Upload
thierry-pertus
View
38
Download
1
Embed Size (px)
Citation preview
Cybersurveillance : Risques & opportunitésThierry PERTUS
Décembre 2016
Cybersurveillance : Risques & opportunités
Décembre2016 p 2
►Avant-propos
Le cadre légal et réglementaire se durcissant, les entreprises portant des activités critiques, OIV en première ligne, sontdésormais enjointes à mettre en place une véritable stratégie de cyberdéfense, se voulant à la fois homogène, cohérente etproportionnée aux risques identifiés. Parmi le panel de mesures organisationnelles et techniques à implémenter conformémentaux objectifs fixés, la cybersurveillance, qui constitue l’une des clés de voûte du dispositif de lutte contre la cybercriminalité, estcependant susceptible de se heurter aux restrictions liées à la « privacy », préservation de la vie privée oblige. A l’échelle duterritoire national et notamment de l’espace public, le simple dilemme, induit par la dualité « sécurité nationale » versus« libertés individuelles », « état d’urgence » opposé à « Etat de droit », peut devenir cas de conscience, au regard de finalités detraitement susceptibles d’être à géométrie variable.
Vous pouvez lire la version intégrale de l’article sur le site GlobalSecurityMag.fr
Cybersurveillance : Risques & opportunités
p 3
La cybersurveillance au sein des entreprises :La confiance n’exclut pas le contrôle
Décembre2016
Cybersurveillance : Risques & opportunités
p 4
ID Règle de sécurité Domaine d’action
1 Politique de sécurité des systèmes d’information Gouvernance
2 Homologation de sécurité Maîtrise des risques
3 Cartographie Maîtrise du SI
4 Maintien en conditions de sécurité Maîtrise du SI
5 Journalisation Gestion des incidents
6 Corrélation et analyse de journaux Gestion des incidents
7 Détection Gestion des incidents
8 Traitement des incidents de sécurité Gestion des incidents
9 Traitement des alertes Gestion des incidents
10 Gestion de crises Gestion des incidents
11 Identification Protection du SI
12 Authentification Protection du SI
13 Droits d’accès Protection du SI
14 Comptes d’administration Protection du SI
15 Systèmes d’information d’administration Protection du SI
16 Cloisonnement Protection du SI
17 Filtrage Protection du SI
18 Accès à distance Protection du SI
19 Installation de services et d’équipements Protection du SI
20 Indicateurs Gouvernance
Cybersurveillance
Règles de sécurité LPM (cf. arrêtés sectoriels) en lien avec l’activité de cybersurveillance
Décembre2016
Cybersurveillance : Risques & opportunités
p 5
Objectifs et mesures de cybersécurité Vigipirate 2014 en lien avec l’activité de cybersurveillance
Cyb
ersurveillan
ce
Décembre2016
Cybersurveillance : Risques & opportunités
p 6
Licéité, loyauté, transparence
Limitation des finalités
Minimisation des données
Exactitude
Limitation de la conservation
Intégrité et confidentialité
Responsabilité
RGPD*(Chapitre II, article 5)
RSE**(éthique)
Sécuritéde l’information
Principes relatifs aux traitements DCP (RGPD) et domaines connexes
Décembre2016
* Règlement Général sur la Protection des Données (2016/679/UE)** Responsabilité Sociétale des Entreprises (cf. ISO 26000)
Cybersurveillance : Risques & opportunités
p 7
Correspondance RGPD ISO/IEC 29100 entre principes relatifs aux traitements DCP
ID Privacy principles
1 Consent and choice
2 Purpose legitimacy and specification
3 Collection limitation
4 Data minimization
5 Use, retention and disclosure limitation
6 Accuracy and quality
7 Openness, transparency and notice
8 Individual participation and access
9 Accountability
10 Information security
11 Privacy compliance
GDPR*(Chapter II, article 5)
ISO/IEC 29100 - Privacy Framework(Chapter 5)
Lawfulness, Fairnessand Transparency
Purpose limitation
Data minimisation
Accuracy
Storage limitation
Integrity and Confidentiality
Accountability
Décembre2016
* General Data Protection Regulation (2016/679/EU)
Cybersurveillance : Risques & opportunités
p 8
S W
O T
AVANTAGES INCONVENIENTS
MENACES Risque de non-conformité aux obligations légales de
respect de la vie privée et protection des DCP
Risque de litige avec les partenaires sociaux
Risque d’exploitation des données de collectepar un tiers (par espionnage ou exfiltration)
Conformité aux obligations légalesde cybersurveillance (traçabilité, voire détection)
Renseignement (par interception)sur les organisations criminelles et leur projets
Analyse tendancielle statistique (non nominative)des pratiques du personnel vis-à-vis d’Internet
Détection proactive de la menaceet des violations des règles de sécurité en interne
Aide au diagnostic et à la décisionen cas d’incident
Effet dissuasif sur le personnel quant aux usages inappropriés du SI
OPPORTUNITES
Effort d’implémentation et de maintien à niveau(SOC interne) / Coût de souscription (SOC externe)
Risque d’inefficacité du SOC (périmètre/infra/staffing/process inadéquats)
Risque de sanction RH basée sur une exploitation illicite ou déviante des données de collecte
SWOT* relatif aux projets de cybersurveillance en entreprise
Décembre2016
* Stengths, Weaknesses, Opportunities, Threats
Cybersurveillance : Risques & opportunités
p 9
Facteurs clés pour la définition d’une stratégie de cybersurveillance
Facteurs clés
Identification du périmètre d’activités (Métier et/ou fonctions support) auquel appliquer une cybersurveillance
Identification des macro-données (et propriétaire « data-owner » associé) liées au périmètre,
en précisant la présence éventuelle de DCP et leur sensibilité (niveau de classification)
Identification des évènements redoutés au travers d’analyses d’impact conjointes ou dissociées,
sous l’angle de la prévention des risques métier par la cybersurveillance d’une part, et de la privacy d’autre part
Définition de l’organisation du SOC (niveau d’expertise et de réactivité requis, plages horaires à couvrir et astreintes, ent ité
interne ou prestataire externe, localisation géographique, gouvernance, process opérationnels, CAPEX/OPEX* , …)* Capital Expenditure / Operational Espenditure
Détermination des données de collecte en sortie, strictement nécessaires et suffisantes
pour satisfaire aux finalités du traitement liées à l’activité de cybersurveillance
Spécification des mesures techniques visant notamment à limiter le traitement des données de collecte (minimisation,
durée de conservation) et à éliminer la présence de données d’identification (PII*)
par anonymisation ou pseudonymisation (PET**)* Personally Identifiable Information
** Privacy Enhancing Technology
Vérification de la conformité légale du traitement pressenti par recours à une expertise juridique,
le RSSI, le CIL/DPO et les délégués du personnel étant à consulter, et le cas échéant de son adéquation
à la politique de protection des données et/ou à la charte éthique interne
Décembre2016
Cybersurveillance : Risques & opportunités
p 10
Aspects opérationnels clés liés à une stratégie de cybersurveillance
Aspects opérationnels
Déploiement de l’infrastructure SOC (architecture de collecte et d’analyse SIEM/LM* centralisée ou distribuée, enclave
physique/logique, cloisonnement par zones, déport VPN, zones administration et exploitation, …)* Security Incident & Event Management / Log Management
Détourage du périmètre technique à monitorer (tout ou partie du système d’information)
Cartographie détaillée du périmètre technique (décomposition des vues physiques et logiques L2 / L3)
et de l’ensemble des interfaces externes (interconnexions réseau)
Identification des ressources sensibles (serveurs applicatifs, serveurs BDD, serveurs d’infrastructure, …)
Cartographie des flux de communications (vue fonctionnelle Métier, vue protocolaire)
Sélection des points stratégiques d’écoute (liens d’interconnexion, serveurs d’infrastructure, …)
pour la surveillance réseau via NIDS (sur déport TAP ou VLAN/port mirroring)* Network Intrusion Detection System
Sélection des sources de logs hôtes des systèmes stratégiques (passerelles firewall/vpn/web/messagerie, serveurs/sandbox
anti-malware, systèmes, services et applicatifs, …), incluant si possible les évènements systèmes, connexions, et opérations
(déploiement d’agents HIDS en complément le cas échéant)* Host Intrusion Detection System
Identification des artefacts IoC* à maintenir à jour (signatures anti-malware, black-list d’adresses IP/URL/DN
de botnet, hashs MD5 de fichiers malware, …), définition des règles statiques de corrélation d’évènements
pour des objectifs de conformité réglementaire (PCI-DSS, SoX, …)* Indicator of Compromission
Anticipation et prise en compte des évolutions sur le périmètre technique (architecture, nouveaux systèmes)
Démarche d’amélioration continue (Analyse post-incidents, consolidation de la base incidents, plan de progrès)
Décembre2016
Cybersurveillance : Risques & opportunités
p 11
Targeting Reconnaissance WeaponizationDelivery
(payload)
Exploitation
(vulnerability)
Installation
(malware)
Command & Control (C&C)
Action on objectives
Lateral moves
Attacktriggering
Privilegeescalation
Datagathering
Remotecontrol
Systemcompromise
Businessimpact
Attack vector choice& Payload development
Compromise perimeterexpansionCyber Attack Chain > APT
Cyber Defence Chain > stream ′′ threat & incident detection ′′
Threat Intelligence Collect, Monitor & AnalyzeSecurity Analytics
& Correlation
ObjectivesSeclection
La chaine fonctionnelle de cybersurveillance en réponse aux APT* (Cyber Kill Chain)
Décembre2016
* Advanced Persistent Threat
Cybersurveillance : Risques & opportunités
p 12
La cybersurveillance d’Etat :Quand la fin justifie les moyens … ou pas
Décembre2016
Cybersurveillance : Risques & opportunités
p 13
Loi sur la sécurité quotidienne (n° 2001-1062)
Loi d'orientation et de programmation pour la sécurité intérieure
(n° 2002-1094 dite « LOPSI »)
Loi pour la sécurité intérieure (n° 2003-239)
Loi sur la lutte contre le terrorisme (n° 2006-64)
Loi sur la conservation des données des communications électroniques
(n° 2006-358)
Loi d'orientation et de programmation pour la performance
de la sécurité intérieure (n° 2011-267 dite « LOPPSI 2 »)
Loi de programmation militaire
(n° 2013-1168 dite « LPM 2014-2019 »)
Loi relative au renseignement (n° 2015-1556)
Décret relatif à la création d’un Méga-fichier regroupant les passeports
et cartes nationales d'identité (Titres Electroniques Sécurisés, dit « TES »)
(n° 2016-1460 du 28 octobre 2016)
Historique du cadre législatif national lié à la cybersurveillance
Décembre2016
Cybersurveillance : Risques & opportunités
p 14
►Webographie
http://www.dictionnaire.enap.ca/dictionnaire/docs/definitions/defintions_francais/cybersurveillance.pdfhttps://www.europol.europa.eu/newsletter/massive-changes-criminal-landscapehttp://www.lefigaro.fr/international/2015/04/30/01003-20150430ARTFIG00135-accusations-d-espionnage-berlin-aurait-aide-la-nsa-a-surveiller-l-elysee.phphttp://rue89.nouvelobs.com/2015/05/31/etats-unis-patriot-act-vit-dernieres-heures-surveillance-259462http://www.latribune.fr/technos-medias/internet/chiffrement-pourquoi-apple-resiste-au-fbi-et-a-la-nsa-552212.htmlhttp://www.silicon.fr/protection-donnees-g29-cnil-declaration-commune-103732.htmlhttps://www.cnil.fr/fr/les-bcr-regles-internes-dentreprise
Décembre2016
Cybersurveillance : Risques & opportunités
p 15
Source* : Matrix Reloaded (Warner Bros. / Maverick)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Simple illusion d’optique, mon cher.
Je vais vous prescrire quelques pilules Zion 6 pour traiter cette anomalie …
Bonjour Docteur,
Je ne sais pas pourquoimais j’ai le sentiment d’être surveillé
durant mes pauses café …
Décembre2016
Thierry PERTUSConsultant seniorCISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM
Cybersécurité
Powered by
www.conix.fr
Keep control.