Présentation donnée à l'occasion du workshop "La protection des données: de la fermeture à l’ouverture" organisé par l'eGov Innovation Center le 2 novembre 2016 : http://egovinnovation.ch/la-protection-des-donnees-de-la-fermeture-a-louverture/.
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...
La protection des données: de la fermeture à l'ouverture - Fédération des entreprises Romandes FER Genève
1. Fédération des entreprises
Romandes FER Genève
La protection de données:
de la fermeture à l'ouverture
Raoul DIEZ. Directeur Contrôle et Sécurité
2 novembre 2016
1
2. Agenda
• Vue d’hélicoptère de la menace globale
• Faits marquants actuels
• Ce qui nous concerne
• Les utilisateurs
• Ce que dit la loi
• Conclusion
2
3. La 4ème révolution industrielle
Klaus Schwab*
«La quatrième révolution industrielle bouleverse
notre société dans ses fondements»
3
* Fondateur du World Economic Forum (WEF)
4. La 4ème révolution industrielle
« Le monde est devenu beaucoup plus vulnérable. A la
différence, cette fois, que dans le passé il fallait de
grandes armées pour faire des dégâts. Aujourd’hui, un
seul individu peut causer d’énormes dommages et
même rester anonyme. Prenez le cas des cyber-
attaques susceptibles de bloquer toutes les
infrastructures d’un pays. Ce risque terroriste impacte
l’économie »
http://www.linformaticien.com/actualites/id/39571/ransomware-l-hopital-de-los-angeles-a-paye.aspx
4
5. LRens
Loi sur le renseignement
https://www.newsd.admin.ch/newsd/message/attachments/33840.pdf
5
6. LRens. Votation du 25.09.2016
6
Guy Parmelin :
« Les cantons sont conscients que la situation
internationale a changé, qu'elle a évolué, que
l'on est dans un monde beaucoup plus
imprévisible et qu'il faut justement se donner
les moyens pour tenter de prévenir, autant que
faire se peut, des dérives, espionnage,
cyberattaques, ou du terrorisme »
8. ANSSI : Agence nationale de sécurité du SI
• «Le Mois européen de la cybersécurité, c’est quatre
semaines pour promouvoir la cybersécurité auprès des
citoyens européens, valoriser les bonnes pratiques
informatiques et contribuer à une meilleure connaissance
des menaces cyber»
• ANSSI : http://www.ssi.gouv.fr/actualite/octobre-mois-europeen-de-la-cybersecurite/
• Posters : https://cybersecuritymonth.eu/press-campaign-toolbox/ecsm-material/all-posters-FR/view
• Passeport conseils aux voyageurs : http://www.ssi.gouv.fr/uploads/IMG/pdf/passeport_voyageurs_anssi.pdf
• Guide hygiène informatique : http://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/
• Cybersécurité des systèmes industriels : http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/systemes-industriels
8
10. EUROPOL
«IOCTA 2016, Identifie une augmentation de l’exploitation
économique cybercriminelle due à l’interaction de plus en plus
importante de nos vies avec Internet et aussi à notre faible
niveau de connaissance du numérique»
Le rapport identifie huit principales tendances de la
cybercriminalité et fournit des recommandations clés pour
relever les défis.
https://www.europol.europa.eu/content/internet-organised-crime-threat-assessment-iocta-2016
10
13. L’histoire du calculateur (computer)
1. 1940. Alain Turing et la bombe https://fr.wikipedia.org/wiki/Bletchley_Park
2. Echelon http://www.bibliotecapleyades.net/imagenes_ciencia/echelon14_01.jpg
1. 1943. SIGINT https://fr.wikipedia.org/wiki/Renseignement_d%27origine_%C3%A9lectromagn%C3%A9tique
2. 1946. Traité UKUSA https://fr.wikipedia.org/wiki/UKUSA
3. 2001. Rapport parlement européen http://www.bibliotecapleyades.net/archivos_pdf/eu_echelon.pdf
3. 1992. Onyx. L’Echelon Suisse https://fr.wikipedia.org/wiki/Onyx_(syst%C3%A8me_d%27espionnage)
4. 2001. Premier navigateur Internet
5. 2001. 11 septembre
6. 2001. Patriot Act https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
7. 2002. Intelligence économique / L'ingénierie sociale
8. 2013. Snowden https://fr.wikipedia.org/wiki/Edward_Snowden
13
14. Savoir militaire tombé dans le publique, privé, crime
Militaire
Entreprises étatiques
Entreprises privées
Commerce national
Commerce international
Universités / formation
Tissu économique local
Domaine publique / individus
2016
1920
15. Melani
SCOCI
Définissant la loi
(Cantonale/
Fédérale)
Etat
Acteurs Acteur privé
Acteur Public
Cyber
administration
Organes à but
non lucratif
Le meilleur
Communauté
Internet
Organes
Prévention /
aide
Cyber menaces
Chantage / extorsion
Cyber terrorisme
15
Cybercrime Commerce licite
17. Internet. La face cachée
« Près de 90% du contenu de la Toile échappe aux moteurs de recherche
classiques : le Deep Web ou Darknet, là où l’on achète, on vend ou l’on
échange des données sensibles, cartes bancaires, informations
confidentielles, y compris de programmes de piratage dans le plus grand
anonymat, via TOR (avec des bitcoins) » http://www.letemps.ch/monde/2014/07/07/moscou-coeur-far-west-
cybernetique
• Internet Livestats : http://www.internetlivestats.com/
17
18. La sécurité : si important ?
Seul un PC débranché du réseau ne risque rien
Ne pas protéger nos ordinateurs c'est :
• Risquer de nous trouver confrontés à tout type de menace avec des
conséquences financières, d’image et de disponibilité
• Risquer d'être tenu pour responsable des délits que nous n’aurons pas
commis
Nous ne devons pas nous protéger « au cas où » mais « parce que
nous sommes déjà » victimes d'attaques au quotidien
Cybercriminalité: 3000 milliards de dollars en jeu d'ici 2020 :
Les cyberattaques pourraient engendrer des pertes économiques allant
jusqu'à 3000 milliards de dollars (2700 milliards de francs) d'ici 2020 si les
entreprises et les gouvernements tardent à agir
18
19. 19
Piratage, infections, vol d’information. Comment?
Toujours les mêmes actions, peu de variantes connues :
Sans connaître sa cible :
• Une pièce jointe
• Un site compromis (jeux, porno, p2p)
• Redirection depuis un mail
• Clé USB trouvée
Connaissant sa cible :
• Social Engineering (téléphone, train, restaurant, rdv embauche, clé USB)
• Intelligence économique (corrélation des informations publiques)
20. Mise en
situation
Outils à utiliser avant infection :
• Firewall
• Antivirus
• Antispyware
• Antiransomware
Antivirus :
• G Dtata
• ESET NOD32 9
• Kaspersky
• Avast
• Avira
• Norton
• F-Secure
Antiransomware :
• Bitdefender Anti-Ransomware
• Cryptoprevent
• Hitmanpro Alert et Kickstart
• Malwarebytes Anti-Ransomware
• Trend Micro Anti-Ransomware
• WinAntiRansom
Antispyware :
• MalwareBytes
Pendant l’infection :
• Trend Micro Anti-Ransomware
• Bitdefender Anti-Crayptowall
• EasySync Cryptomonitor
• Decryption tools Karspersky Lab
• Talos Cisco decryptor for TeslaCrypt
• Avast! Ransomware Removal
Séparer :
Professionnel / privé / financier
de
Mail - Internet / réseaux sociaux
Après infection :
• Tweaking.com
• Malwarebytes
• Adwcleaner
• Zhpcleaner
Contre-mesures :
Sauvegarder régulièrement
sur disque externe et placer les
sauvegardes à deux endroits
différents
Pour naviguer ou lire la
messagerie, ou les réseaux
sociaux, utiliser une tablette
(IOS/Android) sur WiFi
21. 21
Séparer les réseaux selon interêt
Avantages sur une tablette :
• Il n’y a pas de Ransomware sur tablette
• Vous n’installez aucun des outils indiqués sur la diapositive précédente
• La tablette servira pour la messagerie, l’Internet et les réseaux sociaux,
tout en préservant votre infrastructure Windows
• Si la tablette venait à dysfonctionner ou à être infectée, il est facile de la
réinstaller ou de la changer sans que votre vie personnelle ou votre vie
professionnelle ne soit impactée.
Séparer :
Professionnel / privé / financier
de
Mail - Internet / réseaux sociaux
23. Communiquer avec les utilisateurs
• Définir une politique interne, et la faire signer : Rédiger une charte d'utilisation des réseaux sociaux
http://www.commentcamarche.net/faq/30756-rediger-une-charte-d-utilisation-des-reseaux-sociaux
Possibilité d’utiliser l’annexe B du Guide relatif à la surveillance de l’utilisation d’Internet et du courrier électronique au
lieu de travail (économie privée) : http://www.edoeb.admin.ch/datenschutz/00763/00983/00988/index.html?lang=fr
• Sensibiliser tous les collaborateurs régulièrement
• Vérifier périodiquement que la politique est appliquée (test de clic,
d’intrusion, social engineering).
23
24. Droits des utilisateurs
• Faut-il limiter l'accès Internet de vos salariés ?
« Les salariés surfent près d'une heure par jour à des fins personnelles, pendant leur temps de travail. Un
comportement qui peut jouer sur la productivité générale de l'entreprise. Pour autant, le filtrage de la
connexion web est-il la solution ? »
• Faut-il limiter l‘utilisation des réseaux sociaux au poste de travail?
http://lentreprise.lexpress.fr/internet/faut-il-interdire-a-ses-salaries-l-acces-aux-reseaux-sociaux_30054.html
http://scfocus.com/doit-on-limiter-acces-reseaux-sociaux-travail-saviez-vous,45
• Messagerie au poste de travail : http://www.mediassuisses.ch/actu/actu_0301/droit.htm
« Le règlement d'utilisation sert à déterminer dans quelles conditions l'utilisation de l'Internet et de la
messagerie électronique est autorisée. L'employeur peut autoriser un usage entièrement libre, le
restreindre, par exemple à la pause de midi, ou l'interdire complètement. Il peut vérifier le respect de ce
règlement, à condition de publier un règlement relatif à la surveillance. Le Préposé fédéral à la protection
des données (PFPD) recommande de publier un tel règlement d'utilisation, afin que chacun soit
parfaitement clair quant à ce qui est permis ou non ».
• 12 janvier 2016 dans l’affaire Bărbulescu c/ Roumanie (requête n°61496/08)
http://hudoc.echr.coe.int/fre#{%22languageisocode%22:[%22ENG%22],%22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],%
22itemid%22:[%22001-159906%22]}
http://www.swissinfo.ch/fre/un-employeur-peut-surveiller-ses-salari%C3%A9s-sur-internet--cedh-/41889944
24
26. CPP. Code de procédure pénale. Art. 143.
• Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement
illégitime, aura soustrait, pour lui‐même ou pour un tiers, des données enregistrées ou
transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées
et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d'une
peine privative de liberté de cinq ans au plus ou d'une peine pécuniaire.
143 bis
• La soustraction de données commise au préjudice des proches ou des familiers ne sera
poursuivie que sur plainte.
• Quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données,
dans un système informatique appartenant à autrui et spécialement protégé contre tout
accès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans au plus
ou d’une peine pécuniaire.
• Quiconque met en circulation ou rend accessible un mot de passe, un programme ou
toute autre donnée dont il sait ou doit présumer qu’ils doivent être utilisés dans le but de
commettre une infraction visée à l’al.1 est puni d’une peine privative de liberté de trois ans
au plus ou d’une peine pécuniaire.
26
27. Propriété/protection des données
Les lois indiquent, entre autres :
• L’interdiction (transfrontalière y compris) de
transmettre des informations personnelles à un tiers
non déclaré
• La définition d’un profil de la personnalité
• L’enregistrement et l’exploitation des informations
personnelles sans le consentement des personnes
concernées
27
29. MAIS PAS SUR LE POSTE CONTENANT VOS
DONNES PRIVEES ET/OU PROFESSIONNELLES
OK, sur WiFi Sur Natel
Sur tablettePoste virtuel
CD bootable
NAVIGATION SUR INTERNET
30. Cybercriminalité. L’Etat et son action
SCOCI ‐ Service national de Coordination de la lutte contre la Criminalité sur Internet
https://www.cybercrime.admin.ch/kobik/fr/home.html
MELANI ‐ Centrale d'enregistrement et d'analyse pour la sûreté de l'information
https://www.melani.admin.ch/melani/de/home.html
Fedpol ‐ Lutte de la confédération contre la criminalité
https://www.fedpol.admin.ch/content/fedpol/fr/home.html
PFPDT ‐ Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/org/00126/index.html?lang=fr
PCPDT ‐ Préposé Cantonal à la Protection des Données et à la Transparence (Ppdt)
Génève
https://www.ge.ch/ppdt/
Rapolsec ‐ Rapport du Conseil fédéral à l’Assemblée fédérale sur la politique de
sécurité de la Suisse
http://www.vbs.admin.ch/fr/themes/politique-securite/rapports-politique-securite/rapport-politique-securite-2016.detail.document.html/vbs-
internet/fr/documents/politiquedesecurite/rapolsec2016/Projet-Rapport-sur-la-politique-de-securite-2016.pdf.html
SRC ‐ Service de renseignement de la Confédération
http://www.vbs.admin.ch/fr/ddps/organisation/unites-administratives/service-renseignement.html
30
31. Reste à répondre
• La protection des frontières numériques est une affaire d’Etat?
• Est‐il possible de parler de protection du digital (technologies de
l’information et des communications) comme faisant partie de la
souveraineté de l'état? (actuellement l’état pare aux risques «d'une
manière adéquate»)
• Devons‐nous considérer le digital comme une richesse essentielle devant
être placée par l’Etat à la croisée de la population et du territoire?
• Devons‐nous classifier le digital comme une menace, un risque potentiel,
un risque avéré, ou une opportunité? ou bien les quatre à la fois?
• Si c'est une opportunité ‐comme on aurait tendance à le
comprendre‐ quel est le prix que la société est prête à accepter de
payer?
31
32. www.fer-ge.ch
98, rue de Saint-Jean
Case postale 5278 – 1211 Genève 11
T 058 715 31 11 – F 058 715 32 13
fer-ge@fer-ge.ch
32