ESET nouvelle version TPE / Home market compatible RGPD

Solutions: 

 

 

ESET met l'accent sur les cyberisques ciblant les acteurs SMB

 

Par manque de sensibilisation à la sécurité informatique, les TPE qui ne disposent de moyens humains dédiés, s’exposent à un risque plus élevé pouvant avoir de graves conséquences pour leur entreprise. Fort de ce constat et dans un souci de conformité juridique avec le futur reglement européen sur la protection des données (RGPD) ESET annonce aujourd'hui le lancement de ESET Smart Security Premium solution dédiée aux acteurs SMB et une nouvelle version de sa suite de sécurité pour le marche domestique.

 

ESET-V10

 

 

On savait la technologie ESET déjà particulirement efficace contre les spams ( https://www.eset.com/us/resources/detail/eset-undisputed-no-1-in-spam-protection/). Avec cette nouvelle version, les ingénieurs d'ESET ont ajouté au-delà des fonctions de base (antivirus, anti-phishing, protection contre les attaques par script, antispam…), des fonctions permettant d’accompagner les TPE dans la mise en place de systèmes de sécurité répondant aux exigences du RGPD : protection contre les attaques « script », chiffrement des données pour éviter les fuites éventuelles, protection du réseau domestique afin de connaître l’identité des appareils connectés, gestionnaire de mots de passe afin de protéger tous les accès par des mots de passe efficaces.

« Récemment, un cabinet médical s’est adressé à nous après s’être retrouvé infecté par un ransomware causant la perte de l’ensemble des données de ses patients. Il n’avait pas installé de solutions de sécurité car il n’en voyait pas l’utilité. Il devient urgent que les TPE prennent conscience de l’importance des données qu’ils détiennent », explique Benoît Grunemwald, Directeur des Opérations chez ESET France.

La première démarche consiste à réaliser une cartographie des données et attribuer un niveau de sensibilité aux informations. Pour appliquer les mesures, l’expert juridique viendra en soutien des actions entreprises par la société. Il restera alors la mise en place des systèmes de sécurité.

Avec l’arrivée du RGPD (2018) les TPE devront, au même titre que les grands comptes, s’approprier le texte qui vise à protéger les données personnelles hébergées par les entreprises et leurs sous-traitants. A ce titre, des mesures imposées par le règlement européen devront être mises en place sous peine de sanctions. La mise ne conformité de la protection des données devient donc une obligation. 

C'est dans cette stratégie de mise en conformité que l'éditeur européen cherche a étendre ses solutions pour toucher de nouveaux marchés au dela des cibles "home" et "SMB". S’appuyant sur un réseau de plus de 3.000 partenaires, ESET France accompagne toutes les entreprises en vue de l’adoption du RGPD.

« Gartner et IDC nous positionne 4ème éditeur mondial en volume sur les End Point. Eset est un acteur majeur Européen car la société est slovaque donc nous avons des pays où nous sommes premiers et continuons à croitre dans d’autres. Au-delà des discours nous avons une vrai solution qui répond à la problématique de nos clients .Nous privilégions le test qui prouve la valeur de notre approche et l’honnêteté que nous apportons dans la relation client. Nous avons volonté à aller sur les grands comptes mais notre cœur de cible est toujours le SMB et nous ne voulons pas risquer de mettre en péril la qualité de nos produits en ayant une gamme trop importante avec laquelle nous ne pourrions garantir la qualité à nos utilisateurs. Un exemple est le SCADA où nous n’avons pas de version spécifique mais nous adressons leur problématique de sécurité avec notre produit générique.» expliquait lors des Assises de la Sécurité a Monaco début octobre 2016, Benoit Grunemwald à Cyberisques News(http://cyberisques.com/fr/mots-cles-1/580-eset-certains-disait-l-antivirus-est-mort-nous-disons-qu-il-a-evolue).

 

Des solution PRO déclinées auprès du marché domestique :

Dans le même esprit, l'éditeur slovaque étend sa gamme auprès du marché domestique. Déjà tres présent sur ce segment de marché, ESET propose de nouvelles fonctions notamment contre le cyber-chantage.

Une étude publiée fin octobre 2016 par MarkMonitor® (protection des marques d’entreprise), révèle que 45 % des consommateurs ont été victimes d’une forme quelconque de cybercriminalité, 65 % d’entre eux ayant choisi de ne pas signaler l’incident aux autorités. L’enquête montre également que, parmi ces consommateurs, un sur six a subi des pertes financières consécutives à la fraude en ligne, d’un montant supérieur à 1 100 € pour 20 % des victimes. Les fausses demandes de réinitialisation des mots de passe des comptes de réseaux sociaux représentent le type de fraude le plus courant (20 % du sous-échantillon), suivies de près par les e-mails qui usurpent l’identité de sociétés légitimes pour solliciter des informations personnelles (17 %).  A l'image des usages BYOD, on comprend qu'une passerrelle de plus en plus large existe entre les marchés PRO et les marchés domestiques. Conscient de cette évolution, ESET propose une nouvelle suite "domestique" doté de fonctions "PRO". 

La nouvelle version ESET Internet Security bénéficie désormais de deux fonctionnalités majeures selon l'éditeur avec d'une part une protection Webcam qui signale les processus et les applications qui tentent d’accéder à la webcam et permet de les bloquer. D'autre part, une protection du réseau domestique permet à l’utilisateur de connaître l’identité des appareils connectés.

  « Le tout nouveau produit ESET Internet Security vient s’ajouter à notre portefeuille de produits primés et offre aux utilisateurs les meilleures fonctionnalités en matière de détection, de vitesse et de convivialité. Ces nouveaux produits ajoutent à nos protections multi-couches existants un ensemble de fonctionnalités centrées sur la protection de la vie privée » explique Eduard Kesely, Product Manager chez ESET.

L’utilisation massive des réseaux sociaux et la Génération Selfies attirent de nombreux pirates qui s’infiltrent dans les appareils connectés (ordinateurs, tablettes et smartphones) dans le but de récupérer leurs données ou même d’avoir accès à leur webcam.

Les cyberattaques récentes de type DdoS sur des infrastructures d'opérateurs montrent a quel point les Webcams et autres IoT (Objets connectés) sont devenus des vecteurs et plus seulement des cibles finales ( http://cyberisques.com/fr/mots-cles-15/139-mots-cles-32-externalisation/586-apres-l-attaque-sur-sns-dyn-la-securite-des-iot-en-question )

ESET semble bien positionné pour aborder 2017 et "ses" nouveaux marché.

 

BONUS :

ESET Internet Security est disponible sur www.eset.com/fr/

 

 

Etude Deloitte 2016: "Enjeux Cyber 2016, la face cachée de la cybersécurité"

Etude: septembre 2016

 

Etude Deloitte 2016:  "Enjeux Cyber 2016, la face cachée de la cybersécurité"

 

"En France, nous estimons à 50 le nombre d’attaques par jour que subit une entreprise" Bien que cette estimation soit difficile a analyser (taille de l’entreprise, niveau de sécurité (OIV?) secteur d’activité, sensibilité aux cyber risques… elle reflète les difficultés que doivent affronter les « auteurs » d’étude y compris celles adaptées au marche EU mais concue aux US (Lire notre section BONUS en fin d'article). La dernière proposée par Deloitte : "Enjeux Cyber 2016 La face cachée de la cybersécurité" se propose en toute humilité de  "de faire la lumière sur l’ensemble des enjeux que proposent la Cyber."

Elle est surtout révélatrice des turbulences qui agitent les COMEX face aux problematiques posées par les cyberisques. Quant à la face cachée, on ne comprend pas toujours ou elle est... contrairement à l'excellent rapport de Trend Micro sur l'underground français ( http://cyberisques.com/mots-cles-1/569-trend-micro-go-between-entre-la-france-et-le-japon ) et a celui de Compuware édité cette semaine (Infographie 1) .

Le questionnaire  expliquent les responsables Deloitte en France porte sur des entreprises pesant entre 1 a 10 milliards d’euros sur différents secteurs. Cible large ! En revanche, indépendamment du profil de l’entreprise, ce sont les RSSI qui ont été interrogés dans une large majorité (80%). Des RSSI pas toujours présents au CODIR. Ce qui n’empêche pas Deloitte de tirer certaines conclusions tres stratégiques. L’une d’entre elles portant sur la protection des données et les avantages « business » mérite le détour.

Selon Deloitte, en matière de Cybersécurité, deux visions s’opposent : « L’approche traditionnelle vise à traiter les risques Cyber dans le but de les maîtriser et les supprimer. Les mesures prises par l’entreprise permettent de mieux se protéger contre d’éventuelles attaques, tout en répondant aux contraintes des régulateurs. Pour d’autres, et c’est une approche totalement différente, la cybersécurité est une opportunité. Nous sommes convaincus qu’une gestion intelligente des risques aboutira à une amélioration du rendement et à une optimisation de la performance. Dans un environnement ultra-concurrentiel et en constante transformation, où les entreprises sont de plus en plus exposées aux risques, une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille. Les décisions stratégiques des entreprises pourront être réalisées sereinement, dès lors que la gestion des risques qui y est associée (identification, évaluation, réponse) sera non seulement orientée « protection » mais également « optimisation de la performance ».

 

Données-RGPD

 Infographie 1: Source Compuware 2016 

 

Pour Michael Bittan, Associé responsable Cyber Risk Services Deloitte France c’est sans aucun doute la seconde approche qui sera appellée a se développer.

Dans un environnement ultra-concurrentiel et en constante transformation, où les entreprises sont de plus en plus exposées aux risques, une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille. Les décisions stratégiques des entreprises pourront être réalisées sereinement, dès lors que la gestion des risques qui y est associée (identification, évaluation, réponse) sera non seulement orientée « protection » mais également « optimisation de la performance ».

@jpbichard

 

Etude-deloitte-2

 BONUS: 

 

http://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-beneath-the-surface-of-a-cyber-attack.pdf

 

Exemple de cyber-scénario avec impacts financiers (extrait de l'etude US lien ci-dessous)

Impact-Cyber-Attaques-2016Deloitte-US-2

Impact-Cyber-attaques-2016Deloitte-US

 

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI): « Il faut normaliser le risque cyber »

G-Poupard-PM

 

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI): 

 

« Nous attachons beaucoup d’importance à notre neutralité »

 

 

Derniers jours de juin. Ciel bas boulevard de la Tour Maubourg dans le 7ème arrondissement de Paris derrière les Invalides. Guillaume Poupard, directeur général de l’ANSSI se tient assis à la table de réunion devant son bureau. Ce haut serviteur de l’État ne baisse jamais la garde. Bien que franche sa parole demeure extrêmement mesurée. Il aurait pu opter pour la diplomatie, il a préféré la cryptographie à sa sortie de Polytechnique. Tout est en place. L'interview « soft battle » entre interviewé et intervieweur peut commencer.

 

ANSSI et conflit d’intérêt ?

Avec les PASSI (Prestataires d'Audits en Sécurité des Systèmes d'information), il n’y en a pas. On ne choisit pas ceux qui font les contrôles mais nous qualifions les entreprises qui contrôlent car elles doivent être compétentes et de confiance. Nous attachons beaucoup d’importance à notre neutralité, même si cela signifie refuser des demandes de labellisation.  

 

Auriez-vous déjà refusé des certifications à des grands industriels français ?

Vous seriez surpris par certaines décisions. Le but de la labellisation n’est pas de refuser mais d’accompagner les industriels dans la sécurisation de leurs produits. Lorsqu'il y a refus, il faut savoir que tout a été mis en œuvre pour permettre au candidat à la qualification d’être en phase avec les exigences de l’ANSSI mais qu’au final, le processus n’a pas pu aboutir pour diverses raisons. Nous nous devons d’être irréprochables : pas de label de complaisance dans le domaine de la confiance, ce serait insulter l’avenir.

 

Confiance et Brexit, quel est votre avis sur l'éventuel départ de la Grande Bretagne de la zone de confiance européenne ?

Je ne me précipite pas sur ce type de sujet. Le Brexit va soulever un très grand nombre de questions, selon un calendrier que nous ne maîtrisons pas. Concernant la certification EU cela ne mettra pas fin à nos relations bilatérales avec le Royaume-Uni qui fait partie de nos grands partenaires, notamment sur le plan opérationnel. Il est indispensable que cela continue, sans naïveté aucune bien évidemment.

 

PME et OIV ?

Aujourd’hui en accord avec la législation, l’ANSSI travaille avec les OIV pour élever leur niveau de sécurité et plus particulièrement ceux de leurs systèmes d’information les plus critiques. En termes cyber cela n'a pas de sens de traiter les OIV et leurs sous-traitants dans un même cadre juridique car chacun pourrait se renvoyer la balle en cas de désaccord. Notre idée est donc d'imposer aux OIV des règles strictes, charge à eux de les répercuter auprès des acteurs de leur propre écosystème. On reste alors dans une relation classique entre industriels et sous-traitants.

 

Développement et innovation avec les PME ?

Certains industriels réalisent beaucoup de co-développement avec des PME partenaires et apportent leurs propres outils de sécurité aux PME partenaires, typiquement sous la forme de solutions de sécurité intégrées. C'est une piste intéressante que nous encourageons et que nous suivons de près.

 

Données stratégiques partagées entre OIV et PME ?

Nous avons réalisé avec la CGPME un guide pour sensibiliser les PME aux menaces informatiques et aux bonnes pratiques à mettre en œuvre dans les PME Nous participons aussi au développement de produits dédiés à ces PME en prenant en compte le fait que l’aspect fonctionnel (usage, ergonomie) puissent aujourd’hui compter autant que les aspects purement liés à la performance technique.

L’ANSSI peut également être amenée à intervenir en cas d’ « OPA hostiles » dirigées contre des sociétés cyber en s’appuyant que le décret dit « IEF » introduit par M. Alain Juillet sur les investissements étrangers en France. Il ne s’agit pas tant de protectionnisme français que d’aider les entreprises à se protéger contre des investissements hostiles tout en permettant des investissements vertueux. Attention, nous ne bloquons en général pas les acquisitions mais le dispositif permet d’aménager un cadre rassurant dans lequel les différentes parties s’engagent et qui se traduit typiquement par des engagements et la mise en place des comités de surveillance existent par exemple. C'est plus un droit de regard qu'autre chose pour conserver un bon équilibre.

 

J'ai le sentiment que l'ANSSI qui pratique beaucoup l'essaimage veut se positionner comme chef d'orchestre d'un écosystème aux ramifications multiples allant des aspects techniques avec la qualification aux aspects organisationnels voire économiques avec les contrôles sur la résilience de SIIV d'acteurs cotés en bourse et donc sensibles à la protection de leur patrimoine.

Vous avez parfaitement raison. On ne peut pas se contenter de dire : « c'est mon domaine et le reste ne me concerne pas ». De plus, le rôle d’autorité nationale confère un véritable rôle d’animation de l’écosystème. Mais méfions-nous des idées reçues. La fuite des cerveaux dans le domaine de la cybersécurité n'est pas aussi grave que l’on voudrait le faire croire par exemple. Beaucoup de jeunes diplômés qui ont fait le choix de démarrer leur carrière en France après leurs études restent en France. De notre côté, après quelques années passées à l’ANSSI, nos ingénieurs peuvent rejoindre d'autres organisations. Ce n'est pas un problème.

 

Quelle lecture faites-vous du RGPD ?

C'est davantage un texte qui concerne la CNIL. Il précise le cadre de protection nécessaire aux données personnelles qui sont traitées au sein des entreprises. La CNIL protège les données. L'ANSSI, le contenant que constituent les systèmes d’information. Je vous accorde que les données étant hébergées par les SI, les deux approches sont intimement liées. Il faut absolument éviter que des positions contradictoires apparaissent : c'est, je crois, le véritable enjeu qui explique d’ailleurs les excellentes relations que nous entretenons entre la CNIL et l’ANSSI.

 

L'ANSSI a participé à l’élaboration de ce règlement européen ?

Non. En revanche la CNIL peut être amenée à nous solliciter pour des avis techniques.

 

Entre l'ANSSI et la CNIL, ce sont deux philosophies différentes qui se rencontrent : une CNIL « voltairienne » et une ANSSI « bonapartiste » par exemple ?

Nous sommes très proches mais nous pouvons, si vous insistez, trouver une approche différente sur un seul point : la diffusion d'information suite à une cyber-attaque. La CNIL est favorable à une communication large alors que nous préférons protéger l'anonymat des OIV concernés. Nous veillons à ce que ces deux approchent restent compatibles dans les cas opérationnels que nous traitons.

 

TV5 désormais OIV ?

Rappelons qu’un OIV se définit comme un opérateur qui exploite ou utilise des installations jugées indispensables pour la survie de la Nation. Tv5 Monde n’entre pas dans cette définition, ce qui n’enlève rien à son importance et à l’impact en termes d’image pour la France que peuvent avoir des attaques contre de telles entités. Ce type d’acteurs pourraient éventuellement s’intégrer sans êtres concernés par la directive NIS dont les modalités d’application restent à définir (lire encadré).

 

 OIV et SI connectés ?

Ce sont les OIV qui identifient leurs SI les plus critiques, seuls concernés par les règles issues de la LPM. Certains peuvent êtres interconnectés à l'étranger. Des contrôles peuvent être faits à l'étranger. Les contrôles parmi les plus critiques sont effectués par les équipes de l’ANSSI, les autres par des profils tels que des prestataires de confiance, qualifiés par l’ANSSI, les PASSI.

 

Dimension européenne de l'ANSSI et des autres agences en Europe ?

Au niveau des agences en charge des mêmes missions que l'ANSSI, il n'existe pas de G29 comme pour les CNIL européennes. La directive NIS que nous connaissons bien pour avoir participé à sa rédaction (cf encadré) précise que les Etats doivent rester responsables n’ont pas à de leurs OIV pour des questions de souveraineté nationale. La directive NIS précise également que chaque pays doit avoir une agence dédiée à la cybersécurité. Ce n'est pas le cas aujourd'hui. La directive impose aussi que ces agences travaillent en réseau sur une base volontaire entre elles ainsi qu’avec l'ENISA. A noter qu’un français, Jean Baptiste Demaison, actuellement un agent chargé d’affaires internationales à l’ANSSI, vient d'être nommé à la présidence du conseil d'administration de l'ENISA. Ceci traduit notre volonté d’encore plus impliquer cette agence européenne dans la montée en compétence des différents états membres.

En revanche une entité européenne de type G29 n'est pas nécessaire pour une simple raison : en cas de cyberattaques sur un OIV nous ne voulons pas être dans l’obligation d’en informer systématiquement tous les autres pays, sauf en cas de nécessité. Toutefois, au niveau international cela ne doit pas empêcher une harmonisation des niveaux de sécurité entre les acteurs majeurs de chaque pays de l'Union européenne.

 

Vous décrivez une situation paradoxale avec d'un côté un souci de discrétion et de souveraineté et d'un autre coté une volonté d'échanges techniques sur les cyberattaques entre ingénieurs. Comment gérer en pratique une telle stratégie ?

C'est exact et je ne dis pas que tout est facile dans notre métier. C'est aux agences de trier ce qui doit être dit et ce qui doit être conservé en interne. Notre métier consiste en permanence à se demander : que doit-on communiquer ? Notre rôle c'est aussi de s'assurer que les OIV prennent bien en compte toutes les cyber-menaces possibles et leurs conséquences. Ainsi un DAB peut être seulement bloqué, sans vol d’argent, comme en Corée récemment. La population ne pouvait plus retirer d'argent et en moins de 6h00 les premières scènes d'émeute apparaissaient. C'est aussi cela la cyberprotection.

 

Vision d'une stratégie européenne de l'ANSSI ?

A ce jour, nous ne sommes que quelques agences à réellement travailler ensemble en Europe, bien loin de 28 ou 27 ! Nos démarches communes consistent avant tout à protéger les biens communs comme ceux de la Commission et du Parlement européen pour qu’ils possèdent un bon niveau de cybersécurité. Dans un autre cadre, l’OTAN et l'interopérabilité entre systèmes militaires est également un autre sujet sur lequel nous travaillons pour que les armées puissent agir en coalition, par exemple via une normalisation des protocoles de chiffrement.

 

Une école crypto existe en Europe ?

Oui, en France évidemment mais également en Allemagne et dans quelques autres pays mais la recherche académique ne suffit pas et il faut une industrie en soutien, ce qui réduit fortement les pays maîtrisant cette science.

 

En matière d’évaluation où en sommes-nous sur les accords de reconnaissance mutuelle ?

Nous avons deux niveaux d'accords : un très large géographiquement, le « CCRA », et par conséquent limitant fortement le niveau de reconnaissance mutuelle ainsi qu’où un autre accord intra-européen, le « SOG-IS », qui concerne seulement 10 pays , ce qui permet de reconnaître des évaluations beaucoup plus poussées d’évaluer de confiance plus important. Cette approche doit permettre à mon sens d'obtenir un véritable périmètre européen ou chaque membre reconnaît ce que font les autres.

 

Pour les acteurs de toutes origines, que veut réellement imposer l'ANSSI en matière de qualification et de certification ?

Il n y a pas d'obligation réelle. Cela dépend de ce que l'on veut faire. Seuls les produits destinés à protéger des informations « classifiées Défense » doivent être qualifiés par l’ANSSI. D'une manière plus globale, certains cherchent à standardiser de l'expertise et c'est très difficile à réaliser. L'évaluation d'un produit de sécurité nécessite une véritable expertise et ne peut pas être réduite à un simple questionnaire à remplir. Les différents dispositifs de l’ANSSI visent à répondre à l’ensemble des besoins.

 

Doit-on tout normaliser en matière de cybersécurité ?

Tout non, mais déjà tout ce qui est possible. Nos OIV ont naturellement une forme d’aversion pour ce qui peut sembler original. Et c'est normal. Il faut normaliser la prise en compte du risque cyber pour le traiter le plus possible comme les autres risques. Tant que le cyber est traité par des mesures d'exception on demeure fragile.

 Propos recueillis par @jpbichard

 

 

BONUS:

 1 - OIV et LPM (loi de programmation militaire): Le point de vue de Deloitte avec Michael Bittan, Associé responsable des activités gestion des risques cyber chez Deloitte.

 

"Sur 15 OIV, 5 envisagent une refonte totale"

 

 Cyberisques NEWS: Combien d'OIV comme clients Deloitte en 2016 ? 

 Deloitte a une centaine de clients dont une bonne trentaine d’OIV. Nous pouvons considérer que cette trentaine est représentative des OIV.

 

Combien d'OIV en ICS/Scada selon Vous ?  

Je pense que sur le total des OIV, 35 à 40% disposent d'infrastructures basées sur des architectures ICS/SCADA

 

Que demande un projet de mise a niveau LPM comme l'impose l'ANSSI pour un OIV ?  

Généralement, un projet de mise à niveau d'un SIIV au regard des règles LPM s'étale sur une durée de 2 à 3 ans en fonction du secteur d’activité. Les grandes interrogations présentes chez la majorité de nos clients OIV peuvent s'identifier comme suit :

- identification des données stratégiques : combien de temps ? avec quels métiers ?

- estimation du budget LPM : c’est généralement le double du budget de fonctionnement géré par le RSSI groupe (pas le budget DSI) sur plusieurs années

- sur ce budget, la partie Audit / Etude / test d'intrusion pour réaliser la mise à niveau de la compatibilité avec les recos, la LPM représente 40% du budget annuel

 

Vos observations sur les obligations de la LPM aupres des OIV ? 

Le problème essentiel des OIV, c'est d'exister à un niveau mondial en termes de services délivrés par les SIIV tout en tenant compte des règles nationales en matière de cybersécurité. Au regard des contraintes de la LPM, certains clients envisagent de créer de nouveaux systèmes. Pour beaucoup de nos clients, c'est plus simple et plus rapide que de réaménager. Surs 15 OIV, 5 envisagent une refonte totale. Pour certains des solutions Cloud sont envisagées dans un second temps car il souhaitent dans un premier temps conserver leurs données en interne. Le rôle de Deloitte repose sur une méthode qui privilégie le cas par cas pour chaque client. On adapte à chaque client en fonction de sa maturité, de ses priorités et de ses besoins. Le générique doit se « customizer ».

 

Quel rôle veut jouer Deloitte dans la mise en place des protocoles LPM chez les OIV ?  

Si Deloitte devient PASSI totalement en plus de notre entité HSC et que l'ANSSI demande à certains PASSI forcément de confiance d’effectuer pour l'ANSSI des missions de contrôle, dans ce cas nous devrons choisir le conseil ou le contrôle. Nous faisons exactement la même chose lorsque nous conseillons nos clients sur la mise en place d’un SMSI (Système de management de la Sécurité de l’information ISO27001). En France, nous ne certifions pas les entreprises que nous avons conseillé sur la 27001. En cybersécurité "LPM", Il sera intéressant de connaitre les modalités de ces attributions car le Cabinet Deloitte est reconnu pour son métier premier d’auditeur mais aussi pour sa forte expertise sur le Conseil.

 @jpbichard

 

 

2 - NIS : La stratégie de cybersécurité imposée aux Etats de l’UE d’ici 2018*

En février 2013, la Commission européenne a proposé aux Etats membres et au Parlement européen d’adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union.
Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d’obtenir un espace numérique sécurisé et performant au sein duquel les Etats membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité.

Au niveau national, l’Union prévoit que tous les Etats membres devront créer une « computer emergency response team » (CERT), c’est-à-dire un centre d’alerte et de réaction aux attaques informatiques qui aurait pour mission de surveiller, analyser, avertir des risques et intervenir a posteriori.

Au niveau communautaire, la directive NIS prévoit la mise en place d’un réseau de communication interétatique afin de favoriser la circulation des alertes, la cybercriminalité n’ayant pas de frontières. La coopération paneuropéenne se fera sur la base du volontariat et du partage d’information des différents acteurs. Face à la cyber-menace, notamment de nature terroriste, la solidarité entre Etats apparaît en effet indispensable.

*Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d'avocats ACBM (http://www.acbm-avocats.com)

 

 

 

Réforme 2016 du Code civil : le prix dans les contrats

Réforme 2016 du Code civil : le prix dans les contrats

 

La réforme du code 1804 dit de Napoléon.passe discrétement cet été alors qu'elle sera applicable avec les nouveaux textes des le 1er octobre de cette année.

Elle porte entre autres sur les contrat notamment sur les droits et Technologies. 450 articles ont été réécrits sans aucune reglementation EUR à l'appui. L'idée c'est de s'adapter aux contrats de services liés aux nouvelles Technos. L'idée cest de rendre plus attractif le droit français. Globalement selon le cabinet d'experts Ledieu, c'est plus clair et plus cohérents.des évolutions non négligeables existent avec cette nouvelle version notamment au niveau du «  contrat d'adhésion ». On sait qu'à la différence du contrat « gré à gré » négociable, le « contrat d'adhésion » comme ceux proposés par les éditeurs en ligne peuvent désormais être contestés. Si une clause abusive est constatée par le juge il peut désormais l'annulée ; Il est donc important que les entreprises de services puissent désormais proposer des « contrats d’adhésion » avec des clauses « acceptables ». La nouvelle version du code n'a pas omis les nouvelles dispositions relatives à la valeur des restitutions en cas de résolution / résiliation des contrats. Un exemple: si un prix évolue de plus de 15 % la révision du contrat ou sa résiliation sont envisageables. 

@jpbichard

 

 

 Contrat-Ledieu

Le prix, grand oublié du Code Napoléon

Manifestement, les rédacteurs du Code civil étaient moins attachés à la notion de prix que nous le sommes aujourd’hui : aucune disposition générale ne s’y réfère, à part en matière de vente. Le vide est désormais comblé. Mais est-il bien comblé ?

 

Le prix et l’information déterminante

Dès le 1er octobre 2016, l’analyse de la “valeur” du contrat fera son entrée dans notre droit positif. Dans la phase pré-contractuelle, le [nouveau] Code civil écartera le principe de l’erreur sur la valeur d’une prestation, entendue comme une “information déterminante” due par une partie à l’autre. Sauf en cas de dol* bien sûr (“l’erreur résultant d’un dol est toujours excusable” nous dit l’article 1139 [nouveau]).

 

*Faute intentionnelle de type vice caché par exemple ou omission volontaire

 

 

L’appréciation économique inexacte

A l’identique, lors de la formation du contrat, “l’appréciation économique inexacte” d’une prestation ne pourra donner lieu à nullité du contrat. Au moins, le principe a le mérite d’être clair.

 

La réduction du prix en cas d’inexécution partielle

C’est également une des grandes nouveautés du [nouveau] Code civil. Mais là, les rédacteurs de l’Ordonnance se sont ratés dans les grandes largeurs. Les mécanismes proposés sont incomplets, voire incohérents. Vous allez découvrir dans quelle mesure.

UN prestataire peut etre contesté et le client peut proposer un nouveau prix. Dans ce cas le prestataire risque de cesser immédiatement sa mission (exception d'une inexécution). Disposition étrange.

 

 

La fixation unilatérale du prix

Opérant une subtile distinction entre “contrat cadre” et “contrat de services” (que nous ne comprenons toujours pas…), le futur Code civil autorisera la fixation unilatérale du prix par “le créancier” (de l’obligation ?) dans les contrats de services ou par “une des parties” dans les contrats cadre. Avec obligation de devoir “motiver” ce prix d’une part, et droit de demander des dommages-intérêts en cas d’abus dans la fixation du prix d’autre part. Nous n’avons pas finis de nous arracher les cheveux…

 

 

Le changement de circonstances imprévisible

Mais surtout, vraie révolution de ce Code civil version 2016, les parties pourront demander la modification du prix convenu en cas de “changement de circonstances imprévisible“.

Les plus fins juristes auront reconnu entre les guillemets le tsunami franco-français que représente le changement à 180 degrés de notre (fameuse) règle de l’imprévision, malgré la résistance farouche depuis 1876 de la Cour de cassation (arrêt “Canal de Craponne”) à modifier le prix convenu dans le contrat.

 

Les mêmes fins juristes réaliseront vite le parti à tirer de cette règle nouvelle, à laquelle il sera (heureusement) possible de déroger contractuellement. Vous, je ne sais pas, mais moi, ma clause est déjà prête lorsque une prestation est fournie par un tiers en sous-traitance…

 Le 1er octobre approche, même si l’on reste pour l’instant sans nouvelle de la loi de ratification de l’Ordonnance n°2016­-131 du 10 février 2016

  

BONUS :

http://www.ledieu-avocats.fr/systemes-information-cyber-securite/

 

 

Les cyber-experts de la Gendarmerie Nationale

Cyber-experts: Pole judiciaire de la gendarmerie nationale  

 

41f789a3-3f0f-4478-a8bf-b6ece25e1711

 

 

Priorités 2016 du Pole judiciaire de la Gendarmerie Nationale :

prévention et anticipation sur les cyberisques

 

 

 

Créé en 2011 le pôle judiciaire de la Gendarmerie Nationale a déménagé en 2015 a Cergy Pontoise quittant les vieux locaux du Fort de Rosny sous Bois. Présente dans toutes les divisions, la lutte contre les cyber-menaces devient un axe fort des cyber-gendarmes dont la future devise pourrait être : « anticiper pour mieux agir ».

 

 

Installé depuis janvier 2015 à Cergy, le Pôle intègre le SCRC  le service central de renseignement criminel, le C3N lutte contre la criminalité numérique,  OCSTI (observatoire central des systèmes de transport intelligents qui étudie l'impact de l'informatique dans le transport afin d'améliorer la sureté)  et le centre de recherche et d'enseignement appliqué à la criminalistique. C'est désormais une évidence pour la communication officielle de la Gendarmerie Nationale, la lutte contre toutes les formes de cyber-menaces devient une priorité en 2016 (1).

Le rapport IoCTA 2015 récemment publié par Europol fait état d’une augmentation significative des détournements de données, lors de cyberattaques venant du crime organisé. Le préjudice mondial annuel de la cybercriminalité est estimé à 500 milliards de dollars en 2015. Il atteindrait en 2020 un montant cinq à sept fois supérieur. Pour le préfet « cyber » Jean-Yves LaTournerie, conseiller du gouvernement, chargé de la lutte contre les cybermenaces la lutte contre les cybermenaces suppose des aménagements « L’existence notoire de « cyberparadis », l’inadaptation des outils juridiques classiques - les demandes d’entraide pénale internationale - trop longs à mettre en œuvre alors que la preuve numérique est éphémère, la dépendance des enquêteurs aux acteurs de l’Internet étrangers qui détiennent les données nécessaires à la poursuite des investigations, telles sont les difficultés que les services de police et de gendarmerie et l’institution judiciaire doivent généralement affronter. »

 

 

94787480-9b5f-4b4d-988d-58c3650c39ca

Photo1 @jpbichard

 

  

En 2016, les cyber-risques traités par les services de la Gendarmerie sont multiples et touchent de nombreuses couches de la société au delà de la traditionnelle lutte contre la pornographie ou la pédophilie. A Gergy, le Pôle judiciaire de la Gendarmerie Nationale fait la chasse via Internet et des outils spécifiques (Photos 1 et 2) aux cyberdélinquants. Cette entité renseigne aussi d'autres services externes à la Gendarmerie sur des tendances "inquiétantes" sur le Net telles que les échanges « terroristes ». C'est le rôle du service C3N (lire encadré Photo5).

D'autres services détectent les failles des équipements en s'appuyant sur les recherches d'un laboratoire dédié (Photos en section BONUS). Une autre division recherche les voleurs de voiture en développant un nouveau système numérique de détection de faux numéros de série qui sera mis en place dès cette année. Cette entité observe aussi le futur des voitures connectées et des nouveaux comportements des conducteurs. Ces travaux permettent selon les experts de la Gendarmerie de prédire certains comportements a risques. Pour toutes ces recherches, on trouve comme point commun : la donnée numérique.

 

db5447ee-e154-4309-88a2-159b8f773f38

Photo2 @jpbichard

 

  

« Cette donnée, thème central du prochain Forum international de la Cybersécurité (BONUS 2), est visée pour ce qu’elle représente, parce qu’elle est une parcelle de la souveraineté, de l’influence, de la compétitivité économique ou parce qu’elle est une monnaie d’échange, un moyen de chantage ou, pire, un moyen de dominer les esprits.» constate le Général Watin-Augouard (lire encadré).

 

Au Pole judiciaire le Service central de renseignement criminel fort de 500 personnes détecte, analyse via des sous divisions dédiées : fichiers et administration des applications judiciaires, analyse et investigation (analyse prédictive), opérations d'appuis spécialisées (profiler ou analyse pschocriminologique)...

La division numérique du pôle judiciaire se compose de quatre entités : informatique/électronique (boite noire avec échanges d'informations entre pilotes et sol), analyse d'images et paroles numériques, comparaisons d'écritures, développement d'applications pour véhicules… D'autres divisions comme celles propres à l'univers du «vivant » (parfois mort)... travaillent sur des thématiques plus humaines mais toujours au moyen d'outils numériques de pointe : identification humaine, empreintes, anthropo/morpho, médecine légale... Plus de 100 000 analyses sont réalisées chaque année.

A l'évidence, le pôle judiciaire de la Gendarmerie Nationale s'appuie de plus en plus les technologies numériques pour développer les services de prévention et de sécurité du futur. C'est dans cette optique que les équipes du Colonel Perrot développent en s’appuyant sur de puissants algorithmes des applications totalement basées sur les données historiques pour "anticiper et mieux agir". Cette phase d'anticipation s'empressent de préciser les responsables de la Gendarmerie ne vise pas une population précise mais examine des comportements notamment ceux des foules afin de prévoir la mise en place des groupes de sécurité par exemple.

 

gendarmerie-Prédictive

Photo3 @jpbichard

 

 

Loin des séquences du film « Minority report », le responsable de cette division insiste sur l'aspect scientifique de son travail. Il insiste : loin d'Hollywood, il tente avec ses équipes de chercheurs de donner un « sens » aux données afin d'anticiper et prédire certains faits utiles pour déployer les forces de la gendarmerie par exemple. bref, utiliser les données comme facteur d’influence sur un contexte (Photo3). Encore faut il connaître les contextes d’où une coordination avec différents services comme la Météo, l'INSEE, sécurité routière....

Anticiper pour mieux agir. Beau programme avec ses avantages et ses doutes (Vie privée menacée, démocratie en mode Big Brother...).

Reste l'usage "intelligent" des big data. Les expert de la gendarmerie se posent les mêmes questions que la plupart des scientifiques de cette nouvelle discipline. Des précurseurs comme Henri Laborit (découvreur des premiers antidépresseurs) avaient, dès les années soixante-dix, compris le rapport entre l'homme et l'information : « Il faut propager au plus vite cette notion que l'homme n'est pas une force de travail, mais une structure qui traite l'information. »

La donnée, mal exploitée peut se retourner contre l'homme. D'ou l'importance vitale de lui donner un sens lorsqu'elle devient une information exploitée par les services d'un Etat responsable de la sécurité des citoyens. La différence entre ces deux notions données et informations exploitées n'est pas anodine. La donnée se définit comme un élément brut et fondamental. Elle ne possède pas de sens à proprement parlé, elle n'apporte pas de valeur, elle n'en enlève pas non plus. L'information quant à elle, peut se définir comme une donnée placée dans un contexte et est, dès lors, sujette à interprétation. "Elle est porteuse de sens et influe sur le contexte" expliquent les expert de la Gendarmerie. C'est là toute l'ambiguité des opérations de prédiction. Pour le Colonel Perrot, il s'agit d'être davantage dans le décisionnel que le prédictif. "Nous devons offrir des applications qui permettent d'être pour notre service un intermédiaire entre la donnée et l'action".

Les risques liés aux analyses prédictives sont connus a commencer par les risques d'erreurs (arrêter un innocent par exemple). C'est pour cette raison que la Gendarmerie nationale insiste sur certains messages : l'analyse prédictive réalisée en France par ses services ne donne pas lieu à de la préemption donc pas d'interpellation a priori suite à des indications du « logiciel prédictif ». Pas de subjectivité non plus affirme le Colonel Perrot. « nos algorithmes mathématique sont neutres et reposent souvent sur des données du passé donc dépassées ce qui restreint l'exactitude de certaines prévisions ». Du coup, reste la question essentielle : Comment s'appuyer sur l'antérieur pour prévoir le futur ? la réponse des cyber-experts est claire et paradoxale: nous ne sommes pas sur un terrain ou la précision est capitale.  La prédiction est un outil d'aide a la décision. Pour le colonel Perrot "Les tendances sont plus importantes que les chiffres afin de mettre en place des conte-mesures". L'idée en terme pratiques de résultats, c'est par exemple de développer une matrice avec codes couleurs qui décline des intentions d'actions parmi les plus probables. « Les données constituent le socle de nos analyses. Elle ne couvrent pas tout. Donc nos résultats sont pondérés et ne peuvent donner aucune certitude" explique l'officier. "On applique des méthodes et il en existe des dizaines. Ce qui fonctionne dans un lieu A ne fonctionne pas dans un lieu B." Les contrainte des analyses prédictives sont nombreuses. Elles reposent pour la plupart sur la « qualité «  de la donnée. Ainsi, la partie exploration de données se fait à partir de source libre (open data). En source ouverte, ces données ne sont pas toujours actuelles (INSEE) et suivies.

 

Pole-Judiciaire

Photo4 @jpbichard

En outre une donnée publique a caractère nominatif n'est pas exploitable. A Cergy, les services du Pôle Judiciaire de la Gendarmerie cherchent a exploiter un patrimoine numérique souvent textuel non structuré. Parfois il est indispensable d'intégrer des valeurs aberrantes au sens excessives dans la compréhension d'un problème. L'accident de car en novembre 2014 dans le sud ouest a provoqué la mort de 49 personnes. C'est une donnée réelle mais inadaptée à un calcul rationnel du nombre de morts sur une année dans un département par exemple. La maîtrise des statistiques en plus de celles inhérentes à la sélection des données s'impose alors. Ce qui conduit a développer certains outils en complément d'autres venus du marché. « L'idée c'est que contrairement à d'autres pays, nous refusons en France de désigner un groupe particulier comme responsable de tels actes de malveillance ce qui entraînerait des résultats statistiquement faux comme le nombre de morts dans un département » insiste le Colonel Perrot en précisant : « Nous voulons travailler au niveau tactique, stratégique et opérationnel. L'analyse de données c'est mécanique, l'intuition et l'analyse des enquêteurs sur le terrain demeurent capitales ». Bergson rappelle le colonel Perrot a dit « Prévoir c'est projeter dans l'avenir nos perceptions du passé » c'est une bonne approche pour comprendre notre travail. Bonne approche mais qui nécessite énormément de vigilance. La gendarmerie nationale comme d'autres grands corps de l'Etat ne peut pas répondre à une question majeure pour la liberté de chaque citoyen: quel sens serait donné aux millions de données collectées par un Etat totalitaire par exemple ? En d'autres termes qu'advientrait il de ces recherches "prédictives" et de leur manipulation voire interprétations si un pouvoir politique voulait se situer hors du cadre légal "pour raison d'Etat" bien evidemment ?  On revient à ce que précisément analyse le Général Watin-Augouard quand il écrit dans le dernier numéro de la revue de la Gendarmerie nationale avec justesse: "Aujourd’hui, la donnée n’est plus annexe, ni connexe : elle est désormais au cœur de l’écosystème du cyberespace"

 @jpbichard

 

 

 c7e693ef-0bc4-4f82-8441-0d1269146868

Photo5 @jpbichard

C3N : Commend réduire l'influence de DAESH sur les réseaux sociaux ?

Le Centre de lutte contre les criminalités numériques (C3n) a été créé au sein du nouveau Pôle judiciaire de la gendarmerie nationale (PJGn) de Pontoise. Il constitue la véritable tête de pont d'un dispositif territorial décentralisé, dénommé réseau Cybergend. Tropis missions lui sont attribuées : soutien aux enquêtes judiciaires, enqu^tes sur les atteintes aux matériels numériques courants (smartphones, tablettes, PC, serveurs…) recherches proactives. Face aux cyber-menaces de toutes sortes, il faut le rappeler, pratiquement aucune enquête n'aboutit sans coopération internationale. C'est d'ailleurs ce que confirme le colonel Nicolas Duvinage, Chef du centre de lutte contre les criminalités numériques (C3N) : « l'un de nos problèmes c'est que face à des opérations de propagande de type DAESH nous devons poursuivre nos investigations dans le cadre de la réglementation française ce qui suppose par exemple que les adresses IP que nous identifions correspondent à des références françaises ;  si ce n'est pas le cas nous nous adressons aux autorités du pays concerné. Parfois nous obtenons tres rapidement des résultats comme avec les responsables de Twitter parfois une fin de non recevoir comme avec le site archive.org voire quelques réticences avec Facebook ». La veille réalisée par les agents du C3N repose toujours sur des sources ouvertes. Elle s'effectuent via des outils de recherche classiques comme Google Search et par des applications développées par des entreprises françaises. A noter que des outils tels que Watson d'IBM sont également utilisés par la gendarmerie nationale.

 

 

 

BONUS

 

Général d’armée (2S) Marc Watin-Augouard

 

Général d’armée (2S) Marc Watin-Augouard
 
Ancien inspecteur général des armées-gendarmerie, le général d’armée (2S) Watin-Augouard a animé un groupe de travail qui a contribué à la rédaction du rapport de Thierry Breton sur la cybercriminalité (2005). Conscient de l’impérieuse nécessité développer une coopération interservices et internationale pour mieux lutter contre les prédateurs du cyberespace, il a été, avec le concours actif de Régis Fohrer, le fondateur du FIC en 2007. Le succès croissant de cette manifestation n’est pas la conséquence d’un effet de mode mais témoigne d’une demande d’acteurs publics et privés confrontés à des attaques de plus en plus nombreuses et de plus en plus destructrices de valeurs. Aujourd’hui directeur du centre de recherche de l’Ecole des officiers de la gendarmerie nationale (EOGN), il est l’un des trois membres du comité de direction du FIC. Dans les universités où il enseigne (Paris II, Paris V, Lille II, Aix-Marseille III, Clermont-Ferrand) et à l’Ecole de guerre, il sensibilise les élèves sur les enjeux de la société numérique. Il a contribué aux travaux du Livre blanc de la défense et de la sécurité nationale.

- See more at: http://www.observatoire-fic.com/author/marc-watin-augouard/#sthash.OxPap3zx.dpuf

 

1 - http://www.gendarmerie.interieur.gouv.fr/crgn/Actus/Protection-des-donnees-et-vie-privee

2 - http://www.cyberisques.com/fr/content12

 

5cfb1076-e6cd-4975-b854-5e8f85db394bc08f0c59-b0b4-49ae-b231-4c7f294dda1b9da3223e-801b-4ce7-8cef-c17d65464696572afc92-113d-43b0-9e88-3d61918f91ed

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires