Les cyber-experts de la Gendarmerie Nationale

Cyber-experts: Pole judiciaire de la gendarmerie nationale  

 

41f789a3-3f0f-4478-a8bf-b6ece25e1711

 

 

Priorités 2016 du Pole judiciaire de la Gendarmerie Nationale :

prévention et anticipation sur les cyberisques

 

 

 

Créé en 2011 le pôle judiciaire de la Gendarmerie Nationale a déménagé en 2015 a Cergy Pontoise quittant les vieux locaux du Fort de Rosny sous Bois. Présente dans toutes les divisions, la lutte contre les cyber-menaces devient un axe fort des cyber-gendarmes dont la future devise pourrait être : « anticiper pour mieux agir ».

 

 

Installé depuis janvier 2015 à Cergy, le Pôle intègre le SCRC  le service central de renseignement criminel, le C3N lutte contre la criminalité numérique,  OCSTI (observatoire central des systèmes de transport intelligents qui étudie l'impact de l'informatique dans le transport afin d'améliorer la sureté)  et le centre de recherche et d'enseignement appliqué à la criminalistique. C'est désormais une évidence pour la communication officielle de la Gendarmerie Nationale, la lutte contre toutes les formes de cyber-menaces devient une priorité en 2016 (1).

Le rapport IoCTA 2015 récemment publié par Europol fait état d’une augmentation significative des détournements de données, lors de cyberattaques venant du crime organisé. Le préjudice mondial annuel de la cybercriminalité est estimé à 500 milliards de dollars en 2015. Il atteindrait en 2020 un montant cinq à sept fois supérieur. Pour le préfet « cyber » Jean-Yves LaTournerie, conseiller du gouvernement, chargé de la lutte contre les cybermenaces la lutte contre les cybermenaces suppose des aménagements « L’existence notoire de « cyberparadis », l’inadaptation des outils juridiques classiques - les demandes d’entraide pénale internationale - trop longs à mettre en œuvre alors que la preuve numérique est éphémère, la dépendance des enquêteurs aux acteurs de l’Internet étrangers qui détiennent les données nécessaires à la poursuite des investigations, telles sont les difficultés que les services de police et de gendarmerie et l’institution judiciaire doivent généralement affronter. »

 

 

94787480-9b5f-4b4d-988d-58c3650c39ca

Photo1 @jpbichard

 

  

En 2016, les cyber-risques traités par les services de la Gendarmerie sont multiples et touchent de nombreuses couches de la société au delà de la traditionnelle lutte contre la pornographie ou la pédophilie. A Gergy, le Pôle judiciaire de la Gendarmerie Nationale fait la chasse via Internet et des outils spécifiques (Photos 1 et 2) aux cyberdélinquants. Cette entité renseigne aussi d'autres services externes à la Gendarmerie sur des tendances "inquiétantes" sur le Net telles que les échanges « terroristes ». C'est le rôle du service C3N (lire encadré Photo5).

D'autres services détectent les failles des équipements en s'appuyant sur les recherches d'un laboratoire dédié (Photos en section BONUS). Une autre division recherche les voleurs de voiture en développant un nouveau système numérique de détection de faux numéros de série qui sera mis en place dès cette année. Cette entité observe aussi le futur des voitures connectées et des nouveaux comportements des conducteurs. Ces travaux permettent selon les experts de la Gendarmerie de prédire certains comportements a risques. Pour toutes ces recherches, on trouve comme point commun : la donnée numérique.

 

db5447ee-e154-4309-88a2-159b8f773f38

Photo2 @jpbichard

 

  

« Cette donnée, thème central du prochain Forum international de la Cybersécurité (BONUS 2), est visée pour ce qu’elle représente, parce qu’elle est une parcelle de la souveraineté, de l’influence, de la compétitivité économique ou parce qu’elle est une monnaie d’échange, un moyen de chantage ou, pire, un moyen de dominer les esprits.» constate le Général Watin-Augouard (lire encadré).

 

Au Pole judiciaire le Service central de renseignement criminel fort de 500 personnes détecte, analyse via des sous divisions dédiées : fichiers et administration des applications judiciaires, analyse et investigation (analyse prédictive), opérations d'appuis spécialisées (profiler ou analyse pschocriminologique)...

La division numérique du pôle judiciaire se compose de quatre entités : informatique/électronique (boite noire avec échanges d'informations entre pilotes et sol), analyse d'images et paroles numériques, comparaisons d'écritures, développement d'applications pour véhicules… D'autres divisions comme celles propres à l'univers du «vivant » (parfois mort)... travaillent sur des thématiques plus humaines mais toujours au moyen d'outils numériques de pointe : identification humaine, empreintes, anthropo/morpho, médecine légale... Plus de 100 000 analyses sont réalisées chaque année.

A l'évidence, le pôle judiciaire de la Gendarmerie Nationale s'appuie de plus en plus les technologies numériques pour développer les services de prévention et de sécurité du futur. C'est dans cette optique que les équipes du Colonel Perrot développent en s’appuyant sur de puissants algorithmes des applications totalement basées sur les données historiques pour "anticiper et mieux agir". Cette phase d'anticipation s'empressent de préciser les responsables de la Gendarmerie ne vise pas une population précise mais examine des comportements notamment ceux des foules afin de prévoir la mise en place des groupes de sécurité par exemple.

 

gendarmerie-Prédictive

Photo3 @jpbichard

 

 

Loin des séquences du film « Minority report », le responsable de cette division insiste sur l'aspect scientifique de son travail. Il insiste : loin d'Hollywood, il tente avec ses équipes de chercheurs de donner un « sens » aux données afin d'anticiper et prédire certains faits utiles pour déployer les forces de la gendarmerie par exemple. bref, utiliser les données comme facteur d’influence sur un contexte (Photo3). Encore faut il connaître les contextes d’où une coordination avec différents services comme la Météo, l'INSEE, sécurité routière....

Anticiper pour mieux agir. Beau programme avec ses avantages et ses doutes (Vie privée menacée, démocratie en mode Big Brother...).

Reste l'usage "intelligent" des big data. Les expert de la gendarmerie se posent les mêmes questions que la plupart des scientifiques de cette nouvelle discipline. Des précurseurs comme Henri Laborit (découvreur des premiers antidépresseurs) avaient, dès les années soixante-dix, compris le rapport entre l'homme et l'information : « Il faut propager au plus vite cette notion que l'homme n'est pas une force de travail, mais une structure qui traite l'information. »

La donnée, mal exploitée peut se retourner contre l'homme. D'ou l'importance vitale de lui donner un sens lorsqu'elle devient une information exploitée par les services d'un Etat responsable de la sécurité des citoyens. La différence entre ces deux notions données et informations exploitées n'est pas anodine. La donnée se définit comme un élément brut et fondamental. Elle ne possède pas de sens à proprement parlé, elle n'apporte pas de valeur, elle n'en enlève pas non plus. L'information quant à elle, peut se définir comme une donnée placée dans un contexte et est, dès lors, sujette à interprétation. "Elle est porteuse de sens et influe sur le contexte" expliquent les expert de la Gendarmerie. C'est là toute l'ambiguité des opérations de prédiction. Pour le Colonel Perrot, il s'agit d'être davantage dans le décisionnel que le prédictif. "Nous devons offrir des applications qui permettent d'être pour notre service un intermédiaire entre la donnée et l'action".

Les risques liés aux analyses prédictives sont connus a commencer par les risques d'erreurs (arrêter un innocent par exemple). C'est pour cette raison que la Gendarmerie nationale insiste sur certains messages : l'analyse prédictive réalisée en France par ses services ne donne pas lieu à de la préemption donc pas d'interpellation a priori suite à des indications du « logiciel prédictif ». Pas de subjectivité non plus affirme le Colonel Perrot. « nos algorithmes mathématique sont neutres et reposent souvent sur des données du passé donc dépassées ce qui restreint l'exactitude de certaines prévisions ». Du coup, reste la question essentielle : Comment s'appuyer sur l'antérieur pour prévoir le futur ? la réponse des cyber-experts est claire et paradoxale: nous ne sommes pas sur un terrain ou la précision est capitale.  La prédiction est un outil d'aide a la décision. Pour le colonel Perrot "Les tendances sont plus importantes que les chiffres afin de mettre en place des conte-mesures". L'idée en terme pratiques de résultats, c'est par exemple de développer une matrice avec codes couleurs qui décline des intentions d'actions parmi les plus probables. « Les données constituent le socle de nos analyses. Elle ne couvrent pas tout. Donc nos résultats sont pondérés et ne peuvent donner aucune certitude" explique l'officier. "On applique des méthodes et il en existe des dizaines. Ce qui fonctionne dans un lieu A ne fonctionne pas dans un lieu B." Les contrainte des analyses prédictives sont nombreuses. Elles reposent pour la plupart sur la « qualité «  de la donnée. Ainsi, la partie exploration de données se fait à partir de source libre (open data). En source ouverte, ces données ne sont pas toujours actuelles (INSEE) et suivies.

 

Pole-Judiciaire

Photo4 @jpbichard

En outre une donnée publique a caractère nominatif n'est pas exploitable. A Cergy, les services du Pôle Judiciaire de la Gendarmerie cherchent a exploiter un patrimoine numérique souvent textuel non structuré. Parfois il est indispensable d'intégrer des valeurs aberrantes au sens excessives dans la compréhension d'un problème. L'accident de car en novembre 2014 dans le sud ouest a provoqué la mort de 49 personnes. C'est une donnée réelle mais inadaptée à un calcul rationnel du nombre de morts sur une année dans un département par exemple. La maîtrise des statistiques en plus de celles inhérentes à la sélection des données s'impose alors. Ce qui conduit a développer certains outils en complément d'autres venus du marché. « L'idée c'est que contrairement à d'autres pays, nous refusons en France de désigner un groupe particulier comme responsable de tels actes de malveillance ce qui entraînerait des résultats statistiquement faux comme le nombre de morts dans un département » insiste le Colonel Perrot en précisant : « Nous voulons travailler au niveau tactique, stratégique et opérationnel. L'analyse de données c'est mécanique, l'intuition et l'analyse des enquêteurs sur le terrain demeurent capitales ». Bergson rappelle le colonel Perrot a dit « Prévoir c'est projeter dans l'avenir nos perceptions du passé » c'est une bonne approche pour comprendre notre travail. Bonne approche mais qui nécessite énormément de vigilance. La gendarmerie nationale comme d'autres grands corps de l'Etat ne peut pas répondre à une question majeure pour la liberté de chaque citoyen: quel sens serait donné aux millions de données collectées par un Etat totalitaire par exemple ? En d'autres termes qu'advientrait il de ces recherches "prédictives" et de leur manipulation voire interprétations si un pouvoir politique voulait se situer hors du cadre légal "pour raison d'Etat" bien evidemment ?  On revient à ce que précisément analyse le Général Watin-Augouard quand il écrit dans le dernier numéro de la revue de la Gendarmerie nationale avec justesse: "Aujourd’hui, la donnée n’est plus annexe, ni connexe : elle est désormais au cœur de l’écosystème du cyberespace"

 @jpbichard

 

 

 c7e693ef-0bc4-4f82-8441-0d1269146868

Photo5 @jpbichard

C3N : Commend réduire l'influence de DAESH sur les réseaux sociaux ?

Le Centre de lutte contre les criminalités numériques (C3n) a été créé au sein du nouveau Pôle judiciaire de la gendarmerie nationale (PJGn) de Pontoise. Il constitue la véritable tête de pont d'un dispositif territorial décentralisé, dénommé réseau Cybergend. Tropis missions lui sont attribuées : soutien aux enquêtes judiciaires, enqu^tes sur les atteintes aux matériels numériques courants (smartphones, tablettes, PC, serveurs…) recherches proactives. Face aux cyber-menaces de toutes sortes, il faut le rappeler, pratiquement aucune enquête n'aboutit sans coopération internationale. C'est d'ailleurs ce que confirme le colonel Nicolas Duvinage, Chef du centre de lutte contre les criminalités numériques (C3N) : « l'un de nos problèmes c'est que face à des opérations de propagande de type DAESH nous devons poursuivre nos investigations dans le cadre de la réglementation française ce qui suppose par exemple que les adresses IP que nous identifions correspondent à des références françaises ;  si ce n'est pas le cas nous nous adressons aux autorités du pays concerné. Parfois nous obtenons tres rapidement des résultats comme avec les responsables de Twitter parfois une fin de non recevoir comme avec le site archive.org voire quelques réticences avec Facebook ». La veille réalisée par les agents du C3N repose toujours sur des sources ouvertes. Elle s'effectuent via des outils de recherche classiques comme Google Search et par des applications développées par des entreprises françaises. A noter que des outils tels que Watson d'IBM sont également utilisés par la gendarmerie nationale.

 

 

 

BONUS

 

Général d’armée (2S) Marc Watin-Augouard

 

Général d’armée (2S) Marc Watin-Augouard
 
Ancien inspecteur général des armées-gendarmerie, le général d’armée (2S) Watin-Augouard a animé un groupe de travail qui a contribué à la rédaction du rapport de Thierry Breton sur la cybercriminalité (2005). Conscient de l’impérieuse nécessité développer une coopération interservices et internationale pour mieux lutter contre les prédateurs du cyberespace, il a été, avec le concours actif de Régis Fohrer, le fondateur du FIC en 2007. Le succès croissant de cette manifestation n’est pas la conséquence d’un effet de mode mais témoigne d’une demande d’acteurs publics et privés confrontés à des attaques de plus en plus nombreuses et de plus en plus destructrices de valeurs. Aujourd’hui directeur du centre de recherche de l’Ecole des officiers de la gendarmerie nationale (EOGN), il est l’un des trois membres du comité de direction du FIC. Dans les universités où il enseigne (Paris II, Paris V, Lille II, Aix-Marseille III, Clermont-Ferrand) et à l’Ecole de guerre, il sensibilise les élèves sur les enjeux de la société numérique. Il a contribué aux travaux du Livre blanc de la défense et de la sécurité nationale.

- See more at: http://www.observatoire-fic.com/author/marc-watin-augouard/#sthash.OxPap3zx.dpuf

 

1 - http://www.gendarmerie.interieur.gouv.fr/crgn/Actus/Protection-des-donnees-et-vie-privee

2 - http://www.cyberisques.com/fr/content12

 

5cfb1076-e6cd-4975-b854-5e8f85db394bc08f0c59-b0b4-49ae-b231-4c7f294dda1b9da3223e-801b-4ce7-8cef-c17d65464696572afc92-113d-43b0-9e88-3d61918f91ed

 

 

 

80% des attaques informatiques s'appuient sur la couche applicative

 

Petit déjeuner FIC: 20 octobre 2015

 

 

« La sécurité des applications : le nouveau challenge »

 

  

TEST-SECU-APPLI

 

 

Le dernier petit déjeuner FIC du 20 octobre a mis en lumière un aspect rarement évoqué en cybersécurité : la sécurité des applications. Selon les trois intervenants - le RSSI de Générali et deux acteurs du marché Sogeti et HP- plus de 80% des attaques informatiques s'appuient sur la couche applicative. Paradoxe si l'on observe que bon nombre d’entreprises investissent en priorité pour leur cybersécurité dans la protection des infrastructures et des accès. Le sociologue Edgar Morin explique dans son dernier livre: « Plus l’homme est puissant par la technique, plus il est fragile devant le malheur ». En cybersécurité, les malheurs des RSSI proviennent de plus en plus des couches applicatives. Mais l'homme affirme maitriser la situation au moyen de solutions séduisantes. Explications. 

 

 « Notre métier, l'assurance nécessite la mise en œuvre de nombreux contrats par intermédiation donc beaucoup d'intermédiaires. Nos produits ont une durée de vie très longues 25 ans ce qui rend plus complexes les mises à jour de certaines applications notamment en sécurité. Il s'agit au total de 600 applications dont une centaine en Java, une soixantaine encore en Cobol. Bref prés de 50 millions de lignes de codes au total. » annonce Jean-Paul Joanany, RSSI de Générali.

Chez ce grand compte, la politique de sécurité propre aux applications passe par le respect de trois modules dédiés aux managers, développeurs et chefs de projets. Ces dernier directement en contact avec les directions Métiers sont particulièrement sensibilisés à l'analyse de risques pour lutter contre la fraude. Ils doivent s'inquiéter au delà des vulnérabilité de leurs environnement : d'où viennent les connexions ? Remote ou pas ? Comment ? Les chefs de projet vérifient également l'authenticité des composants logiciels utilisés mais parfois « développés » à l’extérieur de Générali. Ces développement ont ils été effectués en s'assurant qu'il y avait bien « absence de vulnérabilités » ? Qui va suivre la vie de ces composants au sein des applications « maison » ? Désormais, la sécurité des applications doit s'inscrire dans un cycle complet. Celui-ci doit intégrer la détection de vulnérabilités également sur des frameworks de type outils de développement d'applicatifs WEB en tenant compte de la gestion des « patch » et des conséquences sur la sécurité des applications liées aux changements de versions des frameworks.

Le RSSI de Générali constate que « trop souvent on recherche des vulnérabilités dans les infrastructures et pas assez dans les applications » Afin de réduire les risques de vulnérabilités au niveau des applications, Jean-Paul Joanany demande à ses équipes de soumettre leurs développements à un audit de code effectué chaque soir par une équipe sécurité « dédiée ». « le choix d'une équipe dédiée apporte plus de discrétion sur les vulnérabilités internes comparé aux développeurs » souligne le décideur de chez Générali.

 

 

                                                                          Secure Software Development Life Cycle (sSDLC)

TEST-SDLC-SECURITE-APPLICATIONS-CYBERISQUES-2015

                                                               source: OWASP

 

 

L'approche du RSSI de Générali se trouve confortée par Yves Le Floch, Directeur du développement de la cybersécurité, Sogeti. Celui-ci tire les premiers enseignements du « World Quality Report » 2015-16 (cf Lire en section BONUS en fin d'article pour nos abonnés), une étude récente réalisée à la demande de Sogeti, HP et Capgemini sur les stratégies des entreprises pour l'essentiel européennes en matière de sécurité « applicative ».

En bref : la stratégie sécurité IT se montre prioritaire pour la majorité des entreprises interrogées mais seules 50% d'entre elles réalisent des tests sur la sécurité des applications. Lorsqu'ils sont réalisés, ces tests pour la moitié environ s'effectuent en interne. Pres de 17% des entreprises n'en font jamais. « Pourtant rappelle Yves Le Floch, 80% des brèches et des attaques sont réalisées au niveau applicatif et 60% des entreprises n'effectuent pas de tests lorsqu'elles sous traitent le développement des applications. En outre, beaucoup d'entreprises ignorent le nombre d'applications qu'elles hébergent ». Pour le Directeur du développement de la cybersécurité de Sogeti : « trop de tests sont effectués en fin de développement ce qui complique la tâche pour apporter des corrections. » Des corrections pas toujours évidentes a effectuer lorsqu'il s'agit de failles sur un module « open source » « perdu » dans les millions de lignes de codes. A t-on ce module en interne et où ? Les applications mobiles provoquent aussi de nouveaux enjeux en sécurité. Selon une étude de Ponemon en 2014, 77% des entreprises disent avoir du mal à sécuriser leurs applications mobiles. 

Pour améliorer la sécurité de l'ensemble des familles applicatives mobiles et WEB comprises, Yves Le Floch propose de s'appuyer sur une méthodologie de type : Process de développement sécurisés, tests de sécurité statiques (sur les codes sources), tests de sécurité dynamiques (sur l'application) puis tests finaux et audits. Indépendamment de la nature des applications, il faut un système de filtrage généralisé (Security gate) pour filtrer une dernière fois les applications testées avant la mise en exploitation.

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

Le livre de OWASP (Open Web Application Security Project)Testing guide est souvent cité comme une référence dans la sécurité des applications web.Découpé en plusieurs sections en fonction de l'évolution de la pénétration d'un cyber-attaquant via une application WEB, le guide démontre la construction logique qui s’opère lors d'une attaque. :

  • Prise d’information (Information gathering)

  • Gestion de la configuration et de l’installation (Configuration and deployment management testing)

  • Gestion des identités (Identity management testing)

  • Gestion de l’authentification (Authentication testing)

  • Gestion des autorisations (Authorization testing)

  • Gestion des sessions (Session management testing)

  • Gestion des entrées (Input validation testing)

  • Gestion des erreurs (Testing for error handling)

  • Attaque sur la cryptographie (Testing for weak cryptography)

  • Test de la logique business (Business logic testing)

  • Test du côté client (Client side testing)

 

 

Selon Claudio Merloni, Software Security Solutions Architect, HP Enterprise Security Products dernier intervenant de la matinée,  chaque entreprise possède ses propres spécificités. Chez HP, avec la gamme HP Fortify, la sécurité des applications suppose l'identification de phases spécifiques. La première implique la compréhension du problème et l'estimation de son ampleur : nombre d'applications a recenser par exemple. Ainsi, près de 20% des applications demeurent inconnues pour la plupart des entreprises notamment depuis l'émergence des familles applicatives Web et mobiles.

La deuxième phase identifie les applications critiques et leurs vulnérabilités également critiques. Une autre phase met en place la « security gate » déjà évoquée par Yves Le Floch afin de tester en fin de cycle la conformité des applications développées (y compris à l'extérieur de l entreprise) avec les règles de la politique de sécurité. Cette phase est déterminante pour accepter ou refuser une « livraison » d'un prestataire extérieur. La dernière séquence préconisée par HP précise les améliorations a apporter et les conditions de déploiement. Claudio Merloni insiste sur les notions de classifications des applications avec leurs niveau de criticité afin d'offrir aux responsables « métier » une plus grande visibilité sur l'évolution de leurs familles applicatives ;.

Comme l’expliquait récemment lors d'une conférence au CLUSIF un autre RSSI, Alexandre Fernandez Toro, RSSI Veolia Eau, auteur de l’ouvrage «Sécurité opérationnelle: conseils pratiques pour sécuriser le SI», tout projet d'entreprise, quel que soit le domaine d'activité, est de fait aujourd'hui un projet informatique. « Si l'entreprise se transforme et gagne, c'est grâce au système d'information et à la fluidité de l'informatique », rappelle-t-il. Une fluidité qui passe de plus en plus par la confiance dans les applications, victimes rappelons-le une fois encore dans 80% des cas des cyberattaquants.

Jean Philippe Bichard

 

 

 

 

BONUS :

OWASP (Open Web Application Security Project) :

https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents

 

FIC 2016 : http://www.observatoire-fic.com/le-fic-2016-aura-lieu-les-25-et-26-janvier-2016-sur-le-theme-de-la-securite-des-donnees/

HP: http://www8.hp.com/fr/fr/software-solutions/application-security/index.html

Sogeti : http://www.fr.sogeti.com/expertise/nos-offres/cybersecurite/

 

World Quality Report, 1 560 personnes venant de 32 pays ont été interrogées. Publié tous les ans depuis 2009, il s'agit du seul rapport mondial consacré à l’analyse de la qualité des applications. En 2015, pour la 7e édition, les données ont été recueillies à l'aide d'une méthodologie mixte associant entretiens téléphoniques et en ligne, assistés par ordinateur. Les répondants ont été classés en cinq groupes : DSI, VP Application, directeur informatique, responsable QA/Testing, directeur des données /directeur marketing. Ils ont participé partout dans le monde à des entretiens quantitatifs et qualitatifs suivis de discussions qualitatives plus approfondies, qui ont permis d'obtenir les réponses analysées dans le rapport.

Pour accéder au rapport complet

...

L'intégralité de l'article est réservée à nos abonnés: 

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 


 

 

Décret LPM : La Quadrature du Net dépose un recours devant le Conseil d'État

Décret LPM : La Quadrature du Net dépose un recours devant le Conseil d'État

 

 

(Communiqué de presse :La Quadrature du Net Paris, 18 février 2015

 

Aux côtés des fournisseurs d'accès associatifs de la fédération FFDN [1], La Quadrature du Net vient de déposer devant le Conseil d'État un recours contre le décret d'application de la Loi de programmation militaire (LPM) sur l'accès administratif aux données de connexion. À travers cette action contentieuse qui s'appuie sur une récente décision de la Cour de justice de l'Union européenne, c'est toute une partie de l'édifice juridique de la surveillance d'Internet qui est attaquée. Ce recours intervient alors que le gouvernement instrumentalise les événements sanglants du mois dernier pour aggraver les dérives actuelles, avec la présentation prochaine du projet de loi sur le renseignement. ***

 

En décembre 2013, le Parlement français adoptait la Loi de programmation militaire (LPM) [2], et avec elle plusieurs dispositions visant à parachever l'édifice juridique en matière de surveillance extra-judiciaire d'Internet : non seulement le nombre de services de police et de renseignement ayant accès aux données de connexion a été élargi, mais le champs des données concernées a lui aussi été étendu (la loi renvoie à l'ensemble des « informations et documents », « y compris » les métadonnées détenues à la fois par les fournisseurs d'accès et par les hébergeurs). Qui plus est, le dispositif ne s'accompagne d'aucun contrôle préalable de la CNCIS [3], l'autorité administrative indépendante dédiée au contrôle des interceptions administratives des communications, par ailleurs largement sous-dotée pour conduire à bien ses missions.

 

Enfin, la LPM prévoit qu'une telle surveillance des communications puisse être conduite en temps réel, « sur sollicitation du réseau » des opérateurs, cette fois avec un contrôle préalable de la CNCIS, laissant toutefois craindre une aspiration massive et directe des données.

 

À l'époque, en plein débat sur les révélations d'Edward Snowden et alors que le gouvernement a toujours refusé de faire la transparence sur les pratiques des services français en la matière, ces dispositions visant selon les dires de ses promoteurs à avaliser dans la loi des pratiques « alégales » (et donc illégales) avaient suscité une vive opposition de la société civile. En dépit des appels en ce sens, les parlementaires avaient cependant refusé [4] de saisir le Conseil constitutionnel pour évaluer la conformité de ces dispositions à la Constitution.

 

Le 24 décembre dernier, le gouvernement adoptait [5] en catimini le décret [6] d'application permettant la mise en œuvre de ces dispositions. La publication de ce décret est l'occasion pour La Quadrature du Net et les fournisseurs d'accès associatifs de la fédération FFDN d'attaquer l'ensemble de l'édifice juridique de la surveillance d'Internet qui s'est développé depuis les attentats du 11 septembre 2001.

 

Au travers de ce recours, c'est en effet le principe même d'une surveillance généralisée de la population qui est mis en cause. Le régime applicable s'appuie sur l'ensemble des acteurs de l'Internet — fournisseurs d'accès et hébergeurs situés sur le territoire français —, en les obligeant à conserver pendant une durée d'un an l'ensemble des données de connexion des utilisateurs d'Internet.

 

Ce régime avait été étendu à l'ensemble de l'Union européenne par une directive de 2006 [7] adoptée sous le coup de l'émotion suscitée par les attentats de Madrid et de Londres. Certaines lois nationales de transposition avaient été déclarées anti-constitutionnelles dans plusieurs États membres, dont l'Allemagne où un tel régime est demeuré inappliqué. Et le 8 avril 2014, la Cour de justice de l'Union européenne (CJUE) rendait une décision historique invalidant l'ensemble de la directive de 2006. Dans son arrêt Digital Rights c/ Irlande [8], la Cour indique clairement qu'un tel mécanisme de conservation des données est contraire aux droits fondamentaux. Selon la Cour :

 

« La directive 2006/24 concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel. » (§ 58)

 

Dans cet arrêt, c'est donc le principe d'une surveillance générale de la population qui est mis en cause, au profit d'une surveillance ciblée des personnes pour lesquelles il existe un intérêt légitime à attenter au droit à la vie privée.

 

Partout en Europe, dans le contexte du débat public suscité par les révélations d'Edward Snowden sur les dérives sécuritaires de l'après 11 septembre 2001, l'arrêt de la CJUE a déjà conduit à remettre en cause le droit et les pratiques actuelles en matière de surveillance d'Internet. En Autriche [9], en Roumanie [10], en Slovaquie [11] et en Slovénie [12], les cours constitutionnelles ont depuis lors suspendu ou annulé les lois nationales sur conservation des données. En Suède [13], aux Pays-Bas [14], au Royaume-Uni [15], d'importantes controverses sont en cours.

 

Dans le cadre de procédures détachées de l'arrêt de la CJUE, le GCHQ britannique vient également d'être condamné [16] pour ne pas avoir fait la transparence sur les échanges de données avec la NSA. Enfin, un recours dans lequel La Quadrature du Net intervient [17] au côté d'une coalition d'ONG est également porté contre les programmes du GCHQ devant la Cour européenne des droits de l'Homme (CEDH).

 

En France, le gouvernement a toujours refusé de tirer les leçons des révélations Snowden ou de l'arrêt de la CJUE. Au contraire, ces derniers mois ont vu l'adoption des nouvelles législations d'exception, avec non seulement la LPM mais aussi la loi de novembre 2014 de lutte contre le terrorisme. Alors que les crimes odieux au Moyen-Orient et en Afrique ou les attentats meurtriers des 7 et 9 janvier dernier sont actuellement l'objet d'une honteuse instrumentalisation sécuritaire [18], avec des appels à l'élargissement de la surveillance et à la criminalisation du chiffrement des communications, il est grand temps qu'en France aussi ce débat puisse avoir lieu, à la fois dans l'espace public et devant les juridictions.

 

La police et la justice doivent évidemment faire leur travail, mais de manière proportionnée et dans le respect de l'État de droit. C'est le sens de ce recours conjoint déposé aujourd'hui devant le Conseil d'État — le premier porté directement par La Quadrature du Net, dont les statuts [19] prévoient depuis 2013 qu'elle peut agir en justice pour défendre les droits fondamentaux des citoyens dans l'espace numérique. À terme, ce recours permettra non seulement de saisir le Conseil constitutionnel, puisque la LPM n'a fait l'objet d'aucun contrôle de constitutionnalité, mais également de confronter le droit français existant à la jurisprudence européenne du 8 avril 2014, ainsi qu'à celle de la CEDH.

 

 

* Références *

 

1. http://www.ffdn.org/

2. https://www.laquadrature.net/fr/lpm-promulguee-la-derive-du-politique-vers-la-surveillance-generalisee

3. https://fr.wikipedia.org/wiki/Commission_nationale_de_contr%C3%B4le_des_interceptions_de_s%C3%A9curit%C3%A9

4. https://www.laquadrature.net/fr/lpm-la-derive-du-politique-vers-la-surveillance-generalisee

5. http://www.nextinpact.com/news/91534-le-decret-l-article-20-lpm-publie-on-fait-point.htm

6. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029958091&dateTexte=&categorieLien=id

7. https://fr.wikipedia.org/wiki/Directive_2006/24/CE_sur_la_conservation_des_donn%C3%A9es

8. https://wiki.laquadrature.net/Jurisprudence_sur_la_communication_en_ligne#.2B.2BCJUE.2C_8_avril_2014.2C_Digital_Rights_Ireland_Ltd_c.2F_Minister_for_Communications.2C_Ireland

9. http://www.pcworld.com/article/2401520/austrian-court-axes-data-retention-law-following-eu-high-court-ruling.html

10. https://www.digitalrights.ie/romanian-constitutional-court-holds-data-retention-unconstitutional/

11. https://edri.org/slovak-constitutional-court-suspends-data-retention-legislation/

12. https://www.ip-rs.si/index.php?id=272&tx_ttnews%5Btt_news%5D=1256&cHash=2885f4a56e6ff9d8abc6f94da098f461

13. http://www.pcworld.com/article/2682732/swedish-isp-urges-european-commission-to-end-illegal-data-retention.html

14. https://blog.cyberwar.nl/2015/02/dutch-dpa-issues-advice-on-revision-of-telecommunications-data-retention-law/

15. https://www.dontspyonus.org.uk/problem

16. http://www.theguardian.com/uk-news/2015/feb/06/gchq-mass-internet-surveillance-unlawful-court-nsa

17. https://www.laquadrature.net/fr/la-quadrature-sengage-dans-la-lutte-juridictionnelle-contre-la-surveillance-de-masse

18. http://www.laquadrature.net/fr/instrumentaliser-la-terreur-pour-controler-les-communications-chiffrees-une-derive-dangereuse-et-ant

19. https://www.laquadrature.net/files/Statuts%20LQDN.pdf

 

 

** À propos de La Quadrature du Net **

 

La Quadrature du Net est une organisation de défense des droits et libertés des citoyens sur Internet. Elle promeut une adaptation de la législation française et européenne qui soit fidèle aux valeurs qui ont présidé au développement d'Internet, notamment la libre circulation de la connaissance. À ce titre, La Quadrature du Net intervient notamment dans les débats concernant la liberté d'expression, le droit d'auteur, la régulation du secteur des télécommunications ou encore le respect de la vie privée.*

 

ANSSI: Trois décrets publiés le 30 mars 2015 : 0IV, habilitation, qualification

 

L'ANSSI annonce la publication le 30 mars 2015 de trois décrets : OIV,  habilitation et assermentation, qualification

 

Publication du décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale La loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013) a introduit d’importantes dispositions relatives à la sécurité des systèmes d’information des opérateurs d’importance vitale.

Ces nouvelles dispositions permettront de renforcer significativement la sécurité de ces opérateurs dont le rôle est primordial pour le fonctionnement de la Nation. Le décret n° 2015-351 du 27 mars 2015 précise les conditions dans lesquelles : - sont fixées les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs d’importance vitale, - sont mis en œuvre les systèmes de détection d’événements affectant la sécurité de ces systèmes d’information, - sont déclarés les incidents affectant la sécurité ou le fonctionnement de ces systèmes d’information, - sont contrôlés ces systèmes d’information. Les critères permettant aux opérateurs d’identifier les systèmes d’information soumis à ce nouveau dispositif, les règles de sécurité informatique qui s’y appliqueront et les modalités de déclaration des incidents les affectant seront fixés par des arrêtés sectoriels. Compte tenu de la diversité et de la complexité des environnements dans lesquels ces opérateurs interviennent, l’ANSSI a choisi de mener les travaux de préparation de ces arrêtés en étroite concertation avec l’ensemble des acteurs concernés. Dans ce cadre, a été mis en place, pour chaque domaine d’activité1 , un groupe de travail réunissant les opérateurs d’importance vitale, le ministère coordonnateur et l’ANSSI, dans le but de définir des règles de sécurité à la fois efficaces du point de vue de l’accroissement de la cybersécurité, adaptées aux spécificités des divers métiers et soutenables humainement et financièrement par les opérateurs d’importance vitale. Les arrêtés sectoriels seront publiés courant 2015, en fonction de l’avancement de ces travaux.

 

centre cyber

centre cyber de l'ANSSI (source ANSSI 2014) 

 

Publication du décret n° 2015-349 du 27 mars 2015 relatif à l’habilitation et à l’assermentation des agents de l’autorité nationale de sécurité des systèmes d’information et pris pour l’application de l’article L.2321-3 du code de la défense

 

L’ANSSI ne disposait pas du cadre légal et réglementaire lui permettant de demander aux opérateurs de communications électroniques d’identifier à partir de données techniques telles qu’une adresse IP horodatée, les victimes d’une attaque ou les utilisateurs de systèmes vulnérables à une attaque.

Désormais, le décret d’application fixe les conditions d’habilitation et d’assermentation des agents chargés de mener cette mission et permet ainsi de mettre en œuvre les nouvelles dispositions prévues à l’article L. 2321-3 du code de la défense.L’article L.2321-3 du code de la défense, créé par l’article 24 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), permet pour les besoins de la sécurité des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV), aux agents de l’Agence nationale de la sécurité des systèmes d’information1 d’obtenir des opérateurs de communications électroniques, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système.

 

Dorénavant, l’ANSSI pourra s’adresser aux opérateurs pour identifier les victimes lorsqu’elle a connaissance d’une d’attaque ou de la vulnérabilité d’un système d’information. Ainsi, l’Agence pourra alerter au plus tôt les victimes d’attaques informatiques et contribuer à en limiter les conséquences. Les demandes d’identifications seront limitées au seul cadre où l’Agence agit pour les besoins de la sécurité des systèmes d’information de l’État et des OIV.

 

Publication du décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale

Pour les besoins de la sécurité nationale, il est important de recourir à des produits et des prestataires de services répondant à des exigences en matière de sécurité et de confiance. Ainsi, le décret n°2015-350 du 27 mars 2015 institue une procédure de qualification1 des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. Il s’agit en particulier des produits et des prestataires de service auxquels devront recourir les opérateurs d’importance vitale dans le cadre des obligations prévues par les articles L. 1332-6-1 et L. 1332-6-3 du code de la défense créés par l’article 22 de la loi de programmation militaire et notamment les : - systèmes de détection des incidents de sécurité ; - prestataires de détection des incidents de sécurité ; - prestataires chargés du contrôle de la sécurité des systèmes d’information. La procédure de qualification instaurée par ce décret s’adresse plus généralement aux personnes souhaitant faire qualifier des produits de sécurité et des prestations de service de confiance pour les besoins de la sécurité nationale. L’ANSSI mène actuellement une procédure expérimentale avec un panel de prestataires candidats afin de tester en conditions réelles les référentiels d’exigences applicables aux prestataires de réponse aux incidents de sécurité et de détection des incidents de sécurité.

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

BONUS:

http://www.ssi.gouv.fr/agence/cybersecurite/textes-fondamentaux/

 

Amazon Web Services (AWS) annonce le 30 mars 2015 que le Groupe européen des autorités de protection des données, plus connu sous le nom de groupe de travail «article 29»a approuvé le contrat de traitement de données (DPA - Data Processing Agreement) d’AWS, garantissant aux clients qu’il répond aux normes très strictes des lois européennes sur la protection des données.

L’approbation du DPA d’AWS incluant les clauses contractuelles types (communément désignées comme des clauses types) signifie que les clients d’AWS souhaitant transférer des données personnelles de l'Espace Economique Européen (EEE) vers d’autres pays, avec même plus de détails que leur contenu sur AWS, bénéficieront du même niveau élevé de protection des données que dans tout l'Espace Economique Européen.

Si vous souhaitez de plus amples informations à propos de cette approbation par le groupe de travail «article 29», vous pouvez consulter le site de la Commission nationale pour la protection des données du Grand-Duché du Luxembourg : http://www.cnpd.public.lu/en/actualites/international/2015/03/AWS/index.html.

 

Les entreprises françaises trop optimistes sur leur niveau de sécurité ?

Les entreprises françaises surestiment-elles leur maturité en cybersécurité ?


72 % sont persuadées d’être dotées d’un Next Generation Firewall alors qu’en réalité, elles seraient plutôt 30 % selon la dernière étude réalisée à la demande de Mc Afee (Intel Security)


(Source Corporate Communication) 16 octobre 2014 – McAfee, filiale d’Intel Security, annonce les résultats d’une étude réalisée
par Vanson Bourne. Cette dernière révèle que 48 % des entreprises françaises consacrent trop de temps à la gestion de leur sécurité réseau, plutôt que de s'occuper des menaces elles-mêmes.
De plus, près d'un tiers des décideurs informatiques (31 %) pensent que leur entreprise utilise trop de solutions de sécurité pour gérer les menaces, en constante évolution. Plus de la moitié (54 %) avouent même utiliser au moins cinq solutions de sécurité différentes au sein de leur réseau. Les entreprises ayant des solutions de sécurité multiples et par silo sont des cibles plus exposées en termes de vols de données. Selon l'étude, 41 % des décideurs informatiques français estiment que les solutions de sécurité ponctuelles, qui ne partagent pas l'information entre elles, peuvent laisser passer certaines menaces. 31 % d’entre eux ont également déclaré...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

BONUS: 

http://www.cyberisques.com/mots-cles-34-buisness-risk/360-les-couts-du-cybercrime-analyses-et-commentaires-apercu-version-complete-pour-les-abonnes

 Abonnement cyberisques.com: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

  

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires