Se préparer àla réponse judiciaire contre les attaques informatiques. Plan



Documents pareils
Se préparer à la réponse judiciaire contre les attaques informatiques

Les autorités judiciaires françaises n ont pas mis en œuvre de politique nationale de prévention dans ce domaine.

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Gestion des Incidents SSI

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Atelier B 06. Les nouveaux risques de la cybercriminalité

Conférence Débat : Traçabilité et Monitoring

Notions de responsabilité. Commission Technique Régionale Est

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

La sécurité de l'information

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Serveur Hôte : Serveur physique configuré et administré par GROUPE PULSEHEBERG.

ASSOCIATION DES ACCIDENTÉS DE LA VIE. Quelles procédures après un accident de la route? Informations pour les victimes de dommages corporels

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Agenda numérique - Partie V. Juillet 2015

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

La loi NRE. Article 116

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

La majorité, ses droits et ses devoirs. chapitre 7

Les clauses «sécurité» d'un contrat SaaS

Continuité d activité. Enjeux juridiques et responsabilités

La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012

LOI N du 14 janvier (JO n 2966 du , p.3450) CHAPITRE PREMIER DE LA PREVENTION DES INFRACTIONS

NOTIONS DE RESPONSABILITE

LA RESPONSABILITE PROFESSIONNELLE DE L INFIRMIER(E) Laurence VENCHIARUTTI, Infirmière Libérale, Expert infirmier, Nantes

de la commune organisatrice ou bénéficiaire, ci-après dénommée «société de transports en commun bénéficiaire». Par dérogation aux dispositions de

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION

Décision-cadre 2002/475/JAI du Conseil (13 juin 2002)

La Responsabilité de l éducateur sportif

RÉPUBLIQUE FRANÇAISE AU NOM DU PEUPLE FRANÇAIS N , , , , M. Olivier Yeznikian Rapporteur

«LA PROTECTION DU SECRET DES SOURCES DES JOURNALISTES» U.I.A. - CONGRÈS DE FLORENCE (COMMISSION DU DROIT DE LA PRESSE)

Collaboration justice Acteurs privés : Vision d OVH.com. Animé par : Romain BEECKMAN

E-RÉPUTATION ET MAUVAISE RÉPUTATION

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Les responsabilités des professionnels de santé

GROUPE DE RÉDACTION SUR LES DROITS DE L HOMME ET LES ENTREPRISES (CDDH-CORP)

Guide des bonnes pratiques. Les différentes manières dont on saisit la justice pénale

Traitement des Données Personnelles 2012

SUPPLEMENT TRADING ELECTRONIQUE

Réguler les jeux d'argent : Le rôle de l'autorité Bruxelles le 12 octobre Intervention de M. Jean-François VILOTTE, Président de l ARJEL

L escroquerie dite «au faux patron» par la réalisation de virements frauduleux

Les clauses sécurité dans un contrat de cloud

L entreprise face à la Cybercriminalité : menaces et enseignement

Guide de bonnes pratiques de sécurisation du système d information des cliniques

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE

Assurance des associations départementales OCCE, des coopératives et des foyers coopératifs affiliés

Recommandation CP(2014)17 sur la mise en œuvre de la Convention du Conseil de l Europe sur la lutte contre la traite des êtres humains par Saint-Marin

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

Data Breach / Violation de données

Proposition de DÉCISION DU CONSEIL

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

Questionnaire Entreprises et droits humains

ACTES PRIS EN APPLICATION DU TITRE VI DU TRAITÉ UE

Introduction. Une infraction est un comportement interdit par la loi pénale et sanctionné d une peine prévue par celle-ci. (1)

Nom : Prénom : Fait à : PESSAC Le : SIGNATURE :


Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

RÉPUBLIQUE FRANÇAISE. MINISTÈRE DE l'emploi ET DE LA SOLIDARITE. Paris, le

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

La responsabilité juridique des infirmiers. Carine GRUDET Juriste

Responsabilités juridiques et sécurité dans les accueils collectifs de mineurs

Charte de bon usage du SI (Étudiants)

CONDITIONS GÉNÉRALES DE VENTE.

Nathalie Calatayud - Responsabilité juridique de l'infirmière

Obligation de notification des failles de sécurité : quand l Union Européenne voit double

La Justice et vous. Les acteurs de la Justice. Les institutions. S informer. Justice pratique. Vous êtes victime. Ministère de la Justice

RESPONSABILITES ET ASSURANCE DANS LE DOMAINE ASSOCIATIF

Le Président du Centre de Gestion de la Fonction Publique Territoriale de Lot-et-Garonne,

La responsabilité civile et pénale. Francis Meyer -Institut du travail Université R. Schuman

Portail clients GCC (GlobalSign Certificate Center) Conditions d'utilisation du service

I La conservation des dossiers médicaux répond à un triple intérêt :

Cinzia Grassi, Loredana Ceccacci, Anna Elisa D Agostino Observatoire pour le contraste de la pédophilie et de la pornographie enfantine

CONSIDÉRATIONS SUR LA MISE EN ŒUVRE DES DÉCISIONS DE LA COUR CONSTITUTIONNELLE

Questionnaire aux entreprises

LE TRAITEMENT EN TEMPS REEL DES PROCEDURES PENALES

European School Brussels II. Avenue Oscar Jespers Brussels

LEQUERRE et Lucas PAEAMARA

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Aux entreprises de gardiennage autorisées pour la gestion de centraux d'alarme

Journal officiel de l'union européenne DIRECTIVES

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Les cyber risques sont-ils assurables?

CHARTE INFORMATIQUE LGL

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Comment se déroule le droit de visite et d hébergement d un parent en cas de fixation de la résidence habituelle chez l autre parent?

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

Conditions Générales d Utilisation

) Découvrez les métiers de la Justice. Informez-vous sur

Responsabilité de l'expert-comptable

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

Droit Commercial. Notes personnelles. La Responsabilité. Responsabilité civile. La Responsabilité. Page : 1

Transcription:

Se préparer àla réponse judiciaire contre les attaques informatiques Forum CERT-IST Paris, 03 juin 2010 Lieutenant-colonel Éric FREYSSINET, DGGN/SDPJ Plan Pourquoi il faut agir juridiquement Pourquoi on peut agir juridiquement Comment s'y préparer Comment agir 2

Pourquoi il faut agir Le nombre réel d'attaques informatiques Beaucoup plus important que les chiffres publics L'exemple des autres pays nous montre une autre réalité Si l'on veut durablement limiter le risque, il faut identifier et interpeller les auteurs. On ne peut pas les interpeller si: On ne connaît pas leurs actes On ne collecte pas de preuves Il va falloir transformer l'essai de l'obligation de notification d'incidents de sécurité 3 Étude CLUSIF 2008 4

Étude CSI 2009 US, 443 réponses http://gocsi.com/ 5 Databreaches.net 6

Notification des incidents de sécurité Paquet «Télécom»votéen novembre 2009 Obligation qui concernera tous les opérateurs de communications électroniques A transposer avant 25 mai 2011 Proposition de loi Détraigne/Escoffier Débattue au Sénat le 23 mars Proposent d'appliquer d'emblée cette obligation àtous les responsables de traitements de données àcaractère personnel Mais, il n'y a pas que les traitements de données personnelles qui ont de la valeur. A suivre donc. 7 Proposition de loi Détraigne/Escoffier Texte votépar le Sénat et transmis àl'assemblée nationale qui modifie l'article 34 de la loi Informatique et libertés : En cas de «violation du traitement de données àcaractère personnel», le responsable de traitement : Avertit le Correspondant Informatique & Libertés (CIL) ou à défaut la CNIL Prend immédiatement les mesures nécessaires pour rétablir la protection de l'intégrité et de la confidentialité des données Le CIL en informe la CNIL Si la violation a affectédes données àcaractère personnel d'une ou plusieurs personnes physiques, le responsable de traitement : Informe ces personnes Un inventaire des atteintes aux traitements de donnés àcaractère personnel est tenu àjour par le CIL 8

Pourquoi on peut agir Parce que les partenaires judiciaires sont prêts Sur le plan juridique Sur le plan technique et des compétences Parce que cela n'implique pas forcément de révéler ses défauts Ou parce que le temps judiciaire laisse le temps de les corriger 9 Les instruments juridiques Vous les connaissez Convention du Conseil de l'europe sur la cybercriminalité(2001) Décision-cadre de l'ue relative aux attaques visant les systèmes d'information (2005) Loi Godfrain (1988) en France et code de procédure pénale adapté Maximum de cinq ans de prison, 75.000 d amende Peines complémentaires 10

Les compétences sont là Vous connaissez les acteurs: Police DCPJ/OCLCTIC, PP/BEFTI, DCRI, ICC (ESCI) Gendarmerie IRCGN, STRJD, NTECH, C-NTECH Justice Chacun, dans ses zones ou territoires de compétences s'est formé, adapté, est prêt à répondre Les compétences se développent évidemment aussi à l'étranger, et des partenariats sont en place 11 Résumé dispositif gendarmerie Coordination Direction générale de la gendarmerie nationale BPJ / BAC / BLAT National Enquêtes Département d investigations sur Internet STRJD Division de lutte contre la cybercriminalité Activités criminalistiques & renseignement judiciaire Division criminalistique Ingénierie et Numérique IRCGN Activités criminalistiques & recherche Département répression des atteintes aux mineurs sur Internet (+ CNAIP : Centre national d'analyse des images de pédopornographie) Local NTECH : Enquêteurs spécialisés dans unités régionales et locales Enquêtes spécialisées et première approche technique C-NTECH : Correspondants NTECH R-NTECH : Réservistes NTECH 12

Les compétences sont là Vous connaissez les acteurs: Police DCPJ/OCLCTIC, PP/BEFTI, DCRI, ICC (ESCI) Gendarmerie IRCGN, STRJD, NTECH, C-NTECH Justice Chacun, dans ses zones ou territoires de compétences s'est formé, adapté, est prêt à répondre Les compétences se développent évidemment aussi à l'étranger, et des partenariats sont en place 13 Les affaires sont traitées Beaucoup d'affaires se traitent dans la discrétion Parfois de «petites»affaires ont un impact important UTOPI 62 (06/2006), HACKERs 21 (05/2008), Des compétences pour couvrir tout le spectre des besoins: Interventions dans les entreprises, chez les opérateurs, chez les hébergeurs Perquisitions chez particuliers ou entreprises 14

Tous réclament une coopération intelligente 15 L'enquête judiciaire et la gestion des incidents de sécurité Détecter l'activité criminelle Recevoir les plaintes Collecterles preuves, évaluer les dommages, rétablir le fonctionnement Nécessite: des personnels formés dans l'industrie et les services d'enquête ; en mesure de coopérer Identifieret interpeller les suspects Poursuivre (et obtenir réparation) 16

Comment s'y préparer Évidemment, sécuriser ses systèmes d'information et être en mesure de détecter les attaques Collecter des traces de façon préventive Évaluer l'ampleur des atteintes Pour savoir quoi partager de façon informelle Pour déterminer quand déposer plainte Former ses personnels Connaître les acteurs locaux / nationaux 17 Quels critères pour un dépôt de plainte? Création d'une grille d'évaluation adaptée aux risques : Atteinte notable à des données personnelles Atteinte à des données confidentielles Préjudice financier / temps pour rétablir Échanges avec les professionnels (mesurer ensemble la complexité de l'attaque, faire des rapprochements) Échanges avec les services d'enquêtes A * B * * * C * * 18

Comment agir Préserver les preuves Disponibles et extensives Admissibles (leur qualitéest documentée, leur contenu éventuellement signé) Prévenir les autorités Coordonner avec elles la reprise d'activité Ainsi que la procédure de mise à disposition des preuves Mesurer le préjudice Préparer la communication A coordonner avec les autorités Prévenir les victimes tierces Souligner positivement la préparation et la réaction 19 Préserver les preuves En droit français, la preuve est libre Mais plus on est capable de la valoriser, plus elle sera probante Process de collecte documentés et propres Signatures électroniques Privilégier des formats ouverts Mettre àdisposition des spécialistes capables d'expliquer le fonctionnement des systèmes 20

Prévenir les autorités Ne pas chercher àrégler le problème soi-même... Des interlocuteurs qu'il faut connaître par avance Les intervenants locaux peuvent toujours se faire assister de spécialistes si nécessaire Prévoir des locaux pour les accueillir Désigner un point de contact technique (et éventuellement un point de contact juridique) Prévoir une procédure d'échanges au fil de l'eau, notamment par voie électronique La discrétion vaut aussi pour les victimes 21 Communication Essentielle : Pour tirer le meilleur de la gestion de l'incident Pour prévenir une communication négative Pour se préparer au procès pénal qui est public Pour expliquer les mesures correctrices apportées et rassurer les clients Pourquoi ne pas communiquer sur la qualitéde sa préparation à gérer ces incidents? 22

Conclusion www.gendarmerie.interieur.gouv.fr Partenariat Impliquer les services d'enquête Collecter des preuves Se préparer et planifier! Eric Freyssinet, lieutenant-colonel Direction générale de la gendarmerie nationale Sous-direction de la police judiciaire 35 rue Saint Didier F-75775 PARIS Cedex 16 Tél: +33 1 56 28 66 27 Mél: eric.freyssinet@gendarmerie.interieur.gouv.fr http://blog.crimenumerique.fr/ 23 23

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back