Le Forum du Rhin Supérieur sur les Cybermenaces se tient l’après-midi du 6 novembre 2012 à Strasbourg, dans les locaux de l’Ecole nationale d’administration. Il est organisé par la région de gendarmerie d’Alsace et les officiers de la réserve citoyenne de la gendarmerie. Le thème cette année: «Assurer la confiance malgré les menaces». En 2011, le FRC présentait les résultats d’une étude prospective sur la cybercriminalité de 2011 à 2020 (en pièce jointe, la version anglaise de cette étude ainsi que la version originale en français). Le programme est disponible ici en téléchargement.
Trois tables rondes au programme, précédées de deux discours introductifs. Parmi les points clés soulignés par le Général d’armée (2S) Marc Watin-Augouard: la création d’une juridiction spécialisée au niveau national, formation des policiers et gendarmes dès leur formation initiale à la prise en compte du numérique dans leurs missions. Daniel Guinier, quant à lui, développe les enjeux de la dématérialisation: ses différentes composantes (et notamment son application dans les marchés publics qui est de plus en plus souvent obligatoire), sa sécurisation (il fait référence au référentiel général de sécurité).
Les menaces de vol et de détournement d’informations
Dominique Schoenher (Ecole des officiers de la gendarmerie nationale) introduit cette table ronde en soulignant la sensibilité et la vulnérabilité de l’information des entreprises.
Jean-Marc Kolb (CCI Alsace, directeur pour l’économie numérique) revient sur la dématérialisation des procédures: reste à franchir le pas de la délivrance de certificats à des personnes morales et de passer à l’échelle européenne, la faible visibilité sur la pérennité des technologies, la durée de conservation, les risques dans le cycle de vie du document et dans sa transmission; il évoque la tendance forte qui consiste à faire appel à des tiers d’archivage.
Dominique Schoenher revient sur le hameçonnage, notamment quand il cible les entreprises (par atteinte de la marque, ou en la ciblant plus particulièrement par l’abus de l’image de ses partenaires de confiance) et ses formes les plus nouvelles (vishing, smishing, whaling) – rappel: pour faire un signalement de sites de hameçonnage, vous pouvez vous connecter sur http://www.phishing-initiative.com.
Enfin, l’intervention de Maître Cécile Doutriaux porte sur l’exfiltration d’informations de l’entreprise, en particulier par une source interne, et commence par une vidéo démontrant l’utilisation de la stéganographie utilisée par un employé malveillant. L’ordinateur a pour elle peut-être rendu encore plus simple le partage frauduleux d’informations confidentielles; elle revient sur la réglementation et la jurisprudence encadrant les actions que peut réaliser l’employeur pour contrôler l’action de ses salariés (voir l’article de PC Inpact à ce sujet, les recommandations de la CNIL et encore). Pour prévenir ces risques, elle recommande les outils classiques: charte informatique (signée par l’employé ou rendue publique de façon convenable – voir à ce sujet l’arrêt de la chambre sociale de la Cour de Cassation du 15 décembre 2010) et mesures contractuelles (clauses de confidentialité et de non-concurrence, ces dernières devant être limitées dans le temps et dans l’espace). La surveillance technique des flux entrants et sortants doit être déclarée auprès de la CNIL. Judiciairement, le vol peut rarement être retenu, en revanche l’abus de confiance ou la violation du secret de fabrique sont des solutions opérationnelles, ainsi que bien entendu l’obtention de réparations au civil. Me Doutriaux rappelle l’existence d’une proposition de loi sur la violation du secret des affaires.
Les menaces au vu de l’organisation du travail
Daniel Guinier est chargé de l’introduction de cette seconde table ronde et cite quelques chiffres : en 2012, 70% des utilisateurs reconnaissent enfreindre la sécurité au motif de faciliter leurs tâches; en 2013 25% des téléphones mobiles seront des smartphones; en 2015 nous aurons 15 milliards de terminaux mobiles dans le monde… Et un tour des risques: les systèmes d’information de l’entreprise sont utilisés dans l’entreprise, à domicile, en nomadisme ou en télétravail; toutes sortes de supports sont utilisés pour traiter ou stocker l’information (de l’ordinateur personnel au cloud computing en passant par les terminaux mobiles); les outils bureautiques sont autant de sources de problèmes (du papier à la photocopieuse).
Jean-Luc Lang (DSI Wolfberger, Président du Club informatique de l’Est), revient sur les enjeux du fameux « BYOD » (sécuritaires et juridiques).
Bruno Barge (RSI Lohr Industrie, Clusir Est) intervient sur les menaces liées au nomadisme. Il partage quelques questions et constats: comment conserver la sécurité des informations dans un contexte où les activités personnelles et professionnelles se mélangent? le comportement des usagers est au cœur de la sécurité; les digital natives mettent au service de l’entreprise leurs réseaux, une nouvelle richesse. Dans l’installation de l’entreprise à l’étranger leur expérience est la suivante: les coûts de l’itinérance par les réseaux de téléphonie mobile ne sont pas négligeables; l’accès Internet est nécessaire et peut conditionner aujourd’hui une implantation à l’étranger; les différences culturelles doivent être prises en compte, mais il faut savoir imposer ses standards de sécurisation: il faut formaliser les règles, former les gens, ne pas hésiter à déplacer un familier de l’entreprise, conserver certains pouvoirs à l’échelon central, cloisonner les réseaux et garder la maîtrise de la mise à disposition des données. Il préconise le chiffrement des disques durs et des supports amovibles.
Laurent Schmerber (Président Schmerber et 3MA Group) Dresse un panorama des risques liés aux imprimantes et aux photocopieurs. Sa présentation est introduite par une vidéo de sensibilisation sur les risques des copieurs, qui contiennent effectivement des disques durs et sont souvent connectés au réseau.
Les sources de menaces à l’encontre des organismes
Après une introduction par Gilbert Gozlan (Directeur territorial sûreté Nord-Est la Poste), cette table ronde avait trois invités:
Votre serviteur; je suis intervenu sur les botnets et les risques qu’ils peuvent présenter aujourd’hui pour les entreprises, notamment par leur variété (voir le Wiki Botnets.fr que j’anime pour ma thèse) et par les modes de contamination (voir l’article que je publiais voilà quelques semaines et notamment les contaminations via des plateformes d’exploit ou par la réception de courriers électroniques piégés) et de communication (souvent par le le protocole HTTP utilisé par le Web et donc souvent accessible depuis le réseau des entreprises) qui rendent leur présence dans les réseaux des entreprises plus facile. En outre, par beaucoup d’aspects, ils peuvent cibler plus sévèrement encore les entreprises, par exemple pour y dérober des informations confidentielles, des connexions vers des banques en ligne, etc.
Philippe Rosa (Directeur associé Eurostratèges) ensuite est intervenu sur le sujet des réseaux sociaux et des risques qu’ils peuvent présenter pour les entreprises s’ils ne sont pas maîtrisés, qu’il s’agisse de messages publiés involontairement ou non par les employés et qui peuvent nuire à l’image de l’entreprise ou révéler des informations confidentielles, par des concurrents qui souhaiteraient nuire à votre image ou encore la publication de faux avis sur des produits ou des services (un sujet particulièrement veillé par les services de la répression des fraudes). Pour prendre en compte ces sujets dans les organisations, il est indispensable de fixer des règles, d’informer ses collaborateurs, par exemple en publiant un guide (le ministère de la défense a diffusé récemment un guide très réussi sur ce sujet), en réalisant des formations. Enfin, il souligne l’importance d’une veille sur ces médias, qui ne demande pas forcément énormément de ressources (commencez par cet article sur Presse-Citron) et la nécessité de disposer de gestionnaires de communauté en ligne qui soient bien formés et en même temps qui ne soient pas livrés à eux-mêmes lorsqu’il faut répondre au public sur des sujets précis voire techniques.
La dernière intervenante était Maître Denise Gross, avocate au barreau de la Plata (Argentine) et doctorante à l’université de Strasbourg. Son intervention établissait un portrait de l’ingénierie sociale, des techniques qu’elle met en œuvre et des parades qui peuvent être employées, la plus importante selon elle étant de former ses personnels à détecter et réagir aux tentatives d’ingénierie sociale (notamment grâce à des jeux de rôle) et d’intégrer dans les équipes d’analyse et de réaction aux incidents la mission de prendre en compte ce type d’alertes, tout en admettant la possibilité que des employés se trompent et en les incitant à rapidement informer la hiérarchie lorsqu’ils surviennent.
Au final donc une après-midi très intéressante avec près de 150 participants de toute l’Alsace, en espérant qu’elle aura apporté aux entreprises et administrations présentes de nombreuses informations utiles pour prévenir de futurs risques cybersécuritaires et cybercriminels.