Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : « Celui qui possède la norme, c’est celui qui a le pouvoir »

novembre 2007 par Emmanuelle Lamandé

Ouverture des réseaux, mobilité croissante, professionnalisation des attaques,…, nombreux sont les facteurs de risques pour les entreprises. Ce phénomène engendre une redéfinition des cadres légaux et des métiers et occasionne de nouveaux enjeux humains. L’obligation de conformité est la même pour tous et impose aux entreprises de sécuriser et d’informer. Face aux constantes évolutions de la réglementation, cette tâche s’avère complexe pour les RSSI. Garance Mathias, Avocat, Alain Fruchet, NTI, et Serge Saghroune, Groupe Accor, étaient réunis par le CLUSIF pour débattre sur ce vaste thème.

Comme le souligne Garance Mathias, Avocat, la mission du DSI est très complexe car les enjeux juridiques se trouvent partout. Elle est à la fois organisationnelle, financière, humaine,… Pour cela, ils ont besoin d’avoir une connaissance globale de l’entreprise. La sécurité interne d’une entreprise est un enjeu collectif et partagé.

La délégation de pouvoir doit être écrite et datée

La délégation de pouvoir n’est pas toujours écrite, néanmoins si elle ne l’est pas, elle ne peut faire office de preuve en cas de problème. En termes de preuve, il est effectivement préférable que chacun connaisse clairement ses devoirs et obligations. L’écrit est donc fortement conseillé ; il faut de plus qu’il soit daté et doit s’inscrire dans une certaine durée. Toutefois, en cas de délégation de pouvoirs, il faut donner les moyens (budget, hommes,…) à la personne en charge de mener à bien sa mission.

La responsabilité peut être civile ou pénale. Le but de la responsabilité civile est d’indemniser un dommage. Pour cela, il faut apporter la preuve d’une faute, d’un préjudice ou dommage. Une personne peut toutefois s’exonérer de sa responsabilité en démontrant que le dommage provient d’un cas de force majeur ou du fait même de la victime ou d’un tiers. La responsabilité pénale renvoie, quant à elle, à la punition ou à l’amendement du coupable. Les principes stricts du droit pénal s’appliquent et peuvent aboutir à la condamnation du prévenu à une peine (amende, privation de liberté par exemple). En cas de problème et de litige, le juge, pour déterminer la responsabilité de l’employé, fera généralement appel à un expert informatique.

Mettre en place des chartes opposables aux salariés est nécessaire

La recherche d’un équilibre s’avère toujours difficile, en raison des contraintes liées à la vie privée, des données à caractère personnel, de la protection du patrimoine de l’entreprise, mais également des salariés. L’entreprise doit effectivement protéger son patrimoine (hommes, idées, savoir-faire, réseaux traditionnels et commerciaux,…) contre des menaces en constante évolution (phishing, pharming, botnet, backdoor, keylogger,…). Ceci est loin d’être évident, surtout quand l’on sait que plus de 85% des attaques proviennent de l’intérieur. Pour se défendre, il est nécessaire que le dirigeant mette en place des chartes opposables aux salariés. Ces chartes se doivent d’être dynamiques pour évoluer en même temps que l’entreprise. Afin de répondre de manière adéquate aux exigences de la CNIL, le poste de CIL (Correspondant Informatique et Libertés) a été mis en place depuis 2004. Le CIL est un acteur incontournable dans le domaine de la protection des données. Il est chargé d’assurer le respect de la loi.

Les adresses IP sont-elles des données personnelles ?

Le thème des données de connexion (adresses IP, données de téléphones portables,…) est également très complexe. Les adresses IP soulèvent actuellement les foules. Le débat est lancé : sont-elles des données personnelles ou non ? Selon la réglementation française, la conservation doit être faite pendant un an. Mais se pose la question de la compensation financière des opérateurs. Le problème de l’archivage est lié à la conservation des données. Maîtriser le risque suppose à la fois une bonne performance de sûreté de fonctionnement (fiabilité et gestion des incidents), de sécurité (protection du patrimoine et de l’information), mais également de secours et de continuité (capacité à pérenniser).

Pour Alain Fruchet, Consultant Spécialisé chez NTI, les risques ont aujourd’hui changé de nature. La complexité est accrue car l’information est de plus en plus diffuse (ouverture, extension). On assiste à une augmentation des risques ainsi que des domaines traités par les RSSI. De plus, les textes juridiques sont disparates. Le rôle et la mission du RSSI connaissent des changements conséquents. On assiste au passage de l’homme orchestre de la sécurité informatique à celui de la sécurité du patrimoine informationnel. En 1975, on parlait de sécurité informatique ; en 1995, de sécurité de l’information et, en 2005, de gouvernance des risques opérationnels.

Etre conforme, rester conforme et être capable de le prouver

Aujourd’hui, on retrouve bon nombre de réglementations : Bâle II, SOX, LSF, LOLF, EURO SOX, Sovency II,…, qui couvrent 5 grands domaines : la gestion de risque, la gouvernance d’entreprise, la liberté individuelle, la réglementation publique et, enfin, la réglementation sectorielle. Il existe une nébuleuse d’informations diffuses et sensibles qu’il faut gérer. Les contraintes sont à la fois internes (extension de système décisionnel) et externes (réglementation nationale, internationale, sectorielle). Malgré toutes ces coercitions, il faut à la fois accroître la vitesse, l’efficacité, la simplicité et tout ça, évidemment, pour un coût moindre.

Il faut toujours être conforme, traçable et auditable. L’objectif est d’atteindre une meilleure gestion des risques ainsi qu’une plus grande transparence. Etre conforme, rester conforme et être capable de le prouver. Pour cela, il faut suivre en permanence la réglementation, d’où la nécessité de mettre en place une cellule de veille.

On rentre dans une gestion du droit à l’information et non plus de l’accès à l’information

Qu’est-ce que je surveille ? De quelle manière ? Ai-je le droit de le faire ? Se pose la problématique de l’information, de son partage, de sa protection, des droits d’auteur. Cependant, la problématique de l’information, ce n’est pas de tracer « qui » ni de savoir qui accède à quoi. La question qui importe, c’est ce que je fais de l’information. Ai-je le droit de la diffuser en interne ? En externe ? Ai-je le droit de la modifier ? On rentre dans une gestion du droit à l’information et non plus de l’accès à l’information.

Aujourd’hui, nous évoluons en permanence dans un système de flicage et de surveillance. On sait exactement ce que vous faites, on connaît votre fonctionnement et votre vision de la vie.

Serge Saghroune, RSSI du Groupe Accor : La réglementation VisaCard, MasterCard – PCI DSS

Le programme PCI DSS (Payment Card Industry Data Security Standard) est une réglementation américaine annoncée depuis 2004. Il a été adopté par tous les réseaux internationaux de cartes pour établir des règles de protection des données liées aux cartes, à leur utilisation et à leur stockage. Le PCI est maintenu par un consortium d’entreprises comme VISA, Mastercard ou encore American Express, qui souhaitent faire adopter ce standard en Europe. Il s’applique directement au commerçant ou à l’hébergeur de son système de paiement. Il définit des règles d’exigence en matière de sécurité que commerçants et/ou prestataires doivent respecter. Voici les principales orientations du PCI :

- Installez et maintenez un firewall pour protéger vos données.
- N’utilisez pas les mots de passe par défaut fournis avec les équipements et les logiciels.
- Protégez les données stockées.
- Toutes les transmissions contenant des données bancaires sur des réseaux publics doivent impérativement être chiffrées correctement.
- Utilisez et maintenez vos antivirus à jour.
- Développez et maintenez la sécurité de vos systèmes et de vos applications.
- Restreignez l’accès aux seules données dont l’utilisateur a besoin.
- Chaque utilisateur doit posséder un identifiant unique.
- Restreignez l’accès physique aux serveurs contenant des données sur les cartes bancaires des clients.
- Surveillez et stockez les événements d’accès aux ressources et aux données bancaires des clients (Conservation et analyse de logs).
- Testez régulièrement la sécurité de vos systèmes et de vos processus par des audits de sécurité.
- Assurez le maintien et la communication de la politique de sécurité pour tous les collaborateurs.

Visa et MatserCard essayent d’imposer le PCI au niveau mondial

Tout le monde est concerné par le standard de PCI, mais à différents niveaux. On les compte au nombre de 4 : Le niveau 1 concerne les commerçants qui traitent plus de 6.000.000 transactions Visa par année, ainsi que tous les commerçants victimes d’un piratage ou un attaque qui ont eu comme résultat un compromis de l’information des comptes. Un audit annuel de sécurité en ligne ainsi qu’un scanning trimestriel du réseau en assurent la validation. La validation des Niveau 2 (entre 150.000 et 6.000.000 transactions annuellement) et Niveau 3 (entre 20.000 et 150.000) se traduit par un questionnaire annuel d’autoévaluation PCI et un scanning trimestriel du réseau. Le niveau 4 regroupe tous les autres commerçants, sauf la chaîne d’approbation. Le questionnaire annuel d’autoévaluation PCI et le scanning annuel du réseau ne sont pas obligatoires mais vivement recommandés. Avec ce système, des sanctions existent d’ores et déjà aux USA : jusqu’à 65 000 dollars par mois si un commerçant n’a pas tout respecté.

Face au PCI, l’Europe résiste encore... pour combien de temps ?

C’est Visa qui gère tout ça et nos banques l’acceptent. La règle PCI risque de devenir la norme européenne alors qu’il n’y a pas de risque en France et que ça va coûter une fortune. Avec le système de PCI, il n’y a plus besoin de RSSI, car c’est VISA qui décide tout à votre place. De plus, qu’est-ce que Visa et MasterCard vont faire des informations relevées lors d’audits et de scans. Ils font autre chose que de la carte ; ils font également du service. Celui qui possède la norme, c’est celui qui a le pouvoir.

Face aux vols de numéros de cartes bleues, l’Europe a développé un autre type de système concernant les achats à distance, qui s’avère très efficace, toutefois les USA ne veulent rien entendre. Visa et Master Card essayent d’imposer le programme PCI DSS dans le monde et de vous dicter pratiquement qu’elle doit être votre politique de sécurité. C’est bien parti aux Etats-Unis. En France, on résiste encore… pour combien de temps ?


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants