Más contenido relacionado
Similar a Paysage de la sécurité de l'information (20)
Paysage de la sécurité de l'information
- 1. 1
Quel est le paysage de
la sécurité de l'information ?
9 décembre 2014
Alain Huet Consulting
huet.alain@skynet.be
+ 32 (0) 495 34.71.01
http://be.linkedin.com/in/AlainHuetConsulting
© 2014. Alain Huet. All rights reserved.
Sommaire
Dispositions légales
Institutions
Stratégie nationale de cybersécurité
© 2014. Alain Huet. All rights reserved. 2
- 2. 2
Sommaire
Dispositions légales
Institutions
Stratégie nationale de cybersécurité
© 2014. Alain Huet. All rights reserved. 3
Dispositions légales
Belgique / Union Européenne
Protection des biens vitaux
Vie privée
Propriété intellectuelle
Criminalité
Signature électronique
Organisation de l'Autorité fédérale
Hors Union Européenne
© 2014. Alain Huet. All rights reserved. 4
- 3. 3
Dispositions légales
BE / UE – Protection des biens vitaux
Informations classifiées
Infrastructures critiques
© 2014. Alain Huet. All rights reserved. 5
Dispositions légales
BE / UE – Protection des biens vitaux
Informations classifiées (1)
Décision 2001/264 (19/3/2001) : Règlement de sécurité
Loi (11/12/1998) : classification, habilitations, …
AR (24/3/2000)
6
Vie privée
© 2014. Alain Huet. All rights reserved.
BE UE
atteinte très grave TRES SECRET TRES SECRET UE
atteinte grave SECRET SECRET UE
atteinte CONFIDENTIEL CONFIDENTIEL UE
effet défavorable (diffusion restreinte) RESTREINT UE
défense
sûreté intérieure
relations internationales
potentiel économique
...
intérêts de l'UE et des
Etats membres
- 4. 4
Dispositions légales
BE / UE – Protection des biens vitaux
Informations classifiées (2)
Personnes
Conditions d'accès
Habilitation (security clearance) > Degré de classification
Need to know
Procédure d'habilitation
Enquête de sécurité (vie privée) par service de renseignement
Sûreté de l'Etat
Service Général de Renseignement et de Sécurité (Défense)
Systèmes
Règlement EU (2001/264) : 3 étapes
Evaluation (evaluation)
laboratoires de contrôle agréés Ǝ? BELAC
Certification (certification)
autorité de certification Ǝ?
Homologation (EN accreditation)
autorité d'homologation : Autorité Nationale de Sécurité
© 2014. Alain Huet. All rights reserved. 7
Dispositions légales
BE / UE – Protection des biens vitaux
Infrastructures critiques
Directive 2008/114 (8/12/2008) : infrastructures critiques européennes
Loi (1/7/2011) : infrastructures critiques belges
AR (27/5/2014)
Infractructures critiques
UE : énergie, tansport
BE : + finance, communications électroniques
Fonctions vitales, santé, sécurité, bien-être économique / social
Autorité sectorielle télécom : IBPT
Exploitant d'infrastructure critique plan de sécurité
© 2014. Alain Huet. All rights reserved. 8
- 5. 5
Dispositions légales
BE / UE – Vie privée
Traitement de données à caractère personnel
Communications électroniques
CCT 81
© 2014. Alain Huet. All rights reserved. 9
Dispositions légales
BE / UE – Vie privée
Traitement de données à caractère personnel
Directive 95/46 (24/10/1995) : traitement de données personnelles
Loi (8/12/1992) : traitement de données personnelles
Loi (30/6/1994) : écoutes et enregistrement des communications
Finalités déterminées, explicites, légitimes
Proportionnalité : données pertinentes, non excessives
Transparence
Durée de conservation : non excessive
Données sensibles (santé, …)
Niveau de protection adéquat : mesures techniques / organisationnelles
Préposé à la protection des données
Commission de Protection de la Vie Privée (CPVP), comités sectoriels
Déclaration à la CPVP
Sanctions
© 2014. Alain Huet. All rights reserved. 10
- 6. 6
Dispositions légales
BE / UE – Vie privée
Communications électroniques
Loi (13/6/2005) : communications électroniques
Opérateurs
Mesures de sécurité (techniques / organisationnelles)
Services de sécurité gratuits
Notification des incidents de sécurité IBPT, CPVP, abonné
Audit possible par l'IBPT ou organisme indépendant
Conservation des données de trafic / géolocalisation
IBPT
Sécurité des télécommunications
Coordination
Supervision de la détection des problèmes
Contrôle, recommandations, instructions opérateurs
© 2014. Alain Huet. All rights reserved. 11
Dispositions légales
BE / UE – Vie privée
CCT 81
CCT (26/4/2002) : contrôle des données de communication au travail
Finalités
1 prévention de faits illicites (piratage, pédophilie, racisme, …)
2 protection des intérêts de l'employeur
3 sécurité technique des systèmes
4 respect des règles internes
Proportionnalité : ingérence minimale dans la vie privée
anomalie finalités 1-2-3 individualisation
anomalie finalité 4 avertissement collectif ... individualisation
Transparence
information collective / individuelle
Filtrage Journalisation + contrôle
© 2014. Alain Huet. All rights reserved. 12
- 7. 7
Dispositions légales
BE / UE – Propriété intellectuelle
Directive 91/250 (14/5/1991) : programmes d'ordinateur
Directive 96/9 (11/3/1996) : bases de données
Directive 2001/29 (22/5/2001) : droits d'auteur - société de l'information
Loi (10/4/2014) : propriété intellectuelle
Droit d’auteur et propriété intellectuelle en questions
Guide pour les communicateurs fédéraux - J. Folon
SPF Personnel et Organisation, Décembre 2010
www.fedweb.belgium.be/fr/binaries/Brochure%20COMM%2020%20F_tcm119-112822.pdf
© 2014. Alain Huet. All rights reserved. 13
Dispositions légales
BE / UE – Criminalité
Directive 2013/40 (12/8/2013) : attaques contre les systèmes d'information
Loi (28/11/2000) : criminalité informatique
Code pénal : art. 116-118
Directive 2006/24 (15/3/2006) : conservation des données de trafic
Loi (30/7/2013) : conservation des données de trafic / géolocalisation
Décision CJUE (8/4/2014) : annulation de la directive 2006/24
Faux informatique
Intrusion
Abus de droits d'accès
Sabotage
Distribution de données acquises illégalement
Distribution de données nuisibles
Défense / sûreté de l'Etat : communication à une puissance étrangère
Conservation des données de trafic / géolocalisation
© 2014. Alain Huet. All rights reserved. 14
- 8. 8
Dispositions légales
BE / UE – Signature électronique
Directive 1999/93 (13/12/1999)
Loi (9/7/2001) : signatures électroniques et services de certification
Signature électronique : ne peut être refusée en justice
Signature électronique avancée
Certificat ... qualifié
Signature électr. avancée + certificat qualifié ≈ signature manuscrite
Prestataire de service de certification
Contrôle : SPF Economie
© 2014. Alain Huet. All rights reserved. 15
Dispositions légales
BE / UE – Organisation de l'Autorité fédérale
Loi (8/8/1983) : registre national des personnes physiques
AR (12/8/1993) : sécurité de l'information sécurité sociale
AR (4/2/1997) : communication entre institutions de sécurité sociale
Loi (15/8/2012) : intégrateur de service fédéral
AR (17/3/2013) : conseillers en sécurité
AR (10/10/2014): Centre pour la Cybersécurité Belgique
Conseillers / services en sécurité de l'information : Direction
Comités sectoriels
Centre pour la Cybersécurité Belgique
16
- 9. 9
Dispositions légales
Hors Union Européenne
US Safe Harbor
Directive 95/46 : interdiction de transférer des données personnelles hors
EEE sauf niveau de protection équivalent
2001 : accord Commission européenne / US Dept of Commerce
Certification des entreprises US
Principes
Notification et libre choix des personnes
Sécurité
Traitement compatible avec le but déclaré
Droit d'accès et de rectification
US Patriot Act (2001)
Mandat de perquisition numérique
Données hébergées : US / hors US
Sociétés : US et non US (si intérêts aux USA)
© 2014. Alain Huet. All rights reserved. 17
Sommaire
Dispositions légales
Institutions
Stratégie nationale de cybersécurité
© 2014. Alain Huet. All rights reserved. 18
- 10. 10
Institutions
• Autorité Nationale de Sécurité (ANS)
• Commission de Protection de la Vie Privée (CPVP)
• Computer Crime Unit
• Institut belge des services postaux et des télécommunications
(IBPT)
• Sûreté de l'Etat
• Service Général de Renseignement et de Sécurité (SGRS)
• Centre de Crise
• Computer Emergency Response Team (CERT.be)
• Plate-forme de concertation sur la sécurité de l'information
(BELNIS)
• Belgian Cybercrime Centre of Excellence for Training, Research
and Education (B-CCentre)
• Centre pour la Cybersécurité Belgique (CCB)
© 2014. Alain Huet. All rights reserved. 19
Institutions
Autorité Nationale de Sécurité (ANS-NVO)
diplomatie.belgium.be/fr/sur_lorganisation/organigramme_et_structure/ans
Affaires Etrangères ( OTAN, UE)
Habilitation des personnes (infos classifiées)
Homologation des systèmes (infos classifiées)
© 2014. Alain Huet. All rights reserved. 20
- 11. 11
Institutions
Commission de Protection de la Vie Privée
(CPVP)
www.privacycommission.be
Parlement fédéral
Assistance sur la législation
Autorisation, contrôle et inspection
Information
Traitement des plaintes
Avis sur les règlements et normes
© 2014. Alain Huet. All rights reserved. 21
Institutions
Computer Crime Unit
www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php
Police judiciaire
Federal Computer Crime Unit (FCCU)
CCU régionaux (RCCU)
© 2014. Alain Huet. All rights reserved. 22
- 12. 12
Institutions
Institut belge des services postaux et des
télécommunications (IBPT)
www.ibpt.be
Sécurité des réseaux publics de télécommunication
Centralisation et suivi des incidents de sécurité
© 2014. Alain Huet. All rights reserved. 23
Institutions
Sûreté de l'Etat
justice.belgium.be/fr/service_public_federal_justice/organisation/services_e
t_commissions_independants/surete_de_l_Etat
Renseignement civil
Habilitations
© 2014. Alain Huet. All rights reserved. 24
- 13. 13
Institutions
Service Général de Renseignement et de
Sécurité (SGRS)
Renseignement militaire
Protection des systèmes d'information militaires
© 2014. Alain Huet. All rights reserved. 25
Institutions
Centre de Crise
www.ibz.be/code/fr/loc/crise.shtml
SPF Intérieur
Plans d'urgence
Protection des infrastructures critiques
Assistance aux autorités sectorielles
© 2014. Alain Huet. All rights reserved. 26
- 14. 14
Institutions
Computer Emergency Response Team
(CERT.be)
www.cert.be
Collecte d'informations sur les incidents de sécurité
Assistance aux incidents
Coordination du traitement des incidents majeurs
Information et sensibilisation
© 2014. Alain Huet. All rights reserved. 27
Institutions
Plate-forme de concertation sur la sécurité de
l'information (BELNIS)
Concertation entre les institutions (fédérales)
2007 - Livre blanc sur la sécurité de l'information
2012 - Stratégie nationale de cybersécurité
© 2014. Alain Huet. All rights reserved. 28
- 15. 15
Institutions
Belgian Cybercrime Centre of Excellence for
Training, Research and Education (B-CCentre)
www.b-ccentre.be
Initiative de la KUL
Sensibilisation et formation
Cyber Security Coalition : lien public / privé / académique
www.cybersecuritycoalition.be
© 2014. Alain Huet. All rights reserved. 29
Institutions
Centre pour la Cybersécurité Belgique (CCB)
Service du Premier Ministre
Supervision de la stratégie infosec
Coordination des autorités publiques
Coordination public / privé / académique
Adaptation du cadre légal
Gestion de crise CERT.be
Standards et directives
Evaluation et certification des systèmes (avec BELAC)
Sensibilisation des utilisateurs (publics, privés, citoyens)
© 2014. Alain Huet. All rights reserved. 30
- 16. 16
Sommaire
Dispositions légales
Institutions
Stratégie nationale de cybersécurité
© 2014. Alain Huet. All rights reserved. 31
Stratégie nationale de cybersécurité
www.b-ccentre.be/wp-content/uploads/2013/03/cybersecustra_fr.pdf
Objectifs stratégiques
Cyberespace sûr, respectant les valeurs et droits fondamentaux
Protection des infrastructures critiques contre la cybermenace
Développement de capacités propres
Approche
Intégration + collaboration public / privé / académique
Cadre légal
Suivi de la cybermenace
Amélioration de la protection
Capacité de réaction
Cybercriminalité
Expertise et connaissance
Développement technologique
© 2014. Alain Huet. All rights reserved. 32