MINISTÈRES CHARGÉS DES AFFAIRES SOCIALES

Transcription

1 MINISTÈRES CHARGÉS DES AFFAIRES SOCIALES INTERVENTION DU 22 OCTOBRE AVENUE DUQUESNE PARIS 7 ÈME Anne SOUVIRA, Commissaire Divisionnaire Chef de la BEFTI de la Direction de la Police Judiciaire de la Préfecture de Police de Paris

2 LE DISPOSITIF NATIONAL A. N. S.S.I. D.G.P.N S/D L C D.G.S.I D.G.G. N CYBERDOUANE

3 LA BRIGADE D ENQUETE SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION COMPÉTENCE TERRITORIALE ET D ATTRIBUTION : FAITS TENTÉS OU COMMIS SUR PARIS ET LA PETITE COURONNE POUR : - ATTEINTES AUX SYSTÈMES DE TRAITEMENT AUTOMATISÉS DE DONNÉES (STAD) (Loi Godfrain) - ATTEINTES AUX DROITS DES PERSONNES RÉSULTANT DES FICHIERS (Loi CNIL) - CONTREFAÇONS NUMÉRIQUES DE BASES DE DONNÉES, DE LOGICIELS - ESCROQUERIES AUX AUTOCOMMUTATEURS TÉLÉPHONIQUES - CAPTATION FRAUDULEUSES DE PROGRAMME TÉLÉDIFFUSES

4 LA BEFTI MISSIONS - ACTIVITE EFFECTIF : POLICIERS DONT 14 INVESTIGATEURS EN CYBERCRIMINALITÉ (ICC) 5 ICC DÉDIÉS À L ANALYSE LÉGALE DES MATERIELS D AUTRES SERVICES MISSIONS : ENQUÊTES - ASSISTANCE - FORMATION ET SENSIBILISATION ACTIVITE APRÈS ATTAQUES COMPLEXES : 250 à 350 DOSSIERS GÉNÉRANT DE 800 À FAITS CONSTATÉS 200 DOSSIERS EN PORTEFEUILLE 30 à 40 AFFAIRES REALISEES PAR AN FAITS ELUCIDÉS

5 DISPONIBILITÉ INTEGRITÉ - CONFIDENTIALITÉ DES MENACES INTERNES OU EXTERNES : => LE MILIEU OUVERT À TOUS => COMPORTEMENT DU TOP MANAGEMENT OU DU PERSONNEL (MEDECINS COMPRIS) - PAS ASSEZ SENSIBILISÉ NI FORMÉ SELON LES METIERS A LA CYBERSECURITE - PAS ASSEZ CONSCIENT DES ENJEUX DE LA PROTECTION DES DONNÉES - QUID DE L APPLICATION DE LA POLITIQUE DE SECURITE DES SI ET TELECOM? => SOUS-TRAITANCE ET INFOGÉRANCE POUR TELEMAINTENANCE - DEFAUT DE CONTRÔLE ET DE VIGILANCE- CONTRAT ET MOTS DE PASSE => LES HACKERS EXTERNES RECHERCHANT L EXPLOIT, l ARGENT, LA DESTRUCTION QUEL IMPACT SUR - L ACTIVITÉ - LES DONNÉES SENSIBLES - LE RESPONSABLE DU TRAITEMENT (RDT)?

6 DISPONIBILITÉ INTEGRITÉ - CONFIDENTIALITÉ LA RÉALISATION DES MENACES INTERNES OU EXTERNES : CONSÉQUENCES SUR - L ACTIVITÉ - LES DONNÉES SENSIBLES - LE RESPONSABLE DU TRAITEMENT (RDT)? DE LA MALVEILLANCES, DÉFAUT DE SÉCURISATION, DE DÉFAUT DE FORMATION => ENTRAVE DU SI ET TELECOM => CONTREFAÇON DE BASES DE DONNÉES (BDD) PUBLIQUES OU PRIVÉES => DIVULGATION DE DONNÉES À CARACTÈRE PERSONNEL SENSIBLES (DCP)

7 DISPONIBILITÉ-INTEGRITÉ-CONFIDENTIALITÉ MALVEILLANCE - DEFAUT DE SECURISATION, DEFAUT DE FORMATION mènent à : - ENTRAVE DU SI : Suppression de données, Chiffrement ou Modifications de DCP pas d opération ou de programme de soin perte de chance RH et COMPTA désorganisées (plannings- facturations ) coûts pour recouvrir ses données en bitcoins - L ATTEINTE DE L AUTOCOMMUTATEUR TELEPHONIQUE (PBX) absence de communications téléphoniques pour travailler coût en communication vers N étrangers ou surtaxés -

8 DISPONIBILITÉ INTEGRITÉ - CONFIDENTIALITÉ MALVEILLANCE - DEFAUT DE SECURISATION, DEFAUT DE FORMATION mènent à : - CONTREFAÇON DE BASES DE DONNÉES (BDD) publiques ou privées extractions automatisées et substantielles de (BDD) publiques ou privées utilisation commerciale par des activités en lien avec l industrie pharmaceutique données à valeur patrimoniale et compte rendu disposition d information - COLLECTE FRAUDULEUSE DE DONNEES SENSIBLES ou à CARACTÈRE PERSONNEL N NI - données médicales, destinées à la recherches exploitation commerciale - DIVULGATION intentionnelle ou non de données à caractère personnel (DCP) violation du secret médical et de données sensibles ( la recherche) plainte des titulaires des données contre le RDT et inconnu caractérise le défaut de sécurisation -obligation du RDT art 34

9 DISPONIBILITÉ-INTEGRITÉ-CONFIDENTIALITÉ CONSÉQUENCES DES ATTEINTES AUX SYSTÈMES D INFORMATION IMPACT SUR LES PERSONNES, LE BUDGET, LE JURIDIQUE conséquences opérationnelles pour le patient, l usager (Pôle emploi, CNAM ) et le service conséquences financières : la remédiation n est pas toujours possible Perte d activité et d image conséquences pénales pour le RDT (finalité, proportionnalité, durée) Les personnes n hésitent plus à porter plainte à réclamer les dossiers Les associations de patients sont puissantes pour agir sur la réputation S IL FAUT RÉAGIR EN CAS D ATTAQUE INTERNE OU EXTERNE Il FAUT D ABORD ANTICIPER PAR LA PREVENTION ET LA FORMATION

10 LA RÉACTION EN CAS D ATTAQUE LA QUALITE DE RÉACTION FONCTION DE L ANTICIPATION DES MESURES UNE PSI AVEC CHARTE INFORMATIQUE À VALEUR DE RÉGLEMENT UN PLAN DE CONTINUITÉ D ACTIVITÉ (PCA) RODÉ UNE RÉACTION RAPIDE POUR PROTÉGER LE SI ET LES TRACES LA MISE EN ŒUVRE DE MESURES CONSERVATOIRES PREVUES: L appel à la BEFTI ( ) 9h-19h pour orientation et renseignements ou si Urgence à l EMPJ après 19h et avant 9h ( )

11 LA RÉACTION EN CAS D ATTAQUE LA QUALITE DE RÉACTION FONCTION DE L ANTICIPATION DES MESURES UNE PSI AVEC CHARTE INFORMATIQUE À VALEUR DE RÈGLEMENT - sensibilisation formation initiale et continue UN PLAN DE CONTINUITÉ D ACTIVITÉ (PCA) RODÉ - un fonctionnement en mode dégradé qui a été testé et est connu - le cloisonnement préalable des systèmes et l isolation d internet si possible - disposer de la cartographie et connaître l état des habilitations UNE RÉACTION RAPIDE POUR PROTÉGER LE SI ET LES TRACES - Avoir une politique de gestion de la traçabilité utile à l enquête - pour inspecter les traces exiger des bonnes pratiques des équipes informatiques peu dimensionnées pour qu elles soient fiables (travail qualité)

12 LA RÉACTION EN CAS D ATTAQUE MISE EN ŒUVRE DE MESURES CONSERVATOIRES PRÉVUES : - par l Invalidation immédiate de droits d accès suspects - sans piétiner la scène de crime pour permettre les constatations sur un matériau intègre - copier toutes données utiles et surtout pas d effacement de l attaque en cours - la récupération et le stockage des traces de l attaque sous forme numérique exploitable Appel à la BEFTI ( ) 9h-19h pour orientation et renseignements ou si Urgence à l EMPJ après 19h et avant 9h ( )

13 LE LIEU DE LA PLAINTE L ACTION JUDICIAIRE EST DECIDÉE DANS UN CONTEXTE CALME OU TROUBLÉ QUE LES SERVICES DE POLICE PRENNENT EN COMPTE À QUEL SERVICE S ADRESSER? La théorie et la pratique FONCTION DU LIEU DE COMMISSION DES FAITS DE LEUR COMPLEXITE OU NON La simplicité du cas compétence du service local => le commissariat à Paris et en province sauf zone gendarmerie La haute sensibilité ou la complexité compétence de services spécialisés => La BEFTI à Paris et ou la Police Judiciaire PN en Province ou GN La plainte directe auprès du Procureur du lieu des faits saisine du service ad hoc Si Opérateur d Importance Vitale (OIV) DGSI si l activité est visée à ce titre

14