Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Protection des infrastructures informatiques des entreprises face à la cybercri

Protection des infrastructures informatiques des entreprises face à la cybercriminalité Vincent Lemoine1, Charles Perez2, Marc Lemercier2, Pierre Vitard3, Virginie Bensoussan-Brulé4, Alain Corpel2, Rida Khatoun2, Babiga Birregah2 1Gendarmerie Nationale et Université Paris-Sud - CERDI, 54 boulevard Desgranges, 92 331 Sceaux cedex 2ICD et UMR STMR, Université de Technologie de Troyes, 12 Rue Marie Curie, CS 42060, 10 004 Troyes Cedex 3ADIT (Agence pour la Diffusion de l'Information Technologique), 40 rue Buirette, 51 100 Reims 4Cabinet d’avocats Alain Bensoussan, 29 rue du Colonel Pierre Avia, 75 015 Paris vincent_lemoine@orange.fr, charles.perez@utt.fr, marc.lemercier@utt.fr, pv@adit.fr, virginie-bensoussan-brule@alain-bensoussan.com, alain.corpel@utt.fr, rida.khatoun@utt.fr, babiga.birregah@utt.fr Abstract – Les nouvelles technologies (Internet, terminaux nomades) révolutionnent jour après jour le fonctionnement des entreprises qu'ils s'agissent de la sphère commerciale, de la gestion de projets ou des mécanismes d’échanges d’information en général. Les entreprises doivent revoir leur stratégie digitale et leur système d'information pour intégrer ces nouveaux canaux de communication et de vente (logique crosscanal) symbole actuel de modernité et d’efficacité économique. Aujourd’hui, les nouvelles préoccupations stratégiques pour les entreprises sont maintenant leur référencement et leur réputation sur Internet, le Search Engine Marketing (SEM), le marketing viral et la relation client via Internet (eCRM / Electronic Consumer Relationship Management). Les business models doivent désormais évoluer pour tenir compte non seulement des réseaux sociaux numériques (Facebook, LinkedIn, Twitter, etc.) mais aussi des dispositifs nomades interconnectés via le cloud (smartphones, tablettes). Cette mutation rapide a conduit les entreprises à s’exposer de plus en plus, rendant parfois accessibles aux plus grand nombre leurs infrastructures informatiques et permettant en même temps l’accès à des données stratégiques d’entreprises. Celles-ci sont de plus en plus la cible d’attaques informatiques (cybercriminalité) dont les principaux objectifs sont le vol de données à caractère personnel ou professionnel, les malveillances (dysfonctionnement de systèmes ou logiciels, atteinte à la réputation ou bris de carrière) et plus globalement la désorganisation de l’entreprise visée. Les entreprises doivent intégrer le concept de sécurité globale permettant d’assurer un niveau suffisant de prévention et de protection contre la cybercriminalité en prenant en compte leurs obligations règlementaires et juridiques. Nous présentons dans cet article les différentes approches étudiées dans le cadre du projet CyNIC1 pour faire face à ces nouvelles menaces. 1CyNIC (Cybercriminalité, Nomadisme et Intelligence éConomique) est un projet CPER soutenu par la région Champagne-Ardenne, l’état français et le FEDER. 1. Introduction Le monde actuel est de plus en plus complexe et difficile à appréhender, que ce soit au niveau des relations internationales, des relations entre individus ou des relations entre les acteurs économiques. La notion d’incertitude n’a jamais été aussi actuelle. Dans la sphère économique, les logiques partenariales disparaissent au profit de relations centrées sur l’intérêt unique d’une entreprise au détriment d’une autre. La mondialisation des échanges et des moyens de communication a permis aux entreprises d’entrer en relation les unes avec les autres quelle que soit leur implantation géographique. Parallèlement à ce phénomène, l’accès à l’information numérique est de plus en plus aisé grâce à la multiplication des terminaux d’accès (ordinateurs, smartphones, tablettes) et la baisse continue des coûts de communication (forfait téléphone, forfait Internet). De cette manière, les recherches usuelles via les moteurs de recherche sont pratiquement gratuites et peuvent être automatisées. Les outils en ligne sont également de plus en plus nombreux : moteurs et méta moteurs de recherche génériques, moteurs de recherches spécifiques (de personne, de société, etc), bases de données, annuaires, etc. Le concept d’open data permet en plus un point d’accès pour la consultation de données publiques (http://www.data.gouv.fr/). Les acteurs malveillants disposent de moyens de plus en plus importants pour identifier, sélectionner et traquer des citoyens ou des entreprises. Il n’existe pas de définition de la cybercriminalité dans le Code pénal, mais le ministère de l'Intérieur [1] définit la cybercriminalité comme « l'ensemble des infractions pénales commises sur le réseau Internet ». Nous pouvons citer à titre d'exemples certaines escroqueries (fraude à la carte bancaire, vente en ligne avec encaissement sans livraison de la marchandise), la contrefaçon, la vente de produits illicites, le recel de biens volés, l’usurpation d’identité, le vol de données, la diffusion d'images pédopornographiques, l'incitation au suicide ou à la haine raciale, les injures, etc. Cependant, il existe de nombreuses autres définitions de la cybercriminalité. La Convention de Budapest sur la cybercriminalité [2] l’a définie de la sorte « ensemble des infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes informatiques ». On peut synthétiser ces définitions par l’ensemble des infractions commises par l’intermédiaire ou dont la finalité sont les nouvelles technologies notamment les réseaux ou les équipements électroniques. La suite de l’article est organisée comme suit : la section 2 rappelle les risques juridiques, la section 3 présente la gestion des incidents, la section 4 se focalise sur l’anticipation et la prévention en présentant quelques solutions de protection des infrastructures informatiques des entreprises. 2. Risques juridiques Les particuliers et les entreprises sont soumis à de nombreuses réglementations qu’il est important de rappeler dans le cadre de notre étude. Ce cadre juridique constitue un premier niveau de sécurité pour les entreprises mais aussi un recours en cas de dommage. 2.1 Responsabilité des particuliers 2.1.1 Abus de confiance L'abus de confiance définit par l’article 314-1 du Code pénal est le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a accepté à charge de les rendre, de les représenter ou d'en faire un usage déterminé. L'abus de confiance est puni de trois ans d'emprisonnement et de 375.000 euros d'amende. Cet article est généralement utilisé dans le cas de détournements de l’usage des données dans une entreprise. 2.1.2 Violation du secret de fabrication Le fait pour un directeur ou un salarié de révéler ou de tenter de révéler un secret de fabrication est puni d'un emprisonnement de deux ans et d'une amende de 30.000 euros (article 1227-1 du Code du travail). Le juge peut également prononcer, à titre de peine complémentaire, pour une durée de cinq ans au plus, l'interdiction des droits civiques, civils et de famille prévue par l'article 131-26 du Code pénal. 2.1.3 Compromission L’article 434-10 du Code pénal précise qu’est puni de sept ans d'emprisonnement et de 100.000 euros d'amende le fait, par toute personne dépositaire d'un procédé, objet, document, information, réseau informatique, donnée informatisée ou fichier qui a un caractère de secret de la défense nationale, soit de le détruire, détourner, soustraire ou de le reproduire, soit d'en donner l'accès à une personne non qualifiée ou de le porter à la connaissance du public ou d'une personne non qualifiée. Est puni des mêmes peines le fait, par la personne dépositaire, d'avoir laissé accéder à, détruire, détourner, soustraire, reproduire ou divulguer le procédé, objet, document, information, réseau informatique, donnée informatisée ou fichier visé à l'alinéa précédent. Lorsque la personne dépositaire a agi par imprudence ou négligence, l'infraction est punie de trois ans d'emprisonnement et de 45.000 euros d'amende. Cet article concerne les documents classifiés. 2.1.4 Espionnage, intelligence avec une puissance étrangère Le fait de livrer ou de rendre accessibles à une puissance étrangère, à une entreprise ou une organisation étrangère ou sous contrôle étranger ou à leurs agents des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l'exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de quinze ans de détention criminelle et de 225.000 euros d'amende. 2.2 Responsabilités des entreprises 2.2.1 Manquement à la sécurisation des données Le manquement à la sécurisation des données est réprimé par l’article 226-17 du Code pénal. Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende. L’article 34 précise que le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. 2.2.2 Divulgation illicite de certaines données personnelles La divulgation illicite de certaines données personnelles est réprimée par l’article 226-22 du Code pénal. Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir. 2.2.3 Violation du secret professionnel La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15.000 euros d'amende par l’article 226-13 Code pénal. 2.2.4 Complicité par assistance ou fourniture uploads/Management/ cyber.pdf