390 likes | 548 Views
GUIDE PRATIQUE DES PREUVES Que faire en cas d’intrusion dans le Système d’information ?. Raphaël PEUCHOT - Avocat à la cour Alexandre DORT - Dominique MACHU - RSSI. 29%. GUIDE PRATIQUE DES PREUVES Partie 1 - Introduction. Raphaël PEUCHOT - Avocat à la cour. 29%.
E N D
GUIDE PRATIQUE DES PREUVESQue faire en cas d’intrusion dans le Système d’information ? Raphaël PEUCHOT - Avocat à la cour Alexandre DORT - Dominique MACHU - RSSI 29%
GUIDE PRATIQUE DES PREUVESPartie 1 - Introduction Raphaël PEUCHOT - Avocat à la cour 29%
1. Opportunité probatoire 2. Régime de la preuve 3. Préconisations Guide pratique des preuvesMe Raphaël PEUCHOT, avocat au Barreau de Lyon
Quoi prouver ? Pour quoi faire ? Deux niveaux de réponse: 1/ Premier niveau : un impératif juridictionnel - prouver les faits nécessaires à sa prétention - pour en convaincre un tiers : le juge - en retirer un bénéfice (condamnation) Utilité juridique d’une preuve : l’opportunité probatoire !
Preuve d’une intrusion informatique > Permet des poursuites pénales >> sous réserve : - de l’établissement des faits d’intrusion - de l’identification de leur auteur >> effets : incrimination pénale, jugement et prison. Preuve d’une contrefaçon de logiciel > Conditions à la mise en œuvre d’une procédure civile en interdiction >> sous réserve : - de la preuve des actes de contrefaçon - de la validité de la saisie pratiquée >> effets : interdiction des actes contrefaisants, indemnisation du préjudice Exemples de preuves de faits aux conséquences purement juridictionnelles
Quoi prouver ? Pour quoi faire ? Deux niveaux de réponse: 1/ Premier niveau : un impératif juridictionnel 2/ Second niveau : un impératif contractuel - prouver les faits susceptibles de justifier la mise en œuvre d’un droit ou l’exécution d’une obligation - pour en convaincre son cocontractant - en retirer un bénéfice conforme au contrat
Preuve d’un bug > déclenche la maintenance >> sous réserve : - de la qualification du bug - de son imputabilité au progiciel vendu >> effets : délais de réaction, correction, tests, contournement, etc. Preuve d’un sinistre informatique > justifie la mise en œuvre de la couverture d’assurance >> sous réserve : - de la caractérisation du sinistre (origine, conséquences) - de l’applicabilité de la police d’assurance >> effets : indemnisation / action récursoire
Il s’agit de définir la valeur d’une preuve. 3 régimes différents : - procédure pénale : liberté absolue de la preuve - procédure civile : liberté relative de la preuve - procédure prud’homale : liberté contrôlée de la preuve 2. Régime juridique de la preuve : le risque probatoire
1/ Tous éléments de preuve sont a priori recevables - tous modes de preuve admis (ne pas confondre avec les irrégularités formelles ou procédurales de l’instruction ou des PV) - préférer les preuves collectées par les agents assermentés (OPJ, APP, huissier, experts judiciaires) 2/ Le juge apprécie en dernier lieu la preuve avancée - intime conviction : règle probatoire du procès pénal (art. 427 Code de Procédure Pénale : liberté d’appréciation de la valeur probante laissée au juge – Jurisprudence constante !) Preuve d’un fait délictueux
1/ Preuve d’un fait - liberté de la preuve légale (qui respecte les prescriptions légales en général) 2/ Preuve d’un acte ou d’une obligation - contrat : preuve littérale (écrit) et testimoniale - entre commerçants : liberté de la preuve - convention sur la preuve : liberté limitée Preuve au procès civil
1/ Respect des règles de surveillance technologique - information préalable du salarié - consultation des représentants du personnels - déclaration CNIL éventuelle 2/ Collecte des preuves - accord du salarié obtenu ou au moins sollicité - autorisation judiciaire Preuve au procès prud’homal
1/ Identifier la finalité - toutes les fins ne justifient pas toutes les preuves 2/ Déterminer le mode de preuve le plus approprié - la preuve d’un fait OUI, sa publicité NON ! 3/ Urgence ou précipitation ? - conservation, dépérissement, destruction … 3. Préconisations : l’opportunisme probatoire !
Probatio probatissima ! La meilleure preuve, c’est encore l’aveu ! CONCLUSION
GUIDE PRATIQUE DES PREUVESPartie 2 - les infractions spécifiques au numérique Alexandre DORT 29%
Transposer pour comprendre que tout est identique. Les voies de communications diffèrent mais le routes et autoroutes physiques se retrouvent virtuellement sur la toile. Les buts sont les mêmes : - commerce, information, échanges, … 32 %... c’est la progression du commerce en ligne par rapport au premier jour des soldes d’hiver de 2007, telle que mesurée par la Fevad. Le chiffre d’affaire du e-commerce est 3,5 fois supérieur un jour de soldes par rapport à un jour moyen. Les réseaux de communication et d’échanges explosent de manière exponentielle avec la possibilité de contacts multiples et instantanés grâce à l’Internet. 15,5 millions... C’est le nombre d’internautes abonnés au haut-débit que compte la France à la fin 2007, selon l’Arcep. Monde réel = Monde virtuel
Les TIC apportent la contrainte de ce qui est écrit et donc définitif. Tous les échanges par le moyen de communications numériques laissent des traces. La nécessité de surveiller les flux et la conservation des logs de connexion est une obligation pour les entreprises. (cf. Jurisprudence 1) Le droit à l’image et la communication d’informations concernant les personnes ou les entreprises sont soumises à des règles strictes. (cf. Jurisprudence 2) Transposition inversée :
Art. 132-79 - Abus de la cryptographie (utilisée pour faciliter ou commettre un crime ou délit) Art. 226-16 à 226-24 - Atteintes à la loi informatique et libertés « …y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel… » Art. 226-1 à 226-7, 226-15 et 432-9 - Atteintes à la vie privée et au secret des correspondances. Art. 323-1 à 323-7 et 411-9 - Atteintes aux systèmes de traitement automatisé de données et sabotage de tels systèmes (…accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé…) Le Code pénal
Art. 227-23 - Pédo pornographie (diffuser, fixer, enregistrer ou transmettre) Art. 225-12-2 (2°), 227-22 et 227-22-1 - Sollicitations sexuelles envers des mineurs. Art. 227-24 - Diffusion de messages pornographiques, violents ou portant atteinte à la dignité humaine lorsqu'ils sont susceptibles d'être vus par un mineur Art 322-6-1 - Diffusion de procédés permettant la fabrication d'engins de destruction Le Code pénal
L. 217-2 du Code de la consommation- Modification d'identifiants numériques (notamment IMEI de téléphones portables) L. 163-4 et suivants du Code monétaire et financier - Contrefaçon de cartes de paiement 79-1 à 79-6 de la Loi sur la liberté de la communication (n°86-1067) - Contrefaçon de dispositifs de décodage de la télévision cryptée L. 335-3 al.2 du Code de la propriété intellectuelle - Contrefaçon de logiciels L. 343-1 à L. 343-4 du Code de la propriété intellectuelle - Contrefaçon de bases de données L’article 24 de la Loi du 29 juillet 1881 sur la liberté de la presse précise : « notamment Lorsqu'il a été utilisé pour la commission de ces infractions des moyens de communication électronique et en particulier Internet » Autres Codes et Lois
COUR D’APPEL de Paris, 14e Chambre, 4 février 2005 Publié le 1er mars 2005 SOMMAIRE Extrait de l’arrêt : SA BNP Paribas c/ Société World Press Online Conservation des données de connexion - Entreprise - Fournisseur d’accès à l’internet (oui) - Obligation de conservation et de mise à disposition (oui) Décision au format PDF Extrait de l’arrêt : "Considérant, par ailleurs, que la demande de la société WORLD PRESS ONLINE ne se heurte à aucune contestation sérieuse alors qu’en sa qualité, non contestée, de prestataire technique au sens de l’article 43-7 de la loi du 1er août 2000, la Société BNP PARIBAS est tenue, en application de l’article 43-9 de ladite loi, d’une part, de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires ; Jurisprudence 1 : Entreprise = Fournisseur d’accès …
La discrétion s’impose à un site syndical 12/01/05 Les obligations de discrétion et de confidentialité entraînent des limitations à la diffusion d’informations d’un syndicat de salariés sur une entreprise, même si les informations sont diffusées sur un site internet extérieur. Telle est, en substance, la conclusion du TGI de Bobigny, dans un jugement du 11 janvier 2005 qui ordonne la suppression de quatre rubriques du site, sous astreinte de 600 euros par jour.La fédération CGT des sociétés d’études a ouvert un site http://cgt.Segodip.free.fr contenant des rubriques qui, selon l’entreprise visée, ne respectaient pas les règles de discrétion qui résultent du contrat de travail ou des règles de confidentialité figurant au code du travail. Les juges ont approuvé, en grande partie, les arguments de Secodip. Pour la diffusion en ligne d’un tract, les juges ont estimé qu’elle était contraire à l’article L. 412-8 du code du travail qui réglemente les conditions de distribution de ce genre de communication. Est en cause le fait que ce document devient accessible à tout moment et à des personnes extérieures à l’entreprise. Concernant la diffusion de rapports sur la rentabilité de l’entreprise communiqués dans le cadre du comité d’entreprise, le tribunal oppose au syndicat son obligation de discrétion inscrite dans l’article 432-7 du code du travail. Le tribunal a également censuré la publication des salaires qui constituent des informations confidentielles, … Jurisprudence 2 :protection des entreprises et de la vie privée …
Statistiques : http://www.internet.gouv.fr/informations/information/statistiques/ Codes et Lois : http://www.legifrance.gouv.fr/ Jurisprudence 1 : http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/cour-d-appel-de-paris-14e-chambre-4-fevrier-2005.html Jurisprudence 2 : http://www.legalis.net/breves-article.php3?id_article=1395 SOURCES ET REFERENCES
GUIDE PRATIQUE DES PREUVESPartie 3 – la collecte des preuves dans l’entreprise Dominique MACHU – RSSI 29%
Vol d’équipements informatiques (160 entreprises) Introduction involontaire de virus (144 entreprises) Ca n’arrive que chez les autres ! Vols d’information confidentielles (16 entreprises) Attaques logiques (16 entreprises) Atteinte à l’image (12 entreprises) 29% Sabotages d’équipements (12 entreprises) Intrusions dans le SI (8 entreprises) La Sinistrabilité des SI (Etude 2006 du CLUSIF : échantillon de 400 entreprises ) Fraude informatique (8 entreprises)
GUIDE PRATIQUE DES PREUVESPartie 3 – la collecte des preuves dans l’entreprise La malveillance Interne 29%
La conférence EuroCACS (European Computer Audit, Control and Security Conference ) qui s’est déroulée à Stockholm (mars 2008) s'est achevée sur l'habituel constat désabusé : la majorité des risques provient de l'intérieur d'une entreprise: Evoquant le récent scandale de la Société générale avec les faux emails de Jérôme Kerviel, les conférenciers ont rappelé les chiffres du cabinet ISCSA : « Malgré toute l'attention portée aux intrusions et aux virus, il y a 72% de chances que la prochaine attaque réussie provienne de l'intérieur. » La malveillance depuis l’ intérieur – Introduction :
La malveillance depuis l’ intérieur – les Etudes * PROFIL : Sexe masculin 17 à 60 ans 87% avaient des profils privilégiés ou administrateur Commentai res du CERT : 75 % des vols d’informations confidentielles ont été réalisés par des employés 45 % d’entre eux avaient déjà accepté un emploi « ailleurs » 39 % des entreprises sondées ont subits une ou plusieurs attaques depuis l’intérieur. Le cout de de ces attaques représentait 6% du CA Aux USA ce montant est évalué à 400 milliards de $ * Sources 2005 : CERT/US Secret Services - FBI
La malveillance depuis l’ intérieur – les constats • Depuis un poste de l’entreprise : • Fraude informatique • Usurpation d’identité • Navigation sur des sites illicites • Vol d’informations confidentielles • Non respect de la réglementation • Destruction de données • Propagation de malwares • Entrave au fonctionnement du SI • …
Perte d’activité : 75% des entreprises dépendent de leur S.I. Défaut de conformité (audits – réglementations (FR CE US …) Théorie de la double peine pour l’entreprise : risque salarié / risque légal Vol d’informations / vol de savoir faire Responsabilité pénale du chef d’entreprise : infractions commises par le biais du système d'information de l'entreprise à partir d'un poste de travail Responsabilité professionnelle du DSI / RSSI (manquement à la sécurité) Incapacité à produire des preuves illicites : inefficacité dans la gestion des litiges avec les salariés La malveillance depuis l’intérieur : les risques pour l’entreprise
Mettre en œuvre une politique de sécurité basée sur : la gestion des identités et des accès : qui accède à quoi ? - politique des mots de passe / renouvellement - gestion des absences et des départs (référentiel unique – ex : IAM) - clauses de confidentialité et secret professionnel dans le contrat de travail (ex: administrateurs) La traçabilité et le contrôle d’activité - outils de gestion des logs et des alertes - les audits de sécurité Une architecture sécurisée du S.I. - Cloisonnement et supervision des réseaux – contrôle de l’accès (NAC) - Antivirus (multi-niveaux) – pare-feux (séparation des zones) - traçabilité et imputabilité - filtrage des accès web une politique d’information et de dissuasion : - Informer / opposer / sensibiliser le personnel - Charte d’usage du S.I. annexée au règlement intérieur - Communiquer – la sécurité ne doit plus être tabou La malveillance depuis l’ intérieur : Les solutions
Par principe pour l’utilisateur du S.I. : « Tout ce qui n’est pas interdit est autorisé ! » La Charte définie les règles d’utilisation des moyens informatiques mis à la disposition du personnel Pour être opposable au salarié malveillant 4 conditions : - Annexée au règlement intérieur de l’entreprise Conformité avec le code du travail et la CNIL (proportionnalité, transparence, discussion collective (CE), secret de la correspondance.. ) Définition de la frontière entre sphère professionnelle et privée - Vos traitements nominatifs et outils de traçabilité de l’entreprise doivent être déclarés à la CNIL Ne pas oublier les plans de « sensibilisation à la sécurité des SI » de l’ensemble du personnel et des utilisateurs du SI ( Stagiaires, intérimaires ..) La malveillance depuis l’ intérieur : La charte d’usage du S.I.
Principe de base : Tout système informatique génère des traces ! Nous utiliserons ces traces pour imputer une action à un utilisateur qui a mis en péril la disponibilité et la sécurité du système d’information en respectant le cadre : Respect du code du travail et de la loi du 6 Janvier 1978 (CNIL) : Transparence « Aucune information concernant un salarié ou candidat ne peut être collecté par un dispositif qui n’a pas été porté préalablement à sa connaissance » Code du travail - L121.8 Proportionnalité « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché » Code du travail L120-2 Discussion collective Le C.E doit être « informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés»- Code du travail L432-2-1 La malveillance depuis l’ intérieur : Cyber surveillance dans l’entreprise
La malveillance depuis l’ intérieur – Collectes des preuves Logs du parre-feu Logs des connections (télétravail –télémaintenance) Journaux applications Logs de connexion • Protection physique • Contrôle des accès • Vidéosurveillance Logs des connexions Internet Logs du réseau (sondes) • Journaux systèmes • journaux applications • Journaux bases de données • Journaux sécurité Journaux des courriels entrants/sortants • Logs de connexion • journaux systèmes
GUIDE PRATIQUE DES PREUVESPartie 3 – la collecte des preuves dans l’entreprise L’ attaque extérieure 29%
L’attaque extérieure : quelques cas d’intrusions dans le SI • Compromission du site WEB • Défaçage • Botnet … • Contamination des internautes , • Redirection vers des sites pirates (attaques en forte progression !) Injection SQL (vol d’informations, d’identités …) Rebond par le VPN de l’entreprise Compromission des éléments de la DMZ Introduction Codes malveillants (vol d’informations, d’identités, pris de main à distance …)
1 – Assurer la continuité de l’activité de l’entreprise : Une des premières réaction d’un administrateur serait d’intervenir sur le système compromit ( Obtention de l'adresse du pirate et riposte ; Arrêt du système; s’isoler du réseau ; restaurer le système…) . Si le fonctionnement de système compromit est vital pour le fonctionnement du SI, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts) que l'intrusion elle-même. (ex: site de vente en ligne, application métier critique …) l'indisponibilité du service pendant une longue durée peut être catastrophique. Une des solutions est d’activer le PRA et d’utiliser les ressources de secours prévues. ! Attention de de ne pas activer un système compromit - il faut vérifier les modifications apportées aux données du système compromis par rapport aux données restaurées réputées fiables. En effet, si les données ont été infectées par un virus ou un cheval de Troie, leur restauration risque de contribuer à la propagation du sinistre Une fois le PRA opérationnel on isolera du S.I. le système compromit. L’attaque extérieure : Réaction à l’intrusion
2 – Constituer et collecter les preuves : Constituer un dossier des preuves de l'intrusionEtablir un dossier regroupant les différentes traces et preuves de l'intrusion est un préalable impératif avant tout recours. L'absence d'éléments de preuves suffisamment probants pour identifier le responsable et qualifier la nature de ses agissements ne pourra faire aboutir le recours. Collecter les preuves - Sauvegardes les logs : applications impactées, systèmes d’exploitation, systèmes de sécurité (routeurs, pare-feu , anti-virus, sondes réseaux …). - Sur le serveur compromit: réaliser une copie physique du disque dur dans son état au moment de la découverte de l’intrusion (ex : à l’aide d’un disque dur externe USB). l'absence de copie, l'altération des données provoquée une analyse sur le serveur rendrait inefficace toute procédure judiciaire. L’attaque extérieure : constitution/collecter les preuves
3 – Faire constater par la police judiciaire : Compétence sur Paris et la petite couronne : BEFTI Brigade d'enquêtes sur les Fraudes aux Technologies de l'Information Dépend de la Direction Régionale de la Police Judiciaire de la Préfecture de Police de Paris Tel : 01 55 75 26 19 http://www.prefecture-police-paris.interieur.gouv.fr/ Compétences nationales: OCLCTIC Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication, Dépend de la Direction Centrale de la Police Judiciaire. Aussi point de contact international Tel : 01 47 44 97 55 http://www.interieur.gouv.fr/ DST Direction de la Surveillance du Territoire Enquête sur les crimes et délits pouvant porter atteinte à la sûreté de l'Etat. Tel : 01 49 27 49 27 http://www.interieur.gouv.fr/ L’attaque extérieure : Intervention de la police judiciaire
Menace interne – Insider Threat CSI (CERT) http://www.cert.org/archive/pdf/InsiderThreatCSI.pdf CyberSurveillance dans l’entreprise (CNIL) http://www.cnil.fr/index.php?id=2054 Les bons réflexes en cas d'intrusion sur un système d'information http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html Quels recours en cas d'intrusions informatiques ? (Maitre FRANKLIN BROUSSE) http://www.journaldunet.com/solutions/0411/041103_juridique.shtml SOURCES ET REFERENCES