Gouvernance de la sécurité des Systèmes dInformation Volet-3

VOLET 3

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

AGENDA VOLET III

� Module N°1 : Organisation de la sécuritéen France� Organisation de la sécurité en France

� Lutte contre la cybercriminalité en France

� Comment réagir en cas de cyber crime ?

� Module N°2 : Aspects juridiques et réglementaires � Contexte juridique - Droit des T.I.C.

� Loi Godfrain - CNIL

� OIV - LPM


� Pour aller plus loin� Magazine

� Articles - Web

TRAVAIL PERSONNEL

� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture du chapitre suivant

� Chapitre 2.5 Cyber criminalité

� Chapitre 3.7 Prise en compte des besoins juridiques


MODULE N°1 : ORGANISATION DE LA SÉCURITÉ EN FRANCE


ORGANISATION DE LA SÉCURITÉ EN FRANCE

LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE

COMMENT RÉAGIR EN CAS DE CYBER CRIME ?



Cyberdéfense : un véritable enjeu de sécurité nation ale

« Les cyberattaques , parce qu’elles n’ont pas, jusqu’à présent, causé la mortd’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dèsaujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menacemajeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les prioritésstratégiques, livre blanc 2013)

« Le développement de capacités de cyberdéfense militaire fera l’objet d’un effortmarqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)



Premier Ministre

Secrétaire général de la défense et de la sécurité

nationale (SGDSN)

Agence nationale de la sécurité des systèmes d’information (ANSSI)

Ministères

Défense

Intérieur

Affaires étrangères

Economie

Budget

Industrie

…

Hauts fonctionnaires de défense et de sécurité

(HFDS)

Organisation interministérielle :

Pilotage de la politique nationale en matière de sécurité des systèmes

d’information

Proposition des règles à appliquer pour la protection des S.I. de l’État. Vérification de l’application des mesures adoptéesConseil/soutien Sécurité aux administrationsInformation du publicContribution au développement de Services de confiance…

Coordination de la préparation des mesures de défense (Vigipirate) et chargés de la sécurité des systèmes d'information

LE DROIT DES T.I.C.


Définition de la cybercriminalité :« Ensemble des actes contrevenants aux traités internationaux ou aux loisnationales utilisant les réseaux ou les systèmes d’information comme moyensde réalisation d’un délit ou d’un crime, ou les ayant pour cible. »

Définition de l’investigation numérique (forensics) :« Ensemble des protocoles et de mesures permettant de rechercher deséléments techniques sur un conteneur de données numériques en vue derépondre à un objectif technique en respectant une procédure de préservationdu conteneur. »

La lutte contre la cybercriminalité en France



• http://www.clusif.asso.fr/fr/production/cybervictime/

Comment réagir en cas de cyber crime ?

RÉSUMÉ DU MODULE


Organisation de la sécurité

en France

Comment réagir en cas de cyber crime ?

MODULE N°2 : ASPECTS JURIDIQUES ET RÉGLEMENTAIRES


CONTEXTE JURIDIQUE - DROIT DES T.I.C.

LOI GODFRAIN - CNIL

OIV - LPM

LE DROIT DES T.I.C.


Le contexte juridique

Liberté d’expression

Propriété intellectuelle

Protection de la vie privée

Cybercriminalité

Protection des entreprises

Protection du e-commerce

… et bien d’autres…

LE DROIT DES T.I.C.


– Un droit non codifié : des dizaines de codes en vigueur– … et difficile d’accès

• Au carrefour des autres droits • En évolution constante et rapide• Issu de textes de toute nature /niveaux • Caractérisé par une forte construction jurisprudentielle*

– nécessitant un effort de veille juridique.

(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce quidonne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.

Code civil

Code pénal

Droit du travail

Code de la propriété

intellectuelle

Code des postes et

communicat. électroniques

Code de la défense

Code de la consommation

…


LE DROIT DES T.I.C.



Entreprise

Loi Godfrain

« condamne le délit informatique »

Cryptologie

Informatique et libertés (CNIL)

« protection du patrimoine informationnel »

Droit d’auteur

Secret des correspondances

Traitements de données à caractère personnel

Cyber surveillance des salariés

Logiciels et bases de données

Reprographie

Loi Confiance en l’Économie Numérique

(LCEN)

Signature électronique,Spam et Commerce en ligne

Code civile

« protection des biens sous sa garde »

Droit du travail

« surveillance »


LA PROTECTION DES BIENS IMMATERIELS

Attribuer des droits aux auteurs de logiciels en ta nt qu’œuvres originales

Protéger ces droits face à la contrefaçon

Art. L. 335-2. (modifié par L. n° 94-102 du 5 fév. 1 994)Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de

toute autre production imprimée ou gravée en entier ou en partie, au mépris des

lois et règlements relatifs à la propriété des auteurs, est une contrefaçon ; et

toute contrefaçon est un délit :

� La contrefaçon en France d’ouvrages publics en France ou à l’étranger est punie de deux ans d’emprisonnement et de 152.450 € d’amende .

� Sont punis des mêmes peines l’exportation et l’importation des ouvrages contrefaits.

LA PROTECTION DES DONNEES & DES SYSTEMES


La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans toutou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 duCP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.

– Élément matériel de l’infraction : la notion d’accès ou maintien– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause »– Éléments indifférents :

• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;

affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)


Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines « victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée

Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire, un disque dur, une radio, un téléphone, un site internet…



• Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 duCP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende

• L'introduction, la suppression ou la modification fraudul euse de données dansun système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5ans d'emprisonnement et de 75.000 € d'amende

• L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,de céder ou de mettre à disposition, sans motif légitime, un p rogramme ou unmoyen permettant de commettre les infractions prévues aux articles 323-1 à 323-3. (mêmes sanctions)

• Art. 323-4 : l’association de malfaiteurs en informatique• Art. 323-5 : les peines complémentaires• Art. 323-6 : la responsabilité pénale des personnes morales• Art. 323-7 : la répression de la tentative




Pédopornographie

Le fait en vue de sa diffusion , de fixer, d’enregistrer ou de transmettre l’image ou lareprésentation d’un mineur lorsque cette image ou cette représentation présente uncaractère pornographique est puni de trois ans d’emprisonnement et de 45.000 eurosd’amende.

Le fait d’offrir ou de diffuser une telle image ou représenta tion , par quelque moyenque ce soit, de l’importer ou de l’exporter, de la faire importer ou de la faire exporter, estpuni des mêmes peines.

Le fait de détenir une telle image ou représentation est puni de deux ansd’emprisonnement et 30000 euros d’amende.

Les peines sont portées à cinq ans d’emprisonnement et à 75.000 euros d’amendelorsqu’il a été utilisé, pour la diffusion de l’image ou de la représentation du mineur àdestination d’un public non déterminé, un réseau de télécommunications

Art. 227-23 du Code pénal



Art. L163-4-1 du Code monétaire et financier

Générateurs de numéros de CB, clonage de CB (yescard)

Est puni de sept ans d’emprisonnement et de 750.000 euros d’amen de le fait pourtoute personne de fabriquer, d’acquérir, de détenir de céder d’offrir ou de me ttre àdisposition des équipements, instruments programmes informatiques ou toutesdonnées conçus ou spécialement adaptés pour commettre les infractionsprévues à l’art. L163-3 et L163-4.



Art. 434-15-2 du Code Pénal

Cryptologie

Est puni de trois ans d’emprisonnement le fait, pour quiconque ayant connaissancede la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoirété utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser deremettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur lesréquisitions de ces autorités délivrées en application des titres I et III du livre 1er du codede procédure pénale.

Si le refus est opposé alors que le remise ou la mise ne œuvre de la convention auraitpermis d’éviter la commission d’un crime ou d’un délit, ou d’en limiter les effets, la peineest portée à cinq ans d’emprisonnement et à 75 000 euros d’amende .

LA PROTECTION DES PERSONNES


• Quel est le champ d’application de la loi ?– Art. 2 « La présente loi s’applique aux traitements automatisés de

données à caractère personnel, ainsi qu’aux traitements nonautomatisés de données à caractère personnel contenues ou appeléesà figurer dans des fichiers, à l’exception des traitements mis en œuvrepour l’exercice d’activités exclusivement personnelles, lorsque leurresponsable remplit les conditions prévues à l’article 5 (relevant du droitnational). »

• Qu’est qu’une donnée à caractère personnel ?– « Constitue une donnée à caractère personnel toute information relative

à une personne physique identifiée ou qui peut être identifiée,directement ou indirectement, par référence à un numéro d’identificationou à un ou plusieurs éléments qui lui sont propres. »

Le rôle de la CNIL : La protection des données à ca ractère personnel

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés – modifié le 6 aout 2004



• Un traitement de données à caractère personnel doit être « loyal etlicite »– Les données sont collectées pour des finalités déterminées explicites et

légitimes– de manière proportionnée (adéquates, pertinentes et non excessives)– avec le consentement de la personne concernée (sauf exception)– pendant une durée n’excédant pas celle nécessaire à la réalisation des

finalités !

• Les personnes physiques disposent de différents droits sur les donnéesà caractère personnel qui font l’objet d’un traitement…– Un droit d’information préalable au consentement– Un droit d’accès aux données collectées– Un droit de rectification– Un droit d’opposition pour raison légitime


La loi protège les droits des personnes physiques identifiées ou identifiables par les données à caractère personnel



• Obligations administratives auprès de la CNIL– Le régime de la déclaration préalable (art. 22 à 24)

• Le traitement peut faire l’objet d’une dispense de déclaration• Le traitement échappe à l’obligation de déclaration car le responsable du

traitement a désigné un correspondant à la protection des données (CIL)• Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une

déclaration préalable

– Le régime d’autorisation préalable (art. 25 à 27)• Régime applicable pour les « traitements sensibles » (listés à l’art. 25)• Examen de la demande par la CNIL sous deux mois (le silence vaut rejet).


Le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données à caractère personnel



• Des obligations de confidentialité et de sécurité des traitements et desecret professionnel– De mettre en œuvre les mesures techniques et organisationnelles

appropriées, au regard de la nature des données et des risques, pourpréserver la sécurité des données et, notamment, empêcher qu'elles soientdéformées, endommagées, ou que des tiers non autorisés y aient accès(art. 34)

• Absence de prescriptions techniques précises

• Recommandation de réaliser une analyse de risques préalable voire, pour lestraitements les plus sensibles, une étude d’impact sur la vie privée (PIA)

• Publication par la CNIL de « guides sécurité pour gérer les risques sur la vieprivée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques)

– De veiller à ce que, le cas échéant, les sous-traitants apportent desgaranties suffisantes au regard des mesures de sécurité techniques etd’organisation

• Est considéré comme sous-traitant celui qui traite des données à caractèrepersonnel pour le compte et sous la responsabilité du responsable du traitement(article 35)




• Des sanctions pénales (articles 226-16 et suivants du Code pénal) :

– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement dedonnées à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loin° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000Euros d'amende » (art. 226-17)

• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts enfonction du préjudice causé aux personnes concernées

• Des sanctions administratives associées aux pouvoirs conférés à la CNIL

– Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de l’autorisation accordée

– Pouvoir de sanction pécuniaire

– Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage des données (3 mois)

– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions


Les différents risques et sanctions en cas de manqu ements aux différentes obligations



Extrait des Conditions Générales

d’Utilisation des services de

Google (Gmail, Google Calendar, Picasa, Google+,

etc…)

ConclusionIl est facile de comprendre

l’incompatibilité entre ces services

et une activité professionnelle…..

« Vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout contenu que vous avez fourni, publié ou affiché sur les services Google ou par le biais de ces derniers. »

CYBER SURVEILLANCE - CONTRÔLE DE LA CONNEXION INTERNET

� Le contrôle de l’utilisation d’Internet� Aucune disposition légale n’interdit l’employeur de fixer les conditions et les

limites d’utilisation d’Internet

� Mise en place de dispositifs de filtrage de sites non autorisés associés au pare-feupeut constituer une mesure de prévention dont il y a lieu d’informer les salariés

� Possibilité offerte aux salariés de se connecter à Internet à des fins nonprofessionnelles peut s’accompagner de prescriptions légitimes (Chat, Web mail perso,téléchargement) dictées par l’exigence de sécurité de l’entreprise (politique de sécurité,charte utilisateur)

� Le contrôle nominatif des connexions Internet des salariés

� Conformément à l’art. L432-2-1 du code du travail, ce contrôle doit faire l’objet aupréalable d’une consultation du comité d’entreprise ou du comité technique paritaire outoute instance équivalente et d’une information des utilisateurs

� Faire une déclaration à la CNIL en précisant la finalité du traitement, la durée deconservation…

� Un employeur peut ainsi sanctionner un salarié pour consultation excessive de sitesprivés pendant le temps de travail.

26 PRONETIS© 200926 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

DROITS DES EMPLOYEURS

CYBER SURVEILLANCE - CONTRÔLE LA MESSAGERIE ÉLECTRONIQUE

� Un message émis ou reçu depuis le poste de travail de l’entreprise revêt un caractère professionnel :

� Sauf indication manifeste dans l’objet du message ou dans le nom du répertoire dans lequel ce message a été archivé qu’il lui conférerait le caractère et la nature d’une correspondance privée protégée par le secret des correspondances

� Exception : si les messages sont stockés dans un répertoire identifié comme « personnel ».

� Néanmoins, si un risque ou événement particulier le justifie (virus...), la consultation sera possible.

� Un contrôle de l’encombrement du réseau peut condui re l’entreprise à

� Mettre en place des quotas pour la taille des fichiers transmis en pièces jointes ou encore des outils d’archivage des messages échangés.

� L’emploi de tels outils de contrôle et d’archivage doivent être portés à la connaissance des salariés ainsi que la durée de conservation des messages



CYBER SURVEILLANCE - CONTRÔLE DES FICHIERS – MESSAGES SMS

� Cas des fichiers et des répertoires crées par un em ployé

� Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa dispositionpour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étantpersonnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006). Tout fichierqui n’est pas identifié comme « personnel » est réputé être professionnel de sorte quel’employeur peut y accéder hors la présence du salarié.

� En revanche, si un fichier est identifié comme étant personnel, l’employeur ne peut y avoir accès« qu’en présence du salarié ou si celui-ci a été dûment appelé, ou en cas de risque ouévénement particulier ».

� Messages vocaux et SMS:

� Les messages vocaux laissés par un salarié sur le téléphone professionnel d’un collègue auxtemps et lieu de travail ne revêtent pas un caractère privé et ne sont pas couverts par le secretdes correspondances. Il en est de même des SMS.



CYBER PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL


Loi n° 78-17 du 6 janvier 1978 relative à l’informat ique et aux libertés

Article 34Le responsable du traitement est tenu de prendre toutes précautions utiles, auregard de la nature des données et des risques présentés par le traitement, pourpréserver la sécurité des données et, notamment, empêcher qu’elles soientdéformées, endommagées, ou que des tiers non autorisés y aient accès.

Art. 226-17 du Code pénalLe fait de procéder ou de faire procéder à un traitement de données à caractèrepersonnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de300.000 € d'amende.

OBLIGATION DES EMPLOYEURS

CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX

� Administrateurs systèmes et réseaux� Ils sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations

relatives aux utilisateurs (messagerie, connexions au internet, fichiers "logs" ou dejournalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste detravail. Un tel accès n'est contraire à aucune disposition de la loi du 6 Aout 2004

� De même, l'utilisation encadrée de logiciels de télémaintenance ne soulève aucunedifficulté particulière au regard de la loi du 6 Aout 2004 à condition que les mesures desécurité nécessaires à la protection des données soient mises en œuvre.

� Toutefois, aucune exploitation à des fins autres que celles liées au bon fonctionnementet à la sécurité des applications ne saurait être opérée, d'initiative ou sur ordrehiérarchique.


CYBER SURVEILLANCE - ADMINISTRATEURS SYSTÈMES ET RÉSEAUX

� Secret professionnel des administrateurs systèmes e t réseaux� De même, les administrateurs de réseaux et systèmes, tenus au secret professionnel,

ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dansle cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par lesecret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettenten cause ni le bon fonctionnement technique des applications, ni leur sécurité, nil'intérêt de l'entreprise.

� Ils ne sauraient non plus être contraints de le faire, sauf disposition législativeparticulière en ce sens.

� L’obligation de confidentialité pesant sur les administrateurs informatiques doit ainsiêtre clairement rappelée dans leur contrat, ainsi que dans la charte d’utilisation desoutils informatiques annexée au règlement intérieur de l’entreprise ou del’administration.



• Une salariée a permis à un collègue qui n’y était pas habilité d’utiliser son code d’accèspour télécharger des informations confidentielles, contrevenant ainsi à la charteinformatique applicable dans la société. La Cour de cassation a retenu que cette violationde la charte rendait impossible son maintien dans l’entreprise et justifiait son licenciementpour faute grave.Cour de cassation juillet 2011

• Le salarié qui a installé des logiciels sur son poste de travail alors que la charteinformatique l’interdisait formellement, a fait un usage anormal de l’outil informatique quilui était confié, nuisant au bon fonctionnement du système, et ne respectant pas la charteinformatique. L’analyse des logs du salarié ont de plus révélé une utilisation importanted’internet à des fins personnelles. Le licenciement de ce salarié était dès lors justifié.Cour de cassation Paris 19 01 2012 SAS Zetes France

• Le salarié qui a tenté sans motif légitime et par « emprunt » du mot de passe d’un autresalarié, de se connecter sur le poste informatique du directeur de la société a uncomportement contraire à l’obligation de respect de la charte informatique en vigueur dansl’entreprise. Ce comportement rend impossible son maintien dans l’entreprise pendant ladurée du préavis et constitue une faute grave.Cour de cassation soc, 21 déc. 2006, n°05-41.165

NON-RESPECT DE LA CHARTE INFORMATIQUE - EXEMPLES

RÉQUISITION JUDICIAIRE – LEVÉ DU SECRET


� Article 77-1-1 CPP :� " Le procureur de la République ou, sur autorisation de celui-ci, l’officier

de police judiciaire, peut, par tout moyen, requérir de toute personne, detout établissement ou organisme privé ou public ou de touteadministration publique qui sont susceptibles de détenir des documentsintéressant l’enquête, y compris ceux issus d’un système informatiqueou d’un traitement de données nominatives, de lui remettre cesdocuments, notamment sous forme numérique, sans que puisse lui êtreopposée, sans motif légitime, l’obligation au secret professionnel ".

� Seul secret réellement protégé : Défense nationale

� « Aux termes de la loi actuelle, les magistrats instructeurs ont le droit de demander la communication de documents couverts par le secret-défense». Ils doivent alors saisir la Commission consultative du secret de la défense nationale (CCSDN) qui donne son avis.

LPM : LOI DE PROGRAMMATION MILITAIRE

� Une prise en compte récente mais au pas de course� Livre blanc de la défense 2008: identification du besoin

� Evolution majeure avec la création de l’ANSSI en 2009

� Passage de la LPM en fin 2013 L’article 22 définit la protection des systèmes critiques

� Les systèmes Critiques sont pris en compte� Création d’obligation forte de sécurisation� Avec des sanctions pénales lourdes à la clé

� La loi de programmation militaire 2014-2019

� Loi 2013-1168 du 18 décembre 2013, article 22


LPM : LOI DE PROGRAMMATION MILITAIRE

� Promulguée le 18 décembre 2013, la loi de programmationmilitaire fait suite aux orientations fixées par le Livre blanc sur ladéfense et la sécurité nationale 20

� « Son article 22 prévoit l’adoption de mesures de renforcement dela sécurité des opérateurs d’importance vitale et confère àl’ANSSI de nouvelles prérogatives : l’agence, au nom du PremierMinistre pourra imposer aux OIV des mesures de sécurité etdes contrôles de leurs systèmes d’information les pluscritiques. De plus, l’article 22 rend obligatoire la déclaration desincidents constatés par les OIV sur leurs systèmesd’information.13. »


DE NOUVELLES CATÉGORIES : OIV, SAIV, PIV

� Toujours dans la préoccupation de maîtriser les risques, le législateur a défini les réseaux et points sensibles : � Secteur d’importance vitale : SAIV

� Opérateurs d’importance vitale : OIV

� Points d’importance vitale : PIV

� La LPM précise qu’il est de la responsabilité de l’état d’assurer une cyber sécurité suffisante des systèmes critiques des opérateurs d’importance vitale. 4 mesures principales pour les organisations� Fixer les obligations comme par exemple l’interdiction de connecter certaines systèmes critiques à

Internet

� Mettre en place des systèmes de détection par des prestataires labélisé par l’état

� Vérifier le niveau de sécurité des systèmes d’information critiques au moyen d’un système d’audit

� En cas de crise majeure, imposer les mesures nécessaires aux OIV



� SAIV : Secteurs d’Activité d’Importance Vitale� Ensemble d’activités concourant a un même objectif

� Qui ont trait a la production et la distribution de biens ou de services indispensables :

� A la satisfaction des besoins essentiels pour la vie des populations� Ou à l’exercice de l’autorité de l’Etat� Ou au fonctionnement de l’économie� Ou au maintien du potentiel de défense� Ou a la sécurité de la Nation � Des lors que ces activités sont difficilement substituables ou remplaçables

� Ou peuvent présenter un danger grave pour la population

� Liste des SAIV définie par l’article R332-2 du code de la défense



� SAIV : Secteurs d’Activité d’Importance Vitale


OIV : OPÉRATEUR D’IMPORTANCE VITALE

� OIV ?� Exerce des activités [...] comprises dans un secteur d’activités d’importance vitale

� Gere ou utilise au titre de ces activités un ou des établissements ou ouvrages,une ou des installations dont le dommage ou l’indisponibilité ou la destruction parsuite d’un acte de malveillance, de sabotage ou de terrorisme risquerait,directement ou indirectement :

� D’obérer gravement le potentiel de guerre ou économique, la sécurité ou lacapacité de survie de la nation

� Ou de mettre gravement en cause la sante ou la vie de la population



� Les OIV sont désignés parmi� Operateurs publics ou privés exploitant des établissements ou utilisant des

installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façonimportante le potentiel de guerre ou économique, la sécurité ou la capacité desurvie de la nation

� Gestionnaires d’établissements comprenant une installation nucléaire ou autreset dont la destruction ou l’avarie peuvent présenter un danger gravepour la population

� Sont désignés par arrêté eux-mêmes non publiés et non communicables

� 218 OIV, liste reputé classifiée ConfidentielDéfense



� Synthèse des mesures de protection

� Les mesures de protection générique peuvent être regroupéesselon 3 catégories� Prévention� Protection� Limitation des dommages



� Synthèse des mesures de protection

� Prévention� Clauses contractuelles de cyber sécurité avec les fournisseurs et prestataires� Qualification et déploiement des correctifs de sécurité y compris les

équipements de remplacement� Sensibilisation, formation et entraînement des personnels

� Protection� Contrôle d’accès physiques� Contrôle d’accès logiques� Dispositifs de détection d’intrusion� Filtrage, anti-malware

� Limitation des dommages� Zone de parcage et de confinement de l’intrus (honeypot)� Procédure d’urgence, d’isolement et d’assainissement� Capture et sauvegarde des éléments probants� Réaction éventuelle (en conformité avec la législation) et procédures

judiciaires


RÉSUMÉ DU MODULE


Lutte contre la cybercriminalité

en France

Contexte juridique – Le droit des TIC

Loi Godfrain CNIL

OIV - LPM

PAUSE-RÉFLEXION

Avez-vous des questions ?


POUR ALLER PLUS LOIN

� Magazine

� http://boutique.ed-diamond.com/ (revue MISC)

� Web

� LPM http://www.dailymotion.com/video/x3rqnzx_qu-est-ce-que-la-lpm-fic-2016_tech

� OIV http://www.dailymotion.com/video/x3rqtov_qu-est-ce-qu-un-oiv-fic-2016_tech

�

45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés45 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

FIN DU VOLET

MERCI POUR VOTRE ATTENTION


Education

Gouvernance de la sécurité des Systèmes dInformation Volet-3