visent à mettre en place une protection par le biais d équipements de sécurité, pouvant s opérer à deux niveaux : en amont du SI (au niveau des réseaux de l opérateur) et directement en frontal (sur le site à protéger). Plusieurs stratégies sont alors possibles : Une protection exclusivement manuelle : il s agit de la mise en place de filtrages spécifiques par l opérateur et de la configuration d équipements de sécurité du SI. Cette stratégie à faible coût, pouvant être qualifiée de «protection par défaut», est aujourd hui la plus communément utilisée. Un «boîtier anti-ddos» en frontal : proche du SI, ce boîtier sert de «bouclier» et permet une protection immédiate, avec réinjection du trafic légitime. Il nécessite en revanche une expertise interne conséquence, et peut ainsi entraîner d importants coûts d investissement et récurrents. De plus, sans protection en amont du SI, le niveau de protection offert par le boîtier face aux attaques volumétriques est limité à la taille du lien réseau qui le précède. Utilisé seul, un tel boîtier montre rapidement ses limites. Une protection Cloud, en amont : située dans le Cloud ou le réseau opérateur, cette protection permet de bénéficier d un service et d une expertise externalisés. Grâce à ses mécanismes de redirection ponctuelle ou permanente, de nettoyage du trafic et de réinjection, elle permet la gestion d attaques à forte volumétrie. Cette solution peut entraîner des coûts élevés en cas de multiplications des attaques, selon les modèles de facturation. En outre, elle ne permet pas de se protéger des différents types d attaques, en particulier celles visant les applications. Une stratégie hybride : il s agit ici d allier deux des trois premières stratégies : une protection distante dite «Cloud» et un boîtier physique, en frontal du SI. Malgré un coût logiquement plus élevé, les avantages viennent s additionner et permettent de faire face à l évolution de la menace. Les attaques à la fois volumétriques et par saturation de table d état, aux niveaux réseau ou applicatif peuvent ici être maîtrisées et la continuité du service est assurée. 2 La Lettre Sécurité N 30 juillet 2013

3 1 Avant l attaque 2 Pendant l attaque 3 Après l attaque Analyser la menace Analyser les besoins en matière de sécurité Choisir une des quatre stratégies de protection Bâtir des processus de gestion de crise Identifier son comportement Déterminer son ampleur Repérer les services impactés Appliquer les processus de gestion de crise Réparer & tester les services impactés Dresser un retour d expérience Ajuster les plans de protection & processus de gestion de crise Les trois phases de gestion d une crise DDoS Ce choix stratégique reste complexe et diffèrera évidemment d une entreprise à l autre en fonction des besoins en matière de sécurité. Il dépendra en effet de son niveau d exposition à la menace et de la gravité des impacts en cas d attaque. Des réponses également organisationnelles Au-delà d un choix stratégique de protection technique, il est important de développer un certain nombre de bonnes pratiques permettant une gestion de crise optimale en cas d attaque. Ces mesures organisationnelles peuvent être séquencées chronologiquement, selon le stade de l attaque auquel elles se rattachent. De manière préventive, une analyse de la criticité des services ciblés, de la menace et des besoins globaux en matière de sécurité permettront de s orienter vers l un des quatre choix techniques précédents. Cela permettra également de bâtir les futurs processus de gestion, en particulier en cas de crise. Dès lors qu une attaque est déclarée, il est 21 février Propriété de Solucom, reproduction interdite primordial de pouvoir efficacement identifier son comportement, déterminer son ampleur et repérer les premiers services impactés. Les processus de gestion de crise initialement déterminés permettront également d encadrer et d atténuer les effets de bord. Enfin, une fois l attaque maîtrisée, les services pourront être rétablis et leur bon fonctionnement testé et validé. De plus, dans un souci d amélioration continue, il sera également recommandé de documenter les détails de l incident, de dresser un retour d expérience et ainsi d ajuster les plans de protection et d actions en conséquence. Bien qu elles soient aujourd hui démocratisées, inévitables pour la plupart et parfois ravageuses, les attaques par déni de service distribué engendrent des impacts pouvant être relativement maîtrisés, pourvu que la question de la protection ait été traitée à temps par l entreprise. Malheureusement, force est de constater que peu d entreprises ont aujourd hui procédé à l acquisition d une protection adaptée à la menace cybercriminelle actuelle. L actualité forte dans ce domaine les sensibilise néanmoins et sera sans doute un catalyseur de la mise en place de ces mesures dans les mois à venir. 4 Ali Fawaz, consultant senior ali.fawaz@solucom.fr Baptistin Buchet, consultant baptistin.buchet@solucom.fr juillet 2013 La Lettre Sécurité N 30 3

4 Dossier Décryptage Souscrire une cyber-assurance : mode d emploi Martin Descazeaux, consultant martin.descazeaux@solucom.fr Le processus de souscription constitue le pilier fondateur d un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d une telle opération. Quels sont les acteurs majeurs de ce processus? Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations : Le client : il s agit d une organisation ou d une entreprise souhaitant disposer d une prestation (généralement financière) en cas d incident. C est lui qui exprime le besoin, que ce soit par ses Risk Managers, ses RSSI, sa Direction Générale ou encore ses acteurs métiers. Le courtier : il est l intermédiaire entre le souscripteur et l assureur et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client. L assureur : il crée les polices d assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client. Comment se déroule le processus de souscription à une cyber-assurance? En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel impliquant toutes les parties de l entreprise sont nécessaires. Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et les modalités de son accompagnement au cours des différentes étapes du contrat. Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin. Le client et le courtier présentent ensuite à l assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d assurances qui permettent d atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l assureur évalue la maturité du client, par l intermédiaire de questionnaires ou par une analyse de risques. L assureur propose alors un montant de prime d assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différentes parties. Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d assurance. Comment faire vivre le contrat? Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l assureur, notamment sur le devoir d information en cas de modification significative des risques sur son système d information. Cette obligation se concrétise généralement par des réunions annuelles entre l assureur, l assuré et le courtier dans le but d établir un bilan de l évolution de la maturité du client et d adapter le contrat en conséquence. La souplesse dans l évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l assureur, il est d adapter le montant des primes en fonction de l évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI. Comment déclencher les garanties? Les délais de notification en cas d attaque constituent l élément central du déclenchement. Le code des assurances rappelle : «L assuré est obligé de donner avis à l assureur, dès qu il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l assureur. Ce délai ne peut être inférieur à cinq jours ouvrés» (Article L113-2). En cas de faute visà-vis de cette règle, le client peut se voir refuser ses garanties. L enjeu est donc d alerter au plus tôt l assureur, même s il n y a que suspicion d intrusion, mais aussi de cadrer les preuves à recueillir pour l indemnisation et ce dès l établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si l assureur a été notifié dans les délais, et l évaluation du sinistre réalisée. En fonction des assureurs, la mise à disposition d experts peut relever d une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d intervention de ces experts. Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante. 4 La Lettre Sécurité N 30 juillet 2013

5 Décryptage Cyberdéfense : l Etat veut franchir une nouvelle étape Marion Couturier, consultante senior marion.couturier@solucom.fr Le nouveau livre blanc Défense et Sécurité Nationale 2013 a été publié en avril dernier. Si ses précédentes éditions abordaient déjà la cyberdéfense, elle apparaît de plus en plus prégnante dans la stratégie de protection de l État : le cyberespace est plus que jamais considéré comme un champ de confrontation aussi important que l air, la terre, la mer et l espace extra-atmosphérique. Une menace qui s est accrue ces dernières années Le constat n est pas nouveau : nos sociétés reposent de plus en plus sur les systèmes d information pour leurs activités cœur de métier et sur les réseaux qui les interconnectent, rendant les crises qui les touchent de plus en plus globales et complexes à gérer. Leurs vulnérabilités sont bien souvent la conséquence d un développement véloce, qui a laissé de côté les démarches de sécurisation ou les a sous-estimées. En revanche, depuis le livre blanc de 2008, les menaces se sont largement accrues, tant en probabilité qu en impact. Il en résulte une exposition critique pour de nombreux systèmes cruciaux pour les activités françaises. Les menaces du cyberespace se situent aujourd hui à deux niveaux. D un côté, on retrouve la cybercriminalité qui ne remet pas en cause la sécurité nationale mais met en péril la compétitivité des entreprises et leur image : vol de propriétés intellectuelles ou de données personnelles, indisponibilité ou défacement de sites web De l autre, des attaques relevant de la cyberguerre à des fins d espionnage, de destruction ou prise de contrôle d infrastructures d importance vitale. Si aujourd hui les cyberattaques semblent, aux yeux de l opinion publique, moins graves que les actes terroristes qui causent des morts, elles n en restent pas moins une des préoccupations premières de l État tant c est une menace à forte probabilité et fort impact potentiel. L État veut se donner les moyens de ses ambitions Afin de franchir une étape nécessaire dans sa capacité de protection, l État souhaite donc lancer des actions sur quatre axes complémentaires. Le premier est celui des ressources humaines. Il s agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situations. Au-delà de spécialistes, il est nécessaire de faire de la sécurité de l information un incontournable de tout cursus informatique afin d assurer les compétences, mais aussi l appétence, des informaticiens de demain face à ces sujets. En outre, la volonté de constitution d une réserve de spécialistes de la cyberdéfense est rappelée. L ANSSI, qui a déjà annoncé des objectifs de recrutement ambitieux pour les prochaines années devrait donc poursuivre dans cette trajectoire. Favoriser l investissement dans des produits de sécurité maîtrisés est le second axe de travail, qui, complété par un renforcement des politiques d achats devrait permettre à l État d avoir toute confiance dans ses fournisseurs. Le troisième axe s attache aux comportements humains puisque le livre blanc souligne une fois encore l importance de la sensibilisation à la sécurité de l information. Sensibilisation des employés bien sûr, pour prévenir au maximum les incidents, mais aussi sensibilisation plus large de tous les utilisateurs d internet. Enfin et non des moindres, un dispositif législatif et réglementaire fixant des standards de sécurité pour les opérateurs d importance vitale va se dessiner : il s agit ainsi d imposer des mesures de détection et traitement des incidents touchant les systèmes sensibles, incluant notamment la notification des incidents. Des impacts pour les entreprises : encore et toujours la notification des incidents Ce sont principalement ces deux derniers axes qui vont entraîner le plus d impacts pour les entreprises. En effet, ce nouveau livre blanc leur rappelle l importance de la sensibilisation, démarche déjà lancée dans de nombreuses organisations, et qui nécessite encore et toujours des actions régulières. Mais ce sont les projets de loi qui amèneront certainement le plus de nouveautés! À l image du projet de règlement Européen qui élargirait la notification de fuite d informations personnelles du paquet Télécoms à toutes les entreprises, cette loi imposerait la notification des atteintes à la sécurité de son SI à tous les opérateurs d importance vitale et donnerait à l ANSSI des responsabilités associées (capacité d audits ). De nombreuses entreprises publiques et privées seront alors concernées, sur un périmètre plus large que la fuite de données à caractère personnel et même au-delà du périmètre des opérateurs d importance vitale déjà suivi par l Etat. Une réponse attendue depuis plusieurs années dont les modalités d application resteront à apprécier quand le texte sera rédigé. Rendez-vous fin 2013! juillet 2013 La Lettre Sécurité N 30 5

6 Décryptage Un antivirus sur votre PC entreprise en 2013? Pour quoi faire? Chadi Hantouche, manager Voilà plusieurs années qu aucune épidémie virale majeure n a eu lieu. À l heure des attaques ciblées, des dénis de service ou encore des piratages complexes de réseaux industriels, de plus en plus de voix remettent en cause la pertinence de disposer d un antivirus sur le poste de travail. Certes, les attaques évoluent, exploitant de plus en plus des vulnérabilités non dévoilées (type 0-days), ou faisant appel à des méthodes de phishing avancées contre lesquels les antivirus paraissent bien impuissants. Même s ils sont aujourd hui loin d être suffisants, leur utilité est pourtant toujours réelle. De l antivirus au client unique de sécurité, les éditeurs ont fait évoluer leur offre L outil désigné par «antivirus» couvre en fait, dans la majorité des cas, plusieurs fonctions : antivirus (et de manière plus générale, antimalware), mais aussi pare-feu personnel, Host IPS (HIPS), outil de contrôle des ports USB C est ce que l on appelle le «client unique de sécurité» sur le poste de travail. Il constitue aujourd hui un rempart évident contre les infections, en particulier celles qui sont involontaires (clé USB infectée) ou récurrentes (virus anciens qui réapparaissent ponctuellement). L expérience des audits menés par Solucom montre qu il protège parfois aussi contre des attaques plus complexes. Il peut par exemple détecter l exploitation d une vulnérabilité pour laquelle le système n aurait pas reçu le correctif, de type Conficker. Il suffit d ailleurs de se connecter à une console antivirus d entreprise pour s en convaincre : les détections / suppressions de virus sont encore nombreuses et régulières. En particulier, on constate souvent un pic lors des fameux scans hebdomadaires, souvent décriés par les utilisateurs pour les ralentissements qu ils provoquent sur les postes... Plusieurs initiatives de grands comptes visant à diminuer leur fréquence ont d ailleurs vu le jour. Elles n ont jamais abouti, tant ces scans paraissent aujourd hui encore nécessaires ne serait-ce que dans un rôle de «voiturebalai» afin de nettoyer le résidu de logiciels malveillants en tout genre. En revanche, une approche réaliste pour réduire le temps de scan est possible : réaliser un scan différentiel. Seuls les fichiers modifiés par rapport à la semaine précédente sont scannés. Le futur des antivirus est dans le Cloud! Pour autant, les limites des antivirus ne font que s affirmer depuis des années : Les malwares sont de plus en plus complexes, leurs variantes innombrables, et même les éditeurs les plus réactifs ne sont plus capables de suivre la cadence. Dans les meilleurs cas, les définitions virales sont mises à jour quotidiennement sur les postes de travail : c est encore trop peu au vu des vitesses de propagation. Un problème d historique apparaît également : comment cumuler toutes les définitions de virus anciens et nouveaux, sans que la taille des fichiers contenant ces définitions n explose, ralentissant encore le poste de travail, tout en nécessitant de plus en plus de temps à déployer? Les éditeurs d antivirus commencent à proposer une réponse à ces problématiques, à travers le Cloud. Plutôt que de scanner un fichier sur le poste de travail, il s agit d en faire un hash (empreinte unique pour chaque fichier), qui est envoyé sur un serveur de l éditeur, dans le Cloud. Il est alors comparé à une base de données mondiale, et peut même faire l objet d une note de «réputation» selon sa probabilité d être ou non malveillant. L information est alors renvoyée à l antivirus sur le PC, qui prend les actions nécessaires le cas échéant. Cette méthode prometteuse a toutefois ses contraintes : la nécessité d une connexion internet de qualité et le manque de maîtrise de la réaction de l antivirus en cas de faux positif. Des changements de plateforme structurants Un dernier élément vient s ajouter à la question de l évolution des antivirus : il s agit de l évolution des systèmes d exploitation eux-mêmes. Les OS modernes intègrent en effet un certain nombre de mécanismes de sécurité natifs, qui rendent les attaques plus difficiles : isolement inter-applicatif, applications et drivers signés, mécanismes de cryptographie Les deux principales plateformes mobiles en sont un bon exemple : tandis que l efficacité des rares antivirus reste à démontrer sur Android, ils sont tout simplement interdits par Apple sur ios. Pourtant, à part quelques vulnérabilités médiatisées, les cas d infection dans le cadre d une utilisation normale sont anecdotiques. Ceci reste cependant à nuancer : les attaquants évaluent au final les coûts / bénéfices de chaque type d attaque. Lorsque le développement de virus sur smartphone sera plus lucratif que l exploitation d une faille de navigateur web, il deviendra sans doute à la mode Le cas de Windows 8 est encore différent : s il dispose d un environnement «nouvelle génération» avec les applications du Windows Store, il propose une rétrocompatibilité avec les programmes plus anciens y compris malveillants. N enterrez donc pas tout de suite votre antivirus, il pourrait encore vous servir pendant des années! 6 La Lettre Sécurité N 30 juillet 2013

7 Décryptage Révélations sur les capacités d écoute et d action de la NSA aux Etats-Unis : une chance pour le RSSI? Gérôme Billois, manager gerome.billois@solucom.fr Quels sont les événements qui ont entraîné un tel emballement médiatique autour de révélations sur des programmes secrets de la NSA? Deux journaux (le Guardian et le Washington Post) ont publié des documents identifiés comme Top Secret en provenance de la NSA. Ils ont été fournis par un prestataire des services secrets américains, Edward Snowden. Ce dernier, intervenant en tant qu administrateur de système, a été choqué par les informations auxquelles il avait accès. Il a alors décidé de contacter des journalistes pour les faire connaître. Il s agit d un comportement proche, mais certainement plus raisonné, de celui de Bradley Manning, l homme à l origine de la fuite des câbles diplomatiques repris sur Wikileaks depuis 2010 et actuellement en train d être jugé aux États-Unis. Qu est ce qui a été révélé concrètement? Trois documents ont été rendus publics : une requête judiciaire demandant à l opérateur Verizon de fournir l ensemble des données relatives aux appels téléphoniques sur son réseau (mais sans le contenu des appels), une présentation sur le programme PRISM qui décrit l organisation des actions d écoute avec les grands acteurs du web comme Microsoft, Google ou encore Facebook et, enfin, un document sur les capacités offensives et la construction de liste de cibles par la NSA dans le cyberespace. Ces documents, classifiés Top Secret, constituent des premières preuves de ce que les experts imaginaient précédemment. Ils ne constituent pas une surprise en soi, mais ont cependant eu un impact médiatique très important outre-manche où l on parle même du «national spy gate». Certaines informations ont été démenties, en particulier par les acteurs majeurs du web, qui réfutent le caractère automatique et simplifié de l accès aux données. L accès aux données par les forces de l ordre est très encadré Encadré mais certainement pas impossible! La réaction de Google est en ce sens particulièrement claire. Quels impacts ont ces révélations en France et en Europe? Ces évènements ont eu des effets jusqu en France et en Europe. Les débats idéologiques séparent les partisans d une défense de la vie privée à tout prix et ceux qui jugent que ces écoutes sont nécessaires pour assurer la sécurité publique. Françoise Castex, eurodéputée et vice-présidente de la commission des affaires juridiques du Parlement européen, a adressé une question écrite à la Commission européenne. En réponse, le Commissaire en charge de la politique des consommateurs, Tonio Borg, se déclare inquiet et demande des éclaircissements aux Etats-Unis. Le gouvernement français a également réagi par l intermédiaire de Fleur Pellerin, Ministre en charge de l innovation et de l économie numérique. Toutes ces réactions s enchaînent et montrent que le sujet est tout autant politique que relatif à la défense nationale. Ces différents éléments mettent aussi en lumière les limites et les difficultés relatives au futur règlement européen sur la protection des données à caractère personnel. Un lobby très fort des acteurs américains est en cours pour réduire la portée du texte et par conséquence la protection qu il conférerait aux européens. Comment les entreprises doivent-elles réagir vis-à-vis de ces révélations? Est-ce un levier pour le RSSI? Ces révélations ne sont pas une surprise pour la majorité des acteurs de la sécurité. Les risques d écoute étatiques sont intégrés depuis longtemps dans les analyses de risques relatives aux projets de Cloud computing. Ces évènements sont surtout une opportunité pour le RSSI! Ils mettent sur le devant de la scène une situation souvent inconnue des métiers et de la direction. Il s agit d un bon levier de sensibilisation pour faire réagir sur deux thèmes : l utilisation des outils de communication «personnels» et le rôle des administrateurs. Les révélations sur PRISM montrent qu il est simple et facile pour les États-Unis d accéder aux données de personnes résidant en dehors du territoire américain. Nombre de cadres dirigeants ont souvent le réflexe de transférer sur des adresses s personnelles ou dans des services Cloud (de type Dropbox, icloud ) des documents. Ces pratiques paraissent souvent insignifiantes, mais nous avons maintenant des éléments concrets pour montrer qu elles peuvent mener à une fuite de données. D autre part, il est intéressant d étudier l origine de la fuite : Edward Snowden était un prestataire de service, intervenant comme administrateur système pour le compte de la NSA, embauché depuis moins de 3 mois par sa société de service. Et pourtant, il avait un accès à des documents Top Secret qu il a pu faire sortir sans être inquiété. Il s agit ici d un rappel évident du risque attaché à la fonction d administrateur et l importance de prévoir un encadrement et des contre-mesures pour éviter ce type de situation. Le RSSI peut donc utiliser ces révélations très médiatisées pour rebondir vers les métiers et la direction générale dès maintenant. juillet 2013 La Lettre Sécurité N 30 7

8 L actualité Solucom Mots fléchés Evènements Les rencontres de l AMRAE, septembre 2013 Les nouveaux risques du Cloud computing à l échelle de l entreprise. pour plus d informations : Horizontal 1- Elles peuvent être fiscales ou bancaires 2- Ils forment un couple avec les devoirs. 3. Emprunts à durée illimitée. 4. En prendre c est s exposer à un danger. 5. Après avoir renseigné votre mot de passe, elle est ouverte. 6. Elle peut être rapprochée ou antivirale. 7. Ils peuvent être Ethernet, VGA ou de sécurité. 8. Elle est souvent d identité. 9. Ils peuvent être restreints. 10. Technologie avancée du courrier. 11. Programmes de traitement de l information par ordinateur. 12. Clés de votre ordinateur. 13. L ennemi du cheval de Troie. 14. Téléphones intelligents Vertical 15. Copiez vos données pour éviter de les perdre. 16. Elles peuvent être USB ou de chiffrement. 17. Le plus célèbre se rapporte à l an Elle remplace les pigeons voyageurs. 19. Elle peut être engagée en cas d action malveillante non désiré. 21. Observation permanente. 22. Actualités communiquées par les médias. 23. Envoi de faux s pour obtenir des informations personnelles. 24. Se dit de documents qui ne peuvent être communiqués qu à un nombre restreint de collaborateurs. 25. Il peut être ferré ou informatique. 26. Possèdent un talon d Achille. 27. Illégaux, ils sont punis par Hadopi. Assises de la sécurité, du 2 au 5 octobre 2013 Retrouvez Solucom lors des Assises de la sécurité, lors d un atelier sur le thème : «Cybercriminalité : gestion de crise, cyber-assurance et notification clients, think global!» Pour plus d informations sur l évènement : Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Baptistin Buchet, Marion Couturier, Martin Descazeaux, Ali Fawaz, Chadi Hantouche. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr