clusif / clusir rha guide des preuves – club ssi du clusir rha, réunion du 30-04-08 29% guide...

CLUSIF / CLUSIR Rha

GUIDE DES PREUVES – Club SSI du Clusir RhA, Réunion du 30-04-08

29%

GUIDE PRATIQUE DES PREUVESQue faire en cas d’intrusion dans le Système d’information ?

Raphaël PEUCHOT - Avocat à la courAlexandre DORT - Dominique MACHU - RSSI

CLUSIF / CLUSIR Rha


29%

GUIDE PRATIQUE DES PREUVES

Partie 1 - Introduction

Raphaël PEUCHOT - Avocat à la cour

CLUSIF / CLUSIR Rha


Guide pratique des preuvesMe Raphaël PEUCHOT, avocat au Barreau de Lyon

1. Opportunité probatoire

2. Régime de la preuve

3. Préconisations

CLUSIF / CLUSIR Rha


Utilité juridique d’une preuve : l’opportunité probatoire !

• Quoi prouver ?

• Pour quoi faire ?

Deux niveaux de réponse:1/ Premier niveau : un impératif juridictionnel

- prouver les faits nécessaires à sa prétention- pour en convaincre un tiers : le juge- en retirer un bénéfice (condamnation)

CLUSIF / CLUSIR Rha


Exemples de preuves de faits aux conséquences purement

juridictionnelles• Preuve d’une intrusion informatique> Permet des poursuites pénales

>> sous réserve : - de l’établissement des faits d’intrusion- de l’identification de leur auteur

>> effets : incrimination pénale, jugement et prison.

• Preuve d’une contrefaçon de logiciel> Conditions à la mise en œuvre d’une procédure civile en

interdiction>> sous réserve : - de la preuve des actes de contrefaçon - de la validité de la saisie pratiquée

>> effets : interdiction des actes contrefaisants, indemnisation du préjudice

CLUSIF / CLUSIR Rha


• Quoi prouver ?

• Pour quoi faire ?

Deux niveaux de réponse:1/ Premier niveau : un impératif juridictionnel

2/ Second niveau : un impératif contractuel- prouver les faits susceptibles de justifier la mise en

œuvre d’un droit ou l’exécution d’une obligation

- pour en convaincre son cocontractant

- en retirer un bénéfice conforme au contrat

CLUSIF / CLUSIR Rha


• Preuve d’un bug> déclenche la maintenance

>> sous réserve : - de la qualification du bug- de son imputabilité au progiciel vendu

>> effets : délais de réaction, correction, tests, contournement, etc.

• Preuve d’un sinistre informatique> justifie la mise en œuvre de la couverture d’assurance

>> sous réserve : - de la caractérisation du sinistre (origine, conséquences) - de l’applicabilité de la police d’assurance

>> effets : indemnisation / action récursoire

CLUSIF / CLUSIR Rha


2. Régime juridique de la preuve : le risque probatoire

Il s’agit de définir la valeur d’une preuve.

3 régimes différents :

- procédure pénale : liberté absolue de la preuve

- procédure civile : liberté relative de la preuve

- procédure prud’homale : liberté contrôlée de la preuve

CLUSIF / CLUSIR Rha


Preuve d’un fait délictueux

1/ Tous éléments de preuve sont a priori recevables

- tous modes de preuve admis (ne pas confondre avec les irrégularités formelles ou procédurales de l’instruction ou des PV)

- préférer les preuves collectées par les agents assermentés (OPJ, APP, huissier, experts judiciaires)

2/ Le juge apprécie en dernier lieu la preuve avancée

- intime conviction : règle probatoire du procès pénal

(art. 427 Code de Procédure Pénale : liberté d’appréciation de la valeur probante laissée au juge – Jurisprudence

constante !)

CLUSIF / CLUSIR Rha


Preuve au procès civil

1/ Preuve d’un fait

- liberté de la preuve légale (qui respecte les prescriptions légales en général)

2/ Preuve d’un acte ou d’une obligation

- contrat : preuve littérale (écrit) et testimoniale- entre commerçants : liberté de la preuve- convention sur la preuve : liberté limitée

CLUSIF / CLUSIR Rha


Preuve au procès prud’homal

1/ Respect des règles de surveillance technologique- information préalable du salarié- consultation des représentants du personnels- déclaration CNIL éventuelle

2/ Collecte des preuves- accord du salarié obtenu ou au moins sollicité- autorisation judiciaire

CLUSIF / CLUSIR Rha


3. Préconisations : l’opportunisme probatoire !

1/ Identifier la finalité- toutes les fins ne justifient pas toutes les preuves

2/ Déterminer le mode de preuve le plus approprié- la preuve d’un fait OUI, sa publicité NON !

3/ Urgence ou précipitation ?- conservation, dépérissement, destruction …

CLUSIF / CLUSIR Rha


CONCLUSION

Probatio probatissima !

La meilleure preuve, c’est encore l’aveu !

CLUSIF / CLUSIR Rha


29%


Partie 2 - les infractions spécifiques au numérique

Alexandre DORT

CLUSIF / CLUSIR Rha


Monde réel = Monde virtuel• Transposer pour comprendre que tout est identique.

• Les voies de communications diffèrent mais le routes et autoroutes physiques se retrouvent virtuellement sur la toile.

• Les buts sont les mêmes :• - commerce, information, échanges, …• 32 %

... c’est la progression du commerce en ligne par rapport au premier jour des soldes d’hiver de 2007, telle que mesurée par la Fevad.

• Le chiffre d’affaire du e-commerce est 3,5 fois supérieur un jour de soldes par rapport à un jour moyen.

• Les réseaux de communication et d’échanges explosent de manière exponentielle avec la possibilité de contacts multiples et instantanés grâce à l’Internet.

• 15,5 millions... C’est le nombre d’internautes abonnés au haut-débit que compte la France à la fin 2007, selon l’Arcep.

CLUSIF / CLUSIR Rha


Transposition inversée :

• Les TIC apportent la contrainte de ce qui est écrit et donc définitif.

• Tous les échanges par le moyen de communications numériques laissent des traces.

• La nécessité de surveiller les flux et la conservation des logs de connexion est une obligation pour les entreprises.

• (cf. Jurisprudence 1)

• Le droit à l’image et la communication d’informations concernant les personnes ou les entreprises sont soumises à des règles strictes.

• (cf. Jurisprudence 2)

CLUSIF / CLUSIR Rha


Le Code pénal

• Art. 132-79 - Abus de la cryptographie • (utilisée pour faciliter ou commettre un crime ou délit)

• Art. 226-16 à 226-24 - Atteintes à la loi informatique et libertés

• « …y compris par négligence, de procéder ou de faire procéder à des traitements de données à

caractère personnel… » • Art. 226-1 à 226-7, 226-15 et 432-9 • - Atteintes à la vie privée et au secret des correspondances.

• Art. 323-1 à 323-7 et 411-9 • - Atteintes aux systèmes de traitement automatisé de

données et sabotage de tels systèmes• (…accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de

traitement automatisé…)

CLUSIF / CLUSIR Rha


Le Code pénal

• Art. 227-23• - Pédo pornographie (diffuser, fixer, enregistrer ou transmettre)

• Art. 225-12-2 (2°), 227-22 et 227-22-1 • - Sollicitations sexuelles envers des mineurs.

• Art. 227-24 • - Diffusion de messages pornographiques, violents ou

portant atteinte à la dignité humaine lorsqu'ils sont susceptibles d'être vus par un mineur

• Art 322-6-1 • - Diffusion de procédés permettant la fabrication d'engins

de destruction

CLUSIF / CLUSIR Rha


Autres Codes et Lois

• L. 217-2 du Code de la consommation- Modification d'identifiants numériques (notamment IMEI de téléphones portables)

• L. 163-4 et suivants du Code monétaire et financier• - Contrefaçon de cartes de paiement

• 79-1 à 79-6 de la Loi sur la liberté de la communication (n°86-1067)• - Contrefaçon de dispositifs de décodage de la télévision cryptée

• L. 335-3 al.2 du Code de la propriété intellectuelle• - Contrefaçon de logiciels

• L. 343-1 à L. 343-4 du Code de la propriété intellectuelle• - Contrefaçon de bases de données

• L’article 24 de la Loi du 29 juillet 1881 sur la liberté de la presse précise :• « notamment Lorsqu'il a été utilisé pour la commission de ces infractions

des moyens de communication électronique et en particulier Internet »

CLUSIF / CLUSIR Rha


Jurisprudence 1 : Entreprise = Fournisseur d’accès …

COUR D’APPEL de Paris, 14e Chambre, 4 février 2005•

Publié le 1er mars 2005

• SOMMAIRE• Extrait de l’arrêt :• SA BNP Paribas c/ Société World Press Online• Conservation des données de connexion - Entreprise - Fournisseur

d’accès à l’internet (oui) - Obligation de conservation et de mise à disposition (oui)

• Décision au format PDF• Extrait de l’arrêt :• "Considérant, par ailleurs, que la demande de la société WORLD

PRESS ONLINE ne se heurte à aucune contestation sérieuse alors qu’en sa qualité, non contestée, de prestataire technique au sens de l’article 43-7 de la loi du 1er août 2000, la Société BNP PARIBAS est tenue, en application de l’article 43-9 de ladite loi, d’une part, de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires ;

CLUSIF / CLUSIR Rha


Jurisprudence 2 :protection des entreprises et de la vie privée …

• La discrétion s’impose à un site syndical 12/01/05

• Les obligations de discrétion et de confidentialité entraînent des limitations à la diffusion d’informations d’un syndicat de salariés sur une entreprise, même si les informations sont diffusées sur un site internet extérieur. Telle est, en substance, la conclusion du TGI de Bobigny, dans un jugement du 11 janvier 2005 qui ordonne la suppression de quatre rubriques du site, sous astreinte de 600 euros par jour.La fédération CGT des sociétés d’études a ouvert un site http://cgt.Segodip.free.fr contenant des rubriques qui, selon l’entreprise visée, ne respectaient pas les règles de discrétion qui résultent du contrat de travail ou des règles de confidentialité figurant au code du travail. Les juges ont approuvé, en grande partie, les arguments de Secodip. Pour la diffusion en ligne d’un tract, les juges ont estimé qu’elle était contraire à l’article L. 412-8 du code du travail qui réglemente les conditions de distribution de ce genre de communication. Est en cause le fait que ce document devient accessible à tout moment et à des personnes extérieures à l’entreprise. Concernant la diffusion de rapports sur la rentabilité de l’entreprise communiqués dans le cadre du comité d’entreprise, le tribunal oppose au syndicat son obligation de discrétion inscrite dans l’article 432-7 du code du travail. Le tribunal a également censuré la publication des salaires qui constituent des informations confidentielles, …

CLUSIF / CLUSIR Rha


SOURCES ET REFERENCES

Statistiques :http://www.internet.gouv.fr/informations/information/statistiques/

Codes et Lois :http://www.legifrance.gouv.fr/

Jurisprudence 1 :http://www.foruminternet.org/specialistes/veille-juridique/

jurisprudence/cour-d-appel-de-paris-14e-chambre-4-fevrier-2005.html

Jurisprudence 2 :http://www.legalis.net/breves-article.php3?id_article=1395

CLUSIF / CLUSIR Rha


29%


Partie 3 – la collecte des preuves dans l’entreprise

Dominique MACHU – RSSI

CLUSIF / CLUSIR Rha


29%

Ca n’arrive que chez les autres !

La Sinistrabilité des SI (Etude 2006 du CLUSIF :

échantillon de 400 entreprises )

Vol d’équipementsinformatiques(160 entreprises)

Introduction involontaire de

virus(144 entreprises)

Vols d’information confidentielles

(16 entreprises)

Attaques logiques(16 entreprises)

Atteinte à l’image (12 entreprises)

Sabotages d’équipements (12 entreprises)

Intrusions dans le SI (8 entreprises)

Fraude informatique (8 entreprises)

CLUSIF / CLUSIR Rha


29%



La malveillance Interne

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur – Introduction :

La conférence EuroCACS (European Computer Audit, Control and Security Conference ) qui s’est déroulée à Stockholm (mars 2008) s'est achevée sur l'habituel constat désabusé : la majorité des risques provient de l'intérieur d'une entreprise:

Evoquant le récent scandale de la Société générale avec les faux emails de Jérôme Kerviel, les conférenciers ont rappelé les chiffres du cabinet ISCSA : « Malgré toute l'attention portée aux intrusions et aux virus, il y a 72% de chances que la prochaine attaque réussie provienne de l'intérieur. »

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur – les Etudes *

PROFIL :

Sexe masculin

17 à 60 ans

87% avaient des profils privilégiés ou administrateur

39 % des entreprises sondées ont subits une ou plusieurs attaques depuis l’intérieur.

Le cout de de ces attaques représentait 6% du CA

Aux USA ce montant est évalué à 400 milliards de $

Commentai res du CERT :

75 % des vols d’informations confidentielles ont été réalisés par des employés

45 % d’entre eux avaient déjà accepté un emploi « ailleurs »

* Sources 2005 : CERT/US Secret Services - FBI

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur – les constats

Depuis un poste de l’entreprise :

- Fraude informatique- Usurpation d’identité- Navigation sur des sites illicites- Vol d’informations confidentielles- Non respect de la réglementation - Destruction de données - Propagation de malwares-Entrave au fonctionnement du SI-…

CLUSIF / CLUSIR Rha


La malveillance depuis l’intérieur : les risques pour l’entreprise

• Perte d’activité : 75% des entreprises dépendent de leur S.I.

• Défaut de conformité (audits – réglementations (FR CE US …)

• Théorie de la double peine pour l’entreprise : risque salarié / risque légal

• Vol d’informations / vol de savoir faire

• Responsabilité pénale du chef d’entreprise : infractions commises par le biais du système d'information de l'entreprise à partir d'un poste de travail

• Responsabilité professionnelle du DSI / RSSI (manquement à la sécurité)

• Incapacité à produire des preuves illicites : inefficacité dans la gestiondes litiges avec les salariés

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur : Les solutions Mettre en œuvre une politique de sécurité basée sur :• la gestion des identités et des accès : qui accède à quoi ? - politique des mots de passe / renouvellement - gestion des absences et des départs (référentiel unique – ex : IAM) - clauses de confidentialité et secret professionnel dans le contrat de

travail (ex: administrateurs)

• La traçabilité et le contrôle d’activité - outils de gestion des logs et des alertes - les audits de sécurité

• Une architecture sécurisée du S.I. - Cloisonnement et supervision des réseaux – contrôle de l’accès

(NAC)- Antivirus (multi-niveaux) – pare-feux (séparation des zones)

- traçabilité et imputabilité - filtrage des accès web • une politique d’information et de dissuasion : - Informer / opposer / sensibiliser le personnel - Charte d’usage du S.I. annexée au règlement intérieur - Communiquer – la sécurité ne doit plus être tabou

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur : La charte d’usage du S.I.

Par principe pour l’utilisateur du S.I. : « Tout ce qui n’est pas interdit est

autorisé ! »

• La Charte définie les règles d’utilisation des moyens informatiques mis à la disposition du personnel

• Pour être opposable au salarié malveillant 4 conditions :- Annexée au règlement intérieur de l’entreprise- Conformité avec le code du travail et la CNIL (proportionnalité,

transparence, discussion collective (CE), secret de la correspondance.. )

- Définition de la frontière entre sphère professionnelle et privée - Vos traitements nominatifs et outils de traçabilité de l’entreprise

doivent être déclarés à la CNIL Ne pas oublier les plans de « sensibilisation à la sécurité des

SI » de l’ensemble du personnel et des utilisateurs du SI ( Stagiaires, intérimaires ..)

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur : Cyber surveillance dans l’entreprise Principe de base : Tout système informatique

génère des traces !

Nous utiliserons ces traces pour imputer une action à un utilisateur qui a mis en péril la disponibilité et la sécurité du système d’information en respectant le cadre :

Respect du code du travail et de la loi du 6 Janvier 1978 (CNIL) :

• Transparence « Aucune information concernant un salarié ou candidat ne peut être collecté par un dispositif qui n’a pas été porté préalablement à sa connaissance » Code du travail - L121.8

• Proportionnalité « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché » Code du travail L120-2

• Discussion collective Le C.E doit être « informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés»- Code du travail L432-2-1

CLUSIF / CLUSIR Rha


La malveillance depuis l’ intérieur – Collectes des preuves

•Journaux systèmes• journaux applications•Journaux bases de données•Journaux sécurité

•Logs de connexion•journaux systèmes

Protection physique• Contrôle des accès•Vidéosurveillance

Journaux applicationsLogs de connexion

Logs des connexions Internet

Journaux des courriels entrants/sortants

Logs du réseau (sondes)

Logs du parre-feuLogs des

connections (télétravail –

télémaintenance)

CLUSIF / CLUSIR Rha


29%



L’ attaque extérieure

CLUSIF / CLUSIR Rha


L’attaque extérieure : quelques cas d’intrusions dans le SI Compromission du site WEB

•Défaçage •Botnet …•Contamination des internautes ,Redirection vers des sites pirates (attaques en forte progression !)

Compromission des éléments de la DMZ

Injection SQL (vol d’informations, d’identités …)

Introduction Codes malveillants (vol

d’informations, d’identités, pris de main à distance …)

Rebond par le VPN de

l’entreprise

CLUSIF / CLUSIR Rha


L’attaque extérieure : Réaction à l’intrusion 1 – Assurer la continuité de l’activité de l’entreprise :

Une des premières réaction d’un administrateur serait d’intervenir sur le système compromit ( Obtention de l'adresse du pirate et riposte ; Arrêt du système; s’isoler du réseau ; restaurer le système…) .

Si le fonctionnement de système compromit est vital pour le fonctionnement du SI, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts) que l'intrusion elle-même. (ex: site de vente en ligne, application métier critique …) l'indisponibilité du service pendant une longue durée peut être catastrophique.

Une des solutions est d’activer le PRA et d’utiliser les ressources de secours prévues.

! Attention de de ne pas activer un système compromit - il faut vérifier les modifications apportées aux données du système compromis par rapport aux données restaurées réputées fiables.

En effet, si les données ont été infectées par un virus ou un cheval de Troie, leur restauration risque de contribuer à la propagation du sinistre

Une fois le PRA opérationnel on isolera du S.I. le système compromit.

CLUSIF / CLUSIR Rha


L’attaque extérieure : constitution/collecter les preuves 2 – Constituer et collecter les preuves :

• Constituer un dossier des preuves de l'intrusion Etablir un dossier regroupant les différentes traces et preuves de l'intrusion est un préalable impératif avant tout recours.

L'absence d'éléments de preuves suffisamment probants pour identifier le responsable et qualifier la nature de ses agissements ne pourra faire aboutir le recours.

• Collecter les preuves - Sauvegardes les logs : applications impactées, systèmes

d’exploitation, systèmes de sécurité (routeurs, pare-feu , anti-virus, sondes réseaux …).- Sur le serveur compromit: réaliser une copie physique du disque dur dans son état au moment de la découverte de l’intrusion (ex : à l’aide d’un disque dur externe USB).

l'absence de copie, l'altération des données provoquée une analyse sur le serveur rendrait inefficace toute procédure judiciaire.

CLUSIF / CLUSIR Rha


L’attaque extérieure : Intervention de la police judiciaire 3 – Faire constater par la police judiciaire :

Compétence sur Paris et la petite couronne :

BEFTIBrigade d'enquêtes sur les Fraudes aux Technologies de l'InformationDépend de la Direction Régionale de la Police Judiciaire de la Préfecture de Police de

ParisTel : 01 55 75 26 19http://www.prefecture-police-paris.interieur.gouv.fr/

Compétences nationales:

OCLCTIC Office Central de Lutte contre la Criminalité liée aux Technologies de

l'Information et de la Communication,Dépend de la Direction Centrale de la Police Judiciaire.Aussi point de contact internationalTel : 01 47 44 97 55http://www.interieur.gouv.fr/

DSTDirection de la Surveillance du TerritoireEnquête sur les crimes et délits pouvant porter atteinte à la sûreté de l'Etat.Tel : 01 49 27 49 27http://www.interieur.gouv.fr/

CLUSIF / CLUSIR Rha


SOURCES ET REFERENCES Menace interne – Insider Threat CSI (CERT)http://www.cert.org/archive/pdf/InsiderThreatCSI.pdf

CyberSurveillance dans l’entreprise (CNIL)http://www.cnil.fr/index.php?id=2054

Les bons réflexes en cas d'intrusion sur un système d'information

http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html

Quels recours en cas d'intrusions informatiques ? (Maitre FRANKLIN BROUSSE)

http://www.journaldunet.com/solutions/0411/041103_juridique.shtml

clusif / clusir rha guide des preuves – club ssi du clusir rha, réunion du 30-04-08 29% guide...

Documents