XcRR@7 NXO
XcRR@7 NXO
XcRR@7 NXO
in e vou s
Ce magaz S EC UR ITY
par N XO
P OLITIQUE N ATIONALE
Interview de Vincent Strubel,
sous-directeur Expertise de l’ANSSI
N°48 - Prix : 24 € TTC - Trimestriel : juillet, août, septembre 2019
ÉDITORIAL
DE MARC JACOB
ou établir la
ISSN : 1959 - 7061
Dépôt légal : à parution
Editée par SIMP
RCS Nanterre 339 849 648
17, avenue Marcelin Berthelot
Internet ? REDACTION
Directeur de la Publication :
Marc Brami
Rédacteur en chef :
Marc Jacob
Rédactrice :
Emmanuelle Lamandé
Mise en page :
La Privacy by design est censée redonner libro », cette maxime est remplacée de nos jours S.I.M. Publicité
confiance aux utilisateurs en intégrant la sécurité par « Doctus cum Internet ». De ce fait, les Ont collaboré à ce numéro :
Olivier Iteanu, Stéphanie Ledoux,
et la protection des données dès la conception utilisateurs sont capables de gober tout ce qu’ils Hervé Schauer, Alexandre Triffault,
des produits et services. D’ailleurs, les législateurs voient sur leurs écrans. D’ailleurs, ils cliquent à Sylvain Hajri, Michel Gérard,
Anne-Laure Grémaud et
européens, dans l’objectif de rétablir cette tout va sur n’importe quel lien, image, PDF, fichier Matthieu Gallego
fameuse confiance en Internet, en ont fait une Word… qu’ils reçoivent sur leurs devices pensant Traduction : Ian Nathan
obligation dans le RGPD (article 25). Ainsi, tous que, comme ils ont fermé les portes et fenêtres Assistante : Sylvie Levy
Responsable technique :
les acteurs de la filière ont sans cesse le mot de leurs maisons ou de leurs entreprises, ils sont Raquel Ouakil
confiance dans la bouche en le rabâchant dans protégés de tous les malfaisants… Ils oublient Photos :
Norbert Martiano, Marc Jacob
toutes les conférences de la planète. Pour eux, trop souvent que leurs écrans d’ordinateurs, Comité scientifique :
tous les maux d’Internet viendraient d’un manque Smartphones… sont des lucarnes ouvertes sur le Pierre Bagot, Francis Bruckmann
de confiance des utilisateurs dans cet outil qui a monde qui donnent un accès quasi illimité à leur Eric Doyen, Catherine Gabay,
François Guillot, Olivier Iteanu,
envahi notre société. intimité ! Dominique Jouniot, Patrick
Langrand, Yves Maquet, Thierry
Ramard, Hervé Schauer, Michel Van
Toutefois, cette fameuse « confiance perdue » des Aujourd’hui, ce n’est peut-être pas la confiance Den Berghe, Bruno Kerouanton,
utilisateurs dans l’Internet n’est-elle pas plutôt un qu’il faut rétablir. Il serait plutôt nécessaire Loïc Guézo et Valentin Jangwa
In Memoriam, notre regretté
fantasme de toute la filière ? En effet, lorsque l’on d’instaurer une saine défiance qui permettrait aux Zbigniew Kostur
se penche sur le comportement des internautes, internautes de se méfier de tout ce qu’ils voient
on s’aperçoit que c’est plutôt le contraire. Les sur la Toile et surtout de leur apprendre à se poser
PUBLICITE
utilisateurs ont une confiance quasi aveugle en les bonnes questions ! SIM Publicité
Internet. Si dans le passé on disait « Doctus cum Tél. : +33 1 40 92 05 55
e-mail : ipsimp@free.fr
LISTE DES ANNONCEURS Images de couverture :
©jijomathaidesigners
6cure 41 ITrust 13
ABB 74 Jaguar Network 16
Advens 67 Olfeo 69 IMPRESSION
Allentis 12, 39 Oveliane 19 Imprimerie Moutot
Bachmann 71 Panda Security 4ème couverture
Barracuda - Infinigate 28 Qualys 56
33-37, rue Hyppolyte Mulin
Besecure 3ème de couverture Phosforea 17 92120 Montrouge
Carabara Communications 53 PrimX 2ème couverture Tél. 01 46 57 79 79
Cisotrust 31 Rapid 7 - Besecure 42 Contact : Sébastien Bellut
Cloud Expo Europe 6 Sekoia 29 e-mail : sebastien@imprimeriemoutot.fr
Club Décision 2 SentinelOne 3 Imprimé avec des encres végétales
Cyberwatch 45 Stéphya 75
France Cybersecurity 36 Sophos 22 sur papier éco-responsable certifié
Guardicore 44 StorageCraft 26 PEFC par un imprimeur adhérent à
GS Days 40 Systancia 54 Imprim’vert selon le procédé CTP
Milipol 8 The Greenbow 62 sans chimie.
H2S 34, 52, 66 Usercube 4
I-Tracing 43 Tixeo 27
IDNOMIC 48
ABONNEMENT
Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause est Prix au numéro :
illicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par un 24 € TTC (TVA 20%)
art ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle).
Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commerciales
Abonnement annuel :
du contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication. 60 € TTC (TVA 20%)
1
EDITORIAL
BY MARC JACOB
Restore trust
in the Internet or
foster a healthy
distrust?
Privacy by design is meant to reinforce user trust by integrating
security and data protection, starting with the design of
products and services. European legislators, in order to restore
this critical trust in the Internet, have also made it an
obligation under the GDPR (Article 25). It follows that all the
various players in the industry are singing to the tune of
confidence at conferences and public events worldwide. So we
hear that all the ills of the Internet stem from a lack of user
trust in this ubiquitous instrument.
3
RETROUVEZ USERCUBE AUX ASSISES DE LA SÉCURITÉ DU 9 AU 11 OCTOBRE 2019
SÉCURISEZ VOS
ACCÈS INFORMATIQUES
DANS LE CLOUD
CERTIFIÉ ISO 27001
USERCUBE, éditeur de logiciel
TRANSPARENCES DES en gestion des identités et des
COÛTS accès informatiques opère la
plupart de ses clients en SaaS.
RAPIDITÉ DE MISE EN
PLACE DES PROJETS
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
SOMMAIRE
01 Édito : Rétablir la confiance ou établir la défiance en Internet ?
03 Editorial : Restore trust in the Internet or foster a healthy distrust?
THÉMA
09 Agenda
10 POLITIQUE NATIONALE
• La sécurité doit être intégrée tout au long du cycle de vie
10 POLITIQUE NATIONALE
20
d’une solution numérique
Interview de Vincent Strubel, sous-directeur Expertise de l’ANSSI
14 RGPD
• Privacy by design : le plus, qui peut faire toute la différence
SÉCURITÉ & PRIVACY Interview de Gwendal Le Grand, Secrétaire général adjoint de la CNIL
32
Interview de Luména Duluc, déléguée générale du CLUSIF,
et des experts du CLUSIF
MALWARES BUSTERS
58 NORME
• L’approche par les risques en sécurité des systèmes
d’information : comment sélectionner la bonne méthode ?
Par Hervé Schauer, fondateur de HS2
60 GS DAYS 2019
• Retour d’expérience : test d’intrusion physique au siège social
d’une multinationale
60
Par Alexandre Triffault, Président d’AT Security SAS,
Formateur intrusion.eu et Chercheur Associé à l’Ecole Esiea
• S’attaquer à l’humain pour compromettre le SI GS DAYS 2019
Par Sylvain Hajri, Consultant sécurité chez digital.security
68 SENSIBILISATION
• Le grand quizz de sensibilisation - Automne 2019
Par Michel Gérard, PDG de Conscio Technologies
70 DATA CENTER
• Data Center Hyperscale, Data Center de colocation et
Edge Data Center au service de la digitalisation de l’économie
Par Anne-Laure Grémaud, directrice marketing et
associée de JERLAURE
• Edge Computing, HPC : comment les Data Centers se réinventent
pour révolutionner notre quotidien ?
Par Matthieu Gallego, Associate Director Data Center Hi-Tech
70 DATA CENTER
d'informations
and Manufacturing, France, Turner & Townsend Retrouvez notre fil
stockage sur :
sur la sécurité et le mag.fr
www.globalsecurity
mag.com
www.globalsecurity 5
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
CONTENTS
THEMA
01 Édito : Rétablir la confiance ou établir la défiance en Internet ?
03 Editorial : Restore trust in the Internet or foster a healthy distrust?
09 Diary
10 NATIONAL POLICY
20
SECURITY & PRIVACY
10 NATIONAL POLICY
• Security must be integrated throughout the life cycle of a digital solution
Interview with Vincent Strubel, Deputy Director of Expertise at ANSSI
14 GDPR
• Privacy by Design: an opportunity
BY DESIGN Interview with Gwendal Le Grand, Deputy Secretary General of the CNIL
18 LEGAL BRIEFING
• The Troops on Vacation, unlawfully accessing files
14 GDPR
20
• Security & Privacy by Design: the simplest approach is often the best
By Marc Jacob and Emmanuelle Lamandé
• GDPR: strengthening personal data protection THEMA
Interview with Mylène Jarossay, President of CESIN
32 MALWARES BUSTERS
• Cybercriminals ready to head upstream to the source
By Marc Jacob and Emmanuelle Lamandé
46 RISK MANAGEMENT
• Crisis Management Exercises: vital to gain precious minutes
on the day of reckoning!
32
By Stéphanie Ledoux, President of Alcyconie
• 5G: take measures to prevent risks!
Interview with Lumena Duluc, Delegate General of CLUSIF MALWARES BUSTERS
and CLUSIF experts
58 STANDARDS
• Achieving a risk-based approach to information systems security:
how to choose the proper process?
By Hervé Schauer, founder of HS2
60 GS DAYS 2019
• Review: physical intrusion test at the headquarters of a multinational
By Alexandre Triffault, President of AT Security SAS, Trainer
intrusion.eu and Associate Researcher at Esiea School
• Exploiting the human weaknesses of IS
60 GS DAYS 2019
70 DATA CENTER
• The digital economy backed by Data Center Hyperscale,
Colocation and Edge
By Anne-Laure Grémaud, Marketing Director and partner, JERLAURE
• Edge Computing, HPC: how are Data Centers keeping apace
with the revolution of everyday life?
70 DATA CENTER
h the latest
By Matthieu Gallego, Associate Director Data Center Hi-Tech and Keep up-to-date wit
security and storage at:
Manufacturing, France, Turner & Townsend news on ag.fr
www.glob alsec uritym
ag.com
www.globalsecuritym 7
© Renata Sedmakova
CONTINU
IS À JOUR EN
AGENDA M YMAG.FR
AGENDA
UR IT
LOBALSEC
SUR WWW.G
NotePad
9
POLITIQUE NATIONALE
Global Security Mag : Quels sont les principes fondateurs démarche dans le cadre de méthodes de développement agiles. Il est
d’une sécurité pensée by design pour l’ANSSI ? disponible sur le site de l’ANSSI [1].
Vincent Strubel : Il n'y a malheureusement pas de recette universelle L'autre facteur essentiel de la sécurité by design est selon moi
de la sécurité by design, mais le point le plus important me semble l'humilité. Personne ne peut aujourd'hui maîtriser l'ensemble des
être d'intégrer les préoccupations de sécurité tout au long du cycle de savoir-faire nécessaires à sécuriser une solution complexe. L'époque
vie d'une solution numérique. On l'a souvent dit, et on continue des rock stars, où un individu particulièrement brillant pouvait
malheureusement à le constater : vouloir sécuriser a posteriori une sécuriser une solution de bout en bout, est révolue, si tant est qu’elle
solution qui n'a pas été conçue de manière sécurisée est voué à n’ait jamais existé… Il ne faut donc pas hésiter à se faire aider. Il est
l'échec. Mais intégrer la sécurité au départ ne suffit pas non plus si recommandé d’utiliser des guides décrivant les bonnes pratiques
on la néglige ensuite. Schématiquement, on peut distinguer quatre applicables à un protocole, une solution, etc. - l'ANSSI en publie une
étapes principales dans la sécurisation d'une solution au fil de son collection assez étendue sur son site Web [2]. Il est également indiqué
cycle de vie : de faire appel à des spécialistes – par exemple des prestataires d'audit
• Une conception sécurisée, sur la base d'une analyse de risques qualifiés ou des centres d'évaluation agréés par l'ANSSI.
définissant a priori les objectifs de sécurité, et de bonnes pratiques
de développement ; L’INTELLIGENCE COLLECTIVE AU
• Une vérification de la sécurité, idéalement menée par un tiers – par
le biais d'un audit ou d'une certification par exemple ; SERVICE DE LA SÉCURITÉ
• La supervision, tout au long de la mise en œuvre de la solution, pour
GS Mag : De quelle manière appliquez-vous ces principes au
corriger ses vulnérabilités, identifier les tentatives d'attaque, etc. ;
sein de l’agence dans le développement de vos propres
• La réaction aux incidents, car tôt ou tard tout le monde est confronté
solutions et services ?
à un incident de sécurité – l'important est de le traiter efficacement
et, le cas échéant, d'en tirer des enseignements à intégrer dans la
Vincent Strubel : Nous nous efforçons naturellement d'appliquer
conception d'une prochaine version.
ces principes en interne, notamment en mobilisant l'intelligence
collective. Aucun développement interne n'est l'œuvre d'un seul agent,
Tout cela peut donner l'impression d'une démarche pesante, adaptée
et nous avons au contraire largement recours à la revue par les pairs,
uniquement à des cycles de développement longs et très structurés,
informelle au cours d'un développement, ou formalisée avant sa
mais dans la pratique cela s'intègre tout aussi bien dans des cycles
publication. C'est d'autant plus facile et productif que l'ANSSI dispose
de développement rapides. L'ANSSI a d'ailleurs récemment publié le
d'une rare concentration d'expertises pluridisciplinaires. Il est très
guide « Agilité & sécurité numériques », qui décline ce type de
10
POLITIQUE NATIONALE
11
POLITIQUE NATIONALE
l'ANSSI. À ces publications à portée générale s'ajoute un par ailleurs développées et entretenues dans une logique de co-
accompagnement sur mesure, par des experts de l'ANSSI, des projets construction avec ces mêmes partenaires.
les plus critiques des administrations et des opérateurs d'importance
vitale ou de services essentiels. Quant aux conseils, j'en donnerai trois simples et applicables en toute
circonstance :
Les Visas de sécurité délivrés par l'ANSSI peuvent quant à eux aider à • Considérez la sécurité comme un investissement : ce n'est pas
plusieurs titres. Ils offrent en premier lieu, pour un développeur, un gratuit, mais ça rapporte à terme ;
moyen de vérifier la sécurité de sa solution, en l'inscrivant dans l'une • La sécurité est un marathon, pas un sprint : ceux qui arrivent au
des démarches d'évaluation associées à ces Visas, et de valoriser cette bout en bonne condition sont ceux qui ont fourni un effort bien dosé
sécurité. Un intégrateur ou une direction informatique y trouveront tout au long du parcours ;
des catalogues de solutions sur étagères, testées et approuvées par • Faites-vous aider par des experts reconnus : le do it yourself atteint
l'ANSSI, à intégrer dans leurs systèmes d'information. Enfin, le rapidement ses limites.
catalogue déjà bien étoffé des prestataires de service qualifiés par
l'ANSSI permet de trouver des expertises pertinentes à tout stade de GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un
l'élaboration ou de la mise en œuvre d'une solution numérique, par avenir plus respectueux de nos données et sécurisé « by
exemple pour l'audit (PASSI) ou la supervision (PDIS) de la sécurité design » ?
d'une telle solution.
Vincent Strubel : Je me garderai bien de formuler des prévisions en
À terme, j'espère également que nos contributions open source la matière, mais je peux vous garantir en tout cas que les agents de
viendront compléter ce tableau. Elles pourraient offrir à nos partenaires l'ANSSI y travaillent d'arrache-pied, et continueront à le faire. ■ ■ ■
des briques de base hautement sécurisées et largement réutilisables,
[1] https://www.ssi.gouv.fr/uploads/2018/11/guide-securite-numerique-agile-anssi-pa-v1.pdf
[2] https://www.ssi.gouv.fr/
13
©Christian Lagerek
RGPD
Global Security Mag : Comment définiriez-vous le concept GS Mag : Concrètement, qu’est-ce que cela implique pour
de Privacy by design ? les organisations ?
Gwendal Le Grand : La Privacy by design consiste avant tout à Gwendal Le Grand : De manière générale, la Privacy by design
déterminer les mesures de sécurité et de respect de la vie privée s’inscrit dans la logique même du RGPD, qui repose sur la
proportionnées aux risques dès la phase de conception d’un projet, responsabilisation des différents acteurs (notion d’accountability).
quel qu’il soit. Chaque entreprise est responsable de ses données, et doit mettre en
place les mesures et les actions adaptées afin d’en assurer la
LA PROTECTION DES DONNÉES protection et de garantir le respect des droits de chacun. Elle doit, par
exemple, tenir un registre de traitement, nommer un DPO (Data Privacy
DOIT ÊTRE PENSÉE « BY DESIGN » Officer) dans certains cas, effectuer des analyses d’impacts relatives à
ET « BY DEFAULT » la protection des données (DPIA), mettre en place les mesures
nécessaires pour garantir le droit à la portabilité des données, assurer
GS Mag : Quelles sont les obligations réglementaires en ce la gestion du consentement…
domaine en France, et au-delà, notamment dans le cadre du Outre l’aspect purement réglementaire, penser la protection des
RGPD ? données par défaut et dès la conception permet aussi aux entreprises
de s’intéresser à la façon dont les traitements sont « designés », ce
Gwendal Le Grand : L’obligation de « Privacy by design » intervient qui peut également s’avérer une véritable opportunité.
dans l’article 25 du règlement, relatif à la protection des données dès
la conception, mais aussi par défaut [1]. Selon cet article 25, le
responsable du traitement doit mettre en œuvre, tant au moment de
RGPD : UNE OPPORTUNITÉ POUR
la détermination des moyens du traitement qu'au moment du MODERNISER SA GOUVERNANCE
traitement lui-même, les mesures techniques et organisationnelles DES DONNÉES
appropriées, telles que par exemple la pseudonymisation, permettant
de protéger les données et les droits des personnes concernées. Le GS Mag : Quel état faites-vous du niveau de maturité des
responsable du traitement doit également mettre en œuvre les entreprises françaises en ce domaine ?
mesures techniques et organisationnelles appropriées pour garantir
que, par défaut, seules les données à caractère personnel qui sont Gwendal Le Grand : La plupart des obligations inhérentes au RGPD
nécessaires au regard de chaque finalité spécifique du traitement sont existaient déjà dans la Loi Informatique et Libertés de 1978, les
traitées. Cela concerne par exemple la quantité de données collectées, entreprises françaises étaient donc pour la plupart déjà sensibilisées
leur accessibilité ou leur durée de conservation. à ces problématiques de protection des données. Le RGPD a permis
néanmoins de donner un coup de projecteur à la protection des
14
RGPD
données et représente pour elles l’opportunité de moderniser leur
gouvernance des données.
Gwendal Le Grand : Dans un premier temps, je leur conseille de Gwendal Le Grand : Dans ses missions, le DPO doit pouvoir s’appuyer
se référer au guide élaboré par la CNIL : « RGPD : se préparer en sur l’ensemble des acteurs, à commencer par le responsable de
6 étapes ». Cette méthode, en 6 étapes, permet aux organismes de traitement, les RSSI, les designers, la DSI… Ces acteurs ont un rôle
s’assurer qu’ils ont mis en œuvre l’essentiel des mesures nécessaires à prépondérant à jouer en matière de Privacy by design, mais au-delà il
leur mise en conformité RGPD [2] : faut également que tous les acteurs soient sensibilisés à la protection
• Désigner un pilote ; des données, quelle que soit leur fonction au sein de la structure. Il faut
• Cartographier les traitements de données personnelles ; aussi que l’impulsion soit donnée au plus haut niveau de l’organisation.
• Prioriser les actions à mener ;
• Gérer les risques ; LES DESIGNERS EN PREMIÈRE LIGNE
• Organiser les processus internes ;
• Documenter la conformité.
POUR INTÉGRER LA PRIVACY DÈS LA
CONCEPTION
Afin d’accompagner les PME dans leur démarche de mise en conformité,
la CNIL a élaboré un guide dédié, en partenariat avec Bpifrance. Ce GS Mag : De quelles manières la CNIL accompagne-t-elle les
« Guide pratique de sensibilisation au RGPD » [3] propose aux plus petites entreprises sur ces sujets ?
entreprises des clés de compréhension pratiques permettant de les
accompagner dans leur démarche de conformité au RGPD, et de les faire Gwendal Le Grand : La CNIL accompagne les entreprises de
progresser dans leur maturité numérique. 4 principales actions sont à différentes manières dans cette mise en conformité et dans la prise en
initier, si ce n’est déjà fait, pour ce type de structure : compte de la protection des données dès la conception. Elle a publié en
• Recenser ses fichiers ; ce sens de nombreux guides et outils permettant d’aider les entreprises
• Faire le tri dans ses données ; à se mettre en conformité, et à identifier les risques relatifs aux
• Respecter le droit des personnes ; traitements des données, mais aussi les mesures à mettre en place pour
• Sécuriser ses données. y faire face.
Globalement, il est important d’avoir une bonne gouvernance de vos Nous travaillons, par exemple, avec les designers. Nous avons ainsi publié
données, de comprendre ce que vous faites et de le documenter. en janvier un Cahier Innovation et Prospective, « La forme des choix -
Données personnelles, design et frictions désirables », disponible en
français et en anglais [4]. Ce cahier propose une exploration des enjeux
LE DPO DOIT PORTER LA VOIX du design dans la conception des services numériques, au prisme de la
DE LA PRIVACY BY DESIGN SUR protection des données et des libertés. Il vise notamment à promouvoir
TOUS LES PROJETS l’émergence d’un design des interfaces plus responsable et respectueux
des principes de protection des données. Les designers sont, en effet,
GS Mag : Quel est le rôle du DPO pour assurer le respect des bien placés pour redonner aux individus la maîtrise de leurs données,
obligations de Privacy by design au sein de sa structure ? dans la mesure où ils peuvent agir dès la conception sur l’information
des personnes, le recueil du consentement ou bien l'exercice des droits.
Gwendal Le Grand : De manière générale, le DPO accompagne En complément de ce cahier, la CNIL a également lancé Données &
l’entreprise dans sa mise en conformité et dans la mise en œuvre de design, une plateforme pour fédérer la communauté des designers
la gouvernance de ses données. Il doit également porter la voix de la soucieux d'intégrer au mieux la protection des données et des libertés
Privacy by design sur tous les projets, et intervenir dans leurs phases dans leurs interfaces, services et produits [5]. Données & Design favorise
15
RGPD
l’acculturation des designers aux grands principes du RGPD (information qu’il s’agisse d’un acteur français ou non. Les obligations de protection
des personnes, consentement, exercice des droits). En plus de la diffusion des données, et les sanctions qui les accompagnent, sont les mêmes pour
d'études de cas, cette plateforme est aussi un espace d’échanges et de tous, y compris pour les entreprises étrangères qui souhaitent collaborer
dialogue permettant aux designers de partager leurs expériences, leurs avec un acteur européen. Cela engendre aussi un effet domino dans les
problèmes et solutions. autres régions du monde. Certains pays, hors Union européenne,
s’inspirent actuellement du RGPD, et sont en train de mettre en place
Outre cette plateforme, de nombreux autres outils sont à disposition des réglementations similaires.
sur le site de la CNIL. Elle a par exemple développé un logiciel permettant
d’effectuer des analyses d’impacts relatives à la protection des Le RGPD répond avant toute chose à une demande de la part des
données [6]. Ce logiciel est disponible en version libre sur GitHub, et a citoyens. Les exigences de Privacy by design permettent, de plus, à toutes
déjà fait l’objet de plus de 200 000 téléchargements. Il a, de plus, été les organisations d’avoir une meilleure gouvernance de leurs données,
traduit par la communauté open source et est proposé aujourd'hui en et d’en faire un avantage concurrentiel. C'est donc un échange gagnant-
19 langues. gagnant, autour d’un objectif clair : utiliser les données dans un cadre
Un « kit du développeur » [7] est également à disposition sur notre site, sécurisé et responsable.
à destination des personnes en charge du développement de logiciels.
Un système de questions/réponses y est aussi disponible, dans la rubrique Enfin, selon un sondage IFOP, près de 70% des Français se sentent
« Besoin d’aide » [8]. Cette base est régulièrement mise à jour en fonction aujourd'hui plus concernés par la protection de leurs données à caractère
des besoins, des sujets qui émergent et des remontées sur le terrain. personnel. Le RGPD traduit donc une prise de conscience collective
Enfin, la CNIL a lancé en mars dernier le MOOC « L’atelier RGPD », relative à ces problématiques. Il permet à la fois de renforcer la sécurité
qui permet aux entreprises, et notamment aux DPO, de se former en des données des citoyens, mais aussi de leur redonner confiance. ■ ■ ■
ligne [9]. Ce MOOC sera prochainement traduit en anglais, afin de
permettre au plus grand nombre de se former.
[1] https://www.cnil.fr/fr/reglement-europeen-protection-donnees
[2] https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Tous les instruments que nous mettons à disposition des entreprises et [3] https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
collectivités, qu’ils soient techniques, juridiques ou organisationnels, se [4] https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip6.pdf
17
© Falko Matte
CHRONIQUE JURIDIQUE
LE GENDARME EN
BALADE DANS
LES FICHIERS
4Par Olivier Iteanu, Avocat à la Cour, Chargé d’enseignement
à l’Université de Paris I Sorbonne
C’est une affaire rare que le Conseil d’État nous a donnée à connaître dans une décision rendue
le 24 avril 2019 [1]. Un capitaine de gendarmerie a été sanctionné de quinze jours d’arrêts pour
avoir consulté « les fichiers de gendarmerie » de manière illégale. Ces consultations illicites
portaient sur l’employeur de sa fille, ainsi que sur des membres de sa famille. Au total, ce
gendarme, qui n’était pas de Saint-Tropez, mais du centre opérationnel de la gendarmerie de
Rouen, aurait reconnu avoir consulté sans justification plus de trois cents fiches individuelles de
citoyens. Le gendarme ayant contesté la sanction, après avoir reconnu les faits durant l’enquête,
les juridictions administratives ont été saisies de ce recours, qui aboutit à cette décision inédite
de la plus haute des juridictions de l’ordre administratif de l’État de droit français.
LOVEINT : UN PHÉNOMÈNE MAL américaine [3], cette pratique a un nom. On l’appelle la LOVEINT,
en référence à l’usage par lequel on utilise son accès pour son
CONNU, MAIS BIEN RÉEL partenaire amoureux, sa compagne ou son compagnon (LOVE) ou
par intérêts (INT comme interests). Dans son livre « Data and
On pense toujours à protéger les données personnelles que l’on Goliath », Bruce Schneier évoque cette pratique illégale, mais qui
détient régulièrement de la consultation ou de l’extraction par des ne peut pas être sans conséquence pour les personnes concernées.
tiers extérieurs à l’organisation à laquelle on appartient et non Citant Edward Snowden et un audit de la NSA réalisé sur 12 mois
autorisés. L’esprit des Lois, depuis la première loi informatique, entre 2011 et 2012, il révèle que cette pratique aurait été relevée
fichiers et libertés de 1978 et plus récemment du RGPD [2], est très durant cette période 2 776 fois sur les traitements de l’Agence
grandement tourné, en particulier dans ses dispositions relatives à nationale de la sécurité rattachée au département de la défense
la confidentialité et à la sécurité des données, vers l’organisation des États-Unis. Il ajoute que le chiffre devrait être bien plus
de la protection contre ces accès et consultations illicites. Pourtant, important, car ces informations viennent de la NSA elle-même…
en matière de cybercriminalité, chacun sait que les premiers abus Bien évidemment, plus le fichier est gros, plus le nombre de
d’accès et de consultations aux traitements, viennent de l’intérieur. personnes autorisées à y accéder est important, et plus le risque
Il est tout à fait humain et tentant de consulter la fiche de son voisin est grand de voir se développer la LOVEINT. Il n’y a aucune raison
avec lequel les relations ne sont pas toujours au beau fixe. On peut que ce type de comportements se limite d’ailleurs aux fichiers
aussi s’amuser à consulter des fiches de célébrités, ou encore rendre publics, et on n’ose imaginer ce qui se passe dans certaines grandes
un service, gratuit ou… payant. Après tout, c’est si facile et ça ne entreprises d’outre-Atlantique, aspirateurs de données à caractère
semble pas si « méchant », et c’est très valorisant. Du point de vue personnel venant du monde entier et renfermant toutes sortes de
du responsable du traitement, la pratique est un cauchemar. Il est, renseignements. Ceux qui imaginent et entendent mettre en œuvre
en effet, très difficile de prévenir de tels comportements, l’abus le « tous fichés » devraient constamment avoir à l'esprit cette
venant de l’intérieur, c’est-à-dire de ceux connaissant intimement réalité.
le fonctionnement du système et les règles de protection. A la NSA
18
CHRONIQUE JURIDIQUE
UN PHÉNOMÈNE DIFFICILE
À CONTRER
LEGAL BRIEFING
En l’espèce, le capitaine de gendarmerie était manifestement
spécialement habilité à accéder à certains fichiers de données The Troops on Vacation
,
personnelles sur un fichier dont le Conseil d’État se garde bien de unlawfully accessing file
s
donner des détails. Tout au plus sait-on qu’il s’agissait d’un « fichier
de gendarmerie ». On peut penser que ce dernier comprenait des By Olivier Iteanu, Avocat à la
Lecturer at the University of Cour,
informations assez intrusives sur les personnes physiques qui s’y Paris I Sorbonne
trouvaient recensées. Il est évident qu’un tel traitement ne peut être
consulté à des fins personnelles. En droit, le point ne soulève In a judgement delivered on
24 April 2019, the Council
aucune difficulté. La pratique consistant, même pour une personne of State made a ruling in a hig
hly unusual case. A captain
habilitée à accéder aux données personnelles, à les traiter pour une of the gendarmerie was sen
tenced to fifteen days sus-
finalité autre que celle résultant de son habilitation, constitue un pension for unlawfully acc
essing "gendarmerie files".
manquement au RGPD. Selon les principes fixés par l’article 5, il These illicit viewings concer
ned his daughter's employer,
est notamment interdit de traiter des données personnelles d'une as well as members of their
family. In all, this gendarme
who was not from Saint-Trop ,
manière incompatible avec les finalités pour lesquelles elles ont été ez but from the operational
collectées initialement. Ces manquements sont sanctionnés centre of the gendarmerie of
Rouen, acknowledged having
sévèrement. S’il est démontré que cette consultation illicite est la accessed more than three hun
dred personal civilian files
conséquence d’un manquement à une obligation de sécurité without justification. With the
gendarme challenging the
élémentaire ou à une non-conformité aux règles de l’art dans le sentence, having admitted to
the acts during the investi-
domaine de la cybersécurité, une violation de la Privacy by design, gation, the administrative cou
rts heard the appeal, which
le responsable de traitement, en l’espèce la gendarmerie, encourt led to this unprecedented
decision of the highest cou
under France's administrative rt
une amende administrative prononcée par la CNIL pouvant s’élever law.
jusqu’à 20 000 000 € ou jusqu’à 4% du chiffre d’affaires annuel
mondial total de l’exercice précédent pour les entreprises. Mais le
gendarme lui-même, en dehors de la sanction disciplinaire dont il
a fait l’objet, pourrait voir sa responsabilité pénale engagée. En
effet, l’article 226-21 du Code pénal dispose que : « Le fait, par contourner tous ces dispositifs. La parole est ici bien plus à la
toute personne détentrice de données à caractère personnel à technique et à l’organisation qu’au droit. Elles seules sont capables
l'occasion de leur enregistrement, de leur classement, de leur de détecter la consultation douteuse qui donnera éventuellement
transmission ou de toute autre forme de traitement, de détourner lieu à enquête. Dans la décision du Conseil d’État, aucune précision
ces informations de leur finalité telle que définie par la disposition n’est ici apportée. Mais les juges administratifs constatent que le
législative, l'acte réglementaire ou la décision de la Commission capitaine de gendarmerie « a reconnu lors d’une audition les faits ».
nationale de l'informatique et des libertés autorisant le traitement C’est donc bien en trois temps que les choses doivent s’organiser
automatisé, ou par les déclarations préalables à la mise en œuvre pour lutter contre la LOVEINT. Tout d’abord, il s’agit de mettre en
de ce traitement, est puni de cinq ans d'emprisonnement et de 300 place une éducation en interne, qui rappelle les limites du droit
000 euros d'amende. » C’est donc bien lui qui, personnellement, d’accès au traitement et à sa consultation. Ensuite, des procédures
peut subir les foudres des juges correctionnels. préalables à l’accès, censées interdire, à tout le moins, la
consultation sauvage, doivent être élaborées. Enfin, les critères, qui
Mais la difficulté n’est pas juridique. Elle est d’ordre pratique et du pourraient déclencher une enquête, tels que l’heure de consultation,
domaine de la preuve. Comment en effet déterminer qu’un ayant le volume de données consultées ou extraites, la fréquence des
droit, celui qui dispose du droit d’accès à un traitement, a violé son consultations…, doivent être définis. Alors seulement lorsque la
principe de finalité lors d’une consultation ? Puisqu’il connaît les preuve du caractère illicite du comportement aura été établie, le
règles applicables dans l’entreprise dans ce domaine et la manière droit passera. ■ ■ ■
dont elles sont contrôlées et appliquées, il est le mieux placé pour
19
©jijomathaidesigners
DPO : le chef d’orchestre
de la Privacy by design
4Interview de (gauche à droite) Thiebaut Meyer, Fabrice Idier, Bruno Rasle et Patrick Blum, membres de l’AFCDP (Association
Française des Correspondants à la protection des Données à caractère Personnel), par Marc Jacob et Emmanuelle Lamandé
Penser la protection des données « by design » et « by default » nécessite avant toute chose une
refonte de l’organisation des entreprises et de leurs processus internes, afin d’impliquer le DPO
(Data Privacy Officer) le plus en amont possible. Il pourra ainsi intervenir dans les différentes
étapes de conception et de mise en œuvre de chaque projet. Pour Thiebaut Meyer, Fabrice Idier,
Bruno Rasle et Patrick Blum, membres de l’AFCDP, si la Privacy by design requiert un travail
d’équipe et la responsabilisation de tous, le DPO doit en être le chef d’orchestre.
Global Security Mag : Quelle est votre définition de la Privacy sécurité liés aux critères DICT (disponibilité, intégrité, confidentialité,
by design ? Quels en sont les principes ? traçabilité) et les principes de défense en profondeur. Les deux sont
similaires dans la démarche – c’est-à-dire une prise en compte des objectifs
Le concept de « Privacy by design » que l’on retrouve dans l’article 25 du très en amont des projets, dès la phase de conception – et ont des
RGPD consiste à prendre en compte les principes de la protection des problématiques entremêlées. En pratique, la Privacy by design englobe le
données à caractère personnel (minimisation et exactitude des données, concept de sécurité by design.
respect des finalités, limitation de la conservation des données, possibilité
de l’exercice des droits, etc.) dès la conception d’un nouveau traitement ou GS Mag : Quelles sont les obligations réglementaires en ce
la mise en œuvre d’une nouvelle technologie, que ce soit un produit, une domaine en France, et au-delà, notamment dans le cadre du
application, un logiciel ou un service en ligne. Ainsi, très en amont dans le RGPD ?
projet, les choix techniques et organisationnels seront faits pour assurer le
bon respect de ces principes. Si de nombreuses formalités préalables ont disparu dans le cadre du RGPD,
il est dorénavant nécessaire de pouvoir étayer ses choix au regard de la
Cela consiste à mettre en œuvre par DÉFAUT des règles pour la protection protection des données à caractère personnel. Une démarche de Privacy
des données collectées des personnes concernées, et ce jusqu’à leur by design permet de justifier les orientations d’un projet et les mesures
suppression. Par exemple, la minimisation des données est une collecte de mises en œuvre pour se conformer à la réglementation.
données répondant finement aux finalités du traitement, et constitue une
mesure « Privacy by design ». D’ailleurs, dans le RGPD (article 25), les notions de « Privacy by design » et
de « Privacy by default » (traduites par « protection des données dès la
La Privacy by design englobe le concept conception » et « protection des données par défaut ») sont expressément
incluses dans les obligations des responsables de traitement.
de sécurité by design
Le DPO (Data Privacy Officer) doit aussi veiller à ce que les clauses RGPD
GS Mag : Quelles différences et complémentarités existent-ils de sous-traitance (prévues par l’article 28) intègrent clairement le fait qu’il
entre sécurité by design et Privacy by design ? n’appartient pas au sous-traitant de déterminer si les incidents de sécurité
que connaît celui-ci doivent être qualifiés de violations de données : c’est
Les deux notions se différencient essentiellement sur le périmètre des clairement une responsabilité du client.
objectifs associés. La Privacy by design se concentre sur la protection des
données à caractère personnel et les conséquences sur le respect de la vie En ce qui concerne les administrations publiques, des lois, décrets,
privée. La sécurité by design, quant à elle, se concentre sur les objectifs de règlements précisent les obligations, notamment en matière de sécurité.
20
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
On y retrouve le RGPD, le règlement général de la sécurité (RGS), le décret
d’application et de transposition de la directive européenne NIS imposant
un renforcement de la cybersécurité des opérateurs de services essentiels Thema
SECURITY & PRIVACY
ou des fournisseurs de services numériques. BY DESIGN
DPO: the leader of Privac
Le RGPD, quant à lui, précise notamment par son article 32 que le y by Design
responsable d’un traitement doit mettre en œuvre des moyens permettant Interview with Thiebaut Me
de garantir la confidentialité, l’intégrité, la disponibilité et la résilience yer, Fabrice Idier,
Bruno Rasle and Patrick Blu
constante des systèmes et des services de traitement. m, members of the
AFCDP (French Association
of Correspondents
for the Protection of Person
al Data)
Le DPO doit être impliqué, comme le By Marc Jacob and Emmanue
lle Lamandé
RSSI, en amont de tout projet Devising data protection "by
design" and "by default"
requires, first and foremost,
GS Mag : Concrètement, qu’est-ce que cela implique pour les companies to reorganise
operations and their interna
organisations ? l processes. The aim is to
involve the DPO (Data Privacy
Officer) as far upstream as
possible, participating in all
Concrètement, il devient indispensable que la protection des données et la the various phases of project
design and implementation.
sécurité soient pilotées dans les organisations. La première étape est For Thiebaut Meyer, Fabrice
Idier, Bruno Rasle and Pat
d’impliquer le Data Privacy Officer en amont dans les projets. Comme c’est rick Blum, members of the
AFCDP, while Privacy by Des
le cas aujourd’hui pour le RSSI, le DPO doit en effet être intégré très tôt ign requires teamwork and
the involvement of all stakeh
pour pouvoir donner certaines orientations, rappeler les contraintes olders, it is the DPO who
must be the leader.
réglementaires et proposer des améliorations.
Les grandes entreprises à dimension internationale travaillent sur ces sujets De plus, tous les aspects fonctionnels liés à la protection des données
depuis des années. Les petites et moyennes entreprises françaises (limitation de la durée de conservation, suppression automatique éventuelle,
commencent à prendre conscience des enjeux liés à la sécurité et à la exercice des droits des personnes concernées) doivent être intégrés dès le
protection des données. Les moyens financiers peuvent parfois réduire les début dans le cahier des charges.
ambitions affichées.
GS Mag : Existe-t-il des outils qui peuvent aider les entreprises
L’évolution que l’on observe dans ce domaine depuis la mise en application en ce sens ?
du RPGD est assez similaire à celle de la sécurité des systèmes d’information
(SSI) ces dernières années. D’une contrainte de fin de projet réservée à Les entreprises, dans leurs démarches, peuvent s’appuyer sur une méthode
quelques spécialistes, la SSI s’est progressivement diffusée dans les équipes d’analyse de risques. L’outil PIA proposé par la CNIL et la méthode EBIOS
projet et est maintenant prise en compte très en amont. La protection des Risk Manager de l’ANSSI permettent d’instruire respectivement les analyses
données n’est sans doute pas encore arrivée à ce stade de maturité, mais de risques sur la vie privée et celles sur les systèmes d’information. Il peut
la médiatisation autour du RGPD a beaucoup fait progresser les mentalités. aussi être utile de se référer aux récents conseils de la CNIL à l’attention
des développeurs [1].
On constate bien une mise en conformité des sites Web, mais il en reste
énormément à corriger et ce n’est que la partie visible de l’iceberg… Pour Minimisez et purgez régulièrement
le reste, il faudrait réaliser des audits de conformité RGPD ou des tests vos données
d’intrusion.
GS Mag : Quelles techniques ou technologies fonctionnent le
La protection des données doit être mieux actuellement pour protéger les données par essence ou
intégrée dans le cahier des charges lors de leur utilisation (anonymisation, pseudonymisation,
chiffrement…) ?
GS Mag : Comment penser et intégrer le respect de la vie privée
dès la conception d’un projet ? Quelle démarche recommandez- Le chiffrement devient une enveloppe incontournable et indispensable pour
vous aux organisations ? assurer la sécurité by design. Il convient également de gérer les habilitations
et de tracer les actions.
La démarche est relativement simple sur le papier. Il faut tout d’abord La minimisation des données et la purge des données inutiles sont
21
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
également d’excellentes mesures de sécurité : la donnée que l’on a Le véritable objectif est de traiter les questions liées à la protection des
supprimée ou, mieux, celle que l’on n’a jamais collectée, sont les plus faciles données au plus tôt, afin de minimiser les coûts et les contraintes.
à sécuriser !
L’anonymisation n’est pas une mesure de sécurité. C’est un procédé qui Quant au ratio coût/bénéfice : après les sanctions de 100 et 200 millions
permet de sortir du champ d’application du RGPD en faisant disparaître d’euros qui viennent de frapper Marriott et British Airways suite à des
toute donnée personnelle. La pseudonymisation - à l’inverse - est bel et violations de données, la question ne se pose plus vraiment.
bien une mesure de sécurisation (elle est d’ailleurs évoquée à de multiples
reprises dans le texte). Il est dommage que les RSSI n’en fassent pas plus … qui doit pouvoir bénéficier de
de promotion : ainsi, en Grande-Bretagne, il n’est pas un seul hôpital dans
lequel les numéros de sécurité sociale ne sont pas remplacés par des jetons, ressources à la hauteur de ses missions
grâce à un procédé de tokenisation.
GS Mag : En regard de ces RETEX, quels conseils pouvez-vous
donner aux entreprises aujourd’hui ?
DPO : un acteur à la croisée
des chemins… La protection des données ne doit pas être vue comme une contrainte
supplémentaire, mais être intégrée à une démarche déjà existante (sécurité,
GS Mag : Quel est le rôle du DPO pour assurer le respect des qualité, etc.) avec un peu d’adaptation liée au domaine. Bien sûr, cela
obligations de sécurité et de Privacy by design au sein de sa dépend de la taille de la structure, de sa maturité et des enjeux métiers.
structure, et quelles sont ses missions en la matière ?
La protection des données et la cybersécurité sont des enjeux
Le DPO doit être le chef d’orchestre de ces démarches. Concrètement, il incontournables pour les entreprises qu’il convient de piloter. La mise en
doit tenir à jour les écarts constatés et s’assurer que le sujet est bien pris conformité au RGPD est avant tout la conduite d’un projet. Celui-ci
en charge. nécessite une communication, une sensibilisation de tous les acteurs en
Il doit tout d’abord former ses collaborateurs et les responsables de projets commençant par le management. La réussite des projets passe par la
pour les rendre les plus autonomes possible sur ces sujets et s’assurer que fourniture de moyens. La mise en conformité RGPD nécessite parfois de
les choix pris permettront de se conformer à la réglementation. De plus, il donner du temps aux métiers pour s’organiser. La planification des actions
doit proposer une méthodologie aux équipes pour les guider. est un bon outil de contrôle et de relance des acteurs.
Le DPO peut veiller à ce que figurent explicitement dans les cahiers des Par ailleurs, si le DPO reste seul dans son activité surtout dans les grandes
charges (y compris internes) et les appels d’offres : structures, il sera vite en difficultés. Il semble nécessaire de consolider et de
• Le besoin de voir tous les développements se faire de façon sécurisée, renforcer son activité en lui fournissant une équipe dédiée pour accélérer
avec production d’éléments de preuve (par exemple des rapports la mise en conformité tant souhaitée par la CNIL.
OWASP) ;
• Le respect de la délibération n° 2017-012 du 19 janvier 2017 de la CNIL GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un avenir
en cas d’authentification par mot de passe [3] ; plus respectueux de nos données et sécurisé « by design » ?
• Les respects des recommandations techniques de l’ANSSI.
Il peut aussi faire référence aux récents conseils de la CNIL à l’attention Il faut, en effet, être optimiste sur ce sujet. Au même titre que pour la SSI,
des développeurs [1]. la question de la protection des données va progressivement se diffuser
et permettre une meilleure prise en compte des besoins dans les années
GS Mag : Avec quels autres acteurs doit-il collaborer sur ces qui viennent. Comme Rome, la conformité RGPD ne sera pas faite en un
aspects dans l’organisation ? jour ! Avec persévérance, le respect de nos données est possible !
Pour des raisons évidentes de synergie, son premier partenaire est le Mais la sécurité des données personnelles assurée par les responsables de
responsable de la sécurité de systèmes d’information (RSSI), avec qui il traitement français doit être excellente puisque, ramenée à la population
partage la visibilité sur les projets, les méthodes et certains objectifs. Il doit des deux pays, la France notifie... 49 fois moins de violations de données
également être proche des collaborateurs de la DSI et de la maîtrise que les Pays-Bas ! ■ ■ ■
d’ouvrage. Cette dernière, comme dans le domaine de la SSI, doit être
sensibilisée aux enjeux pour mieux appréhender les éventuelles contraintes
du projet. [1] https://www.cnil.fr/fr/developpeurs-la-cnil-met-en-ligne-un-kit-de-bonnes-pratiques
[2]https://cvpip.wp.imt.fr/2019/04/29/livre-electronique-avril-2019-personnalisation-de-
Le DPO collabore également avec de nombreux autres acteurs ou entités : services-quelles-technologies-pour-la-preservation-de-la-vie-privee/
[3] https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-
la DRH, les directions métiers, la direction de la communication, le service elementaires
des archives (notamment sur le respect des délais de conservation), les
juristes, les chefs de projets et les auditeurs internes. Il conseille aussi la
direction générale et les directeurs.
Le DPO est un acteur à la croisée des chemins menant à la (nos) DATA !
23
©jijomathaidesigners
Sécurité & Privacy
by design : la démarche
la plus simple est souvent la
meilleure
4Par Marc Jacob et Emmanuelle Lamandé
Penser et intégrer la sécurité et le respect de la vie privée dès la conception d’un projet paraît
plutôt « simple » en théorie, mais concrètement comment faire en pratique ? Quelle démarche
faut-il adopter et quelles sont les étapes incontournables à respecter ? Pour nos deux experts,
Gabriel Amirault, Wavestone, et Thierry Chiofalo, CEIS, il est essentiel de rester le plus
pragmatique possible et surtout de ne pas créer une usine à gaz, qui risque de faire fuir toutes les
bonnes volontés. En matière de sécurité et de Privacy by design, la démarche la plus simple et la
mieux adaptée au contexte reste souvent la meilleure.
La Privacy by design est un processus permettant d’assurer la prise Beaucoup d’entreprises ont
en compte des risques de sécurité, d’une part, et des risques pour
la vie privée des personnes, d’autre part, dès la conception d’un formalisé des processus de Privacy
produit ou service, explique Gabriel Amirault, Manager chez by design trop idéalistes
Wavestone. « En effet, la Privacy by design se veut avant tout
proactive. Cela signifie prendre en compte les besoins de sécurité Bien que la Privacy et sécurité by design soient désormais devenues
associés à la Privacy directement dans le projet initial, et les intégrer des obligations légales, le niveau de maturité des entreprises varie
dans le design et la conception, en opposition à une sécurité qui encore en la matière, souligne Gabriel Amirault. « La maturité du
serait menée a posteriori », complète Thierry Chiofalo, Directeur marché sur ces sujets est très souvent fonction, d’une part, de celle
adjoint Cybersécurité, CEIS. « L’intérêt de la Privacy by design est de la DSI, notamment de sa méthodologie projet et, d’autre part,
bien entendu de protéger en premier lieu la personne concernée. des ambitions de chacune des structures sur les sujets Privacy et
Mais, si cela est bien fait, elle permet aussi d’adresser plus cyber.
largement les problématiques de sécurité de façon rationnelle,
plutôt que par des actions ponctuelles et réactives. Au-delà du coût Globalement, l’actualité de ces dernières années pousse les
que cela peut représenter, la Privacy by design peut également être entreprises, parfois à marche forcée, à se mobiliser sur les sujets
une opportunité pour développer des pratiques pertinentes. » de cybersécurité et de protection des données. Mais pour bon
24
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
nombre d’entreprises, ce ne sont que les prémices. Si on prend
l’exemple de la Privacy by design, dans l’urgence de la mise en
conformité au RGPD, de nombreuses entreprises ont formalisé des
processus idéalistes, mais non efficaces et non pérennes sur le long Thema
terme. Preuve en est, la quasi-totalité des entreprises ont inséré SECURITY & PRIVACY
BY DESIGN
une étape d’évaluation des risques relatifs aux données
personnelles dans leur méthodologie projet, mais seulement une Security & Privacy by
the simplest approach Design:
entreprise sur trois estime que celle-ci est suffisante, selon une is often the best
étude réalisée par Wavestone [1].
Au niveau européen, on constate généralement une corrélation By Marc Jacob and Emmanue
lle Lamandé
entre le niveau d’exigence des autorités nationales et le niveau de
maturité des différentes structures. L’Espagne et l’Allemagne sont
Devising and integrating sec
en tête du peloton. » urity and privacy from the
design stage of a project see
ms rather "simple" in theory,
but practically how is this
Depuis la mise en application du RGPD, Gabriel Amirault constate to be done? What approach
needs to be taken and wh
trois évolutions majeures autour des sujets de sécurité et de Privacy at are the essential steps to
follow? For our two experts,
by design. En effet, les nouvelles obligations en la matière ont forcé Gabriel Amirault, Wavestone,
and Thierry Chiofalo, CEIS,
les entreprises à adresser et à faire évoluer : a basic rule is to be as
pragmatic as possible and
• Les rôles et responsabilités : la gouvernance des filières Privacy, , above all, not to create an
unmanageable system wh
sécurité et la responsabilité des métiers ont souvent été revues, ich risks alienating all
stakeholders. In terms of sec
afin de clarifier le rôle de chacun et leur niveau d’engagement. urity and privacy by design
,
the simplest approach suited
• La méthodologie : existantes ou non, les méthodologies relatives to the scenario is often the
best.
à la Privacy et sécurité by design ont été définies ou
profondément revues, en vue d’assurer une meilleure conformité.
Ce sujet a souvent tiré une remise à plat du processus de gestion
de projet, afin d’y intégrer de manière plus pertinente et
systématique les enjeux de sécurité.
moyens communs. L’objectif est de disposer d’un processus capable,
• La position de l’entreprise : les différents projets au sein des
en entrée, de capter l’ensemble des projets et, en sortie, de produire
entreprises ont fait émerger un besoin fort de position de leur
des mesures de sécurité adaptées aux finalités visées. Qu’est-ce qui
part sur des sujets clés, afin d’avoir des lignes directrices claires
est nécessaire pour ne pas empêcher le fonctionnement d’un tel
lors de la qualification d’un projet : pour quels traitements
processus ?
demande-t-on un consentement, quels prérequis de sécurité pour
• Tout d’abord, la capacité à capter les projets en entrée, qui pourra
quelle typologie de donnée…
se faire par différents moyens : s’appuyer sur un workflow
existant et s’y greffer (workflow de validation de demande
Plus globalement, l’élévation du niveau de conformité des
d’investissement, achats), travailler sur la sensibilité des
entreprises à laquelle on assiste entraîne une meilleure maîtrise
personnes concernées en expliquant le besoin, etc.
globale des données et des traitements, qui à terme sera génératrice
• Ensuite, avoir un processus adapté à l’entreprise : rien ne sert
de valeur pour les organisations.
d’exiger une analyse de risques complexe si la maturité de
l’organisme ne le permet pas. Mieux vaut un processus simple
Mieux vaut un processus simple, qui fonctionne et que l’on améliorera qu’un système compliqué
pragmatique et qui fonctionne qui ne sera pas réalisé et qui, en plus, pourra rebuter les bonnes
volontés. Une checklist des mesures de sécurité peut être un
La plupart des acteurs ont aujourd'hui compris l’intérêt de penser premier pas.
et d’intégrer la sécurité et le respect de la vie privée dès la • Enfin, produire des recommandations, là aussi, réalistes dans le
conception d’un projet. Mais si cela paraît plutôt « simple » en contexte. S’arc-bouter sur des recommandations, peut-être
théorie, qu’en est-il dans la pratique ? Quelle démarche faut-il légitimes mais inapplicables dans le contexte, risque à terme de
adopter et quelles sont les étapes incontournables à respecter ? desservir la finalité plutôt que de la favoriser. Cela ne veut pas
Pour Gabriel Amirault, deux principaux piliers permettent dire non plus qu’il ne faut pas évoluer en sortant de sa zone de
aujourd'hui d’assurer une bonne prise en compte des enjeux confort : par exemple en formant les développeurs et les
sécurité et Privacy dès la conception d’un projet : utilisateurs à de nouvelles pratiques, ou encore en mettant en
• Le premier est de rester le plus pragmatique possible dans le place des solutions technologiques, telles que du chiffrement ou
processus. Ainsi, avoir une approche mutualisée entre Privacy by de l’authentification forte.
design et sécurité by design évite de nombreux doublons, crée
des synergies et permet une approche intégrée plus lisible pour En effet, complète Gabriel Amirault, le risque est de faire de la
les équipes projets. Par ailleurs, le processus doit être divisé en conformité et de la sécurité un frein pour l’entreprise. Les processus
deux étapes. Une première, légère, qui permet de qualifier la « by design » sont là pour assurer à l’entreprise une maîtrise de
sensibilité du projet ; une seconde plus complète réservée au risques, non pour empêcher son business. Certains ont même
20% de projets les plus critiques. réfléchi à faire de ces obligations une opportunité en proposant
• Le second pilier réside dans la responsabilisation de chacun sur aux métiers d’en faire un différenciateur business. Le cas d’Apple,
le sujet. Faire de la sécurité et de la Privacy l’affaire de tous les avec son « what happens on your iphone stays on your iphone »,
collaborateurs, via une sensibilisation et une formation adaptées est un bon exemple.
aux profils de chacun, permet de créer des réflexes de protection Par ailleurs, au cours du développement d’un produit, il existe
à tous les niveaux de l’entreprise. régulièrement un décalage entre les préconisations issues des
processus « by design » et la réalité de leurs implémentations. Le
Pour Thierry Chiofalo, la sécurité de l’organisme et le respect de la pragmatisme des mesures et le contrôle de leur implémentation
vie privée sont deux finalités qui peuvent partager bon nombre de sont clés, afin de faire de la protection des données une réalité.
25
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
27
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
On pourra citer par exemple (mais sans s’y limiter) : sécurité des données personnelles aux enjeux des projets et la traiter
• Le responsable de traitement, ou plutôt son délégataire, qui au même titre que la sécurité de l’information en général.
s’assure que les pratiques couvrent les objectifs fixés par le Enfin, même si beaucoup reste à faire en la matière, nous pouvons
règlement ; d’ores et déjà entrevoir un avenir plus respectueux de nos données
• Le référent métier ; et sécurisé « by design », conclut Gabriel Amirault. De nombreuses
• Le DPO, qui intervient en contrôle ; entreprises ont mis fin à des pratiques que l’on pouvait juger
• Le RSSI pour ne pas rater les synergies entre la protection de déloyales pour les personnes. Par ailleurs, dans un marché de plus
l’entreprise et celle des données personnelles (dans le contexte en plus mature sur ces sujets, nous voyons les prémices de business
du SI) ; model et de ROI orientés « sécurité des données ». Ainsi, dès lors
• Le contrôle interne ; que la Privacy et la sécurité seront perçues comme des gains
• L’audit interne ; d’argent potentiels, les entreprises n’auront d’autres choix que de
• Les achats qui peuvent être un point de passage obligé des se mobiliser davantage sur ces sujets et d’en faire un avantage
nouveaux projets ; concurrentiel, si elles veulent rester dans la course… ■ ■ ■
• Le chef de projet ;
• Etc.
Cyber et Privacy sont des sujets d’entreprises qui, chacun à leur [1]
https://www.wavestone.com/fr/insight/vie-privee-numerique/
[2]
rythme, sont maintenant traités au niveau des COMEX des https://hazy.com/
entreprises, constate Gabriel Amirault. Les deux sujets encadrent
l’utilisation des données, devenues l’or noir du 21ème siècle. La
donnée étant au centre des processus de l’entreprise, la sécurité et
la Privacy by design réunissent ainsi l’ensemble des acteurs de la
structure : métiers, IT, juridique, marketing, digital, etc., en plus des
experts cyber et Privacy. Cette dynamique ouvre de nouvelles
opportunités et réflexions quant à l’évolution de la stratégie
marketing, de collecte de données, d’opt-ins…
GS Mag : Quel état faites-vous du niveau de maturité des démarche orientée risques analogue comme ce qui est fait dans le
entreprises françaises dans le domaine de la Sécurité & cadre de l’intégration de la sécurité dans les projets. On part de
Privacy by design ? Quelle évolution avez-vous pu scénarios, on estime leur vraisemblance et on regarde l’impact de
observer depuis la mise en application du RGPD ? chaque scénario pour l’entreprise, cet aspect concerne le RSSI, les
données des personnes concernées relèvent du DPO. Il y a un PIA
Mylène Jarossay : La Privacy « by design » a pour avantage d’être (Privacy Impact Assessment) selon la nature des données traitées.
rendue obligatoire dans le règlement européen contrairement à la Ces démarches sont donc relativement parallèles et
sécurité « by design », même si celle-ci l’est également de façon complémentaires. Souvent, les mesures de sécurité adressent les
implicite dans la mesure où le responsable de traitement est tenu deux besoins. Le DPO s’occupe de la protection des données en
de prendre toutes les mesures de sécurité adéquates. Ceci-dit, la termes de contenu, alors que le RSSI s’occupe de la protection du
prise en compte des obligations du respect de la vie privée dans contenant. Les approches actuelles doivent encore gagner en
les traitements de données à caractère personnel varie maturité, en retours d’expérience et donc en pragmatisme pour être
considérablement d’un traitement à l’autre. En fonction des enjeux, parfaitement adaptées aux sujets traités. Les PIA, quand ils seront
de la volumétrie des données et de l’application en question, cette requis, devront être traités de façon efficace pour s’inscrire dans les
prise en compte va revêtir un caractère stratégique ou non dans le timings de plus en plus courts des projets.
projet. Waze n’aborde sans doute pas le sujet de la même manière
que la collectivité qui collecte des données de trafic pour optimiser GS Mag : Quelles techniques ou nouvelles technologies
la circulation. Et pourtant, les deux s’immiscent dans la vie privée fonctionnent le mieux actuellement pour protéger les
des citoyens qui se déplacent. données par essence ou lors de leur utilisation ?
Il est difficile de savoir précisément si les entreprises françaises ont
réellement atteint un palier de maturité, mais elles ont, du fait du Mylène Jarossay : Depuis l’avènement du RGPD, on n’a pas
RGPD, revu leurs processus d’intégration de la sécurité dans les inventé de nouvelles solutions technologiques pour protéger les
projets, et ces derniers passent bien plus souvent qu’avant par la données à caractère personnel. Anonymisation, pseudonymisation,
case RSSI et DPO dès leur démarrage. C’est un progrès important, chiffrement, toutes existaient déjà et si j’en crois les statistiques du
d’autant qu’auparavant un certain nombre d’initiatives avaient marché de la sécurité, la vente de ces produits n’a pas explosé
tendance à échapper à l’IT et au RSSI. Désormais, le RSSI et son depuis 18 mois ! C’est qu’ils étaient déjà utilisés là où ils devaient
nouveau collègue DPO sont consultés de façon bien plus l’être (grâce aux analyses de risques en particulier !) et que la
systématique. plupart des données à caractère personnel étaient correctement
protégées. Du moins dans les entreprises dotées d’un RSSI… Les
Le plus tôt sera le mieux autres aspects du RGPD (mesures organisationnelles et clauses
contractuelles…) ont davantage mobilisé les entreprises que la
GS Mag : Comment penser et intégrer le respect de la vie protection des données à proprement parler. Au plan technique, les
privée dès la conception d’un projet ? Quelle démarche efforts se concentrent notamment sur la sécurité des architectures
recommandez-vous aux organisations ? et du code applicatif, mais également et de plus en plus sur la
traçabilité des accès aux données et des opérations faites sur celles-
Mylène Jarossay : Comme pour la sécurité, le plus tôt sera le ci et, bien sûr, sur la surveillance de ces traces.
mieux. La prise en compte du respect de la vie privée part d’une
30
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
Thema
SECURITY & PRIVACY
Développons des processus BY DESIGN
collaboratifs efficaces GDPR: strengthening
personal
data protection
GS Mag : Quels conseils pouvez-vous donner aux
entreprises aujourd'hui ? Interview with Mylène Jarossa
y, President of CESIN
Mylène Jarossay : D’abord, il est essentiel que RSSI, DPO et
juristes travaillent ensemble, car leurs actions sont vraiment Even if it is still early days, GD
PR has highlighted the issue
complémentaires. Le problème est solutionné dans les structures of "Privacy" and is stre
ngthening personal data
de taille moyenne où les RSSI cumulent le rôle de DPO. Dans les protection. A large number
of companies have reviewed
autres entreprises, il est indispensable que le RSSI et le DPO their security integration pro
cesses in their projects and
fonctionnent main dans la main, sinon il y aura dispersion des are now consulting the
CISO and DPO more
enjeux et risques de doublon dans les démarches. D’autant qu’il ne systematically. While proced
ures may still be lacking in
faut pas oublier que le RSSI et le DPO vont solliciter les mêmes maturity and require a mo
re pragmatic approach, the
acteurs, à savoir les responsables métiers ! Le pire serait d’arriver signs are nonetheless quite
encouraging.
à des choix incohérents s’il n’y a pas de concertation. Il faut que
les process soient le mieux intégrés possible. Développons des
processus collaboratifs efficaces.
GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un En fait, toute règlementation est bonne à prendre et le RGPD va
avenir plus respectueux de nos données et sécurisé « by dans le bon sens de la protection des données. Mais ce règlement
design » ? ne couvre que les données personnelles. Quid des autres ? Il va de
soi que, pour les grandes entreprises, le RSSI appréhende
Mylène Jarossay : Il est certain que le règlementaire a quand correctement les besoins de protection, mais il n’est pas toujours
même réussi à mettre le sujet « Privacy » en avant. Il a constitué écouté, surtout en ces temps d’externalisation et de recours massif
un vrai levier. Nous voyons enfin les responsables des entreprises, au Cloud qui exposent plus que jamais les données des entreprises,
grandes manipulatrices de données, commencer à changer leurs y compris parfois les plus sensibles. On risque ainsi de monter une
discours. Le respect de la vie privée semble devenir un élément sécurité à deux vitesses avec une règlementation insuffisante. Le
valorisable. Il y a sûrement un avant et un après l’affaire Cambridge législateur devra y travailler. ■ ■ ■
Analytica.
31
© Sebastian Kaulitzki
MALWARES BUSTERS
QUAND LES
CYBERCRIMINELS
REMONTENT À
LA SOURCE
4Par Marc Jacob et Emmanuelle Lamandé
Dans leurs démarches de Sécurité et de Privacy by design, les entreprises recourent souvent à des
techniques de chiffrement, d’anonymisation, de pseudonymisation… Mais malheureusement, elles
ne sont pas les seules à en faire bon usage… Les cybercriminels eux aussi exploitent ces
techniques, pour commettre leurs méfaits en toute discrétion, mais aussi peaufiner leurs attaques.
Sans compter qu’ils sont toujours à l’affût du moindre bug ou vulnérabilité et n’hésitent pas à
remonter à la source pour ancrer leurs exploits directement dans le code.
Pour mettre en œuvre des cela contribue à faire baisser la vigilance des utilisateurs), constate
mesures de Sécurité et de Benoît Grunemwald, Expert en cybersécurité, ESET France. « L’un des
Privacy by design, les entre- exemples bien connus est le fameux « petit cadenas vert » qui
prises recourent souvent à indique qu’une connexion Web est chiffrée par SSL. Beaucoup d’utili-
des techniques de chiffre- sateurs imaginent qu’ils sont en sécurité lorsqu’ils voient ce symbole,
ment, d’anonymisation ou de alors qu’en réalité cela indique simplement que leur échange ne
pseudonymisation… « Ces pourra pas être intercepté par des tiers en chemin, mais pas que le
techniques sont d'excellentes site lui-même est sûr ! De fait, de plus en plus de sites de phishing
mesures pour assurer la confi- abusent de cela et déploient un certificat (via Let’s Encrypt ou en
dentialité des données sen- achetant de vrais-faux certificats SSL sur le Dark Web). Enfin,
sibles en cas de fuite », sou- concernant le chiffrement de manière plus générale, la protection des
ligne David Weber, Respon- clés est un facteur essentiel, sans lequel tout l’édifice peut s’effondrer.
sable du pôle RIS (Réponse Parler de chiffrement « par design » revient donc avant tout à
aux Incidents de Sécurité), réellement poser la question de la génération et de la gestion des
XMCO. « Nous recomman- clés de manière sûre, et c’est beaucoup plus complexe qu’il n’y
dons souvent la mise en œu- paraît. »
Benoît Grunemwald, ESET France vre de telles mesures dans
le cadre de nos audits. Et DES EMPREINTES QUI NE LAISSENT
lorsqu’elles sont correctement appliquées, la complexité pour en
venir à bout décourage bien souvent les cybercriminels qui sont gé- PAS DE TRACES…
néralement plus dans une démarche de rentabilité à moindre effort ».
Toutefois, ce n’est pas toujours le cas, et les erreurs d'implémentation Les techniques de chiffrement vont principalement reposer sur la
de ces mesures sont fréquentes, pour le plus grand bonheur des connaissance d’un secret partagé dans le cadre d’un chiffrement sy-
pirates. Effectivement, lorsqu’elles ne sont pas correctement mises en métrique ou d’un couple clé publique/ clé privée pour le chiffrement
œuvre, ces techniques peuvent conduire à un faux sentiment de asymétrique, explique Pierre Le Calvez, Security Consultant Manager,
sécurité, que les criminels vont alors exploiter à leur avantage (car Offensive Security, NTT SECURITY. « Lors d’une attaque sur la clé, un
32
MALWARES BUSTERS
cybercriminel va essayer de
retrouver des clés stockées
dans des fichiers de sauve-
garde ou de configuration
présents sur le serveur. Si
une clé symétrique faible a MALWARES BUSTER
S
été mise en place, un cyber-
criminel essayera de la casser, Cybercriminals ready to
head
afin de pouvoir déchiffrer la upstream to the source
donnée. À l’inverse, il est
très dur et long d’attaquer By Marc Jacob and Emmanue
lle Lamandé
un couple de clés de chiffre- Enterprises commonly resort
ment asymétrique. En effet, to encryption, anonymiza-
tion, pseudonymisation tec
la majorité des algorithmes hniques when addressing is-
sues of Security and Privacy
utilisés pour générer ces clés by Design, ... But regrettabl
these methods are used by y,
sont robustes et produisent others less well-intentioned.
Cybercriminals also exploit ..
Pierre Le Calvez, NTT SECURITY des clés de grande taille. these techniques not just to
perpetrate their undercover
Un autre moyen d’éviter de acts, but also to plot and im-
prove their attacks. In the me
stocker des données en clair dans son système est de garder une em- antime they are always on
the lookout and ready to tak
preinte de celles-ci. Pour cela, des fonctions de hachages sont e advantage of any bug or
vulnerability and will not hes
utilisées. Ce sont des algorithmes permettant de produire une itate to head upstream to the
source to anchor their misdee
empreinte unique et de taille fixe en prenant en entrée une donnée ds directly in the code.
de type et taille quelconques. Les fonctions de hachages sont faites
de sorte qu’à partir de l’empreinte d’une donnée, il soit impossible
mathématiquement de retrouver la donnée initiale. L’unique moyen
de retrouver une donnée à partir de l’empreinte passera par le calcul
de toutes les empreintes de données possibles jusqu’à retrouver la
même empreinte. L’algorithme utilisé va donc déterminer le temps
que mettra un attaquant à retrouver les données en clair à partir des
empreintes. Une fonction de hachage idéale permettra de mettre peu
de temps à réaliser une empreinte, mais sera très chronophage dans compromission d’une base de données contenant des données pseu-
le cadre du calcul de nombreuses empreintes. donymisées, un cybercriminel pourra revendre ces données personnelles,
Les fonctions de hachages sont souvent utilisées pour stocker les même s’il n’a pas retrouvé la clé et ne peut donc pas identifier
mots de passe en bases de données. En effet, ce n’est plus le mot de l’individu propriétaire. »
passe des utilisateurs qui est stocké, mais seulement une empreinte
de celui-ci. Dans le cadre de la compromission d’une base de données, Pour Ivan Kwiatkowski, Cher-
un attaquant récupérera seulement des empreintes qu’il devra casser cheur en cybersécurité au sein
unitairement. de l’équipe globale de re-
De son côté, l’anonymisation est très utilisée dans les environnements cherche et d’analyse de Kas-
de tests. En effet, il est généralement déconseillé de se servir de persky, le modèle de risque
véritables données dans ces environnements, ceux-ci étant par de chaque produit dépend
définition instables et pouvant être manipulés par de nombreux col- effectivement de sa nature,
laborateurs. Néanmoins, des données réelles sont souhaitées dans de ses usages, et évidemment
ces environnements, afin de tester correctement les fonctionnalités des données qu’il manipule.
d’une application, en plus de produire des développements cohérents. Les problèmes constatés sont
Pour répondre à cette problématique et éviter des fuites de données généralement liés à la mise
réelles, celles-ci peuvent être anonymisées tout en gardant le contexte. en œuvre des techniques dé-
Par exemple, une date anniversaire ou une adresse postale garderont crites (chiffrement, etc.) : mé-
un format cohérent permettant de les utiliser dans les environnements connaissance ou mauvais
de test et de recette. L’enjeu sera donc de réaliser une anonymisation usage des algorithmes utilisés,
robuste ne permettant pas à un attaquant récupérant des données collecte d’informations per-
anonymisées de pouvoir, par quelconque moyen, identifier ni l’individu sonnelles superflues... Il est
Ivan Kwiatkowski, Kaspersky facile pour les concepteurs
détenteur de celle-ci, ni la donnée en elle-même. Il est également
bon à savoir que ces données ne rentrent pas dans le champ d’un produit d’omettre cer-
d’application du RGPD. tains angles d’attaques. Par exemple, que se passe-t-il si quelqu’un
A contrario, la pseudonymisation, qui consiste à garder des données ouvre le produit ? Ou intercepte le trafic ? Y a-t-il des fonctionnalités
à caractère personnel sans qu’elles puissent être reliées à un individu, que seuls les développeurs sont censés connaître, mais que des
rentre dans le champ du RGPD. Ce procédé va créer une clé d’identi- attaquants pourraient découvrir (ex : mot de passe universel, interface
fication unique pour chaque individu permettant de lier entre elles d’administration, etc.). Le principal problème réside le plus souvent
toutes ses informations. Une fonction à sens unique, telle qu’une aujourd'hui dans l’absence de démarche de sécurité « by design ».
fonction de hachage avec mot de passe, est idéale pour réaliser ce Les contraintes de certains secteurs conduisent au phénomène de
processus. Un cybercriminel devra donc s’attacher à retrouver la clé « rush to market », où le produit doit être mis en vente le plus vite
secrète ayant été utilisée dans le processus de pseudonymisation possible. A cette aune, la réflexion autour de la sécurité du produit
pour créer l’identifiant unique associé à un individu s’il veut retrouver fait partie des considérations souvent reléguées au second plan, car
les données associées à celui-ci. Néanmoins, dans le cadre d’une perçue comme peu rémunératrice.
33
MALWARES BUSTERS
• Les données sont chiffrées sur le disque, mais la clé de Le dernier #fail que j'aimerais mettre en évidence est un peu plus
[dé]chiffrement est conservée dans un fichier à côté des données complexe à percevoir et souvent difficile à digérer pour les entreprises
chiffrées. #Fail qui l'ont mis en œuvre :
• Avant d'être importées en environnement de développement, les • Les données sont chiffrées en base. Mais le chiffrement est
données de la base de données de production sont anonymisées. effectué par le SGBD lui-même via un mécanisme de chiffrement
Bien ! transparent. Par conséquent, cette mesure de sécurité a été
- Mais l'anonymisation des données se fait directement sur le inefficace face à l'injection SQL exploitée par l'attaquant pour
serveur de développement lui-même. #Fail voler l'ensemble des données de la base. #Fail
- Et les exports de la base de données de production (où les En outre, le mécanisme que les éditeurs de bases de données
données ne sont donc pas anonymisées) qui sont déposés mettent fièrement en avant sous le nom de « TDE » (pour
sur l'environnement de développement ne sont jamais Transparent Data Encryption) est, à mon sens, dangereux lorsqu'il
supprimés. #Fail2 est employé sans considérer les limites de cette mesure. L'analogie
• L'application effectue un travail de pseudo-anonymisation avant peut être faite avec le chiffrement transparent des systèmes de
d'insérer les données en base. Mais toutes les données traitées fichiers.
par l'application sont présentes au sein de ces journaux avant
d'être pseudo-anonymisées. #Fail * Sans préciser si ces observations sont issues d'une compromission
avérée ou non.
35
MALWARES BUSTERS
l’Open Redirect, l’Unautho- Les nouveaux pipelines de déploiement DevOps poussés par les révo-
rized File Access, le Cross- lutions Cloud et les technologies de conteneurisation de type Docker
Site Scripting (XSS) ou encore ont effectivement introduit de nouvelles façons de travailler pour les
l’injection SQL (SQLi). Pour développeurs, mais les principes de sécurité « by design » peinent à
rappel, les attaques XSS sont se faire une place, notamment via DevSecOps, déplore Pierre Le
des scripts malveillants in- Calvez. « Le premier défaut que nous pouvons observer est l’absence
jectés dans une application d’analyse de risques et d’expression d’objectifs de sécurité lors du
Web de telle sorte que, design des projets d’applications. De ce fait, il n’y a pas d’incentive à
lorsqu'ils sont exécutés par contrôler la sécurité dans les développements pour ceux qui en ont la
d'autres utilisateurs du site, charge – seules les livraisons liées aux évolutions et fonctionnalités
ils sont approuvés et exécutés, souhaitées sont attendues. La sécurité doit venir de plus haut et
donnant à l'attaquant un ac- découler d’une stratégie globale !
cès à des informations sen- Techniquement, nous conseillons à nos clients de porter une attention
sibles. Les cybercriminels peu- toute particulière au traitement des données de l’utilisateur, et de
vent obtenir des informations contrôler celles qui seront fournies à l’application. Les entrées
de connexion, des identifiants utilisateurs peuvent prendre la forme de plusieurs interactions, telles
Nurfedin Zejnulahi, Trend Micro de session et d'autres don- que la saisie d’une chaîne de caractères ou l’envoi d’un fichier. Nous
nées personnelles sur les uti- rencontrons bon nombre d’applications qui ne traitent pas les données
lisateurs. Ils peuvent également modifier le comportement du site ou de manière sécurisée. Cela peut engendrer des exécutions de code
demander aux navigateurs des usagers de participer à une attaque côté client avec des vulnérabilités de Cross-Site Scripting, ou plus
par déni de service distribué (DDoS). De leur côté, les vulnérabilités grave, des exécutions de code côté serveur pouvant entraîner la com-
d'injection SQL permettent aux attaquants de modifier la structure promission du serveur. Les cycles de développement étant de plus en
des requêtes SQL de manière à permettre la filtration ou la manipulation plus courts, nous sommes amenés à découvrir des fichiers par défaut
de données existantes. Les attaques par injection SQL constituent et des fichiers de configuration sur les serveurs, qui ne devraient plus
une vulnérabilité par laquelle les attaques abusent de la syntaxe SQL exister dans les environnements de production. Nous rencontrons
de manière inattendue par l'application. En exécutant certaines également des applications ne disposant pas de protection visant à
requêtes de base de données, un attaquant peut extraire des éviter les attaques par « force brute » sur les couples d’authentifiants,
informations contenues dans d'autres bases de données, tables, et qui consistent à tester toutes les solutions possibles de manière
même exécuter des commandes du système d'exploitation. naïve. Enfin, nous constatons encore de nombreuses applications
utilisant des mots de passe par défaut. Qu’ils soient des reliquats de
LES PRINCIPES DE SÉCURITÉ tests ou utilisés en production, ces mots de passe présentent un réel
vecteur d’attaque, car ils permettent généralement d’accéder à des
« BY DESIGN » PEINENT À interfaces d’administration. »
SE FAIRE UNE PLACE
SI LA ROUE EST DÉFAILLANTE,
Les pratiques de développe-
ments agiles, telles que le
C'EST TOUTE LA CARRIOLE QUI RISQUE
DevOps ou les processus d’in- DE FINIR DANS LE CANIVEAU
tégration et de déploiements
continus (CI/CD), induisent Le principal défaut que David Weber observe, de son côté, concerne
en outre des changements « le manque de mises à jour des composants tiers utilisés par les
extrêmement rapides de applications ; le risque de sécurité A9 (i.e. A9:2017-Using Components
codes et d’infrastructures, with Known Vulnerabilities) selon le Top10 2017 de l'OWASP. En
constate Michel Lanaspèze, effet, « pourquoi réinventer la roue quand elle existe déjà ». C'est
Directeur Marketing Europe un adage souvent entendu et qui reste vrai. Cependant, il faut
de l’Ouest, Sophos. Elles per- garder à l'esprit que « si la roue [que vous ne réinventez pas] est
mettent de publier de nou- défaillante, c'est toute la carriole qui risque de finir dans le
veaux logiciels plusieurs fois caniveau ».
par jour, mais en contrepartie On constate que même les entreprises qui possèdent une certaine
accroissent considérablement maturité en matière de gestion des correctifs de sécurité pour les
les risques en matière de sé- composants système et réseau ont du mal à faire évoluer les
Michel Lanaspèze, Sophos curité. Couplée avec l’utili- composants tiers utilisés par leurs applications. A votre avis, que se
sation croissante des possi- passe-t-il lorsque vous mettez à jour les bibliothèques ou le framework
bilités offertes par la simplicité du déploiement du Cloud public, cette utilisés par votre application ? Effet de bord, erreur de compilation et
tendance de fond met les équipes responsables de la sécurité sous dysfonctionnement partiel ou total de l'application sont les problèmes
pression. « On ne compte plus les attaques exploitant des négligences auxquels les entreprises ont à faire face. Lorsqu'à cela on ajoute les
sur des sujets qui apparaissent pourtant comme allant de soi pour notions « d'application métier sensible », « d'application composée
des spécialistes de la sécurité », déplore Michel Lanaspèze. « Les plus de millions de lignes de code » ou « d'application legacy », mettre à
courantes concernent de simples erreurs de configuration. Les cyber- jour un composant tiers tout en assurant le bon fonctionnement de
criminels recherchent activement de telles négligences, avec des l'application devient mission impossible. Cependant, même si cela
processus automatisés d’une redoutable efficacité. Une récente étude est difficile, ce sujet ne peut être ignoré et les risques associés
menée par Sophos a montré qu’il suffisait de 52 secondes pour doivent être adressés si l'on souhaite pérenniser le niveau de sécurité
qu’un Serveur Cloud se fasse attaquer par des cybercriminels, avec d'une application.
une moyenne de 13 attaques par minute [1]. »
37
MALWARES BUSTERS
Parmi les composants vulnérables que nous retrouvons le plus souvent pirates, les autres « grands » classiques sont le plus souvent liés à
dans nos audits, on peut citer : une mauvaise gestion de la mémoire, des mots de passe ou de
• Les CMS : Magento (PRODSECBUG-2198, CVE-2016-4010), Drupal l’authentification, au recours à des bibliothèques tierces vulnérables,
(CVE-2019-6340, CVE-2018-7600), Wordpress, etc. ; ou encore à une mauvaise intégration des bibliothèques de chiffre-
• Apache Struts (CVE-2018-11776, CVE-2017-9805) ; ment… souligne Benoît Grunemwald. L’un des exemples typiques
• PhpMyAdmin (CVE-2019-6798, CVE-2018-12613) ; de l’exploitation de ces écueils par les cybercriminels réside, en
• Spring (CVE-2018-1270, CVE-2017-8046). effet, dans la mauvaise intégration d’une bibliothèque de chiffrement,
qui force alors à utiliser une longueur de clé triviale à casser. Mais
En opposition, lorsque l'ensemble du socle technique d'une application il s’agit parfois aussi de la logique même de l’application qui est
est à jour, les défauts de sécurité que nous observons le plus souvent vulnérable. Le cas récent de l’application de paiement de 7-Eleven
sont issus de défaillances relatives aux mécanismes de contrôle au Japon l’illustre parfaitement : n’importe qui pouvait procéder à
d'accès aux ressources ou aux données de l'application. Mais rassu- un changement de mot de passe pour n’importe qui… et recevoir
rez-vous, les injections SQL, les XXE, les LFI, etc. sont des vulnérabilités le nouveau mot de passe sur son propre email ! Un demi-million
encore bien présentes. » de dollars a été dérobé en quelques jours, le temps que 7-Eleven
désactive son application. Enfin, les criminels comptent beaucoup
Le plus souvent, les cybercriminels exploitent ces différents écueils de sur les erreurs humaines, et lorsque le développement migre vers
manière organisée, outillée, voire industrialisée, explique David Weber. le Cloud public, celles-ci sont hélas encore trop fréquentes,
« Dans la plupart des cas, une donnée seule (donnée personnelle, notamment en matière de politiques d’accès aux données stockées
médicale, bancaire, etc.) n'a que très peu de valeur. Pour les cybercriminels, dans des conteneurs publics.
la rentabilité financière s'acquiert en amassant les données. Par exemple,
nous avons observé (et observons encore) le groupe de cybercriminels LE RISQUE DE
MageCart voler les données personnelles et bancaires de millions
d'individus en ciblant les sites de e-commerce, notamment ceux « SUPPLY CHAIN ATTACK » PLANE
reposant sur les technologies Magento, OpenCart ou OSCommerce. La SUR LE DÉVELOPPEMENT LOGICIEL
technique utilisée est discrète : du code malveillant est injecté au sein
des formulaires de paiement, et ce afin de voler les données saisies par Selon Josu Franco, tout code
les clients du site au fil de l'eau. A part surveiller l'intégrité des pages conçu par des humains pré-
de son site de e-commerce, l'attaque est presque indétectable. sentera quoi qu’il en soit
L'insertion du code malveillant est réalisée selon différentes méthodes. des vulnérabilités ou des
Cela peut passer par la compromission du site bien sûr, mais nous faiblesses pouvant être ex-
avons observé des méthodes bien plus fourbes. Par exemple, fin ploitées par un acteur mal-
2018, le groupe serait parvenu à infiltrer une régie publicitaire et à veillant. Certains produits
insérer du code malveillant au sein de la bibliothèque applicative qui aident aujourd'hui à iden-
était communiquée par le fournisseur et intégrée au sein des sites tifier ces vulnérabilités pré-
clients. Ces derniers ont également ciblé récemment des Buckets sentes dans le code, mais
AWS S3 non protégés, afin d’y insérer leur skimmer en JavaScript. » ils sont également créés par
des humains, le risque de
APPLICATIONS WEB : vulnérabilités sera donc tou-
jours présent. Lors du dé-
DES VULNÉRABILITÉS, veloppement d’un logiciel,
EN VEUX-TU, EN VOILÀ ! les défauts, oublis ou erreurs
Josu Franco, Panda Security de conception sont les plus
Les vulnérabilités peuvent effectivement se présenter sous de nom- difficiles à corriger (cela
breuses formes, en fonction du logiciel développé, explique Alex peut impliquer des modifications architecturales, par exemple).
Davies. Les applications Web, par exemple, présentent des vulnéra- Pour lui, le risque le plus grave pour une organisation dans le
bilités du « Top 10 de l'OWASP », parmi lesquelles se trouvent les domaine du développement logiciel est certainement ce que l’on
failles d'injection, les problèmes d'authentification/de contrôle nomme le « Supply Chain Attack ». Dans ce cas, un développeur
d'accès ou encore les scripts intersites. Les applications installées malveillant ou un attaquant infiltré dans l'environnement de déve-
sur les ordinateurs, notamment les navigateurs, abritent souvent loppement installe un code malveillant, par exemple, pour envoyer
des bugs permettant de pirater la mémoire, pour exécuter des ou recevoir des données vers ou à partir d'une adresse IP différente
codes d'attaque à distance. Les nouveaux objets connectés souffrent de celle qui est légitime. Voici deux exemples d'attaques de grande
de failles similaires, mais ils présentent, par ailleurs, des vulnérabilités envergure de type « Supply Chain Attack » :
liées aux identifiants codés en dur. • Mars 2019/Société ASUS : les pirates informatiques ont pu
Les cybercriminels et les États exploitent ainsi régulièrement au- accéder à l'infrastructure de mise à jour et de signature de code
jourd'hui les vulnérabilités présentes sur les logiciels, comme les ASUS et ont créé une version non autorisée d'une application
éditeurs de documents et les navigateurs, afin de prendre le ASUS légitime. Ils ont même signé les certificats valides de l'en-
contrôle de systèmes utilisateurs. Coinbase, par exemple, a treprise et les ont distribués via le mécanisme de mise à jour. On
récemment été ciblé par un exploit Firefox CVE-2019-11707 [2]. estime que plus d'un million d'utilisateurs ont peut-être téléchargé
Autre exemple significatif : le botnet Mirai. Les pirates informatiques et installé cette version.
ont pris le contrôle d'objets connectés en exploitant les noms • Mi-2017/Société AVAST Piriform : avant qu’AVAST ne finisse
d'utilisateurs et mots de passe par défaut. Ils ont ainsi pu créer un l’acquisition de Piriform, les fabricants du célèbre outil CCleaner,
botnet capable de mener des attaques DDoS massives [3]. les pirates informatiques avaient accès à l’environnement de dé-
veloppement et en avaient modifié certaines versions, ajoutant
Dans le domaine du développement Web, outre le Top 10 de une porte dérobée pour collecter des informations auprès des
l’OWASP des vulnérabilités de code les plus exploitées par les utilisateurs.
39
12èmeJOURNÉES
FRANCOPHONES
DE LA SÉCURITÉ DE L’INFORMATION
ESPACE SAINT-MARTIN - 199 BIS, RUE SAINT-MARTIN - 75003 PARIS
APPEL À COMMUNICATION
« Convaincre sans contraindre »*, telle est la devise de cet événement dédié à la sécurité de
l’information. L’objectif des GS Days, Journées francophones de la sécurité, est d’établir le
dialogue entre le monde de la technique (administrateurs, experts sécurité), les RSSI, DSI et les
décideurs. Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs
cycles de conférences et de démonstrations d’exploitation de failles informatiques, sous un
angle technique, organisationnel et juridique.
La 12ème édition des GS Days, qui se tiendra le 1er Le format des conférences sera de 50 minutes,
AVRIL 2020 à l’Espace Saint-Martin - Paris 3ème, dont 10 minutes de questions.
s’articulera notamment autour du thème : « Dé-
tection et réponse à incident sous l’angle de la Les présentations attendues devront proposer une
réactivité et des temps de réponse » vision technique ou scientifique. Les présentations
à fin commerciale ou la présentation d’un produit
Lors de cette édition 2020 des GS Days, l’accent ne seront pas acceptées. Cependant, les propositions
sera principalement mis sur les problématiques de présentant une analyse technique de la sécurité
détection et de réponse à incident, qui seront d’un produit, un comparatif fondé sur des tests
abordées à la fois sous un angle technique, orga- scientifiques, et les retours d’expérience avec un
nisationnel et juridique. Outre un état des risques aspect technologique, seront examinées avec
et des menaces, l’objectif sera notamment de don- attention.
ner quelques clés permettant aux entreprises
d’améliorer leur réactivité, que ce soit en matière
de détection d’incident ou de temps de réponse.
Quels outils utiliser ? Quelles procédures mettre
en place ? Comment sensibiliser ses équipes à ces
problématiques et renforcer la collaboration entre
Mercredi
les acteurs ?
1er Avril
DATES IMPORTANTES :
• Date limite de soumission : 17 JANVIER 2020
• Uniquement par mail : marc.jacob@globalsecuritymag.com
2020
• Notification aux auteurs : 27 janvier 2020 Paris
• Présentation définitive : 24 mars 2020
• Conférence : 1er avril 2020
Retrouvez tous les détails de l’appel à communication sur le site des GS Days : www.gsdays.fr
* citation de Jean-Marc Laloy, ARCSI
by SCASSI group
Ce type d’attaques peut être très difficile à détecter et avoir un conteneurs et des orchestrateurs, il est important d’auditer aussi
impact potentiel élevé, en particulier pour les produits logiciels les conteneurs eux-mêmes, leurs configurations, et de garder la
dotés de grandes bases installées, susceptibles de recevoir une maîtrise des sources de données utilisées durant le développement.
mise à jour avec le code introduit par l'attaquant, explique Josu De nombreuses fuites de données ont eu lieu à cause d’une simple
Franco. Ce problème peut également être aggravé lorsque le erreur de mise en production précoce, ayant entraîné la publication
processus de développement est sous-traité à des tiers…, ce qui d’un jeu de données de test basé sur des données réelles sensi-
rend le contrôle encore plus difficile. Avec la pression concurrentielle, bles… Enfin, il faut aussi prendre un peu de hauteur et ne pas se
cela devient un défi de produire du code plus rapidement à limiter aux failles techniques, mais également valider la logique de
moindre coût, de le vérifier et de faire confiance à l'ensemble du fonctionnement d’éléments critiques, tels que le changement de
processus de développement. Toutefois, dans le même temps, les mots de passe. Sans compter qu’il est bien évidemment primordial
acheteurs, en particulier les entreprises et les gouvernements, d’associer la sécurité et le DPO dès le début de chaque projet.
exigent des assurances de la sécurité de leurs produits, en utilisant
des systèmes de certification, tels que « Common Criteria » ou les Lorsqu’une entreprise ne
différents niveaux de certification de l'ANSSI, par exemple. Bien dispose pas des compé-
qu’elles ne puissent garantir qu’il sera exempt de défauts ou de tences nécessaires en in-
vulnérabilités, ces certifications peuvent fournir des garanties de terne, David Weber préco-
sécurité concernant le logiciel, qui doit être soumis à un processus nise de faire appel aux
d’évaluation dans lequel les revendications documentées par le conseils d'experts sécurité
fournisseur sont testées et validées. et ce, dès la phase de
conception d'un projet,
NE BLÂMEZ PAS VOS DÉVELOPPEURS ! d'une application ou d'une
infrastructure. En effet, ce
Face à ces constats, Benoît Grunemwald recommande vivement n'est pas parce que la sé-
aux entreprises d’appliquer une véritable méthode de développement curité est intégrée dès le
sécurisée (le SDL promu par Microsoft, par exemple). Il est également début d'un projet que les
important d’automatiser au maximum les tests, notamment de mesures qui seront choisies
sécurité (audit de vulnérabilités, recherche de CVE), mais aussi seront appropriées et suffi-
l’analyse du code source grâce à des outils spécialisés, et cela le santes pour couvrir les
David Weber, XMCO risques encourus. Bien évi-
plus souvent possible. Avec les outils DevOps, il est désormais
possible de « marquer » du code, afin de procéder à des tests au- demment, faire appel à des
tomatiques en fonction de critères définis à l’avance, ce qui peut experts a un coût. Donc lorsque cela n'est pas possible, il
s’avérer très utile. En outre, si l’on a recours aux technologies des recommande de « s'appuyer sur des recueils de bonnes pratiques,
41
MALWARES BUSTERS
tels que PCI DSS ou HDS (qui lui-même s'appuie sur ISO 27001, réfléchie au plus tôt dans la définition des projets. À ce titre, il est
ISO 20000-1 et ISO 27018). « Ces deux standards ont pour primordial d’inclure les équipes sécurité dès le début des réflexions.
vocation la protection respective des données de cartes bancaires L’objectif est que les risques soient identifiés pour définir des
et de santé. Mais la grande majorité des mesures de sécurité qui y solutions qui ne répondent pas seulement aux besoins métiers,
sont conseillées sont applicables, quel que soit le type de donnée. mais qui adressent également les risques qui peuvent en découler.
Vous aurez probablement noté que je n'ai pas cité le RGPD, alors Enfin, il convient de suivre les recommandations de l’ANSSI dans
que celui-ci est sur toutes les lèvres lorsque l'on parle de Privacy et son Règlement Général de la Sécurité, et d’homologuer le Système
de protection des données. Je pense que la meilleure chose que le d’Information à la suite de l’implémentation des mesures de
RGPD a apporté aux entreprises est la « motivation » [via les sécurité. L’implication des décideurs qui découle de ce processus
sanctions financières] de mettre en œuvre les mesures de sécurité d’homologation pourrait permettre de faire changer les stratégies
nécessaires pour protéger les données personnelles et la vie privée et réorienter les objectifs au début des projets dans les organisations
des personnes. Malheureusement, au sein du RGPD, il y a une qui peinent encore à adopter ces principes fondamentaux.
notion récurrente qui est selon moi discutable, bien que paradoxa-
lement très juste : selon le RGPD, les mesures techniques et orga-
nisationnelles mises en place pour protéger les données personnelles LES RECOMMANDATIONS
doivent être « appropriées » (cf. articles 24, 25, 28, et 32).
Lorsqu'une entreprise ne sait pas par où commencer, ce n'est pas DE MICHEL LANASPÈZE, SOPHOS
la meilleure recommandation pour l'aider à avancer. »
Pour Nurfedin Zejnulahi, la problématique est tentaculaire. Adopter • Établir des règles et bonnes pratiques en matière de
de bonnes pratiques permet de réduire considérablement le risque, développement sécurisé, en prenant en particulier en compte
mais selon lui cela restera toujours insuffisant. L’intégration de dif- les normes et recommandations qui s’appliquent ;
férents éléments (librairie…) ou modèles rend la tâche encore • Mettre en place des procédures et outils pour détecter et
plus complexe. « Il existe aujourd’hui des solutions, comme la contrôler en permanence toute dérive par rapport à ces règles
technologie RASP ( Runtime Application Self-Protection ), qui et empêcher toute modification des paramètres critiques qui
permettent de contrôler les données entrantes sur les éléments pourrait vous exposer ;
composant la solution logicielle (bases de données, middlewares, • Prendre en compte l’infrastructure dans laquelle vont évoluer
bibliothèques d’authentification…) et d’analyser les résultats ces applications, en analysant en permanence les modifications
renvoyés par les différents composants. Si l’on reprend le cas des du modèle de déploiement, afin d’identifier les erreurs de
applications Web, chaque fois qu'une requête Web atteint l’application, configuration qui pourraient entraîner la mise en place de
les points d’interception de données du RASP alimentent le vulnérabilités.
processeur de règles. Ce dernier détermine en temps réel s'il y a
des signes d'attaque et agit en conséquence (blocage, alertes,
etc.). Bien qu’encore peu répandu, ce type de solution fournit une
sécurisation adaptée au mode de développement d’aujourd’hui. »
43
MALWARES BUSTERS
Comme le recommandent des sociétés de conseil, telles que Gartner « Trust but verify », dans laquelle les activités peuvent être surveillées
et d’autres, il existe certains principes que les responsables des ap- et profilées par rapport à ce qui est normal, permettant de repérer
plications des organisations devraient suivre, en commençant par des anomalies pouvant indiquer un comportement suspect.
être proactifs, et non réactifs, en matière de confidentialité, explique
Josu Franco. Cela signifie créer une culture de « privacy first », qui Un autre principe important, selon Josu Franco, est de supposer que
doit être soutenue au plus haut niveau, avec des engagements les utilisateurs ne doivent rien faire pour préserver leur confidentialité,
clairs. Ce qui échoue dans la plupart des cas, ce n’est pas la car celle-ci est intégrée par défaut. « Cela nécessite de documenter
technologie, mais la structure et la culture organisationnelles. où se trouvent les données, pourquoi elles sont collectées, si elles
Concernant l’infiltration potentielle de pirates informatiques dans sont vraiment nécessaires, etc., et agir en conséquence. Bien
l’environnement de développement, nous parlons d’autres types de entendu, du point de vue du développement, la confidentialité
mesures de sécurité. Celles-ci ne seraient pas différentes des devrait être intégrée à la conception, et non ajoutée après. Les
mesures visant à protéger les infiltrations sur le réseau, garantissant, facteurs relatifs à la vie privée, et leur évaluation, doivent faire
par exemple, que les services d'accès distants inutiles soient partie du cycle de développement.
désactivés, en particulier dans les systèmes utilisés par les développeurs Enfin, de manière générale, la visibilité et la transparence devraient
(internes, externes, etc.), ou utilisant l'authentification à plusieurs également être maintenues en tant que principe. Cela signifie offrir
facteurs s’ils sont en fait nécessaires. Un accès à distance non une expérience utilisateurs dans laquelle ils comprendraient vraiment,
sécurisé a été utilisé dans certaines attaques « Supply Chain Attacks ». en termes simples, les notions de données collectées et la raison de
Et si nous parlons des abus ou des comportements malveillants cette collecte. Les utilisateurs doivent être au centre du développement
potentiels d’un développeur ayant un accès légitime à l’environnement et des opérations des applications », conclut-il. ■ ■ ■
de développement, il est recommandé d’adopter la méthode
[1]
Rapport Sophos d’avril 2019 « Exposed: Cyberattacks on Cloud Honeypots » : http://www.sophos.com/CloudHoneypotsReport
[2]
https://www.zdnet.com/article/firefox-zero-day-was-used-in-attack-against-coinbase-employees-not-its-users
[3]
https://www.csoonline.com/article/3258748/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html
45
RISK MANAGEMENT
EXERCICES DE GESTION
DE CRISE : UNE ÉTAPE
INCONTOURNABLE POUR
GAGNER DE PRÉCIEUSES
MINUTES LE JOUR J !
4Par Stéphanie Ledoux, Présidente d’Alcyconie
La question n’est plus de savoir SI vous serez touchés par une crise,
mais QUAND vous le serez. Cette phrase, presque érigée au rang des
adages populaires, flotte désormais dans les esprits et les bureaux
des responsables Risques, des Directeurs de la Communication ou
encore des RSSI (Responsables de la Sécurité des Systèmes
d’Information). Alors, sachant cela, mieux vaut se préparer à gérer
la crise dès à présent et tester la robustesse de ses dispositifs aussi
souvent que possible.
Les entreprises touchées par des crises ne sont plus des cas isolés. réputation, la rendent sympathique et proche. Véritable argument
La sensibilité extrême de l’opinion publique, l’importance de la commercial, la réputation de l’entreprise mobilise de nombreuses
réputation, l’émergence des fake news, le durcissement de fonctions en interne, qui y veillent comme du lait sur le feu. Mais la
la réglementation, ou encore les tensions géopolitiques expliquent en croissance de la réputation de l’entreprise est inversement
partie la croissance du nombre de crises. Mais la médiatisation et la proportionnelle à sa fragilité, car si elle lui permet de gagner
multiplicité des crises n’ont d’égal que leur complexité et leur intensité. rapidement la préférence des consommateurs, elle la rend
particulièrement vulnérable : « Il faut 20 ans pour construire une
Face à ces situations d’exception, qui mettent l’organisation sous réputation et cinq minutes pour la détruire » (Warren Buffett).
pression et la détournent de ses missions prioritaires, les dirigeants
doivent prendre des décisions dans des délais de plus en plus serrés, Un paradoxe que certains activistes ou défenseurs d’une cause ont
tout en étant plongés dans l’inconnu : le dénominateur commun à bien compris et auquel ils ont recours, les réseaux sociaux leur offrant
l’ensemble des crises est l’INCERTITUDE. un territoire d’expression infini. Car dans la confrontation qui oppose
parfois certaines organisations à leurs consommateurs ou à leurs
UNE EXPOSITION CROISSANTE détracteurs, l’outil de la réputation permet de rétablir, voire d’inverser
le rapport de force. Quel meilleur levier pour faire tendre l’oreille à
DES ENTREPRISES une entreprise, un politique ou une commune que de laisser planer
un voile sombre sur son image en le menaçant de publier certaines
La digitalisation, la compliance et le RGPD permettent d’accélérer et images « choc », certains rapports dérangeants… Il est ici utile de
de sécuriser les affaires, mais ils exposent également nos entreprises préciser que la véracité des éléments publiés importe peu, surtout
à de nouvelles menaces. Si la vulnérabilité des organisations lorsque l’on sait qu’une « fake news » se répand 6 fois plus vite [1]
s’amenuise sous de nombreux aspects, la surface d’attaque augmente qu’une information juste.
via l’émergence de ces nouveaux domaines.
46
RISK MANAGEMENT
L’avènement des réseaux sociaux a fait passer la gestion de crise à la Crisis Management Exe
rcises: vital to gain
moulinette de l’instantanéité. Ainsi, l’organisation amorce precious minutes on the
day of reckoning!
fréquemment sa gestion de crise en réaction à un tweet, à l’appel d’un
journaliste ou d’un consommateur et non en étant le porteur de la By Stéphanie Ledoux, Preside
nt of Alcyconie
nouvelle. Ces précieuses minutes qui séparent l’annonce de la crise
des premières décisions à prendre se comptent sur les doigts de la The question is no longer WH
ETHER you will be affected
main et doivent être parfaitement employées. by a crisis, but WHEN you will
be. This now commonplace
catchword is at present pre
occupying the thoughts and
Le dispositif de gestion de crise et les modalités de mobilisation departments of Risk
Managers, Directors of
doivent bien entendu être définis en amont : ce n’est pas le jour de Communication, or CISO (Inf
ormation Systems Security
l’évènement qu’il convient de s’interroger sur les ressources à Officers). Reckoning on this it
would be better to get ready
impliquer et la manière de contacter ses collaborateurs. En possession to tackle the crisis now
and test the robustness
prospective measures as ofte of
de ces éléments théoriques, c’est au travers d’exercices de crise n as possible.
réguliers que l’organisation gagnera en efficacité et utilisera à bon
escient les quelques minutes qu’il lui reste pour construire une riposte
et prendre les premières mesures conservatoires. Tel l’orchestre qui
répète sa partition jusqu’à l’avoir faite sienne, l’entreprise et les
membres de la cellule de crise doivent s’entraîner pour que le dispositif
soit fluide et efficient.
orientations à donner. Il peut s’agir d’appels téléphoniques, d’emails,
Les exercices de gestion de crise donnent également à leurs
de coupures de presse, de tweets…
protagonistes l’occasion de se confronter à une dimension sous-
estimée : l’épreuve du temps. Si l’état de gestion de crise était
Si la narration revêt une importance capitale dans la crédibilité de
souvent un évènement circonscrit dans un temps court, il peut
l’exercice, son tempo est tout aussi crucial. Pour les exercices sur table
désormais perdurer sur plusieurs jours. La pression médiatique et
notamment, les participants doivent être projetés dans le temps et
interne qui accompagne régulièrement ce type d’évènements
jouer en parallèle sur le temps réel et le temps de la fiction.
occasionne bien souvent « une crise dans la crise », génératrice de
rebondissements et d’épisodes successifs. La pression très forte subie
De même, les exercices se concentrent généralement sur la phase de
par l’entreprise au cœur de la crise rend l’épreuve particulièrement
démarrage de la gestion de crise.
éprouvante. Toucher du doigt l’intensité d’un tel épisode permet de
Pour certaines entreprises déjà rôdées, il peut être intéressant de se
limiter l’état de sidération qui peut parfois frapper les personnes
confronter à la gestion du « jour d’après » ou encore à l’étape cruciale
impliquées dans la gestion de l’évènement, de tester la cohésion de
de sortie de crise.
l’équipe et de mieux connaître ses capacités personnelles dans de
telles situations.
Des mises en situation en conditions et temps réels sont également
possibles. Généralement conduites pour des organisations rompues à
DE L’EXERCICE SUR TABLE DE DEUX la gestion de crise, elles nécessitent souvent l’implication
HEURES À L’EXERCICE EN TEMPS RÉEL d’intervenants externes (SDIS, DREAL, forces de l’ordre…) et
permettent de tester des dispositifs de grande ampleur et la
SUR 24H OU PLUS : DES MISES EN coordination des nombreuses parties prenantes. On citera ici les
exercices menés par Aéroports de Paris, ou encore Cyberfenua, qui
SITUATION À CALIBRER EN FONCTION simule une cybercrise grandeur nature sur la Polynésie Française pour
DES ENJEUX tester sa résilience et la coordination avec la métropole, complexifiée
par la distance et le décalage horaire.
En amont de tout exercice, des objectifs précis doivent lui être assignés.
S’agit-il de tester l’efficacité du dispositif de mobilisation ? De roder Les organisations qui le souhaitent pourront aussi mettre en œuvre
l’utilisation des outils mis à disposition ? De piloter la coordination des stages de type « bootcamp », menés en collaboration avec
entre plusieurs cellules de crise ? De déclencher le PCA (Plan de d’anciens agents gouvernementaux ou des militaires par exemple afin
Continuité d’Activités) ou le PRA (Plan de Reprise d’Activités) ? de tester la résistance du collectif et la prise de décision collégiale en
situation de stress intense.
L’exercice de crise n’est en aucun cas un produit sur étagère que l’on
réutilise à l’envie, mais un projet à part entière, qui nécessite de Pour conclure, il est important de garder à l’esprit qu’un exercice de
connaître l’entreprise pour laquelle l’exercice est conduit, d’en crise n’est ni un jeu ni un moment convivial, mais un test grandeur
maîtriser l’organigramme, les spécificités, les codes. C’est par le soin nature de la résilience de l’organisation et de la cohésion de ses
porté aux détails que l’exercice sera réaliste et que les participants se équipes confrontées à l’incertitude. La gestion d’évènements dits de
« prendront au jeu ». crise ne s’improvise aucunement et la réactivité imposée par le monde
actuel nécessite une préparation idoine. ■ ■ ■
Au-delà de la situation initiale qui sera dépeinte aux participants,
l’exercice doit être enrichi de nombreux stimuli, qui permettront [1] The spread of true and false news online, Soroush Vosoughi, Deb Roy, Sinan Aral,
d’accélérer l’exercice, de le ralentir, d’intensifier la pression ou encore Science 09 Mar 2018, Vol. 359, Issue 6380, pp. 1146-1151 DOI:
d’amener les participants à douter des décisions prises et des 10.1126/science.aap955
47
RISK MANAGEMENT
10h15. L’équipe communication, également sans emails ni Tout ceci n’est rien par rapport à la succession d’évènements qui
ordinateurs, reçoit en message privé sur le compte Facebook de pourraient jalonner le démarrage d’une crise… ou dans une
l’entreprise un message pour le moins étonnant. Il s’agit d’un email hypothèse bien plus positive, constituer le squelette d’un exercice.
signé GlupS5RF8 et réclamant le versement de 10 bitcoins avant La fuite de données avérée, la défiance des collaborateurs, un
14h pour transférer la clé qui permettra à l’entreprise de récupérer scandale annexe… la liste des évènements pouvant survenir est
ses données. Le message n’est pas traité. infinie et le déroulé ci-dessus n’est qu’un échantillon de ce que
l’entreprise doit gérer en cas de problème.
10h30. Le volume de tweet de clients mécontents explose. Tous
sont plus incendiaires les uns que les autres. Ils décrient notamment
le manque de réactivité de l’entreprise qui n’a toujours pas su
remettre le site en ligne depuis 8h30.
49
RISK MANAGEMENT
La 5G va sans aucun doute faire son entrée dans le paysage des Télécoms dans quelques mois.
Cette nouvelle technologie va permettre de nouveaux usages dans le domaine des objets
communicants, de l’IA… et plus largement dans toutes les activités de notre société. Pour Luména
Duluc, déléguée générale du CLUSIF, et les experts du CLUSIF, il va falloir anticiper les risques
pour éviter des problèmes qui pourraient avoir une sévérité particulièrement élevée.
Global Security Mag : Pouvez-vous nous définir ce qu’est atteindre chaque mobile, et organise le fonctionnement simultané
la 5G et ses principales caractéristiques techniques ? de plusieurs antennes afin de créer des faisceaux (« beams »)
d’ondes millimétriques à destination des mobiles.
CLUSIF : La 5G est la technologie de réseau cellulaire de cinquième Les nouveaux mobiles 5G ont également une capacité 4G LTE, car
génération faisant suite à la 4G, mais offrant un accès à large bande. les réseaux 5G utilisent la 4G pour établir initialement la connexion
L’association industrielle 3GPP (3rd Generation Partnership Project) avec la cellule, ainsi que dans les lieux où le réseau 5G n’est pas
prévoit de finaliser la première version du standard 5G en 2019. encore déployé.
Cette version, connue sous le nom 3GPP Release 15, contient les
spécifications initiales de la 5G pour fonctionner conjointement avec 5G : PLUS DE DÉBIT POUR S’ADAPTER
de la 4G et un cœur de réseau 4G. La première version du standard
permet de mettre sur le marché les premiers équipements 5G, et aux À L’AVÈNEMENT DES IOT ET DE L’IA
premiers déploiements des opérateurs de voir le jour. La phase 2 du
standard 5G est, quant à elle, prévue pour 2020. GS Mag : En quoi la technologie 5G diffère-t-elle par
Les réseaux 5G sont organisés comme les précédentes générations rapport à ses prédécesseurs ?
de réseaux cellulaires dans lesquels la zone de service est divisée en
une mosaïque de petites zones géographiques, appelées cellules. CLUSIF : La 5G constitue une véritable révolution en matière de
Les signaux transportant les données (sons, images…) sont transmis capacités réseau sous plusieurs angles techniques. En termes de
sous forme de flux numérique. Tous les smartphones 5G (ou autres nombre d’utilisateurs, la 5G permet au réseau de prendre en charge
équipements sans fil 5G) présents dans une cellule communiquent dix fois plus de personnes, de capteurs ou de machines, etc.
par ondes radio avec un réseau d’antennes locales. Ces dernières (1 million d’appareils par kilomètre carré, alors que la 4G ne prend
sont connectées au réseau téléphonique et à Internet par une en charge que 100 000 appareils au kilomètre carré). La 5G fournit
connexion de fibre optique à large bande passante ou de liaison un débit beaucoup plus élevé (10 Gbps et plus), alors que la 4G est
terrestre sans fil. Comme pour les téléphones portables existants, limitée à 100 Mbps. La latence du réseau 5G est minimisée jusqu’à
lorsqu’un utilisateur d’un mobile 5G passe d’une cellule à une autre, 1 ms, alors qu’elle est actuellement supérieure à 10 ms.
sa communication est automatiquement « transférée » de manière Dans la partie radio, la structure des trames est plus flexible en 5G,
transparente à l’antenne de la nouvelle cellule. ce qui permet au système radio de s’adapter de manière précise à
Pour augmenter les débits de données vers les mobiles, la 5G prévoit différents types de trafic et de qualités de service. Par exemple, la
d’utiliser des ondes millimétriques (spectre de 30 à 300 GHz). Ces 5G permet des communications « connectionless » mieux adaptées
dernières ont une portée plus courte et les cellules sont donc limitées à l’Internet des objets (« Internet of Things » - IoT) permettant de
à une taille plus petite. Une autre technique déjà introduite en 4G faire face à des densités de connexion très élevées.
pour augmenter le débit est le MIMO massif (Multi-Input Multiple La 5G s’accompagne d’une transformation importante du cœur du
Output). Chaque cellule sera équipée de plusieurs antennes réseau. Le nouveau cœur 5G (« 5G Core ») supporte les fonctions
communiquant avec les mobiles qui recevront ainsi plusieurs flux classiques d’un cœur de réseau 4G : gestion des sessions des
binaires de données simultanément, en parallèle. Grâce à la usagers, transport du trafic entre la radio et l’Internet, assignation
technique appelée « Beam Forming », l’électronique embarquée des adresses IP vers les abonnés, authentification des abonnés,
dans l’antenne ou l’ordinateur de la station de base calcule en facturation (« charging »), ainsi que les nouvelles fonctionnalités
permanence le meilleur chemin emprunté par les ondes radio pour comme le « Network slicing ». La possibilité de découpage virtuel
50
RISK MANAGEMENT
51
RISK MANAGEMENT
objet, contenant une puce électronique, pourra être connecté à un que le lancement du Samsung Galaxy S10 5G. Aux États-Unis,
réseau de communication et sera en mesure de relayer de Verizon a débuté son déploiement à Chicago et à Minneapolis début
l’information d’usage ou relative à son environnement à un avril 2019. AT&T et T-Mobile ont également lancé les premiers
écosystème qui saura utiliser les informations pour lancer des actions services commerciaux.
proactivement. La Chine n’est pas en reste, China Unicom, China Mobile et China
Telecom ont également procédé à diverses expérimentations 5G
EN FRANCE ET DANS LE MONDE, ON depuis 2017. D’ici la fin 2020, China Mobile prévoit de déployer 20
000 stations de base 5G. A terme, la Chine aura le plus grand
MULTIPLIE LES EXPÉRIMENTATIONS nombre d’usagers 5G. Il est estimé (source GSMA) que la Chine
comptera 460 millions de connexions 5G en 2025.
GS Mag : Quelle est la stratégie de la France dans le Dans le reste du monde, que ce soit en Europe, en Amérique du Sud,
développement et le déploiement de la 5G ? S’inscrit-elle au Moyen-Orient ou en Asie, la plupart des opérateurs commencent
dans la lignée de celle adoptée aujourd’hui par les autres des tests 5G en 2019. Les déploiements commerciaux sont
pays ? généralement prévus pour 2020.
53
RISK MANAGEMENT
Les usages futurs de la 5G vont se développer autour de différents • Le réseau 5G permet d’interconnecter un nombre beaucoup plus
axes : grand d’équipements (10 fois plus par km qu’en 4G) et présente
• Les communications massives de type Machine. On parle d’un donc une surface d’attaque plus importante. Dans le même ordre
nombre gigantesque d’équipements interconnectés au travers de d’idée, l’interconnexion d’un plus grand nombre d’équipements
la 5G – plus de 20 milliards à l’horizon 2020 pour des usages augmente le risque d’attaques massives de type « Distributed
variés dans les villes du futur, l’agriculture, l’infrastructure… Denial of Service » (DDoS), s’ils sont infectés à large échelle.
• Les communications ultra-fiables à faible latence. Cette catégorie • La 5G va être utilisée pour supporter l’automatisation de process
de communications inclus des nouveaux services qui industriels et d’infrastructures critiques (production d’énergie,
transformeront les industries, tels que le contrôle à distance smart cities…). Ainsi, la 5G risque d’être une cible de
d’infrastructures critiques, les robots à usage industriel, la cyberattaques pour atteindre ces infrastructures critiques.
coordination et le contrôle de drones et les véhicules autonomes. Aujourd’hui, la plupart des infrastructures critiques sont plus
• Dans le domaine de la mobilité, les standards 5G étudient isolées ou moins automatisées. D’une certaine manière, la 5G va
plusieurs cas d’usage, comme la synchronisation de véhicule mis devenir une infrastructure stratégique donnant l’accès à d’autres
en convois (« Vehicle Platooning »), les véhicules conduits de infrastructures critiques.
manière semi-automatique ou automatique ou encore à l’aide de • La virtualisation des fonctions réseaux de la 5G et la consolidation
conduite téléguidée. de ces fonctions dans des Data Centers augmentent également
les risques sur ces parties. En effet, les architectures logicielles de
5G : LA SURFACE D’ATTAQUE VA ces systèmes sont structurées sur base d’un plus grand nombre
de couches logicielles, ce qui augmente le risque d’exposition. Les
S’ACCROÎTRE DE FAÇON Data Centers des opérateurs seront optimisés pour recevoir
SIGNIFICATIVE d’autres applications et pas seulement les fonctions réseaux, ce
qui augmente le risque que des applications moins bien sécurisées
GS Mag : Quels sont les défis sécuritaires inhérents à la 5G ? côtoient des fonctions critiques du réseau.
• L’architecture de la 5G est plus ouverte, permettant à un grand
CLUSIF : Différentes sortes d’attaques de l’infrastructure réseau 5G nombre de vendeurs de fournir des équipements connectés au
peuvent être anticipées. Du fait de la grande variété d’applications réseau 5G. Cela augmente le risque qu’un plus grand nombre de
qui seront supportées par le réseau et du grand nombre de fonctions, vulnérabilités soient présentes dans le réseau. Cela permet
la surface d’attaque des futurs réseaux 5G sera plus grande. également à du logiciel malveillant d’être dissimulé sur un plus
Ainsi, des attaques par déni de service distribué (DDoS) peuvent être grand périmètre.
mises en œuvre en inondant le réseau de requêtes de contrôle ou
de trafic utilisateur, afin de créer un effet de saturation dans le LES MENACES SUR LA 5G POURRAIENT
réseau et de le rendre indisponible pour ses usagers légitimes. Une
variante de ce type d’attaque consiste à faire du bruit sur l’interface
PORTER ATTEINTE À LA VIE HUMAINE
radio (« radio interface jamming ») pour rendre les ressources radios
inutilisables. GS Mag : De quelles manières les cybercriminels ou autres
L’exploitation de failles de sécurité dans le design, l’implémentation acteurs malveillants pourraient-ils en tirer profit ?
ou la configuration du réseau est une autre catégorie de menaces.
Même si un soin très précis est mis en œuvre dans la définition des CLUSIF : Comme toute technologie de pointe détournée de son
standards de sécurité, il est possible que des vulnérabilités non objectif principal, elle pourrait nuire aux systèmes d’information des
détectées (0-Day) existent dans les logiciels implémentant les entreprises, ou pire encore porter atteinte à la vie humaine, comme
fonctions réseaux des nœuds du réseau. Les interfaces externes des par exemple en attaquant une voiture autonome...
éléments de réseaux seront typiquement sujettes aux attaques. De Les menaces qui peuvent affecter la 5G pourraient avoir une sévérité
plus, une mauvaise configuration du réseau peut exposer des particulièrement élevée du fait qu’elle supporte des services
vulnérabilités. D’autres peuvent aussi provenir d’un contrôle critiques. Les objectifs visés par les attaques peuvent être regroupés
insuffisant durant les process de développement logiciel. en trois grandes catégories :
Un autre type de menace peut survenir de l’exploitation de • Une perte de disponibilité (« loss of availability ») même partielle
« backdoors » à l’intérieur du réseau. De telles situations peuvent d’un réseau ou d’un équipement suite à une attaque cyber
être l’œuvre de personnes malintentionnées agissant au sein de la pourrait avoir des conséquences désastreuses dans le cas
chaîne d’approvisionnement (« supply chain ») en insérant un d’infrastructures critiques pilotées par la 5G.
logiciel malfaisant qui ensuite opère au sein du réseau. • La fuite d’informations confidentielles (« leak of confidential
Des failles de sécurité peuvent aussi exister dans les procédures information ») d’un réseau 5G (par exemple la position
opérationnelles de gestion et de maintenance du réseau. Elles géographique d’un utilisateur) peut servir des objectifs
peuvent ensuite être exploitées par du personnel compromis au sein d’espionnage de données.
des équipes de gestion du réseau. • Une perte d’intégrité (« loss of integrity ») est une autre menace
importante. D’une part, compromettre l’intégrité du réseau peut
Comme expliqué préalablement, l’architecture de la 5G est constituer une première étape pour atteindre les autres menaces
sensiblement différente des générations précédentes. Un certain mentionnées précédemment. D’autre part, cela peut avoir des
nombre de défis sécuritaires sont donc inhérents à l’architecture conséquences en dehors du réseau. Par exemple, compromettre
même de la 5G. l’intégrité des fonctions d’authentification du réseau pourrait
permettre à des attaquants d’abuser d’autres utilisateurs, pour
atteindre des objectifs de détournement d’usage ou de falsification...
55
RISK MANAGEMENT
LA 5G NÉCESSITE UNE APPROCHE DE Au final, plusieurs cas d’usages seront possibles grâce à cette
évolution des réseaux cellulaires, aussi bien pour le grand public que
BOUT EN BOUT DE LA SÉCURITÉ pour les entreprises. Cette richesse induit une hétérogénéité des
données manipulées, et par conséquent des besoins de sécurité
GS Mag : Quelles sont, selon vous, les clés pour assurer la parfois divergents. L’un des défis majeurs sera de concilier souplesse
sécurité de la 5G, et les fondamentaux à appliquer à la fois et rapidité avec sûreté et sécurité. L’objectif est de permettre un
dans son développement et dans son déploiement ? usage fluide tout en garantissant la confidentialité, l’intégrité et la
disponibilité des données. Enfin, les entreprises devront adapter les
CLUSIF : Les clés résident dans l’approche de bout en bout de la mesures de sécurité en fonction du service 5G utilisé : faible latence,
sécurité : à partir de l’application métier et dans la négociation des IoT, etc. Il faudra donc anticiper la sécurité des applications qui
mesures de sécurité avec le réseau. La 5G offre différentes mesures utiliseront un service 5G ! ■ ■ ■
de sécurité, notamment la possibilité de déléguer l’authentification
des utilisateurs finaux à l’opérateur télécom fournissant la
connectivité. Il est fondamental de définir une stratégie globale et
cohérente avec la politique de sécurité interne de l’entreprise, de
l’appliquer et de mesurer son efficacité.
Sources :
• https://www.arcep.fr/fileadmin/cru-1538472894/reprise/dossiers/programme-5G/Feuille_de_route_5G-DEF.pdf
• https://selectra.info/telecom/actualites/acteurs/reseau-5g-quels-seront-premiers-pays-a-profiter
• https://www.lifewire.com/5g-availability-world-4156244
• https://www.worldtimezone.com/5g.html
• Les Enjeux de la 5G, Arcep, mars 2017 : https://www.arcep.fr/uploads/tx_gspublication/rapport-enjeux-5G_mars2017.pdf
57
NORME
La gestion des risques s’est imposée dans le management de toutes les organisations, si bien que
de nombreuses certifications sont aujourd’hui délivrées en la matière. Le choix de la bonne
méthodologie conditionne la réussite du système ou du projet associé.
58
NORME
59
GS DAYS 2019
RETOUR D’EXPÉRIENCE :
TEST D’INTRUSION PHYSIQUE
AU SIÈGE SOCIAL D’UNE
MULTINATIONALE
4Par Alexandre Triffault, Président d’AT Security SAS,
Formateur intrusion.eu et Chercheur Associé à l’Ecole Esiea
Les tests d’intrusion informatique (Pentest) sont désormais relativement courants pour détecter et
corriger les failles dans les systèmes d’information des entreprises. Cependant, la protection des accès
physiques reste tout aussi essentielle et ne doit pas non plus être négligée. L’accès physique à des locaux
équivaut, en effet, presque systématiquement à un accès root dans le système, grâce à l’utilisation de
systèmes-espions placés directement au sein de la structure. Les tests d’intrusions physiques ont donc
eux aussi pleinement leur rôle à jour. Démonstration au siège social d’une multinationale.
Les cas de piratages aidés via une intrusion physique sont légion. s’intéresser aux différents vecteurs d’intrusions physiques, tels que
Le dernier en date au moment de la rédaction de ces lignes : le les clés, les serrures, les fenêtres, le toit, les accès souterrains…,
piratage de la NASA à l’aide d’un Raspberry Pi branché directement mais également les systèmes RF (télécommandes), ou encore RFID.
sur un réseau sensible. Sans parler des nombreux cas d’espionnage
industriel, où les attaquants viennent simplement placer des De plus, le test peut être réalisé en mode Boite Blanche ou Boite
enregistreurs de frappes, caméras et microphones-espions. Noire.
De plus, un accès physique est très souvent persistant (création La Boite Blanche consiste essentiellement en un audit ouvert,
d’une clé, faille pérenne…), permettant alors à un attaquant de « cartes sur table », où le mandant donne toutes les informations
venir régulièrement récupérer les dernières innovations ou données demandées par le Pentesteur, afin d’évaluer l’ensemble des
confidentielles de votre entreprise, les développements en cours, informations de sécurité à disposition. Cela permet d’obtenir des
les données clients, fournisseurs… informations très précises très rapidement, et potentiellement sur
l’intégralité des éléments de sécurité. Cependant, le principal
Un Pentest physique permet en amont de prévenir les risques inconvénient reste généralement le manque de réalisme et de
d’intrusion. En cas de fuite avérée, ce test peut aussi, en aval, aider concret.
à comprendre le mode opératoire des intrus et à réparer les failles. La Boite Noire consiste, en revanche, à laisser le Pentesteur dans
Enfin, associé à un examen forensique, il peut permettre d’orienter l’inconnu et à n’informer aucun salarié du test d’intrusion en cours.
l’enquête interne ou policière. L’inconvénient est bien entendu que le test ne couvrira
Il est donc essentiel de réaliser ou de faire réaliser un tel test pour généralement pas l’intégralité des failles présentes (mais elles
assurer la sécurité de vos infrastructures. Il est également possible pourront être abordées lors de la remise du rapport). Toutefois, ce
de se former, en tant que RSSI ou Pentesteur, aux méthodes type de test a l’avantage de forcer le Pentesteur à sortir des sentiers
d’intrusion physique pour réaliser ces tests en interne. battus, comme le ferait un véritable attaquant, afin de détecter les
failles non conventionnelles.
Cet article relate un test d’intrusion que j’ai eu l’opportunité de
réaliser il y a quelques années au siège d’une grande banque. Le ➤ SCÉNARIOS
périmètre de ce test ayant été volontairement fixé très large, il
illustre un très grand nombre de failles qu’il est possible de trouver Enfin, il est utile de déterminer contre quel type d’attaques l’on
dans les ERP. Mais avant de rentrer dans le vif du sujet, voici un souhaite se protéger en mettant en place un scénario adapté au
petit tour d’horizon des typologies de tests d’intrusion qu’il est risque :
possible de réaliser. • Intrus opportuniste,
• Bande organisée,
• Attaquant déterminé.
MISE EN PLACE D’UN TEST
D’INTRUSION L’intrus opportuniste correspond au « vagabond », qui cherchera un
endroit où dormir, ou qui verra un ordinateur par la fenêtre et
décidera de tenter sa chance. Peu de connaissances, peu d’outillage.
➤ PÉRIMÈTRE Il se découragera rapidement.
La bande organisée est plus préparée, plus expérimentée et plus
Le périmètre technique doit être précis et délimité. Un tel test peut équipée. Son objectif est généralement financier, et n’importe quelle
60
GS DAYS 2019
11
e
RETOUR D’EXPÉRIENCE
électrique, local technique…), accessibles depuis le parking ouvert
aux clients. Bien qu’il était impossible de voler des informations
depuis ces locaux, il était possible de couper le courant de tout un
bâtiment par exemple.
Il est très fréquent que la sécurité soit accrue au niveau du sol, mais
totalement relâchée dès le premier étage passé. C’était le cas lors
de ce test, absence de caméras extérieures, portes sur les toits et
fenêtres non verrouillées sur plusieurs étages…
En passant simplement par l’immeuble voisin (en l’occurrence un
immeuble d’habitations, mais il peut s’agir d’une friche industrielle
Dans le cas qui nous intéresse dans cet article, nous avons eu la ou d’un immeuble d’entreprise moins sécurisé que la cible), il est
mission de tester l’intégralité de la sécurité physique mécanique très souvent possible d’accéder au toit mitoyen, et ainsi d’avoir
(donc hors RF et RFID), en Boite Noire pour commencer, puis en accès à l’intégralité de l’immeuble cible.
Boite Blanche par la suite, afin de couvrir le plus de failles possibles. Au sein même de l’enceinte des bâtiments cibles, dans la cour, des
accès acrobatiques permettaient d’atteindre le toit, donnant alors
➤ PORTES MAL VERROUILLÉES les mêmes possibilités d’intrusion que par l’immeuble voisin.
Enfin, depuis la rue, et pourtant à seulement quelques centaines
Il est impressionnant de constater le nombre de portes qui sont de mètres d’un commissariat et sous les yeux ébahis (ou pas) des
simplement claquées (sans poignée extérieure) et qu’il est possible promeneurs de chiens et joggers de fin de soirée, il a été possible
d’ouvrir à l’aide d’une simple radiographie ou même d’une lame d’escalader la façade du bâtiment cible, sans être inquiétés le moins
de couteau dans certains cas. Ces portes donnaient accès du monde.
notamment aux parkings et aux différents étages de bureaux depuis
la cage d’escalier (qui elle n’était pas accessible facilement depuis Afin de se protéger de ce type d’intrusion, il est essentiel de limiter
l’extérieur, mais un employé pouvait facilement y avoir accès, de les voies d’accès (systèmes antiescalades, caméras, détecteurs de
même qu’un client en visite ou un entrepreneur). Ces portes se mouvements), mais aussi de verrouiller les accès extérieurs de la
doivent d’être verrouillées ou protégées afin d’empêcher leur façade (fenêtres) et les portes sur les toits.
ouverture aussi facilement.
D’autres portes, notamment extérieures, étaient verrouillées par ➤ PORTES ANTIPANIQUES
ventouses électromagnétiques, mais ces ventouses, en nombre
insuffisant et/ou mal installées, pouvaient être ouvertes à l’aide Ces portes Sorties de Secours sont faites pour être en permanence
d’un simple levier en plastique ou encore d’une ventouse disponible déverrouillées de l’intérieur pour des raisons de sécurité des
en magasin de bricolage. Il est essentiel de respecter les conditions personnes. En utilisant cette caractéristique, il est possible avec un
d’installation de ces systèmes de verrouillage. minimum de dégâts et de visibilité de les ouvrir depuis l’extérieur
D’autres portes, enfin, n’étaient pas verrouillées du tout, donnant en insérant un fil de fer recourbé afin d’attraper la barre côté
pourtant accès à des éléments sensibles de l’infrastructure (local intérieur.
61
GS DAYS 2019
11
e
Un simple détecteur d’ouverture ou un couplage avec une ventouse clé-minute pour quelques euros et sans devoir donner
électromagnétique permet de mieux sécuriser ces accès. aucun justificatif (clés non protégées). D’autres clés, en revanche,
étant protégées, ont dû être dupliquées par ruse (moulage à l’aide
➤ CYLINDRES DÉPASSANT de résines en silicone), ou commandées directement à l’usine en
faisant usage de documents falsifiant les autorisations du
Ce n’est jamais bon d’avoir des cylindres qui dépassent de la porte, demandeur légitime.
car cela facilite l’effraction par casse du cylindre.
Mais dans certains cas, les cylindres sont pourvus de vis de
démontage à leur base, qui ne sont normalement accessibles que
quand le cylindre est hors de la porte. Dans le cas d’un cylindre
dépassant fortement, il devient possible sur ces modèles
(généralement de haute sécurité d’ailleurs), de démonter son
mécanisme interne sans devoir l’ôter de la porte au préalable.
Autorisant alors l’accès sans posséder la clé.
➤ ACCÈS « PIRATES »
S’ATTAQUER
À L’HUMAIN POUR
COMPROMETTRE LE SI
4Par Sylvain Hajri, Consultant sécurité chez digital.security
sylvain.hajri@digital.security - @navlys_
Avant toute chose, définissons ce qu’est l’OSINT. Nous empruntons ce L’OSINT, PARTICULIÈREMENT APPRÉCIÉE
terme au monde du renseignement, qui le définit comme étant « la
récupération d’un renseignement obtenu au travers de sources DES ATTAQUANTS…
d’informations accessibles au public ». Ces sources peuvent être multiples :
un site Internet, les médias de masse traditionnels, tels que la TV, les Bien évidemment, l’ensemble des techniques évoquées précédemment
journaux papier, les revues spécialisées, les photos… autant de sources peuvent et sont également utilisées par des personnes malveillantes,
qui nous permettent d’en apprendre plus sur les organisations cibles. notamment par des cambrioleurs qui ont recours au SOCMINT afin de
savoir si telle ou telle famille est actuellement en vacances à l’étranger,
Mais cette pratique de l’OSINT est à coupler à diverses autres méthodes en vue de commettre leurs méfaits. Les aficionados d’arnaques au
de renseignement. Nommons notamment le GEOINT (Geospatial président vont, quant à eux, s’intéresser aux centres d’intérêt d’une cible,
Intelligence) ou Renseignement Géospatial en français, qui permet afin d’adapter leurs scénarios de spear-phishing [4] ou de vishing [5].
d’acquérir et d’interpréter des images provenant de différentes sources
pouvant être des vues satellites, des photographies traditionnelles, l’étude Si l’OSINT est particulièrement appréciée des attaquants, c’est qu’elle a
de cartes… pour avantage de réaliser la première phase de la fameuse modélisation
À cela, nous pouvons ajouter de nombreux moyens d’acquisitions de la Cyber Kill Chain [6], publiée en 2011 par Lockheed Martin, et ce
d’informations, comme le SIGINT (Signal Intelligence) pour récupérer des entièrement à distance sans avoir à se déplacer. Cette étape, dite de
signaux radio par exemple, le SOCMINT (Social Media Intelligence), qui reconnaissance, permet également à l’attaquant d’obtenir énormément
permet d’obtenir de nombreuses informations sur les réseaux sociaux… de renseignements sur une organisation cible avec très peu de risques
de détection par la Blue Team [7].
Certes, ces différentes méthodes de renseignement sont utilisées par des
États, mais également par le monde de l’intelligence économique lors de
missions, par exemple de due diligence (vérifications qu’un éventuel … ET PAS QUE
acquéreur ou investisseur va réaliser avant une transaction), par les
journalistes d’investigations, comme l’a montré BBC Africa Eye sur En revanche, rien n’empêche les différents acteurs de la SSI et du monde
l’investigation « Anatomy of a killing [1]», par des ONG, telles que de la sûreté de procéder à des audits ou même des tests d’intrusion de
Bellingcat [2] sur l’affaire Skripal, ou encore par la société civile qui peut type Target Intelligence [8], couplés à des exercices de Red Team [9] et/ou
participer au projet « Stop child abuse [3] » d’Europol. Celui-ci permet à Purple Team [10], afin d’avoir une vision du type d’informations pouvant
n’importe qui d’utiliser l’OSINT afin de retrouver des lieux ou objets être récoltées. Cela permet également de donner à ces informations un
apparaissant dans des contenus pédopornographiques pour aider les niveau de sensibilité pour l’organisation, si jamais elles venaient à être
enquêteurs. utilisées par un groupe malveillant.
64
GS DAYS 2019
11
e
65
11
GS DAYS 2019 e
[1]
https://www.youtube.com/watch?v=4G9S-eoLgX4
[2]
https://www.bellingcat.com/tag/skripal/
[3]
https://www.europol.europa.eu/stopchildabuse
[4]
Attaque de phishing personnalisée sur une cible
[5]
Phishing téléphonique dans le but de récupérer des informations ou de faire réaliser une action
[6]
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[7]
Mise en œuvre des éléments défensifs
[8]
Renseignement sur la porosité de la surface d'attaque
[9]
Simulation d’adversaires réalistes
[10]
Conception de règles de détection pertinentes
[11]
Récupération d’informations sensibles dans les poubelles
[12]
https://www.numerama.com/tech/525099-transparence-contre-vie-privee-en-combattant-le-stalking-facebook-rend-il-les-enquetes-plus-compliquees.html
[13]
https://inteltechniques.com/private/viewtopic.php?id=4
[14]
https://twitter.com/FrOsint
[15]
https://www.numerama.com/tech/333171-lapplication-de-sport-strava-simplifie-la-desactivation-du-partage-de-donnees.html
[16]
Collaborateur qui retient la porte lorsqu’il rentre dans une zone où il est nécessaire de badger
67
le grand quizz
Testez vos connaissances en quelques chiffres,
avec Michel Gérard (Une seule réponse possible)
?
leCombien d’e-mails sont échangés chaque jour dans
monde, hors spam (estimation 2019) ?
a. 48 milliards
b. 187 milliards
c. 293 milliards
d. 457 milliards
?
mails
Quel est le pourcentage de spam dans les envois d’e-
?
a. Entre 10 et 35%
b. Entre 20 et 60%
c. Entre 55 et 95%
reprendre
Quel est le temps moyen nécessaire à un salarié pour
ses esprits et le fil de son travail après
avoir lu un e-mail ?
a. 24 s
b. 34 s
c. 54 s
d. 64 s
monde
Combien prévoit-on
en 2020 ?
d’objets connectés dans le
a. 30,73 milliards
b. 40,73 milliards
c. 50,73 milliards
d. 60,73 milliards
en
On peut se procurer un ransomware prêt à l’emploi
ligne (Ransomware as a Service), à quel prix ?
a. Entre 15 et 45 dollars
b. Entre 50 et 175 dollars
c. Entre 200 et 300 dollars
d. Entre 325 et 550 dollars
68
de sensibilisation
?? ?
?
AUTOMNE 2019
?
4Par Michel Gérard, PDG de Conscio Technologies
passe
?
En 2020, quel est le nombre estimé de mots de
qui seront utilisés dans le monde par les
humains et les machines ?
a. 80 milliards
b. 180 milliards
c. 250 milliards
d. 300 milliards
de
Quel est le secteur souffrant le plus des attaques
ransomwares ?
a. La banque
b. Les télécoms
c. La santé
d. L’énergie
chaque
Combien d’applications malicieuses sont bloquées
jour ?
a. 12 000
b. 24 000
c. 48 000
d. 64 000
malwares
Quel est le coût moyen d’une attaque à base de
?
a. 2,4 millions de dollars
b. 3,2 millions de dollars
c. 3,8 millions de dollars
d. 4,2 millions de dollars
LA DIGITALISATION DE L’ÉCONOMIE qui reposent encore une fois sur des infrastructures informatiques
performantes permettant d’assurer le traitement des données en temps
ET L’ACCROISSEMENT DES ÉCHANGES réel. Enfin, les interactions permanentes entre les individus, qui échangent
SEULEMENT S’IL Y A DES DATA CENTERS sans cesse des contenus multimédias, tels que des photos, des vidéos,
de la musique, des emails…, via notamment les réseaux sociaux,
Le monde d’aujourd’hui et de demain est plongé dans les réseaux favorisent la production et l’explosion des données personnelles, qui ont
sociaux, les sites de vente en ligne, la réalité augmentée, le streaming, le besoin inévitablement d’espaces de stockage.
stockage des données, la 5G…, qui sont autant de services et d’appli-
cations hébergés dans un Cloud Public ou Privé dépendants aujourd’hui Le Data Center, qu’il soit au service des entreprises, des individus ou
de Data Centers et de réseaux. encore de la donnée est donc à ce jour indispensable à notre quotidien
et aux évolutions futures. Pour fournir l’ensemble de ces usages et
Un grand nombre d’entreprises ont tendance à vouloir migrer leurs répondre parfaitement aux exigences et enjeux qu’ils impliquent, plusieurs
infrastructures informatiques et leurs données vers des Data Centers de typologies de Data Centers sont nécessaires et ont trouvé naturellement
colocation pour des raisons techniques et stratégiques. L’exploitation et leur place dans ce monde numérique.
la maintenance d’un DC en propre nécessite effectivement des compé-
tences techniques complexes et beaucoup d’investissement en termes DE L’HYPERSCALE DATA CENTER AU
de temps. Or, le rôle du DSI a clairement évolué vers des fonctions plus
stratégiques en lien avec les décisions Business prises par la direction EDGE DATA CENTER POUR DIGITALISER
générale. Le choix de se diriger vers un Data Center externe permet ainsi TOUT LE TERRITOIRE
de redonner aux DSI une place plus opérationnelle, en pilotant et en
gérant l’ensemble des applications informatiques hébergées, mais La forte croissance des services Cloud et la quête vers la collecte et la
également de s’offrir un accès à des services de Cloud public et privé centralisation des données personnelles en masse a fait exploser les
proposés par ces DC de colocation. investissements dans les Data Centers dits « Hyperscale ». Principalement
basés aux USA, nous les voyons arriver doucement en France et estimons
Outre l’aspect organisationnel des entreprises, la création en masse de d’ailleurs leur nombre à 500 dans le monde entier d’ici la fin de l’année,
nouvelles données, issues des 30 milliards d’objets connectés recensés et à 628 en 2021. De nature gigantesque, avec quelques centaines de
d’ici 2020 (125 milliards en 2030), nécessite toujours plus d’espaces de milliers de m², ces Data Centers Hyperscale sont utilisés par les géants
stockage et de traitement au sein de Data Centers. Aussi, l’orientation du Cloud, tels que les GAFAM, et ont pour vocation de prendre en
stratégique prise par le gouvernement pour faire émerger des smart charge le besoin considérable en trafic Internet, d’offrir une puissance
cities dans chaque région et le déploiement de la 5G sont autant d’enjeux de calcul titanesque et de fournir de la connectivité en créant des nœuds
70
DATA CENTER
Par ailleurs, dans la lignée des mesures prises par le gouvernement visant
à protéger les données personnelles, afin d’éviter autant que faire se
peut la collecte et la centralisation des données au sein des DC exploités
par les géants du Cloud, le Edge Data Center, qui dispose d’un niveau
de sécurité et de performance digne des plus grands, contribue à un nu-
mérique éthique en permettant de capter les données, de les traiter et
de les valoriser localement.
71
©Gorodenkoff
DE LA THÉORIE À LA PRATIQUE
R E E N
L E G
VE R S N T E R
A C E
DA T
A l'ère du tout numérique et alors que nous n'avons jamais produit autant de données à l'échelle
mondiale, les Data Centers doivent faire face à un challenge de taille. Les utilisateurs souhaitent de plus
en plus avoir accès à leurs données, partout, tout le temps, rapidement et pour certains avec une forte
puissance de calcul. Avec des usages qui changent depuis quelques années, l’Edge Computing et les
Data Centers HPC voient le jour et se démocratisent. Le premier volet de cet article concerne l’Edge
Computing et comment son application révolutionne déjà nos activités au quotidien.
72
DATA CENTER
COMMENT FONCTIONNE
L’EDGE COMPUTING ?
En pratique, les données « sources » sont converties en paquets et
transmises à travers le réseau Internet par le biais d’un protocole
IP. Le routage des données est géré par le protocole Border
Gateway Protocol. Celui-ci fonctionne actuellement très bien en DATA CENTER
termes de redondance et de sûreté, mais ce protocole est très peu
efficace pour tout ce qui touche au temps de latence, c'est-à-dire Edge Computing, HPC:
le temps qui s’écoule entre le moment où un paquet de données are Data Centers keep how
ing apace with
est transmis à destination (l’aller) et revient (le retour). the revolution of everyd
Généralement, le temps de latence associé aux infrastructures ay life?
actuelles est de 100 millisecondes, alors que certains usages, By Matthieu Gallego, Associa
te Director Data Center
comme les vidéos à la demande en HD, demandent des temps trois Hi-Tech and Manufacturing,
France, Turner & Townsend
fois inférieurs. Pour réduire ce temps au maximum, des
infrastructures au plus proche des utilisateurs permettent de In this digital age we have nev
er produced so much data
répondre rapidement aux besoins des usagers. on a global scale and dat
a centers face a daunting
challenge. Users want more
and more access to their dat
everywhere, all the time, fas a,
LE CAS DE L’IOT processing power. In times of
t and for some with high
ever-changing practices and
uses, Edge Computing and
L’Internet des Objets (IoT) est l’un des usages privilégiés de l’Edge HPC Data Centers are
emerging and becoming mo
Computing. Selon le site ZDnet, l’IoT générera plus de 79 re widely available. The firs
t
part of this article looks at
zettaoctets de données en 2025. A titre de comparaison, environ Edge Computing and how its
application is keeping apa
9,57 zettaoctets de données ont été consommés en 2008, selon ce with the revolution of
everyday life.
une étude de l’Université de San Diego.
Que ce soit dans le cadre des smart cities, de l’agriculture connectée
ou encore de la santé, l’IoT avec ses milliards de capteurs va
révolutionner notre manière d’aborder les objets et le monde qui
nous entoure. L’IoT en pratique est le fait de pouvoir relier un
ensemble de capteurs permettant de récupérer des informations
sur des usages et d’en monitorer l’activité dans sa version la plus
basique. Une fois ces données récupérées et après un traitement
adapté dans les centres de données notamment, cette data
permettra à terme de faire communiquer des machines entre elles
(Machine to Machine) en toute autonomie.
75
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 60€ TTC (TVA 20%), 75€ hors France Métropolitaine et étranger. THE LOGICAL & PHYSICAL SECURITY MAGAZINE
❒ Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%) ❒ ou je commande le numéro : au format PDF 12€ TTC (TVA 20%)
❒ Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 75€ TTC (TVA 20%)
❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service
comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En
revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte
de visite professionnelle (agrafer ici)
et mon adresse mail : Je recevrai par mail une fois par semaine des informations ciblées
Nom Prénom Société
Adresse
Tél. Fax. E-mail
A réception de votre règlement une facture acquittée vous sera adressée par retour. A retourner à :
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. S IMP
17, av. Marcelin Berthelot
92320 Châtillon
Date, Signature et cachet de l’entreprise
Tél. : 01 40 92 05 55
© Adrian Grosu
E-mail : ipsimp@free.fr
marc.jacob@globalsecuritymag.com
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.
??
Solutions QUIZZ DE SENSIBILISATION - Michel Gérard, Conscio Technologies
S
SOLUTION
10. a
9. b
8. c
7. d
6. b
5. a
4. d
3. b
2. c
1. c