L entreprise face à la Cybercriminalité : menaces et enseignement Vincent Lamberts Actéo, cabinet d avocats Vincent Defrenne NVISO Security Consulting
Plan de l exposé L état de la menace Cas pratique Comment réagir? Sur le plan juridique et informatique Comment prévenir? Dans les relations d affaires Dans les relations avec les travailleurs de l entreprise Dans la gestion de votre entreprise et son informatique
Plan de l exposé L état de la menace Cas pratique Comment réagir? Sur le plan juridique et informatique Comment prévenir? Dans les relations d affaires Dans les relations avec les travailleurs de l entreprise Dans la gestion de votre entreprise et son informatique
D OÙ PROVIENT LA MENACE?
D où provient la menace?
D où provient la menace? Malware-as-a-service
D où provient la menace? Malware-as-a-service with 24/7 online support
D où provient la menace? Recruiting worldwide, now in your own language.
D où provient la menace? Example of how various players come into play for a cyber-attack Phishing Information Social Engineer Operate Malware Sell Information Create Malware Sell stolen data
LE CYBER-CRIME S EST PROFESSIONALISÉ
QUELQUES EXEMPLES DE TECHNIQUES DE HACKING
Quelques techniques A simple click on Facebook
Quelques techniques Super marrant! A faire suivre! Louis
Quelques techniques Super marrant! A faire suivre! Louis
Quelques techniques The Good News is: From: Microsoft Security Intelligence Report, Vol. 16 (2013)
Quelques techniques For an actual malware infection, click there.
Quelques techniques Phishing (hameçonage)
Quelques techniques
Quelques techniques
Quelques techniques
Quelques techniques
Quelques techniques
Quelques techniques Phishing Information Social Engineer Operate Malware Sell Information Create Malware Sell stolen data
Vous êtes une cible potentielle
QUE RETENIR?
Que retenir? Le hacker : un professionnel La victime : toujours plus de citoyens et PME, en Belgique. Le modus operandi : un simple clic suffit La cause : négligence, manque d information Les motivations du hacker : l argent, directement ou indirectement.
Plan de l exposé L état de la menace Cas pratique Comment réagir? Sur le plan juridique et informatique Comment prévenir? Dans les relations d affaires Dans les relations avec les travailleurs de l entreprise Dans la gestion de votre entreprise et son informatique
Cas pratique Cyber attaque du site web d une compagnie d assurances Une personne «X» décide de faire usage d une application mise en ligne sur le site web d une compagnie d assurances «Y» afin d obtenir des devis relatifs à une prime d assurances automobiles Contexte - diagnostique Mobile - Réaction - plainte pénale en mains du juge d instruction
Plan de l exposé L état de la menace Cas pratique Comment réagir? Sur le plan juridique et informatique Comment prévenir? Dans les relations d affaires Dans les relations avec les travailleurs de l entreprise Dans la gestion de votre entreprise et son informatique
Comment réagir? Sur le plan juridique: pénal Dispositif légal définitions Hacking (art. 550bis du Code pénal) Fraude informatique (art. 504ter et 550ter du Code pénal) Faux informatique (art. 210bis du Code pénal) Loi du 13 juin 2005 sur les communications électroniques (art. 145 et ss.) et vol (art. 461 C. pén); atteintes à la vie privée (art. 39 LPVP) Intérêt de la voie pénale - art. XII.20 du Code de droit économique : rôle des autorités judiciaires à l égard des prestataires de service de communication
Comment réagir? Sur le plan juridique: civil Faute en lien causal avec un dommage (art. 1382 C. civ) Acte contraire aux exigences de la diligence professionnelle (art. VI.104 du Code de droit économique) action en cessation Extraction illicite du contenu d une base de données (si substantiel ou nonsubstantiel mais «répétée et systématique» - art. XI.307 du Code de droit économique) Proposition de directive sur la protection des savoir-faire et des informations commerciales non divulgués contre l obtention, l utilisation et la divulgation illicites COM(2013) 813 du 28/11/2013 mesures provisoires, saisie, mesures correctives
Comment réagir? Sur le plan informatique Isoler l équipement suspect Conserver les preuves, pour analyse éventuelle Activer les logs Et bien sûr: Assurer une gestion pluridisciplinaire de l incident (IT, Legal, Communication, HR, )
Plan de l exposé L état de la menace Cas pratique Comment réagir? Sur le plan juridique et informatique Comment prévenir? Dans les relations d affaires Dans les relations avec les travailleurs de l entreprise Dans la gestion de votre entreprise et son informatique
Comment prévenir? Dans les relations contractuelles avec les fournisseurs «IT» Se doter d un contrat : CGA v. CGV du fournisseur Veiller à circonscrire les obligations du fournisseur : résultat v. moyens Organiser une information périodique de l entreprise sur les moyens techniques mis à la disposition de l entreprise, la manière de les utiliser importance de désigner un interlocuteur / responsable sécurité en interne Veiller à une mise à jour périodique des dispositifs de sécurité Imposer une obligation de garantie au niveau de la sécurité / écarter les clauses exonératoires de responsabilité Circonscrire les cas de force majeure Prévoir une obligation de confidentialité - définir précisément son objet
Comment prévenir? Dans les relations contractuelles avec les soustraitants/partenaires Se doter d un contrat Prévoir une obligation de confidentialité définir précisément son objet Veiller à imposer des obligations en matière de sécurité de l information et des données sensibles partagées avec les sous/traitants/partenaires Ecarter les clauses exonératoires de responsabilité Organiser le restitution des données sensibles à la fin du contrat ou en cas de rupture anticipée
Comment prévenir? Dans les relations contractuelles avec le personnel salarié cyber sécurité v. cyber surveillance Vie privée des travailleurs - Interaction CCT n 81, art. 8 CEDH, art. 22 Constitution, art. 314 bis C. pén, loi vie privée du 8/12/1992, loi 13 juin 2005 sur les communications électroniques Art 544 C. civ (propriété de l employeur); art. 2, 3, 15, 17 loi 3/7/1978 LCT obligation de se conformer aux instructions et de se soumettre au contrôle de l employeur Quel contrôle? Finalité (4); Proprotionnalité; Information préalable (charte Sécurité / Vie privée)
Comment prévenir? Dans les relations contractuelles avec le personnel salarié cyber sécurité v. cyber surveillance Interdiction de prise de connaissance du contenu des télécommunications du travailleur à partir du lieu de travail (art. 314bis C. pén) sauf : Autorisation préalable de tous les participants autorisation légale Impératifs techniques État de nécessité
Comment prévenir? Dans les relations contractuelles avec le personnel salarié cyber sécurité v. cyber surveillance Cas particulier de l individualisation des données Directe : art. 15 CCT -> 3 cas : prévention d actes illicites; sauvegarde des intérêts de l entreprise; sécurité Indirecte : art. 16 CCT -> identification indirecte du travailleur est possible en vue de vérifier le respect par le travailleur des directives relatives à l usage de l outil informatique : information préalable générale requise / individualisation si nouveau manquement/ audition du travailleur suspecté
Comment prévenir? Dans la gestion de votre entreprise Contenu du Guide 10 Principes clés de sécurité 10 Action à entreprendre en matière de sécurité Questionnaire d auto-évaluation Ressources supplémentaires: Etudes de cas Liste de contacts Référentiels courants
VISION ORGANISATION ET PROCESSUS CULTURE D ENTREPRISE
VISION Principe 1: Aller au-delà de la technologie (p.ex. se préparer juridiquement aussi) Principe 2: Aller au-delà de la conformité Principe 3: Traduire son ambition dans une politique de sécurité de l information
ORGANISATION ET PROCESSUS Principe 4: S assurer le soutien de la direction Principe 5: Créer un rôle visible dans l entreprise et responsabiliser chacun Principe 6: Rester sûr, même en externalisant
CULTURE D ENTREPRISE Principe 7: S assurer que la sécurité soit un moteur pour l innovation Principe 9: Rester concentré sur l essentiel Principe 8: Savoir se remettre en cause Principe 10: Se préparer à affronter des incidents
Comment prévenir? Dans la gestion de votre entreprise Contenu du Guide 10 Principes clés de sécurité 10 Action à entreprendre en matière de sécurité Questionnaire d auto-évaluation Ressources supplémentaires: Etudes de cas Liste de contacts Référentiels courants
Des questions? Des témoignages? Contactez-nous : Place Verte, 13 4000 LIEGE Rue des pères blancs 4 1040 Bruxelles Tél : +32 4 252 46 90 Tél: +32 468 17 95 65 Vincent LAMBERTS vincent.lamberts@acteo.be Vincent DEFRENNE vdefrenne@nviso.be