Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersurveillance : Risques et opportunités

décembre 2016 par Thierry PERTUS, Consultant Sénior, CONIX

Le cadre légal et réglementaire se durcissant, les entreprises portant des activités critiques, OIV(1) en première ligne, sont désormais enjointes à mettre en place une véritable stratégie de cyberdéfense, se voulant à la fois homogène, cohérente et proportionnée aux risques identifiés. Parmi le panel de mesures organisationnelles et techniques à implémenter conformément aux objectifs fixés, la cybersurveillance, qui constitue l’une des clés de voûte du dispositif de lutte contre la cybercriminalité, est cependant susceptible de se heurter aux restrictions liées à la « privacy », préservation de la vie privée oblige. A l’échelle du territoire national et notamment de l’espace public, le simple dilemme, induit par la dualité « sécurité nationale » versus « libertés individuelles », « état d’urgence » opposé à « Etat de droit », peut devenir cas de conscience, au regard de finalités de traitement susceptibles d’être à géométrie variable.

La « cybersurveillance » pourrait se définir comme un mécanisme de surveillance de personnes (physiques ou morales), de locaux, d’objets physiques ou de processus, qui repose spécifiquement sur les NTIC(2) et qui s’exerce au niveau des systèmes d’information, en particulier via les réseaux de communication numériques. Tout comme la surveillance, mais avec des capacités adaptées au traitement de données volumineuses, variées et véloces(3), elle renvoie à des activités de collecte et d’analyse d’informations poursuivant diverses finalités, comme notamment prévenir certains risques, orienter les investigations, et le cas échéant déterminer les protagonistes susceptibles d’avoir causé ou facilité un acte de malveillance délictueux ou criminel.


La cybersurveillance au sein des entreprises : la confiance n’exclut pas le contrôle

A l’ère du numérique et de la dématérialisation, qu’il s’agisse de cyberattaques ciblées ou opportunistes, en fonction du potentiel d’attaque (motivations, moyens, méthodes) caractérisant la capacité de nuisance de la source de menace, les dégâts occasionnés vis-à-vis d’une organisation peuvent être multiples : dénis de service en ligne, atteinte à la e-réputation, vol de données bancaires, fraude financière, fuite de données à caractère personnel, compromission de données stratégiques ou opérationnelles, sabotage de systèmes industriels, non-conformité aux obligations légales, réglementaires ou contractuelles, etc. Bien que la plupart des incidents de cybersécurité restent jusqu’à présent préservés sous le sceau de la confidentialité, réputation oblige, la multiplicité exponentielle des affaires de notoriété publique relevant de la cybercriminalité attestent, à l’échelle mondiale, que le risque cyber n’est plus un mythe. Au point qu’il est même désormais question d’un business model de type « crime-as-a service » . A ce titre, le cybersécurité mérite d’être considérée avec la plus grande attention par toute organisation désireuse de maitriser ses risques opérationnels au regard de son système d’information ou de ses installations industrielles. Par ailleurs, eu égard à l’article III de la LPM 2014-2019 relatif à la « protection des infrastructures vitales contre la cybermenace » et de ses documents d’application, toute organisation répondant au statut d’OIV, au sens de l’IGI(5) 6600, se verra même dans l’obligation de procéder à la mise en œuvre de règles de sécurité imposées dans le cadre d’une stratégie de cyberdéfense, selon un calendrier expressément établi pour chaque sous-secteur de SAIV(6). En particulier, parmi les 20 règles de sécurité incombant aux OIV pour sécuriser leurs SIIV(7), explicitement spécifiées par les arrêtés sectoriels afférents à la LPM dernièrement publiés, les activités liées directement ou indirectement à la cybersurveillance font clairement partie des attendus.

Règles de sécurité LPM en lien avec l’activité de cybersurveillance

Si certaines précisions sont apportées par les arrêtés, comme le recours à un « système de détection qualifié »(8) de type « sonde d’analyse de fichiers et de protocoles » (NIDS(9)) ou encore à un « système de corrélation et d’analyse de journaux » (SIEM(10)), l’ensemble des modalités d’installation et d’exploitation sera décrit par une convention établie entre l’OIV et le service de l’Etat ou le prestataire de service qualifié PDIS(11) (qui peut se trouver être une entité interne à l’OIV) en charge de l’exploitation des systèmes de détection d’événements(12). Fort heureusement, les dispositifs prévus par la LPM pour les SIIV, ou encore par l’II901(13) pour les SIS et SIDR(14), se voudront cohérents avec ceux applicables aux OES(15) (correspondant aux OIV, mais également aux principaux fournisseurs de services numériques), au sens de la directive européenne NIS(16), dont la transposition dans le droit français devra être effective d’ici mai 2018. Concernant les autres organisations, telles que les opérateurs de services non-OIV et les collectivités territoriales, le Plan Vigipirate 2014 comporte, dans sa partie publique, un volet cybersécurité proposant un cadre de gouvernance de la cybersécurité relativement complet et structuré, où la cybersurveillance se retrouve à nouveau particulièrement présente, à juste titre. Fort de ce cadre réglementaire renforcé en termes de lutte contre la cybermenace, les organisations seront ainsi incitées à la cible à se mettre en capacité de détecter proactivement tout éventuel incident de sécurité.

Nonobstant, parallèlement à cela, suite à la publication du RGPD(17) le 4 mai 2016, qui prendra effet le 25 mai 2018 pour l’ensemble des pays membres de l’UE(18), il se trouve que le cadre réglementaire en matière de protection des données à caractère personnel (traduit par « data protection » ou encore « privacy ») va substantiellement se durcir (sachant que la « technosurveillance au travail » était déjà particulièrement encadré juridiquement), les dispositions phare étant les suivantes :
- Apparition de la notion de « data protection by design & by default » visant à démontrer la mise en œuvre de moyens appropriés au regard de l’analyse d’impact (PIA(19) ) pour garantir la protection des DCP(20), dans un esprit de « due diligence(21) », au regard de principes relevant pour partie de la sécurité de l’information et surtout de la RSE (22).
- Désignation obligatoire d’un DPO(23) au sein des établissements publics mais également privés en cas de traitements DCP « sensibles »
- Notification obligatoire de tout incident de sécurité ayant impacté des DCP
- Lourdes sanctions à la clé (pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial) en cas de manquement manifeste
- En contrepartie, comme mesure d’assouplissement, la déclaration des traitements DCP auprès de la CNIL n’aura plus cours (un registre des traitements étant toutefois à maintenir à jour).

Principes relatifs aux traitements DCP (RGPD) et domaines connexes

Côté cadre normatif, celui-ci se renforce également, avec notamment le « privacy framework » établi par l’ISO/IEC 29100, en relative cohérence avec le RGPD. Dès lors, dans un souci de satisfaire aux différents textes réglementaires, entre security et privacy, il convient de définir en amont une stratégie de cybersurveillance selon une approche intégrée (ou du moins conjointe) de façon à éviter les mesures contradictoires (données de connexion, durée de conservation, etc.), et ce, dans un premier temps à la lumière d’une étude des risques et opportunités pour l’organisation.

SWOT(24) relatif aux projets de cybersurveillance en entreprise

Il convient alors de prendre en compte certains facteurs clés, parmi lesquels :
- Identification du périmètre d’activités (Métier et/ou fonctions support) auquel appliquer une cybersurveillance
- Identification des macro-données (et propriétaire « data-owner » associé) liées au périmètre, en précisant la présence éventuelle de DCP et leur sensibilité (niveau de classification)
- Identification des évènements redoutés au travers d’analyses d’impact conjointes ou dissociées, sous l’angle de la prévention des risques métier par la cybersurveillance d’une part, et de la privacy d’autre part
- Définition de l’organisation du SOC (niveau d’expertise et de réactivité requis, plages horaires à couvrir et astreintes, entité interne ou prestataire externe, localisation géographique, gouvernance, process opérationnels, CAPEX/OPEX(24), …)
- Détermination des données de collecte en sortie, strictement nécessaires et suffisantes pour satisfaire aux finalités du traitement liées à l’activité de cybersurveillance
- Spécification des mesures techniques visant notamment à limiter le traitement des données de collecte (minimisation, durée de conservation) et à éliminer la présence de données d’identification (PII ) par anonymisation, pseudonymisation ou encore tokenisation (PET )
- Vérification de la conformité légale du traitement pressenti par recours à une expertise juridique, le RSSI, le CIL /DPO et les délégués du personnel étant à consulter, et le cas échéant de son adéquation à la politique de protection des données et/ou à la charte éthique interne.

En termes d’efficacité horizontale, l’activité de cybersurveillance gagnera à être complétée en amont par une activité de cyber-veille ou « cyber intelligence » vis-à-vis des vulnérabilités et des menaces (bulletins d’alertes CERT / Editeurs, sources ouvertes, darkweb, …), et en aval par une activité de réponse à incident (forensics, malware reverse engineering, …) en s’appuyant sur une cellule CSIRT , de façon à apporter une méthode de détection adaptée (puis les actions de remédiation appropriées, dans le cadre de la réponse à incident) sur l’intégralité de la « cyber kill chain » modélisant par convention les APT(30).

La chaine fonctionnelle de cybersurveillance en réponse aux APT (Cyber Kill Chain)

En matière d’efficacité verticale, les SIEM de nouvelle génération propose une approche de plus en plus « smart », basée sur l’analyse prédictive issue des technologies big data (machine learning, real time analytics, …) de manière à pouvoir détecter des « anomalies » en temps réel à partir d’un apprentissage et d’une déduction des comportements réalisé sur des volumes de logs toujours plus massifs et variés. Le recours à de tels technologies relève typiquement du concept de « SOC 2.0 ».

La cybersurveillance d’Etat : quand la fin justifie les moyens … ou pas

Avec pour ambition de répondre au défi numérique tout en préservant la sécurité intérieure, focre est de constater que l’arsenal législatif n’a cessé de se renforcer au fil des ans, la dernière loi en date étant celle relative au renseignement(31).

Historique du cadre législatif national lié à la cybersurveillance

Le principal centre d’intérêt visé par les textes successifs dans le cadre de la lutte contre le terrorisme et la criminalité est de permettre aux services du renseignement de l’Etat de réaliser des investigations à partir des données de connexion ou encore des interceptions de communications (au moyen de sondes réseau), et ce, avec la coopération des opérateurs télécoms et FAI(32), le tout placé sous le contrôle de la CNCTR(34) (en lieu et place de la CNCIS(34)). A ce titre, les fichiers de police et judicaires ou encore de contrôle des passagers par voie aérienne via le PNR(35) font précisément l’objet d’un traitement en exception au sein du RGPD et même de directives particulières accompagnant ce dernier(36).

Suite aux évènements du 11 septembre 2001, le Patriot Act, voté aux Etats-Unis (aux agences gouvernementales réputées pour leur penchant pour l’espionnage, y compris à l’encontre de leurs alliés ), stipulait notamment que toute entreprise américaine devait fournir les « données sensibles » demandées par l’administration fédérale. Le Freedom Act a désormais pris le relais depuis juin 2015 mais reste encore controversé par rapport à la surveillance de masse réalisées par les agences du renseignement américain . Selon une démarche assez similaire, la posture de la France semble de facto s’orienter à son tour vers une potentielle « société de surveillance » avec les dérives que l’on pourrait imaginer, en référence aux multiples révélations (Snowden’s leaks) et autres lanceurs d’alertes vis-à-vis des pratiques de la NSA et du fameux programme de surveillance électronique PRISM, ou encore de certaines backdoors, présumées avoir été il fut un temps imposées aux géants du Web (GAFA(37)). En réponse à cette atteinte notoire à la souveraineté des pays membres de l’UE, et par extension, à la vie privée des citoyens, le G29, groupe européen des autorités de protection des données, a défini un nouvel encadrement juridique , d’une part avec les BCR , procédure d’autorisation les transferts de DCP hors UE (au regard d’un code de conduite d’une entreprise désignée comme responsable de traitement ou sous-traitant), et d’autre part avec les négociations sur l’accord bilatéral EU-US Privacy Shield (après l’abandon du Safe Harbor).

Pour revenir au plan national, avec l’évènement des capacités de profilage multidimensionnel offertes par le datamining appliqué aux systèmes big data, et compte tenu des dispositifs d’ordre conservatoire prévus par le nouveau cadre législatif autorisant dans certains cas le « bypass » des garde-fous incarnés par le pouvoir judiciaire et les autorités de contrôle indépendantes, qui sait quel « dépassement de fonctionnalité » pourrait amener l’Etat ou l’une de ses administrations vers un risque de dérive de la finalité de traitement initiale et officiellement affichée. En effet, les systèmes de contrôle déployés « pour notre sécurité » dans l’espace public se généralisent. Difficile de ne pas évoquer le cas des radars automatiques pour la sécurité routière réputés plus prompts à sanctionner le plus grand nombre pour des infractions mineures au titre d’une certaine « tolérance zéro » plutôt que de neutraliser les vrais dangers publics souvent plus aptes à contourner les dispositifs de contrôle. Autre exemple, celui de la vidéosurveillance désignée par « vidéoprotection » dans l’espace public, s’avérant au final plus enclin à devenir un dispositif de « vidéoverbalisation » des automobilistes (tel à Nice ou Paris), qu’à assurer une réelle protection des citoyens. Sur le plan préventif, faute de fonctions efficiente en traitement d’image et d’anomalies couplée à une coordination et une réactivité optimale des forces de l’ordre de proximité, les dispositifs jusqu’à présent déployés commence également à démontrer certaines limites en termes de dissuasion, par exemple face à des individus prenant soin de se dissimuler le visage lors de manifestations urbaines ou agressions diverses, voire à vandaliser ces mêmes dispositifs de surveillance. Ainsi, au-delà de la seule réponse technologique en termes de détection apportée par la cybersurveillance de l’espace public, peut-être que d’autres pistes d’action plus efficace en amont, notamment en termes de prévention des risques, sont à explorer au travers des politiques publiques.

Conclusion

A l’aune des risques et opportunités qui se présentent en cette ère numérique, la question qui se pose n’est pas tellement de savoir s’il est préférable de sacrifier les libertés individuelles sur l’autel de la sécurité nationale, ou vice-versa, mais plutôt comment relever le défi pour parvenir à concilier ces deux piliers fondamentaux de la démocratie. Pour se faire, que ce soit eu sein des entreprises ou au niveau des service de l’Etat, une approche systémique s’appuyant sur une vision prospective et un arbitrage objectivé entre risque de dérive et opportunités d’efficience restera dans tous les cas à privilégier, et ce, dans le respect du cadre légal et si possible de l’éthique.


(1) Opérateur d’Importance Vitale
(2) Nouvelles Technologies de l’Information et de la Communication
(3) En référence aux 3 dimensions du Big Data
(4) Loi de Programmation Militaire
(5) Instruction Générale Interministérielle
(6) Secteur d’Activité d’Importance Vitale
(7) Système d’Information d’Importance Vitale
(8) Au sens du Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale
(9) Network Intrusion Detection System
(10) Security Incident and Event Management
(11) Prestataire de Détection d’incident de Sécurité (procédure expérimentale initiée par l’ANSSI)
(12) Tel que prévu par le Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale
(13) Instruction Interministérielle N° 901
(14) Systèmes d’information Sensibles et Diffusion Restreinte
(15) Opérateur de Services Essentiels
(16) Network and Information Security (2016/1148/UE)
(17) Règlement Général sur la Protection des Données (2016/679/UE)
(18) Union Européenne
(19) Privacy Impact Analysis
(20) Données à Caractère Personnel
(21) Diligence raisonnable
(22) Responsabilité Sociétale des Entreprises (en référence à l’ISO 26000)
(23) Data Protection Officer
(24) Stengths, Weaknesses, Opportunities, Threats
(25) Capital Expenditure / Operational Expenditure
(26) Personally Identifiable Information
(27) Privacy Enhancing Technology
(28) Correspondant Informatique et Libertés
(29) Computer Security Incident Response Team
(30) Advanced Persistent Threat
(31) Loi n°2015-1556 du 30 novembre 2015
(32) Fournisseurs d’Accès Internet
(33) Commission Nationale de Contrôle des Techniques de Renseignement
(34) Commission Nationale de Contrôle des Interceptions de Sécurité
(35) Passenger Name Record
(36) 2016/680/UE et 2016/681/UE
(37) Google, Apple, Facebook, Amazon
(38) Binding Corporate Rules


Webographie (1) http://www.dictionnaire.enap.ca/dic...
(2) https://www.europol.europa.eu/newsl...
(3) http://www.lefigaro.fr/internationa...
(4) http://rue89.nouvelobs.com/2015/05/...
(5) http://www.latribune.fr/technos-med...
(6) http://www.silicon.fr/protection-do...
(7) https://www.cnil.fr/fr/les-bcr-regl...




Voir les articles précédents

    

Voir les articles suivants