Category
🤖
TechnologieTranscription
00:00:00 [Sonnerie]
00:00:02 Merci pour l'invitation, donc c'est à moi d'ouvrir le bal.
00:00:08 Ma première intervention va concerner la gestion des données à caractère personnel,
00:00:14 et puis puisque c'est quand même aussi votre futur cœur d'activité,
00:00:18 ou votre cœur d'activité pour certains,
00:00:20 je vais faire un développement vers la question de la responsabilité des acteurs de l'entreprise
00:00:25 par rapport au traitement des données à caractère personnel.
00:00:30 Donc, de quoi on parle quand on parle de données ?
00:00:33 On parle de ce qu'on appelle un bien immatériel,
00:00:36 donc je vais tout de suite vous donner des éléments de vocabulaire
00:00:39 qui vont vous différencier des autres.
00:00:42 Une donnée, ça n'a pas de propriétaire, on n'est pas propriétaire de données,
00:00:46 et une donnée, ça ne se vole pas,
00:00:48 parce que la donnée est un bien immatériel,
00:00:50 et voler, c'est pour les biens matériels.
00:00:52 Donc quand vous entendez parler de vol de données,
00:00:55 vous savez que c'est quelqu'un qui ne connaît pas, qui parle.
00:00:58 Donc, ensuite, la donnée, c'est de l'information,
00:01:01 c'est des éléments d'information.
00:01:03 Et en fait, il n'y a pas de régime juridique général de la donnée.
00:01:08 En fait, selon la catégorie de données qui est considérée,
00:01:11 vous allez avoir des régimes juridiques différents.
00:01:14 Par exemple, dès le moment où cette donnée,
00:01:17 c'est le produit de l'esprit humain dans le domaine littéraire et artistique,
00:01:21 ça devient une œuvre, et c'est protégé par le droit d'auteur.
00:01:25 Pour les données qui sont relatives à une personne physique,
00:01:29 je reviendrai sur ces définitions là plus tard,
00:01:32 ça, c'est des données qu'on va appeler à caractère personnel,
00:01:36 et elles seront gérées par un droit particulier,
00:01:39 dont je vais vous parler tout de suite après,
00:01:41 qui s'appelle le droit des données à caractère personnel.
00:01:44 Et puis sinon, pour d'autres données de type économique,
00:01:47 vous avez le secret des affaires, dont vous avez dû entendre parler,
00:01:50 et ainsi de suite. Donc vous voyez, il n'y a pas de droit uniforme de la donnée,
00:01:53 il y a des régimes de régulation qui dépendent du type de données
00:01:58 et du modèle économique que l'on en fait.
00:02:00 Et donc, nous, ce qui va nous intéresser dans ce cadre là,
00:02:03 c'est ce qu'on appelle les données à caractère personnel,
00:02:06 dont la protection par la loi provient de la création de lois spécifiques pour ça,
00:02:15 les lois qu'on appellera génériquement informatique et liberté,
00:02:19 qui ont été créées dans le milieu fin des années 70,
00:02:23 face aux mésusages des données à caractère personnel
00:02:26 par les États au cours de la première moitié du XXe siècle,
00:02:30 autrement dit, les fichiers de personnes qu'on allait rafler,
00:02:33 mettre dans des trains et mettre à mort.
00:02:35 Donc ça, ça a laissé des mauvais souvenirs, on peut le comprendre.
00:02:38 Et donc, dès le moment où l'État a commencé à développer l'informatisation des citoyens,
00:02:43 il y a un certain nombre de personnes qui se sont en France élevées contre ça,
00:02:46 en disant "attendez, on ne peut pas faire n'importe quoi, il faut encadrer ça par la loi".
00:02:51 Et de ce fait, une loi ne marche que si on la fait respecter,
00:02:55 et la question c'était "comment est-ce qu'on fait respecter une loi qui est censée surveiller l'État ?"
00:03:04 Si c'est un département du ministère qui surveille l'État,
00:03:08 on va dire "non, ce n'est pas correct, ça ne marche pas".
00:03:11 Alors, on a mis en place ce qu'on appelle une autorité administrative indépendante.
00:03:17 Une autorité administrative indépendante, c'est justement quelque chose qui fait respecter la loi,
00:03:22 mais qui est censée être indépendant de l'État, qui éventuellement peut sanctionner l'État.
00:03:27 Et donc en France, cette autorité administrative indépendante, c'est la CNIL,
00:03:31 Commission Nationale Informatique et Liberté.
00:03:33 Et dans cette commission, il y a des commissaires, c'est comme ça que ça s'appelle.
00:03:37 Et puis parce qu'avec 18 commissaires, on ne va pas faire grand-chose,
00:03:40 il y a aussi plus de 200 personnels qui vont réaliser les missions de la CNIL, dont je vais vous parler juste après.
00:03:47 Pour vous donner un ordre d'idée de quoi on parle, il y a des lois qui sont relativement banales.
00:03:53 La loi Informatique et Liberté, tout de suite, elle pose le niveau.
00:03:56 Vous voyez l'article 1. L'informatique doit être au service de chaque citoyen.
00:04:01 Son développement doit s'opérer dans le cadre de la coopération internationale.
00:04:05 Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme,
00:04:09 ni à la vie privée, ni aux libertés individuelles ou publiques.
00:04:13 Ça, ça a été écrit en 1974-78.
00:04:16 C'est quand même relativement visionnaire par rapport à ce qu'on voit aujourd'hui.
00:04:20 Et donc est apparue ensuite une mention qui dit "toute personne dispose du droit de décider
00:04:26 et de contrôler les usages qui sont faits des données à caractère personnel,
00:04:30 la concernant, dans les conditions fixées par la présente loi".
00:04:34 En fait, l'idée, c'est que dès le moment où un traitement de données
00:04:37 manipule des données à caractère personnel,
00:04:40 il y a une responsabilité qui va peser sur la personne qui manipule ces données,
00:04:44 parce qu'il y a des droits qui sont garantis par la loi
00:04:48 aux personnes qui sont concernées par les données en question.
00:04:52 Donc, par rapport à cette loi, en gros, que fait la CNIL,
00:04:56 il y a quatre grandes fonctions d'une autorité de protection des données comme la CNIL.
00:05:01 Dans certains cas, le traitement ne peut pas être mis en œuvre,
00:05:04 oh pardon, j'enlève ça,
00:05:06 le traitement ne peut pas être mis en œuvre sans l'autorisation de l'autorité de protection.
00:05:12 Ça a beaucoup diminué. Au début, c'était ça. La CNIL devait tout autoriser.
00:05:16 Donc, vous imaginez le boulot d'étranglement que ça a pu représenter.
00:05:19 Ensuite, une loi, ça marche bien que si on vérifie que les gens l'appliquent,
00:05:23 on va aller toc toc, on va sonner chez les gens,
00:05:26 puis on va regarder ce qu'ils font avec les données à caractère personnel.
00:05:29 Et puis, il y a différents modes de remédiation,
00:05:32 mais si ça ne va pas, on peut sanctionner de façon importante,
00:05:36 avec en particulier, par exemple, des amendes pécuniaires publiques.
00:05:40 Il y a eu des exemples récents de ce que la CNIL pouvait dire en la matière.
00:05:44 Et puis, le conseil, parce que ça, c'est très important.
00:05:47 La CNIL n'est pas là que pour taper.
00:05:50 La CNIL marche sur deux jambes, comme on aime à le dire.
00:05:53 Et donc, il y a une mission de conseil, c'est-à-dire que si vous avez un projet
00:05:56 de traitement de données à caractère personnel qui est un peu innovant
00:05:59 et que vous ne savez pas trop si c'est légal, pas légal, etc.,
00:06:02 là aussi, c'est vous qui frappez à la porte de la CNIL pour demander.
00:06:06 Et puis, les services vont se pencher sur la question
00:06:09 pour essayer d'aider l'entreprise à mettre en œuvre son traitement innovant,
00:06:15 mais dans le respect de la loi informatique et liberté.
00:06:19 Alors maintenant, on parle de données à caractère personnel, c'est quoi ?
00:06:23 C'est facile, il suffit de reprendre la loi, le RGPD qui le dit,
00:06:27 en fait, est une donnée à caractère personnel,
00:06:30 toute information se rapportant à une personne physique identifiée ou identifiable.
00:06:36 Donc, ce n'est pas des données d'entreprise, c'est des données de personnes.
00:06:40 Et donc, est réputée être une personne physique identifiable,
00:06:44 une personne physique qui peut être identifiée, ok,
00:06:47 directement ou indirectement, notamment par référence à un identifiant,
00:06:52 tel qu'un nom, ça, ça marche, un numéro d'identification,
00:06:55 donc ça veut dire qu'une donnée à caractère personnel, c'est une plaque d'immatriculation,
00:06:59 c'est un numéro de téléphone, ça peut être une adresse IP,
00:07:02 des données de localisation, la trace de géolocalisation de votre ordiphone,
00:07:07 un identifiant en ligne, votre pseudo sur tel ou tel réseau social,
00:07:13 et puis donc, des éléments spécifiques propres à son identité physique,
00:07:17 couleur des yeux, taille, couleur de la peau, des cheveux,
00:07:21 physiologique, toutes les données de santé, génétique,
00:07:25 évidemment, le code ADN, psychique, parce qu'effectivement,
00:07:28 l'état de la personne, c'est aussi une donnée, et on le verra,
00:07:32 une donnée très sensible, des éléments économiques,
00:07:35 combien elle gagne, quelle est la marque de sa maison, de sa voiture, etc.,
00:07:39 culturelle, sociale, etc.
00:07:43 En plus, donc ça, c'est le cadre général de ce que c'est qu'une donnée à caractère personnel,
00:07:47 vous voyez, c'est très large.
00:07:49 Et puis, justement, parce que l'histoire a eu quelques errements
00:07:53 extrêmement désagréables, il y a des catégories de données
00:07:57 dont la protection est encore plus renforcée que la donnée à caractère personnel standard.
00:08:02 C'est ce qu'on appelle les données sensibles, avec un article 9 qui dit comme ça,
00:08:08 "Le traitement des données à caractère personnel", donc quelles sont les données sensibles,
00:08:11 "qui révèle l'origine raciale ou ethnique, les opinions politiques,
00:08:15 les convictions religieuses ou philosophiques ou l'appartenance syndicale,
00:08:19 ainsi que le traitement des données génétiques, des données biométriques
00:08:23 aux fins d'identifier une personne physique", ça c'est la reconnaissance faciale par exemple,
00:08:26 "des données concernant la santé ou la vie sexuelle ou l'orientation sont interdites".
00:08:30 Donc, par définition, il y a un principe d'interdiction du traitement de ces données-là,
00:08:36 sauf cas extrême, bien sûr, on ne va pas interdire aux hôpitaux
00:08:40 de gérer les données médicales des patients,
00:08:42 on ne va pas interdire à une association religieuse de traiter les données de ses membres,
00:08:47 mais il va y avoir un contrôle beaucoup plus strict
00:08:50 dès le moment où la donnée rentre dans cette catégorie-là.
00:08:54 Donc en particulier, les bracelets connectés qui vous disent votre rythme cardiaque,
00:08:58 machin, etc., et qui envoient tout ça aux États-Unis sur un serveur,
00:09:02 données de santé, données sensibles, et on va renforcer le contrôle sur ces données-là,
00:09:08 et donc le responsable de traitement devra prendre des garanties supérieures
00:09:12 au traitement de données qui échappent à cette catégorie.
00:09:17 Alors maintenant, qu'est-ce qui donne le droit de traiter des données à caractère personnel ?
00:09:23 Eh bien, il faut que le traitement soit licite,
00:09:26 et pour que le traitement soit licite, il faut qu'un certain nombre de critères soient remplis,
00:09:31 sinon vous n'êtes pas en conformité avec la loi.
00:09:36 Donc d'abord, il faut que le traitement ait une finalité,
00:09:39 et cette finalité, ça veut dire pourquoi vous allez traiter les données.
00:09:42 Si vous dites "Oh, je ne sais pas, on est une start-up, on collecte les données de tout le monde,
00:09:45 et puis on verra ce qu'on fait plus tard", c'est non.
00:09:48 Parce que la finalité, elle doit être déterminée,
00:09:51 ça veut dire que dès l'origine, vous devez savoir pourquoi vous les collectez.
00:09:54 Explicite, ça veut dire que vous devez informer les personnes de pourquoi vous les collectez.
00:09:58 Et légitime, c'est parce qu'effectivement,
00:10:02 il faut aussi que l'objectif visé soit conforme avec la loi.
00:10:06 Si vous dites "Je veux de façon déterminée collecter les identités de tous les gens qui ont les yeux bleus,
00:10:11 et je vais leur dire pour les tuer après",
00:10:14 vous voyez, c'est déterminé, c'est explicite, mais ce n'est pas légitime.
00:10:17 Ça ramènera à la question de la base légale plus tard.
00:10:21 Pour traiter des données, il faut qu'il y ait un responsable de traitement.
00:10:24 C'est-à-dire que ce n'est pas "Oh, je ne sais pas, c'est lui qui collectait les données,
00:10:27 mais en fait, non, c'était lui". Non, il faut qu'il y ait quelqu'un qui soit responsable
00:10:30 et qui prenne l'engagement devant la loi et devant les personnes
00:10:33 que c'est lui qui va traiter et prendre soin des données concernées.
00:10:36 Il n'y a pas de dilution de responsabilité.
00:10:39 C'est un responsable de traitement qui doit être clairement identifié dès le début.
00:10:43 Éventuellement, il y a un destinataire des données,
00:10:46 parce que les données peuvent être collectées par quelqu'un pour quelqu'un d'autre.
00:10:49 Par exemple, dans les radars, c'est une société privée qui prend les numéros des plaques d'immatriculation
00:10:54 et qui envoie ça au service des amendes de l'État.
00:10:58 Donc, vous voyez, le destinataire des données, ce n'est pas le responsable de traitement.
00:11:02 Un point important sur lequel les gens, malheureusement, achoppent, c'est les durées de conservation.
00:11:07 Une donnée à caractère personnel, elle doit toujours être collectée pour une durée fixée à l'avance.
00:11:14 Ça peut être deux ans, ça peut être trois ans, ça peut être deux semaines, ça peut être 90 ans,
00:11:20 comme dans certaines données d'archives, de médicales et autres,
00:11:23 mais il faut qu'il y ait une durée qui soit explicite.
00:11:25 Et en fait, d'ailleurs, une bonne politique de gestion de la donnée, mes collègues en parleront,
00:11:30 c'est qu'une donnée, elle est collectée, elle vit, et il faut savoir la faire mourir.
00:11:34 Parce que de toute façon, ça ne sert à rien de collecter des données.
00:11:37 Les données se périment, et donc il n'y a pas d'intérêt à conserver des données,
00:11:41 sinon mettre en danger les personnes.
00:11:44 Les mesures de sécurité, bien évidemment, quand vous collectez des données sur les gens,
00:11:48 vous n'allez pas mettre tout ça en accès libre sur le web.
00:11:51 Malheureusement, si vous regardez un certain nombre de sanctions de l'ACNIL,
00:11:54 c'est ce qui arrive parfois, donc c'est désagréable,
00:11:57 mais vous voyez comment ça finit, mal.
00:11:59 Donc il ne faut pas.
00:12:01 Il faut mettre en partie vos moyens vers la vérification que les données sont gérées de façon sûre.
00:12:08 Et puis, comme les personnes, on a vu, ont des droits,
00:12:11 il faut que vous permettiez l'exercice de ces droits.
00:12:13 Il faut que la personne sache à qui s'adresser, donc il faut que vous l'informiez,
00:12:17 il faut qu'elle ait un droit d'accès, un droit de rectification aux données si elles sont inexactes,
00:12:21 voire même, dans certains cas, elle a le droit de s'opposer au traitement.
00:12:25 Alors ça ne marche pas partout, désolé, mais les impôts, si vous leur dites
00:12:30 "non, non, vous n'avez pas le droit de collecter mes données, je m'y oppose",
00:12:33 ils vont vous dire "ben non, là, c'est la loi qui nous l'impose".
00:12:37 Et puis donc, effectivement, quand il y a des contrôles, des autorités de contrôle,
00:12:42 on va vérifier que tout ça a été bien coché,
00:12:46 et c'est s'il y a des problèmes parce que les mesures n'ont pas été prises à l'avance de façon efficace,
00:12:52 qu'il peut y avoir un risque de sanction par l'autorité de protection des données.
00:12:57 Alors quand on parle de base légale, de raison pour laquelle on collecte des données,
00:13:02 là aussi je vous ramène à l'article du RGPD qui va bien, il y en a six.
00:13:07 En gros, celle qui intéresse le secteur privé, ça va être le consentement,
00:13:12 il faut que les gens aient donné explicitement leur accord, il faut que vous puissiez faire la preuve
00:13:17 que vous avez bien recueilli de façon légale le consentement.
00:13:21 Un consentement, ça veut dire que ça doit être un acte positif de la personne.
00:13:26 Les cases précochées, ça ne marche pas. On peut en parler par rapport à l'actualité récente.
00:13:32 La nécessité pour l'exécution d'un contrat, si vous voulez vous faire livrer un lave-vaisselle
00:13:37 et que vous dites au livreur "ben non, je ne veux pas vous donner mon adresse",
00:13:41 le livreur va dire "si vous voulez que j'exécute le contrat, il va bien falloir me donner votre adresse".
00:13:49 Et puis aussi les intérêts légitimes.
00:13:53 Le sauvegarde des intérêts vitaux, vous avez bien compris, quand vous avez quelqu'un en train d'agoniser par terre,
00:13:58 si vous voulez récupérer son groupe sanguin pour lui faire une transfusion, vous n'allez pas lui demander son consentement s'il est en train de mourir.
00:14:03 Mais parce que si les médecins le faisaient sans qu'il y ait cet article de loi,
00:14:08 il serait dans l'illégalité de traiter les données de santé d'une personne sans son consentement.
00:14:13 Mais heureusement, la loi a mis en place la sauvegarde des intérêts vitaux
00:14:18 pour que justement les médecins soient au clair pour essayer de sauver les gens. C'est bien, c'est pas mal.
00:14:23 Et donc l'intérêt légitime. Dans certains cas, il y a quelqu'un qui va pouvoir traiter vos données sans votre consentement.
00:14:30 On peut penser en particulier aux filtres anti-spam qui lisent vos courriels sans que vous leur ayez donné le consentement,
00:14:38 mais c'est pour vous protéger. Donc quand un filtre anti-spam va lire les données de quelqu'un pour les sécuriser vis-à-vis de quelqu'un d'autre,
00:14:48 il n'a pas demandé le consentement. Ce n'est pas un contrat, parce que vous n'avez pas passé de contrat avec votre fournisseur d'accès Internet,
00:14:54 mais c'est l'intérêt légitime de tout le monde que ça marche bien si vos données ne sont pas réutilisées pour autre chose.
00:14:59 Si la personne qui prétend lire vos courriels pour faire de l'anti-spam s'en sert pour faire de la pub, on est dans le détournement de finalité.
00:15:06 Et là aussi, ça risque de mal se passer. Donc voilà, vous avez entendu parler du RGPD. Alors les gens qui disent
00:15:12 "Ouh là là, il va falloir se mettre en conformité avec le RGPD", je vous rassure, respirez bien, ça fait 40 ans que vous étiez en violation de la loi informatique et liberté.
00:15:20 Donc voilà, vous pouvez prendre un peu plus de temps, mais pas beaucoup, parce que de toute façon, un jour, on se fait attraper.
00:15:28 Donc quelle est l'idée du RGPD ? Je vais passer rapidement. Au départ, il fallait que l'autorité autorise tout.
00:15:36 Maintenant, c'est un régime un peu plus de liberté, c'est-à-dire que les gens vont pouvoir dire qu'ils font des traitements de données à caractère personnel
00:15:44 et il y aura un contrôle a posteriori, ce qu'on appelle un régime répressif, c'est-à-dire qu'on interdit rien mais on réprime a posteriori,
00:15:51 sauf dans des domaines extrêmement sensibles comme la santé. Un cadre harmonisé au niveau de l'Union européenne.
00:15:56 Le but, c'est de faire collaborer ensemble les autorités de protection européennes, vous allez commencer à en entendre parler,
00:16:02 et puis aussi avec cette application extraterritoriale qui fait que la protection de la loi s'applique à toute personne sur le territoire de l'Union européenne,
00:16:11 y compris vis-à-vis d'entreprises qui fournissent un service qui, elles, sont situées en dehors de l'espace européen.
00:16:17 Donc si une entreprise veut faire du business avec des Européens, elle doit respecter la loi européenne,
00:16:22 même si l'entreprise est en dehors du territoire de l'Union européenne. C'est ce que dit le RGPD.
00:16:26 Voilà, on renforce le consentement par rapport aux anciennes lois, c'est beaucoup plus explicite. La portabilité, j'en parle pas.
00:16:32 Le fait qu'il faut réfléchir dès le début à protéger la vie privée des gens quand on conçoit des logiciels ou des traitements,
00:16:38 ça va sans dire, mais finalement ça va mieux en le disant. Et puis si jamais il y a des fuites, avant il y avait des responsables de traitement
00:16:45 qui disaient "Bon, on va cacher le caca du chat sous le tapis et puis on espère qu'on se fait pas attraper".
00:16:50 Là maintenant, c'est plus légal quand il y a une violation de données à caractère personnel qui est importante.
00:16:56 Je ne vais pas rentrer dans les détails, mais il faut notifier l'organisme de protection des données.
00:17:03 Ça devient une obligation. Et pour un certain nombre d'acteurs, il faut une personne qui supervise les traitements,
00:17:09 ce qu'on appelle le délégué à la protection des données, qui est une personne qui a pour rôle d'être le gardien de la donnée
00:17:15 au sein de l'entreprise ou de l'administration. Donc qu'est-ce que ça veut dire pour un responsable de traitement,
00:17:20 vous en entreprise qui gérez des données à caractère personnel ? Il faut que tous les traitements soient identifiés et déclarés
00:17:27 dans un registre des traitements. C'est-à-dire que quand l'autorité de contrôle arrive, il faut lui montrer le registre des traitements.
00:17:32 Et si elle trouve un traitement qui n'est pas dans le registre, ça ne va pas bien se passer.
00:17:36 Si le traitement est un peu corrosif, un peu dangereux, il faut avant de le mettre en œuvre, réfléchir à ce qu'on fait.
00:17:42 Ça s'appelle une analyse d'impact sur la protection des données. Je ne vais pas détailler.
00:17:46 Quand vous recueillez le consentement des gens, il faut prouver que vous l'avez valablement recueilli.
00:17:51 Ce n'est pas évident, mais c'est pour ça qu'il faut le faire les choses correctement.
00:17:54 Il faut bien informer les personnes de leurs droits. Il faut bien mettre en place les procédures pour l'exercice des droits.
00:18:00 Si vous dites "vous avez le droit d'écrire à telle adresse" et que personne ne répond, ça n'ira pas non plus.
00:18:06 Gérer le contrat avec les sous-traitants. Il y a eu des décisions récentes de l'ACNIL qui ont attaqué un responsable de traitement
00:18:11 alors que c'était le sous-traitant qui avait fait une bêtise.
00:18:14 Il faut rendre le sous-traitant directement comptable de ce qui se passe.
00:18:19 Ça suppose une vigilance plus importante du responsable de traitement vis-à-vis des sous-traitants avec lesquels il travaille.
00:18:26 Quand les données partent en dehors de l'Union européenne, il faut faire très attention.
00:18:30 Le déléguer à la protection des données, j'en ai parlé. Et les violations de données, j'en ai parlé aussi.
00:18:34 Je ne veux pas prendre trop de temps.
00:18:37 Donc ça, je vais passer derrière et je vais venir sur ce qui vous concerne, le numérique et les entreprises.
00:18:43 Donc en gros, clairement, maintenant, toutes les entreprises sont confrontées à la transformation numérique.
00:18:51 D'abord parce que pour certaines, ça conduit à un changement de modèle économique massif.
00:18:57 Il y a des entreprises, par exemple La Poste, avant, elle livrait du papier.
00:19:03 Maintenant que le papier est en train de disparaître, La Poste est en train de devoir changer radicalement son modèle d'affaires.
00:19:10 Et c'est pour ça que vous la voyez plutôt faire du service à la personne, puisqu'elle a des agents qui maillent le territoire auquel les gens font confiance.
00:19:16 C'est une valeur pour l'entreprise. Il ne faut pas le détruire.
00:19:19 Et donc La Poste, du fait de la révolution numérique, modifie complètement son modèle d'affaires.
00:19:25 Il y a les agrégateurs. Pensez aux agrégateurs qui permettent de louer des chambres.
00:19:30 Toutes les chaînes hôtelières sont masquées par des agrégateurs qui arrivent et qui captent la valeur.
00:19:35 Passage de la propriété au service, c'est l'ubérisation en général, etc.
00:19:39 Donc vous voyez, les entreprises, déjà, elles sont percutées parce que parfois leur modèle d'affaires est complètement remis en cause.
00:19:45 Ensuite, par la transformation des processus.
00:19:48 Regardez, dans un supermarché, maintenant, on demande aux gens de passer eux-mêmes les articles en caisse, voire de prendre la douchette.
00:19:55 Clairement, il y a un changement des rôles. Et puis, la transformation des outils qui fait qu'avant,
00:20:00 des trucs papier qui ne quittaient pas le bureau de la secrétaire, maintenant, ils sont sur un disque dur.
00:20:04 Et si on fait une fausse manip, ils sont sur l'Internet.
00:20:08 Et donc, effectivement, tout ça montre que ces aspects, l'informatique, ce n'est pas de la plomberie qu'on confie à un prestataire.
00:20:15 Cela veut dire que pour l'entreprise, la donnée, c'est un élément stratégique du pilotage de l'entreprise.
00:20:20 Et donc, c'est au niveau de la direction générale de l'entreprise que les décisions au système d'information doivent être prises.
00:20:26 On va le dire.
00:20:28 Et donc, effectivement, avec justement des fonctions transversales qui émergent,
00:20:32 on entend parler dans certaines boîtes de "chief data officer", en fait, de responsable de la donnée,
00:20:38 mais pour expliquer que gérer la donnée, c'est un poste de management à temps plein.
00:20:43 Et comme je l'ai dit, en plus, il y a une fonction support qui est le délégué,
00:20:49 enfin, il n'est pas seulement support, mais il est aussi pilotage,
00:20:52 mais le délégué à la protection des données qui vérifie que dans les process de l'entreprise,
00:20:56 ça se passe bien et qui peut conseiller en amont par rapport à l'évolution.
00:21:00 Et donc, effectivement, là où j'en viens, c'est que la gestion des données, c'est l'affaire de tous.
00:21:06 Et donc, c'est plus simplement du ressort de la fonction informatique.
00:21:10 Et l'ensemble des personnels doit être sensibilisé, doit être formé aux enjeux juridiques et techniques
00:21:18 de la gestion de la donnée, de la gestion de l'information, ce que j'appelle une hygiène numérique.
00:21:23 "Oh, je trouve la jolie clé USB par terre, ben non, je ne la mets pas sur mon ordinateur, ce n'est pas bien."
00:21:28 Ce n'est pas bien, non pas parce que vous pourriez voir les trucs des autres,
00:21:30 mais parce qu'au-dessus, il peut y avoir un virus, il peut y avoir des tas de choses qu'on a mis exprès pour que vous le ramassiez.
00:21:35 Il y a plein de trucs, de règles d'hygiène numérique qu'il faut apprendre.
00:21:38 Et sur le traitement des données à caractère personnel en particulier.
00:21:41 Donc, clairement, la fonction informatique joue un rôle central,
00:21:44 mais il faut maintenant voir la gestion de la donnée et de l'information comme une fonction transversale
00:21:52 qui impacte l'ensemble des secteurs de l'entreprise.
00:21:56 Voilà, j'en termine ici.
00:21:58 Donc, les enjeux pour l'entreprise, vous l'avez compris, c'est le respect des obligations légales.
00:22:02 Sinon, après, ce n'est pas bien, ne serait-ce qu'en termes d'image, mais après, ça peut encore être encore moins bien.
00:22:07 Ce qui impose donc de mettre en œuvre une politique de gestion de la donnée.
00:22:11 Donnée à caractère personnel, mais pas que.
00:22:14 Et c'est là-dessus où je passe la main à mes collègues de table.
00:22:18 Donc, je vais vous faire cette présentation dans le cadre de CyberEdu.
00:22:22 Donc, la formation, comme disait Mme Burgala, a été labellisée récemment CyberEdu.
00:22:28 Donc, on va voir rapidement, pendant la présentation, en quoi consiste CyberEdu.
00:22:34 Et puis, on va voir des contenus qui vont vous sensibiliser un petit peu sur les besoins de sécurité.
00:22:40 Et le besoin que ce ne soit pas une priorité de l'informatique ou du service informatique,
00:22:46 mais bien comme le disait François Pellegrini, un besoin managérial qui impacte l'ensemble des activités de l'entreprise.
00:22:54 Donc, d'abord, je voudrais remercier Mme Burgala pour son invitation pour cette conférence.
00:23:00 Donc, quelques incidents remarquables que j'aime bien citer.
00:23:06 Celle qui est assez remarquable, qui est celle de TV5Monde.
00:23:09 TV5Monde, vous avez un outil de production de l'image audiovisuelle de télévision qui est mondial
00:23:17 et qui est impacté à cause d'une manipulation sur Twitter.
00:23:21 Alors, cela est possible parce qu'il y avait une absence totale de politique de sécurité des systèmes d'information.
00:23:27 Donc, pas de management de la sécurité de l'information dans la structure de TV5Monde.
00:23:33 Pas de culture de sécurité des employés de TV5Monde et pas de cloisonnement entre les usages.
00:23:40 Donc, on n'utilise pas un compte Twitter personnel pour faire de la communication d'entreprise.
00:23:45 Stuxnet, vous pouvez vous documenter sur Internet à propos de Stuxnet,
00:23:51 qui est une attaque remarquable et qui a nécessité des besoins étatiques.
00:23:56 Je ne rentrerai pas dans les détails.
00:23:59 Simplement, on remarque à nouveau qu'avec profusion de moyens de deux États assez pointus
00:24:05 en termes de pénétration de systèmes d'information,
00:24:08 il a fallu simplement l'utilisation d'une simple clé USB pour dérégler les automates
00:24:15 des centres réfugieuses d'enrichissement d'uranium de l'Iran,
00:24:19 qui sont basés sur des technologies Siemens.
00:24:22 Des petites choses remarquables de 2007,
00:24:26 la fuite des Volt 7 et Volt 8,
00:24:32 qui sont des failles finalement gardées secrètes par la CIA
00:24:36 pour pouvoir manipuler des ordinateurs Windows.
00:24:39 WannaCry, vous avez dû entendre parler, c'est un cheval de Troyes
00:24:44 qui a été au départ attrapé par son utilisateur, son premier utilisateur,
00:24:50 par un simple courrier.
00:24:52 Le problème de WannaCry, c'est qu'il s'est mis à chiffrer les données des ordinateurs
00:24:57 et à se proposer d'ordinateur en ordinateur
00:24:59 pour faire finalement 250 000 victimes dans 150 pays.
00:25:04 Dans le giron français, on a Renault, Toyota, bon ça c'est japonais, Saint-Gobain.
00:25:11 Saint-Gobain a dû apprendre à faire fonctionner toute sa production avec crayon papier.
00:25:16 Ça s'appelle un plan de continuité d'activité, un PCA.
00:25:20 Ils savent faire maintenant.
00:25:23 L'ensemble du système hospitalier anglais aussi a été touché par WannaCry.
00:25:29 Il y a eu une variante le mois d'après qui s'appelait NoPetya,
00:25:32 où qu'au départ les éditeurs d'antivirus pensaient être du WannaCrybis.
00:25:36 Et en fait la grande différence entre NoPetya et WannaCry,
00:25:39 c'est que pour WannaCry on demande une rançon
00:25:43 et on obtient une clé de déchiffrement pour récupérer ces fichiers chiffrés.
00:25:48 Pour NoPetya, il n'y a pas de possibilité de recouvrir ces fichiers.
00:25:52 Donc c'est de la destruction en fait.
00:25:54 Mais le temps qu'on s'en aperçoive, tout ça a été masqué.
00:25:57 Donc ça a été déclaré comme arme de guerre par l'OTAN.
00:26:01 En mai, on a eu droit à des piégeages de logiciels dits gratuits
00:26:06 via les moteurs de recherche, type Google ou autre,
00:26:10 et des liens piégés sur Facebook.
00:26:13 Donc là on est sur l'usage.
00:26:17 Ça c'est WannaCry, une cartographie de la progression de WannaCry dans le temps.
00:26:21 En bleu on a l'accumulation des ordinateurs infectés par WannaCry,
00:26:26 et en jaune ou en orange on a la quantité d'ordinateurs qui se rajoutent au total.
00:26:33 Vous remarquerez le creux,
00:26:35 ça c'est quand il y a eu le bruit médiatique autour de WannaCry,
00:26:38 et puis après la reprise des activités.
00:26:42 Donc vous voyez bien que ce n'est pas un problème d'informatique,
00:26:44 c'est un problème de "est-ce qu'on s'en occupe ou est-ce qu'on ne s'en occupe pas ?"
00:26:47 Ou est-ce qu'on fait comme Saint-Gobain,
00:26:49 où on se met à lancer la production avec crayon-papier ?
00:26:52 Ne vous inquiétez pas, ce n'est pas fini,
00:26:54 puisqu'en fait il y a techniquement ce qu'on appelle un switch.
00:26:57 Donc ça veut dire que dans le code du virus WannaCry,
00:27:01 il y avait un petit bouton pour éteindre.
00:27:03 Et ce petit bouton était simplement l'existence ou non
00:27:06 d'un domaine, d'un domaine comme UniftyRepo,
00:27:10 un domaine bidon acheté.
00:27:12 Et là il suffit de bloquer ce domaine
00:27:14 pour que tout d'un coup WannaCry ne fonctionne plus.
00:27:17 Aujourd'hui WannaCry existe toujours,
00:27:19 il se propage toujours.
00:27:21 Pourquoi est-ce qu'il se propage ?
00:27:22 Parce qu'il exploite des failles de système Windows
00:27:26 non mis à jour.
00:27:28 Parce qu'on trouve ça trop coûteux
00:27:30 de mettre à jour des systèmes Windows.
00:27:32 Le problème ce sera,
00:27:33 qu'est-ce qui se passera quand le fameux nom DNS
00:27:37 va revenir, le nom de domaine ?
00:27:39 Vous avez X centaines de milliers de machines infectées
00:27:42 qui pour l'instant ne chiffrent pas le contenu de leurs disques durs,
00:27:45 qui vont se mettre à chiffrer leurs disques durs.
00:27:49 Parce qu'on ne s'est pas occupé de ces machines.
00:27:52 Donc la question finale est,
00:27:54 combien est-ce que cela va-t-il coûter en fin de compte ?
00:27:58 Combien est-ce que ça aurait coûté
00:28:00 si on s'en était occupé au départ ?
00:28:02 2013, un cas remarquable de Yahoo
00:28:08 qui se fait trurander de 1 milliard de comptes.
00:28:11 Donc on a une sécurité qui est en place
00:28:14 et pourtant qui se fait quand même voler
00:28:16 violer 1 milliard de comptes.
00:28:22 Que peut-on remarquer ?
00:28:25 L'absence de chiffrement.
00:28:26 Donc ça veut dire qu'on s'est contenté de mettre 2 cloisons de plâtre
00:28:29 et puis si les données fuitent, ce n'est pas grave.
00:28:33 Deep Root Analytics,
00:28:35 1,1 milliard de données des lecteurs
00:28:40 qui fuitent à cause d'une absence de chiffrement.
00:28:43 Alors quand on dit directement, indirectement, identifiable,
00:28:47 on pense à croisement de bases de données.
00:28:50 C'est ce qui s'est passé pour le cadre de rançonnement d'Apple
00:28:57 lorsque le groupe turkish Crime Family
00:29:01 a croisé des bases de données qu'il a finies par accumuler
00:29:04 et reconstitué un ensemble de fichiers clients.
00:29:10 Là vous avez un cas intéressant,
00:29:13 c'est très mignon,
00:29:14 mais ça fait peur parce que ça touche nos enfants.
00:29:17 Donc on conçoit des objets qui collectent des données,
00:29:22 on ne sait pas comment,
00:29:24 et puis ces peluches sont hackables, on peut les attaquer
00:29:27 et on peut même s'amuser à diriger son enfant
00:29:31 pour aller ouvrir la porte d'entrée
00:29:34 parce que la peluche lui parle.
00:29:36 Donc il propose d'aller ouvrir la porte d'entrée
00:29:38 si on est son ami.
00:29:41 Ça c'est Strava,
00:29:42 donc si vous faites du jogging et que vous utilisez de l'équipement Strava,
00:29:45 ça permet d'identifier,
00:29:47 là c'est aux Etats-Unis mais c'est pas mal aussi au Moyen-Orient,
00:29:50 les bases des militaires des Etats-Unis.
00:29:54 On a la même surpeau en fait, et Bordeaux,
00:29:57 ça c'était hier.
00:30:00 Donc ça c'est de la géolocalisation
00:30:02 qui est enregistrée par Strava,
00:30:04 avec votre consentement bien sûr.
00:30:08 Donc là c'est le petit mot du...
00:30:10 Donc vous avez le Forum international de la cybersécurité
00:30:12 qui se tient à Lille,
00:30:14 il vient de finir, c'était le 22 janvier,
00:30:16 qui est un forum très intéressant,
00:30:18 en 2016 il y a eu le mot du délégué ministériel
00:30:20 aux industries de la sécurité et la lutte contre la cybermenace,
00:30:24 qui nous explique qu'en fait,
00:30:28 on se projette vers une...
00:30:30 on parle d'industrie 4.0, de Smart City,
00:30:32 d'impression 3D, d'intelligence artificielle,
00:30:36 que la digitalisation du monde est en marche
00:30:39 et constitue aux yeux de nombreux observateurs
00:30:41 une troisième révolution,
00:30:43 après l'invention de l'imprimerie,
00:30:45 et la révolution industrielle.
00:30:47 La transformation qui en résultera
00:30:49 ne pourra reposer au-delà du caractère innovant
00:30:51 que sur des bases de sécurité et de confiance.
00:30:54 Sécurité parce qu'on ne le bâtit pas sur du sable,
00:30:57 et confiance parce que l'usage qui sera fait
00:30:59 des technologies et des données qu'elles véhiculent
00:31:02 ne doit pas être mis entre toutes les mains.
00:31:04 Donc Security by Design,
00:31:06 sécurité pensée dès la conception,
00:31:08 ça fait partie du RGPD,
00:31:10 tel est l'enjeu pour les années à venir.
00:31:15 Voilà, donc ici je vous fais un petit slide
00:31:18 sur l'organisation de la sécurité
00:31:20 des systèmes d'information en France,
00:31:22 au niveau étatique.
00:31:24 Très simplement, vous avez,
00:31:26 depuis 2013 en fait,
00:31:28 à peu près,
00:31:30 l'Agence Nationale de la Sécurité
00:31:32 des Systèmes d'Information,
00:31:34 qui dépend du Secrétaire Général de la Défense
00:31:36 et de la Sécurité Nationale,
00:31:38 et directement du Premier Ministre.
00:31:40 Avant, ce service était une simple direction centrale,
00:31:43 et elle n'avait pas d'autorité
00:31:45 sur l'ensemble des ministères.
00:31:47 Là, elle a autorité sur l'ensemble des ministères,
00:31:49 elle propose des règles à appliquer pour la protection
00:31:51 des systèmes d'information de l'État,
00:31:53 elle vérifie la bonne application de ces mesures,
00:31:56 elle accompagne les opérateurs d'importance vitales,
00:31:59 alors qu'est-ce qu'un opérateur d'importance vitale ?
00:32:02 C'est tout ce qui concourt au bon fonctionnement du pays,
00:32:05 donc ça va être l'énergie, les transports,
00:32:08 ça va être les banques,
00:32:10 des acteurs de ce type.
00:32:12 Elle forme les professionnels,
00:32:14 qualifie des produits,
00:32:16 des produits sensibles comme les cartes à puce,
00:32:18 les lecteurs de cartes à puce,
00:32:20 les logiciels de chiffrement,
00:32:22 les pare-feux.
00:32:24 Vous avez un lien en dessous.
00:32:26 Sous chaque ministère,
00:32:29 là j'ai pointé celui de l'Enseignement supérieur à la Recherche,
00:32:31 mais c'est pareil pour chacun des ministères,
00:32:33 vous avez un service du haut fonctionnaire de défense et de sécurité,
00:32:36 celui qui va s'occuper d'appliquer les mesures Vigipirate, par exemple.
00:32:39 Mais dans celui de la Recherche,
00:32:41 ça va être aussi la protection du potentiel scientifique et technique,
00:32:45 donc tout ce qui est laboratoire de recherche.
00:32:47 Et dans ce service,
00:32:49 il y a le fonctionnaire de sécurité des systèmes d'information,
00:32:52 auquel chaque ministère doit rendre compte,
00:32:55 en termes d'application d'une politique de sécurité de l'État.
00:32:59 Pour vous parler un petit peu de Cyberedu,
00:33:04 Cyberedu est né d'un appel d'offres qu'a lancé l'ANSI en 2014.
00:33:08 Une fois, ça a été remporté par l'Université de Bretagne Noire et Orange Business Service,
00:33:16 qui ont organisé la production d'une mallette pédagogique,
00:33:21 ainsi que cinq colloques pour présenter cette mallette à des enseignants.
00:33:26 Il y a eu cinq colloques de trois jours, 125 enseignants présents.
00:33:32 Cette mallette pédagogique se constitue essentiellement de quatre modules.
00:33:38 Module 1, dont je vais survoler les contenus de notion de base.
00:33:42 Module 2, d'hygiène informatique.
00:33:45 Module 3, qui est plus technique, qui est sur tout ce qui est réseau et application.
00:33:49 Et un module 4, que je vais survoler également, sur le management de la cybersécurité.
00:33:53 Vous avez un lien vers cette mallette pédagogique.
00:33:59 Le module 1, c'est le plan de cours du module 1.
00:34:02 Les enjeux de la sécurité des SI, les besoins de sécurité,
00:34:06 les notions de vulnérabilité, de menace, d'attaque, le panorama des quelques menaces,
00:34:10 le droit des technologies d'information et de communication,
00:34:13 et l'organisation de la sécurité en France.
00:34:15 Je vais simplement regarder, survoler la partie 1, sur ce module de base,
00:34:20 et rappeler un petit peu ce qu'est un système d'information.
00:34:24 C'est un ensemble de ressources destinées à collecter, classifier, stocker, gérer et diffuser les informations,
00:34:31 au sein d'une organisation.
00:34:34 Et le mot clé, c'est "information".
00:34:38 Il ne faut plus qu'on parle d'informatique, il faut bien qu'on parle d'information.
00:34:42 Et c'est aujourd'hui devenu le nerf de la guerre en toutes les entreprises, administrations et organisations.
00:34:47 Donc, le système d'information est un outil qui doit permettre de faciliter les missions de ces organisations.
00:34:54 Bien distinguer, c'est important, les processus métiers,
00:35:04 donc ceux que vous allez exercer, ça peut être des comptables, ça peut être des commerciaux,
00:35:11 ça peut être aussi des informaticiens, qui eux-mêmes ont un métier,
00:35:15 et en dessous, les éléments qui permettent de réaliser ces métiers.
00:35:20 Donc on parle d'actifs primordiaux et d'actifs supports.
00:35:24 Les actifs supports, on va reconnaître la partie un peu informatique, qui est matériel, réseau, logiciel,
00:35:29 mais vous avez aussi les personnes, qui elles-mêmes réalisent ces processus métiers,
00:35:34 sur des lieux qu'on appelle des sites, avec une organisation.
00:35:39 Donc la sécurité du système d'information consiste à assurer la sécurité de l'ensemble de ses biens.
00:35:46 Donc la sécurité a pour objectif de réduire les risques que nous posons sur le système d'information,
00:35:54 et pour limiter leurs impacts sur le fonctionnement et les activités métiers des organisations.
00:35:59 La gestion de la sécurité au sein d'un système d'information n'a pas pour objectif de vous faire obstruction,
00:36:06 donc ce n'est pas un empêcheur de tourner en rond.
00:36:10 Il contribue à la qualité de service que les utilisateurs sont en droit d'attendre,
00:36:15 et garantit au personnel le niveau de protection dont ils ont besoin.
00:36:20 Donc quels sont les enjeux ? Vous avez, en cas de défaillance de cette sécurité, des impacts financiers,
00:36:26 des impacts à l'image ou à la réputation, on en a parlé tout à l'heure,
00:36:31 des impacts juridiques et réglementaires, vous pouvez le poursuivre,
00:36:34 des impacts sur le fonctionnement interne, des impacts organisationnels.
00:36:39 Évolution de l'image du pirate, années 80-90 on voyait ça comme des bidouilleurs,
00:36:48 de nos jours ce sont des structures organisées.
00:36:53 On parle de cyberdélinquance, avec des individus qui sont attirés par l'appât du gain,
00:36:58 des activistes, des gens qui ont des motivations politiques ou religieuses,
00:37:03 des concurrents directs à votre entreprise, des fonctionnaires d'autres états,
00:37:10 ou des mercenaires qui agissent pour des commanditaires.
00:37:14 Alors pourquoi est-ce que les pirates s'attaquent au système d'information ?
00:37:19 Pour des gains financiers possibles, donc ils accèdent à l'information qu'ils peuvent monétiser et revendre,
00:37:26 ça va être des e-mails, l'organisation interne de l'entreprise, des fichiers clients,
00:37:32 des mots de passe, des numéros de compte bancaires.
00:37:35 Pour cela ils vont utiliser des ressources,
00:37:38 donc la bande passante, les espaces de stockage,
00:37:43 donc l'hébergement de musiques, de films piratés, etc.
00:37:46 Ou des réseaux de machines infectées,
00:37:49 donc un virus comme OneAcry ou d'autres types de virus peuvent infecter tout un tas de machines
00:37:55 qu'on va pouvoir piloter de concert pour réaliser des actions de malveillance sur des cibles déterminées.
00:38:03 Donc c'est ce qu'on appelle le déni de service.
00:38:05 Pour faire tomber un site web précis, on peut embrigader des centaines de milliers de machines
00:38:11 et leur donner ordre de consulter ce site et par là même le faire écrouler.
00:38:16 Ça s'appelle un déni de service.
00:38:18 Faire des modifications de données, faire de l'espionnage industriel, concurrentiel ou étatique.
00:38:25 Donc la nouvelle économie en cybercriminalité, vous avez maintenant différents étages d'acteurs.
00:38:32 Vous avez des groupes spécialisés dans le développement de programmes malveillants,
00:38:36 il y a même des outils pour développer des programmes malveillants.
00:38:39 Donc du génie logiciel.
00:38:41 Vous avez des groupes en charge d'exploitation ou de commercialisation de services permettant de réaliser des attaques informatiques.
00:38:49 Donc vous, avec votre carte bleue, vous pouvez acheter du déni de service pour faire tomber un site précis.
00:38:56 Vous avez un ou plusieurs hébergeurs qui vont stocker des contenus malveillants.
00:39:02 Alors soit ils sont malhonnêtes, soit eux-mêmes ont été piratés, ils ne le savent pas.
00:39:05 C'est qu'ils contrôlent mal leur serveur.
00:39:08 Alors je vais encore me faire reprendre.
00:39:12 Des groupes en charge de vente de données, pas volées mais violées.
00:39:16 Principalement des données de cartes bancaires.
00:39:19 Mais maintenant aujourd'hui, on parle de...
00:39:21 Vous avez vu avec mon Accraï, les fichiers vont être chiffrés, si vous voulez les récupérer, on vous fait chanter.
00:39:26 Donc on n'a pas touché à la donnée, enfin on ne l'a pas touchée.
00:39:30 On ne l'a pas extorqué ou violée, enfin on l'a violée.
00:39:35 Enfin pas au sens volé comme c'est dit ici, qui est mal dit ici en fait.
00:39:40 Et bref, on a des intermédiaires financiers pour collecter l'argent dans des réseaux organisés sous forme de mules.
00:39:47 Alors ce slide a été écrit en 2014, aujourd'hui on entend beaucoup parler de Bitcoin.
00:39:51 Donc on va utiliser de la monnaie virtuelle pour se faire rétribuer.
00:39:56 Alors là c'est intéressant, c'est le rapport un petit peu de valeur entre la commercialisation de numéros de cartes bancaires entre 2 et 10 dollars,
00:40:07 la location d'un réseau de machines comme vous disiez tout à l'heure pour faire écrouler un site,
00:40:14 un réseau dit de botnet, ça vient de robot en réseau.
00:40:18 Robot network, botnet, 5 dollars.
00:40:23 Le prix de commercialisation d'un malware, donc on a fabriqué un tout nouveau virus qu'on va vendre sur un marché,
00:40:29 ça va être 2400 dollars.
00:40:32 C'est pas mal.
00:40:35 Alors qu'est-ce qu'on peut avoir comme atteinte à la sécurité ?
00:40:38 Perte, falsification, recopie de données, de personnes, d'entreprises, d'organismes, de laboratoires, d'administrations,
00:40:45 de services régaliens de l'Etat et donc on l'a dit tout à l'heure,
00:40:49 d'opérateurs d'importance vitale en énergie, transport, eau potable.
00:40:53 Impact financier sur des structures comme Bercy, TV5Monde, Renault, Saint-Gobain, on l'a vu.
00:41:00 Impact sur la personne, diffamation, divulgation d'informations personnelles, harcèlement, usurpation d'identité.
00:41:07 Donc ça c'était un rapide survol de tout ce qui est initiation à la cybersécurité dans le module 1.
00:41:16 Là je vais faire un survol du module 4 sur la gestion de la cybersécurité au sein d'une organisation.
00:41:26 Avec deux thématiques principales, c'est comment intégrer la sécurité dans l'organisation
00:41:30 et comment intégrer la sécurité dans les projets.
00:41:33 Je reprends le slide mais là je reprécise des choses parce qu'on parlait d'actifs primordiaux et d'actifs supports.
00:41:41 Pour ceux qui ont vu ou qui vont voir les analyses de risques, je l'ai souligné ici, de biens essentiels et de biens supports.
00:41:50 On revoit les mêmes processus métiers/informations et en dessous les outils qui permettent de les réaliser avec des personnes.
00:41:58 Préambule, les mesures de sécurité à mettre en place dépendent de l'activité, donc il y a un contexte.
00:42:07 De l'organisation, de la réglementation et des contraintes de son écosystème.
00:42:12 Une entreprise n'a pas les mêmes besoins qu'une administration ou qu'un laboratoire.
00:42:18 Afin d'évoluer le niveau de sécurité attendu, les questions suivantes peuvent être posées.
00:42:22 On va voir qu'on parle toujours d'informations et on ne parle pas d'informatique.
00:42:26 Qu'est-ce que je veux protéger ? De quoi je veux me protéger ?
00:42:30 À quel type de risque mon organisation est exposée ?
00:42:33 Ça peut être la concurrence.
00:42:34 Qu'est-ce que je redoute ? Quelles sont les normes qui s'appliquent à mon organisation ?
00:42:38 On peut s'inspirer des normes internationales, l'ISO 27000 et de guides nationaux.
00:42:47 Produits par l'ANSI, l'ECLUSIF, voire de politiques qui s'appliquent à l'État,
00:42:53 mais dont on peut s'inspirer pour son entreprise.
00:42:55 Comme la politique de sécurité des systèmes d'information de l'État,
00:42:59 ou le référentiel général de sécurité.
00:43:01 Un panorama rapide des normes, donc la famille ISO 27000 comprend plusieurs normes.
00:43:11 La 27001 qui permet de définir un système de management de la sécurité de l'information.
00:43:18 Donc comment est-ce qu'on gère cette sécurité de l'information ?
00:43:22 Un code de bonne conduite est décrit dans la 27002.
00:43:26 La gestion des risques est décrite dans la 27005.
00:43:31 Vous en avez une particulière qui passe sur ce slide,
00:43:34 qui est comment on protège dans le cloud les données à caractère personnel,
00:43:38 qui est la 27018.
00:43:40 Donc les normes continuent à être produites,
00:43:43 fait en mesure dans le temps.
00:43:46 Ici, si vous regardez cette pyramide entre l'organisationnel et l'opérationnel,
00:43:53 vous avez l'étalement des différents ensembles de mesures,
00:44:01 en fonction de où elles s'appliquent dans l'organisation ou l'entreprise.
00:44:05 Vous avez tout en bas des choses assez techniques,
00:44:07 comme la sécurité physique et environnementale des salles machines,
00:44:11 une sécurité opérationnelle des machines ou des logiciels,
00:44:14 le chiffrement avec de la cryptographie.
00:44:17 Au-dessus, vous allez avoir la sécurité des communications,
00:44:20 les contrôles d'accès,
00:44:22 comment vous faites l'acquisition ou le développement
00:44:26 ou la maintenance de vos systèmes d'information.
00:44:29 Ici, la relation avec les fournisseurs,
00:44:32 la gestion de la continuité d'activité.
00:44:35 Tout au-dessus, vous voyez, en termes organisationnels,
00:44:38 il faut avoir une politique de sécurité d'information
00:44:41 et il faut organiser la sécurité de l'information.
00:44:44 Avec une gestion des actifs,
00:44:46 vous voyez qu'il y a une relation avec une sécurité liée aux ressources humaines.
00:44:51 Donc vous n'embauchez pas n'importe qui pour faire n'importe quoi
00:44:54 avec n'importe quelle information.
00:44:57 Donc, on rappelle 27002.
00:45:00 Le 27002-2013, c'est la version de l'année 2013,
00:45:04 constitue un code de bonne conduite.
00:45:07 Elle est composée de 114 mesures réparties dans 14 chapitres,
00:45:11 avec différents domaines, organisationnels et techniques,
00:45:15 qu'on voit dans le schéma.
00:45:18 Donc, c'est une approche globale
00:45:20 de la sécurité des systèmes d'information.
00:45:23 La politique de sécurité des systèmes d'information de l'État,
00:45:26 elle regroupe 194 exigences.
00:45:29 Donc, vous voyez qu'on peut aller au-delà des 114.
00:45:32 On peut avoir sa propre version de PCC,
00:45:36 adaptée à son contexte et à son organisation.
00:45:39 L'intérêt de cette norme, en fait,
00:45:44 c'est une démarche rigoureuse et stable dans le temps,
00:45:47 avec l'établissement du contexte,
00:45:50 une définition de comment on va apprécier les risques,
00:45:53 le choix qu'on va faire pour traiter ces risques,
00:45:56 comment est-ce qu'on apprécie, on accepte ces risques,
00:46:00 et comment on communique, et avec quelle concertation
00:46:03 on va gérer ces risques des systèmes d'information.
00:46:07 Et enfin, tout ça ne peut pas fonctionner
00:46:10 si on ne revoit pas régulièrement
00:46:12 ce que votre système d'information évolue.
00:46:15 On découvre des nouvelles failles dans les systèmes qui les portent,
00:46:18 vous avez des nouvelles personnes qui rentrent, d'autres qui sortent,
00:46:21 ou il y a des choses que vous n'avez pas identifiées.
00:46:24 Donc, il faut surveiller, identifier les incidents,
00:46:27 les documenter, les remonter,
00:46:30 et faire une revue des risques, régulière.
00:46:33 Alors, l'avantage de cette démarche,
00:46:36 c'est qu'elle est rationnelle, elle est souple,
00:46:39 c'est-à-dire qu'on est capable de commencer sur un petit périmètre,
00:46:42 et on peut aller sur un périmètre plus large
00:46:45 avec un plus grand niveau de détail.
00:46:48 Les limites de cette gestion des risques,
00:46:51 c'est que l'organisation doit s'approprier cette approche.
00:46:54 Alors, moi, je n'appelle pas ça une limite,
00:46:57 je pense que c'est un prérequis que, dans votre entreprise,
00:47:00 tout le monde sache qu'il faut mettre en place une gestion des risques.
00:47:03 Ça demande de la formation,
00:47:06 une bonne culture de gestion de projet,
00:47:09 et il serait bon d'avoir une cartographie
00:47:12 de votre système d'information.
00:47:15 Il existe des outils qui peuvent vous aider,
00:47:18 il y a la méthode EBIUS,
00:47:21 qui est mise en ligne par l'ANSI,
00:47:24 il y a même le club EBIUS pour faire évoluer la norme,
00:47:27 vous avez l'outil Mehari,
00:47:30 qui est un outil sous tableur,
00:47:33 et puis dans le cadre du RGPD,
00:47:36 la CNIL a produit un outil d'analyse de risque qui s'appelle le PIA,
00:47:39 qui est un logiciel qui s'installe et qui fonctionne très bien.
00:47:42 De rien.
00:47:45 Ne sont dans la méthode d'analyse de risque EBIUS,
00:47:48 on dit qu'un risque est en fait un scénario
00:47:51 avec un niveau donné,
00:47:54 vous voyez les couleurs, je sais qu'il y a beaucoup d'informations,
00:47:57 le rouge de niveau donné renvoie au bas avec gravité et vraisemblance.
00:48:00 On va le revoir dans les slides suivants.
00:48:03 Combiné à un événement redouté, c'est le vert,
00:48:06 avec un ou plusieurs scénarios de menace, c'est le violet.
00:48:09 Le vert, c'est la partie métier,
00:48:12 processus métier, je l'ai rappelé plusieurs fois tout à l'heure,
00:48:15 c'est les biens essentiels.
00:48:18 La partie violette, c'est la partie de l'informaticien,
00:48:21 c'est la partie technique.
00:48:24 Donc, biens essentiels, c'est une information
00:48:27 ou un processus jugé comme important pour l'organisme,
00:48:30 un exemple, le processus de génération
00:48:33 des offres commerciales.
00:48:36 Le besoin de sécurité, c'est des notions extrêmement simples,
00:48:39 c'est la notion de disponibilité,
00:48:42 de confidentialité, d'intégrité.
00:48:45 Je n'ai pas parlé d'informatique.
00:48:48 L'impact, c'est quelle est la conséquence directe
00:48:51 si un besoin de sécurité
00:48:54 n'est pas satisfait.
00:48:57 Par exemple, la dévaluation d'une offre commerciale
00:49:00 peut faire perdre un marché.
00:49:03 Un événement redouté,
00:49:06 ça peut être, donc c'est un scénario,
00:49:09 je vais prendre tout de suite l'exemple,
00:49:12 un journaliste parvient à obtenir le budget prévisionnel
00:49:15 de l'organisme, jugé confidentiel,
00:49:18 c'était le besoin de sécurité,
00:49:21 et publie l'information dans les médias.
00:49:24 Il est très méchant.
00:49:27 Le bien support, c'est le bien technique
00:49:30 sur lequel repose le bien essentiel.
00:49:33 La menace, ça va être, par exemple,
00:49:36 l'écoute passive d'un canal informatique ou de téléphonie,
00:49:39 la modification d'un logiciel,
00:49:42 donc là on est sur la partie technique.
00:49:45 La vulnérabilité, ça va être, comme on a dit tout à l'heure,
00:49:48 une faille dans un système qu'on n'a pas corrigé.
00:49:51 Je vais avancer là-dessus.
00:49:59 Voilà un petit peu la démarche de la méthode.
00:50:02 Et BIOS, on a à gauche la maîtrise d'ouvrage
00:50:05 et les métiers, à droite l'informatique.
00:50:08 On va mettre en correspondance
00:50:11 les biens essentiels, les processus métiers
00:50:14 avec quoi on les réalise d'un point de vue outil technique.
00:50:17 Avec le besoin de sécurité en disponibilité,
00:50:20 intégrité, confidentialité.
00:50:23 L'événement redouté, on l'a vu tout à l'heure,
00:50:26 on va le revoir juste après, c'est ce que redoute le métier.
00:50:29 Et le scénario de menace, c'est l'exploitation d'une faille
00:50:32 d'un système Windows qui n'a pas été corrigé
00:50:35 et qui fait que cet événement redouté se réalise.
00:50:38 Avec, il y a une vraisemblance,
00:50:41 est-ce que c'est possible ?
00:50:44 Oui, le système Windows est exposé 24 heures sur 24 sur Internet.
00:50:47 Une gravité et un impact.
00:50:50 Événement redouté possible, exemple d'événement redouté,
00:50:56 déformation ou avilissement du support de communication,
00:50:59 le site web.
00:51:02 La divulgation de la liste des clients et de leurs coordonnées
00:51:05 et de leurs factures.
00:51:08 La divulgation d'informations confidentielles.
00:51:11 Comme scénario de modas, vous avez comme exemple
00:51:14 la modification de la diffusion du contenu du serveur web.
00:51:17 La version du logiciel web est innumérable,
00:51:20 n'a pas été corrigée et a été attaquée par des pirates depuis Internet.
00:51:23 On est bien sur le technique.
00:51:26 L'accès illicite à la base de données client
00:51:29 en exploitant, il y a une faute de coquille,
00:51:32 depuis Internet des failles connues du système de gestion de bases de données utilisées.
00:51:35 La communication d'informations confidentielles
00:51:38 par un usage non maîtrisé d'un réseau social.
00:51:41 Donc là, on n'est pas forcément sur l'informatique,
00:51:44 mais on est bien sur un canal de communication.
00:51:47 Voilà le type de scénario
00:51:50 qu'on peut reprendre.
00:51:53 Le bien essentiel ici
00:51:56 pour la divulgation d'informations...
00:51:59 Pardon, je reprends.
00:52:02 On est sur le scénario du parti politique.
00:52:05 Le contenu illicite du parti politique est le bien essentiel.
00:52:08 On veut qu'il reste intègre.
00:52:11 En fait, il a été attaqué
00:52:14 puisque le serveur hébergeant ce site avait une vulnérabilité.
00:52:17 Il a été attaqué et diffiguré.
00:52:20 C'est le cas qu'on a écrit tout à l'heure.
00:52:23 Le texte de la diffiguration encourage les visiteurs des sites à voter pour le parti adverse.
00:52:26 Les messages laissés par les attaquants comportent des critiques
00:52:29 sur la sécurité des sites et des slogans à caractère politique.
00:52:32 Donc ça, c'est l'impact.
00:52:35 Compromission de la base de données de l'opérateur.
00:52:38 Le bien essentiel, c'était l'information sur les clients.
00:52:41 Il fallait qu'ils restent confidentiels.
00:52:44 La base de données a été déclenquée.
00:52:47 La base de données a été piratée
00:52:50 et le contenu a été récupéré.
00:52:53 Le cas du soldat.
00:52:56 Le cas d'un raid qui est divulgué sur Facebook.
00:52:59 L'information était confidentielle, même secrète défense.
00:53:02 L'impact aurait pu atteindre les vies humaines.
00:53:05 Il a perdu une bataille. L'annulation du raid.
00:53:08 Vulnérabilité.
00:53:11 Le soldat qui est le bien support.
00:53:14 La menace, c'était la divulgation.
00:53:17 Et donc, il a été maladroit et étourdi.
00:53:20 Ça a été sa vulnérabilité.
00:53:23 Alors, juste pour finir, vous avez ici un outil
00:53:26 qui vous permet de naviguer dans le référentiel
00:53:29 du RGPD, qui s'appelle Data Wise.
00:53:32 On peut rechercher la rubrique sécurité.
00:53:35 Vous voyez qu'en bas et dans le graphique,
00:53:38 ça renvoie vers un ensemble d'informations.
00:53:41 Ici, on peut faire un focus, grâce à cette recherche,
00:53:44 sur l'article 32, sur la sécurité du traitement.
00:53:47 On lit, compte tenu de l'état des connaissances,
00:53:50 des coûts de mise en œuvre et de la nature
00:53:53 de la portée du contexte et des finalités
00:53:56 du traitement, ainsi que des risques.
00:53:59 Pour le droit et les libertés des personnes physiques,
00:54:02 le responsable du traitement et le sous-traitant
00:54:05 mettent en œuvre les mesures techniques et organisées
00:54:08 appropriées afin de garantir un niveau de sécurité
00:54:11 adapté aux risques, y compris aux autres
00:54:14 et selon les besoins.
00:54:17 On est bien dans l'obligation de sécuriser
00:54:20 le système d'information qui contient des données
00:54:23 à caractère personnel.
00:54:26 Voilà.
00:54:29 Journée finie.
00:54:32 On va attaquer dans le vif du sujet.
00:54:35 Ça, normalement, c'est l'écran que vous allez rencontrer
00:54:38 en arrivant au bureau un matin.
00:54:41 Voilà, qu'on soit clair,
00:54:44 ça va vous arriver dans les mois qui viennent,
00:54:47 dans la semaine qui vient, une fois que vous allez
00:54:50 vous retrouver en entreprise. Il y a encore beaucoup
00:54:53 de monde, beaucoup de dirigeants qui se disent
00:54:56 "on verra quand ça m'arrivera". C'est juste une statistique.
00:54:59 Ça va vous arriver. Tout à l'heure, on a entendu
00:55:02 parler de Yahoo qui s'est fait piquer un milliard
00:55:05 de comptes. Vous faites peut-être partie de ce milliard
00:55:08 d'adresses mail. Un jour, ces adresses mail
00:55:11 vont vous revenir avec un virus.
00:55:14 C'est du 100% garanti.
00:55:17 Et vous allez vous retrouver avec ce fameux
00:55:20 problème de rançon moyenne. En croisant les chiffres
00:55:23 de la Chambre de commerce industrie, de la gendarmerie
00:55:26 et de la DGSI, on estime que dans le Bern,
00:55:29 uniquement dans le Bern, il y a à peu près
00:55:32 deux attaques par semaine. Deux attaques réussies
00:55:35 par semaine. Donc encore une fois,
00:55:38 vous allez y avoir droit.
00:55:41 Ça marche très bien. Les virus changent
00:55:44 tous les jours. C'est bien fait.
00:55:47 Bien souvent, les gens
00:55:50 n'appellent pas ou surtout
00:55:53 ne savent pas réagir face à ce genre d'attaque.
00:55:56 Ce qui se passe, c'est que vous allumez votre ordinateur
00:55:59 un matin et vous vous retrouvez avec ce genre d'écran.
00:56:02 Et quand vous allez... Alors là, c'est
00:56:05 info. Ça se voit assez facilement.
00:56:08 Mais quand vous allez essayer de cliquer sur vos applis,
00:56:11 plus rien ne fonctionnera et vous allez vous retrouver avec des dossiers
00:56:14 renommés avec des noms bizarres.
00:56:17 Plus rien ne sera lisible. Et vous allez avoir
00:56:20 ce petit mot sympa qui vous dit "merci de bien vouloir me rappeler"
00:56:23 et puis on s'arrangera pour la suite. Vous allez envoyer un mail
00:56:26 à ce monsieur. Bon là, c'est
00:56:29 "no reply", j'ai mail.com. Et il va vous expliquer
00:56:32 la suite des événements. Il va vous expliquer que vous avez
00:56:35 72 heures en général. 72 heures pour
00:56:38 lui envoyer 5, 10, 15 bitcoins.
00:56:41 D'accord ? On en a parlé tout à l'heure.
00:56:44 Le bitcoin aujourd'hui, je ne saurais pas dire combien il est
00:56:47 aujourd'hui. Combien ? 2008 ? Voilà, 2008.
00:56:50 Petite subtilité, la rançon
00:56:53 elle est négociable. Si jamais vous avez besoin de
00:56:56 payer, c'est négociable.
00:56:59 Donc là, c'est à partir de ce moment-là que la
00:57:02 panique commence à s'installer dans l'entreprise.
00:57:05 Le chef d'entreprise est complètement perdu.
00:57:08 Les collaborateurs sont perdus, ne savent pas trop ce qu'il faut faire
00:57:11 et comment le faire. Et là, il y a plusieurs réactions.
00:57:14 J'ai eu une fois
00:57:17 une personne qui m'a appelé
00:57:20 le jeudi et qui m'a expliqué qu'en fait
00:57:23 ça faisait 4 jours qu'ils étaient vérolés depuis le lundi.
00:57:26 Sauf que l'informaticien qui s'était pris pour un petit génie
00:57:29 essayait de casser le code depuis le lundi.
00:57:32 Pour les spécialistes, c'est de l'AES-256.
00:57:35 Si vous arrivez à casser ça, vous pouvez tout de suite aller bosser
00:57:38 pour la NASA. C'est juste pas possible.
00:57:41 C'est inviolable. Donc ça se casse pas ce code.
00:57:44 Le but du jeu
00:57:47 les mesures préventives. On essaye d'isoler la machine
00:57:50 pour pas que le virus se propage.
00:57:53 Le virus va arriver par mail.
00:57:56 En général, le vendredi soir ça marche bien. La veille des congés ça marche bien aussi.
00:57:59 Vous allez cliquer sur la fameuse pièce jointe
00:58:02 qui dit "demande de devis"
00:58:05 qui ressemble à quelque chose
00:58:08 de facturation, de normal. Vous allez l'ouvrir
00:58:11 parce que vous vous êtes pris l'habitude.
00:58:14 Et puis personne, jamais personne ne vérifie
00:58:17 la véracité des adresses mail. Si je vous envoie une adresse mail
00:58:20 "seb.caste" ou "seb-caste"
00:58:23 vous ne vérifierez jamais si ça vient vraiment de moi.
00:58:26 Donc ça marche très très bien.
00:58:29 J'en veux pour preuve.
00:58:32 À la SESI, on fait une formation pour les créateurs d'entreprises.
00:58:35 Et je leur fais une mini sensibilisation d'une heure.
00:58:38 Et pendant cette sensibilisation
00:58:41 je leur parle de ces virus
00:58:44 et de ces fausses adresses mail.
00:58:47 Et je leur dis que dans les jours qui viennent
00:58:50 une semaine, dix jours, je vais leur envoyer un mail
00:58:53 marqué "demande de devis" dessus et que ce sera un virus.
00:58:56 Croyez-moi ou non, une fois sur deux, ils ouvrent le mail.
00:58:59 Parce que quand on est créateur d'entreprise
00:59:02 et qu'on cherche du business, quand il y a marqué "demande de devis"
00:59:05 vous allez tous ouvrir le mail.
00:59:08 Tout le monde se fait avoir.
00:59:11 Il y a des gens qui expliquent très bien ça.
00:59:14 Il y a des spécialistes du fonctionnement du cerveau qui se sont penchés sur cette problématique.
00:59:17 Et ça fait partie des biais.
00:59:20 Des mauvaises habitudes également qu'on a prises.
00:59:23 Aujourd'hui on manipule tellement l'électronique au quotidien
00:59:26 qu'on ne fait plus attention à la sécurité.
00:59:29 En entreprise, il faut vraiment changer ça.
00:59:32 Il faut sensibiliser le personnel, il faut former le personnel.
00:59:35 Donc la réaction à avoir une fois qu'on a passé le temps de panique
00:59:38 et qu'on a hurlé autour du bâtiment pendant un quart d'heure
00:59:41 parce qu'on ne sait plus quoi faire,
00:59:44 on se pose un petit peu, on appelle son informaticien
00:59:47 qui normalement doit avoir les premières bonnes réactions.
00:59:50 Donc on isole la machine pour empêcher que le virus continue à se propager.
00:59:53 On l'isole du réseau, je veux dire.
00:59:56 Et on l'isole du réseau.
00:59:59 On l'isole du réseau, je veux dire.
01:00:02 On laisse l'alimentation électrique
01:00:05 puisque l'alimentation électrique permettra
01:00:08 aux forensics, à la police et à la gendarmerie
01:00:11 de conserver la preuve, de travailler sur la preuve.
01:00:14 Souvent, on expliquait jusqu'à il n'y a pas longtemps
01:00:17 qu'il fallait surtout tout débrancher et isoler la machine.
01:00:20 On l'isole du réseau et on laisse l'alimentation électrique.
01:00:23 Et ensuite, il va se passer une chose très simple.
01:00:26 Et ensuite, il va se passer une chose très simple.
01:00:29 C'est qu'on va faire une analyse de risque en 2 minutes 30.
01:00:32 C'est qu'on va faire une analyse de risque en 2 minutes 30.
01:00:35 On va voir avec le chef d'entreprise
01:00:38 quelles informations il a perdues.
01:00:41 Et la valeur de cette information-là.
01:00:44 Et la valeur de cette information-là.
01:00:47 Normalement, il a fait une cartographie.
01:00:50 On en a parlé aussi, la cartographie de son système d'information.
01:00:53 Pour l'instant, je ne l'ai jamais vue.
01:00:56 Honnêtement, quand on arrive dans une entreprise
01:00:59 avec des arguments comme ça, on est une charge.
01:01:02 On est une unité de coût, on n'est pas une unité de revenu.
01:01:05 C'est pour ça que j'ai mis cet argumentaire sur le coût de la cyber.
01:01:08 Il ne faut plus le calculer comme ça maintenant.
01:01:11 Il ne faut plus le calculer comme ça maintenant.
01:01:14 Ça doit faire partie des charges de fonctionnement de l'entreprise.
01:01:17 Ce n'est plus une unité de coût.
01:01:20 C'est ce qui va investir dans la sécurité de votre système d'information.
01:01:23 D'ailleurs, l'ANSI préconise entre 3 et 5%
01:01:26 du budget SI à la sécurité.
01:01:29 du budget SI à la sécurité.
01:01:32 Ce qui est déjà pas mal.
01:01:35 Ça fait un peu moins que l'amende de l'ACNIL, si vous ne respectez pas.
01:01:38 Si vous n'êtes pas conformitaire GPD, mais c'est déjà pas mal.
01:01:41 (Propos inaudibles)
01:01:44 (Propos inaudibles)
01:01:47 (Propos inaudibles)
01:01:50 Cette analyse de risque va rapidement nous permettre
01:01:53 de voir où est l'info et quelle info importante a disparu.
01:01:56 de voir où est l'info et quelle info importante a disparu.
01:01:59 Question numéro 2, où se trouve l'information ?
01:02:02 Et là, on demande au chef d'entreprise
01:02:05 de quand date sa dernière sauvegarde.
01:02:08 C'est à ce moment-là en général qu'il y a un gros blanc.
01:02:11 Mon record est de 5 ans.
01:02:14 En septembre 2018, la dernière sauvegarde est datée de 2013.
01:02:17 En septembre 2018, la dernière sauvegarde est datée de 2013.
01:02:20 Tout le monde fait la grimace quand on le dit comme ça.
01:02:23 Dans un amphi, on se dit "Waouh, le boulet !"
01:02:26 Dans un amphi, on se dit "Waouh, le boulet !"
01:02:29 La personne, le chef d'entreprise,
01:02:32 était sûre de lui, sûre de sa procédure.
01:02:35 Il avait mis une procédure en place avec ses collaborateurs.
01:02:38 Il y avait une sauvegarde.
01:02:41 Vous savez, les fameuses disquettes "jour père, jour impère",
01:02:44 toutes ces trucs-là qui datent des années 80.
01:02:47 Il était sûr de lui, et ça marchait.
01:02:50 Il y avait une procédure. Il ne s'est jamais posé la question.
01:02:53 Première grosse erreur,
01:02:56 cette procédure n'a jamais été contrôlée.
01:02:59 Encore une fois, on retombe dans le travers de facilité.
01:03:02 Les sauvegardes, aujourd'hui, ne sont jamais contrôlées.
01:03:05 Personne, il n'y a pas un chef d'entreprise ou un DSI
01:03:08 qui va remonter sa sauvegarde une fois de temps en temps,
01:03:11 tous les 6 mois, et qui va dire "Tiens, au fait,
01:03:14 on va voir si la dernière sauvegarde est intègre, conforme et fonctionne bien."
01:03:17 Ça n'existe pas. Non, je ne veux pas dire ça.
01:03:20 C'est très, très rare.
01:03:23 Donc là, si on reste sur le cas de mon record de 5 ans,
01:03:26 il y a eu un gros blanc.
01:03:29 Et là, on est passé en...
01:03:32 On était déjà en gestion de crise,
01:03:35 mais en gestion de catastrophe,
01:03:38 où on va essayer de récupérer les données
01:03:41 et on commence à discuter avec le hacker
01:03:44 et on lui demande comment ça se passe pour récupérer les données.
01:03:47 Il vous explique qu'il veut des bitcoins.
01:03:50 Vous allez expliquer ça au dirigeant ce que c'est que des bitcoins.
01:03:53 Vous allez lui dire qu'il va falloir créer un compte,
01:03:56 qu'il va falloir qu'il appelle son banquier pour créer un compte pour acheter des bitcoins.
01:03:59 Voilà.
01:04:02 Vous lui dites en même temps qu'il doit parler à ses salariés pour les rassurer.
01:04:05 D'accord ? Parce que tout le monde s'est rendu compte
01:04:08 qu'il se passait quelque chose de bizarre, que l'activité était arrêtée.
01:04:11 J'ai fait que des petites entreprises dans le Bern.
01:04:14 C'était entre 20 et 30 personnes.
01:04:17 D'accord ?
01:04:20 Quand vous avez 30 personnes qui toquent à la porte du dirigeant
01:04:23 et qui demandent ce qui se passe, pourquoi on ne bosse plus,
01:04:26 ça fait bizarre.
01:04:29 Il y a un choc émotionnel,
01:04:32 il y a un choc psychologique qui est énorme à gérer.
01:04:35 Là, le chef d'entreprise, le responsable, il en prend de partout.
01:04:38 D'accord ? C'est très compliqué à gérer.
01:04:41 Donc prévenir l'assureur aussi.
01:04:44 Allez lui expliquer qu'il est obligé d'aller porter plainte.
01:04:47 Mais que vous allez l'accompagner
01:04:50 parce que vous savez très bien que la personne qui va le recevoir
01:04:53 au bureau de police ou de gendarmerie
01:04:56 ne comprend rien à la CBR.
01:04:59 Alors, il faut être honnête, c'est en train de changer.
01:05:02 La gendarmerie est en train de former ses personnels,
01:05:05 ils sont en train de leur parler de CBR,
01:05:08 qu'est-ce que c'est qu'un ransomware, etc.
01:05:11 Ça, c'est en train de changer.
01:05:14 Et pendant tout ce temps-là, la boîte est bloquée, elle est fermée.
01:05:17 Le plus rapide que j'ai réussi à faire, c'est 10 jours.
01:05:20 10 jours sans activité.
01:05:23 De refaire le stock 2 fois, de refaire la peinture,
01:05:26 de ranger le dépôt, de prendre quelques jours de congé,
01:05:29 10 jours, c'est très très long.
01:05:32 Ça peut couler une boîte. Honnêtement, ça peut couler une boîte.
01:05:35 Ensuite, on paye la rançon
01:05:38 et dans les 48 heures,
01:05:41 on récupère ses données.
01:05:44 Ça va assez vite, c'est bien fait.
01:05:47 Il y a pas mal de gens qui maintiennent
01:05:50 qu'une fois que vous avez payé,
01:05:53 les hackers ne rendent pas la clé.
01:05:56 Je ne suis pas d'accord. Pour l'instant, j'ai récupéré la clé à chaque fois.
01:05:59 Il y a une bonne raison, c'est que
01:06:02 si jamais ils ne rendent pas la clé, ils détruisent leur business model.
01:06:05 Tout simplement.
01:06:08 Si jamais ils ne rendent pas la clé, plus personne ne paiera la rançon.
01:06:11 Donc pour l'instant,
01:06:14 j'affirme qu'ils rendent la clé.
01:06:17 Il y a un petit jeu qui est assez...
01:06:20 Pas sympa, pas rigolo,
01:06:23 mais un peu cynique.
01:06:26 15 jours après,
01:06:29 vous recevez un mail
01:06:32 avec un virus dedans, signé du même hacker.
01:06:35 Et il vous dit "je vous avais prévenu".
01:06:38 Sur les faux, je suis intervenu.
01:06:41 Systématiquement, 15 jours après, il est revenu
01:06:44 et en disant "vous n'avez qu'à faire votre sauvegarde, je vous avais prévenu".
01:06:47 "C'est pour votre bien que je fais ça,
01:06:50 vous auriez dû faire une sauvegarde".
01:06:53 On va dire telle quantité d'informations perdues.
01:06:56 Là, en l'occurrence, il y avait 5 ans
01:06:59 de fiches articles.
01:07:02 Il y avait tous les fichiers clients
01:07:05 et il y avait un autre fichier qui avait de la valeur
01:07:08 les prix d'achat.
01:07:11 3 gros fichiers qui, pour lui, avaient beaucoup de valeur.
01:07:14 On a calculé combien de fichiers,
01:07:17 combien de temps ça allait prendre pour tous les ressaisir,
01:07:20 avec le risque d'erreur de saisie.
01:07:23 Ça se comptait en mois,
01:07:26 on avait calculé 3 personnes sur plus de 12 mois.
01:07:29 Au SMIC. Et le risque d'erreur.
01:07:32 Ça coûtait plus cher que la rançon.
01:07:35 Donc la décision a été prise, pour ce cas-là,
01:07:38 de ne pas payer la rançon.
01:07:41 L'analyse de risque est là pour ça.
01:07:44 Si c'est une rançon à 500 euros ou à 50 000 euros,
01:07:47 ce ne sera pas la même.
01:07:50 Alors qu'on soit d'accord, j'assume mon discours,
01:07:53 c'est le discours de Sébastien Casté à la Chambre de Commerce et Industrie de Pau.
01:07:56 Si vous écoutez tous les institutionnels,
01:07:59 ils vous diront qu'il ne faut surtout pas payer la rançon.
01:08:02 Je suis d'accord avec eux.
01:08:05 Mais quand il y a 30 salariés et une boîte à faire vivre ou survivre,
01:08:10 dans la vraie vie, vous payez la rançon.
01:08:13 - Mais au niveau assurance, ça se passe comment ?
01:08:16 - Ça ne se passe pas, en fait.
01:08:19 Les assurances sont en train de prendre,
01:08:22 depuis 1 voire 2 ans,
01:08:25 cette problématique en charge.
01:08:28 Alors il faut faire attention avec les assurances,
01:08:31 ils jouent un peu sur les mots-clés.
01:08:34 Si l'assureur vous rembourse l'intervention d'un cyber-spécialiste
01:08:37 pour vous faire l'audit et vous dire quel virus vous a infecté,
01:08:40 pas la peine de payer, d'accord ?
01:08:43 Donc attention.
01:08:46 Il n'y en a pas beaucoup,
01:08:49 aujourd'hui il y a 2 ou 3 assureurs qui s'intéressent au sujet,
01:08:52 qui deviennent de plus en plus sérieux
01:08:55 et qui ont des clauses de plus en plus solides.
01:08:58 Mais lisez bien les clauses.
01:09:01 - C'est à dire que vous avez des mesures de protection ?
01:09:04 - Exactement.
01:09:07 Les clauses vont être mises en parallèle
01:09:10 des mesures de protection.
01:09:13 Donc première chose à faire,
01:09:16 vigilance du personnel.
01:09:19 On est d'accord que vous allez tous cliquer sur cette fameuse pièce jointe,
01:09:22 néanmoins vous le ferez maintenant, vous serez un peu plus méfiant.
01:09:25 Quoi qu'on vous dise,
01:09:28 il y a des partis des parano qui pensent que les sociétés d'antivirus
01:09:31 sont également les créateurs de virus.
01:09:34 Même si vous pensez ça, maintenez vos antivirus à jour.
01:09:37 Maintenez vos logiciels à jour.
01:09:40 On est d'accord qu'un antivirus
01:09:43 va vous protéger d'un virus qui a déjà été identifié
01:09:46 il y a quelques jours, il y a plusieurs jours,
01:09:49 et que c'est une mise à jour. Le virus qui a été créé la veille,
01:09:52 il ne va pas vous en protéger.
01:09:55 C'est un virus un peu plus vieux.
01:09:58 Et ensuite, la seule solution qu'on a aujourd'hui
01:10:01 pour se protéger du ransomware, c'est la sauvegarde.
01:10:04 La sauvegarde et la sauvegarde.
01:10:07 Il n'y a que ça. On ne sait pas faire autrement.
01:10:10 Alors porter plainte, oui, il faut le faire.
01:10:13 Ça ne va pas vous aider à récupérer votre argent,
01:10:16 on ne va pas retrouver le méchant hacker,
01:10:19 mais ça nous aide à maintenir
01:10:22 des stats et des tendances
01:10:25 sur le type d'arnaque, le type de virus,
01:10:28 le type de technologie,
01:10:31 les tendances géographiques ou temporelles.
01:10:34 On en fait une deuxième qui marche bien aussi,
01:10:43 l'arnaque au président, vite fait.
01:10:46 On va parler d'ingénierie sociale.
01:10:49 En fait, on va récupérer des informations
01:10:52 sur vous, sur vos collaborateurs,
01:10:55 sur l'entreprise. Le but de jeu étant
01:10:58 d'entrer dans l'entreprise par un moyen plus ou moins légal
01:11:01 et d'arriver à vous faire faire un virement
01:11:04 complètement légalement.
01:11:07 Ça marche vraiment très bien.
01:11:10 Je l'ai mis en dessous.
01:11:13 Une expérience locale qui était à New York.
01:11:16 Il y a quand même une personne dans sa boîte
01:11:19 qui a cliqué et qui a fait un virement
01:11:22 de 1,6 million d'euros.
01:11:25 En une fois.
01:11:28 40 personnes virées, la boîte fermée.
01:11:31 Encore une fois, dans un amphi, ça fait sourire.
01:11:34 Dans la vraie vie, ça pique.
01:11:37 Un exemple pas loin qui a bien fonctionné aussi.
01:11:42 Il y a quelqu'un qui s'était...
01:11:45 Quand je tenais ce discours, il y a quelqu'un dans la salle
01:11:48 qui s'était offusqué, qui disait "mais c'est pas normal
01:11:51 que quelqu'un ait une autorisation de virement de 1,6 million".
01:11:54 OK, effectivement. A combien est-ce que vous mettez
01:11:57 votre limitation ? Est-ce que c'est à 500 euros ?
01:12:00 Est-ce que votre comptable a une autorisation de faire
01:12:03 des virements de 500 euros, de 5000 euros, de 50 000 euros ?
01:12:06 Pour vous dire jusqu'où l'ingénierie sociale
01:12:09 est poussée, il y a eu surpeau.
01:12:12 Donc un virement fait le jeudi soir
01:12:15 de 40 000 euros, ce qui était la limite
01:12:18 autorisée par la comptable pour faire des virements.
01:12:21 Le virement est passé sans soulever aucun soupçon.
01:12:24 Et le lendemain, le vendredi,
01:12:27 à nouveau 40 000 euros.
01:12:30 Et là, ils se sont dit "tiens, c'est bizarre quand même".
01:12:33 Deux fois 40 000 euros. Donc celui-là a pu être identifié,
01:12:36 je ne sais plus si c'est par la banque ou par le dirigeant,
01:12:39 mais il a dû le stopper. Sinon, il y a 80 000 euros
01:12:42 qui s'échappaient de l'entreprise comme ça très facilement.
01:12:45 Le principe de base de l'arnaque au président,
01:12:48 c'est monté entre 4 et 6 mois avant l'attaque.
01:12:51 Le hacker va récupérer un maximum d'informations
01:12:56 sur votre société, sur votre fonctionnement.
01:12:59 C'est très très facile. Vous rentrez dans les boîtes
01:13:02 aujourd'hui. Alors déjà, sur Internet, vous avez énormément de choses.
01:13:05 Vous allez sur LinkedIn, vous allez sur société.com,
01:13:08 vous allez sur Facebook. Vous avez énormément d'infos
01:13:11 sur le fonctionnement de l'entreprise. Ensuite, vous allez dans l'entreprise.
01:13:14 Et là, c'est que du bonheur. Vous arrivez avec une petite veste,
01:13:17 une cravate et une petite mallette et vous accédez à pas mal d'informations.
01:13:20 Vous avez le tableau des congés.
01:13:25 Qu'est-ce que je veux d'intéressant ? Dans le hall d'accueil,
01:13:28 vous avez les déplacements.
01:13:31 Jean-François, déplacement au Maroc, prospect, numéro.
01:13:35 Ça, c'était super intéressant.
01:13:38 Vous avez les dates. Donc vous savez que Jean-François, il est en Ukraine
01:13:41 la deuxième semaine du mois d'août.
01:13:44 Très bien. Donc vous prenez quelques infos et en parallèle,
01:13:47 vous prenez contact avec une personne que vous avez
01:13:50 identifiée dans l'entreprise la plus proche possible
01:13:53 de la compta ou la plus susceptible de faire ce fameux virement.
01:13:57 Vous mettez en place une relation intime.
01:14:03 Là, ça devient compliqué
01:14:06 puisqu'on touche dans l'affect.
01:14:09 On touche à l'affect et là, il y a le côté
01:14:12 psycho qui commence à vous remuer un petit peu.
01:14:15 Donc il y a cette relation de confiance qui s'installe.
01:14:18 Vous faites passer pour un prospect, un client, un futur client,
01:14:21 un futur fournisseur.
01:14:24 Et le jour de l'attaque, vous rappelez cette personne
01:14:27 et vous lui dites "Voilà, je suis avec Jean-François,
01:14:30 on est au fin fond de l'Ukraine, on va signer un gros contrat.
01:14:33 C'est le contrat du siècle, si jamais on ne signe pas,
01:14:36 on perd le contrat, on est tous à la rue demain.
01:14:39 Donc il faut absolument faire une avance, voilà le numéro de compte.
01:14:42 Et là, ça marche très très bien.
01:14:45 Vous avez, je vais dire, peut-être pas une personne sur deux,
01:14:48 mais pas loin, qui va faire ce virement.
01:14:51 Vous rajoutez un petit peu, pour rester dans l'affect
01:14:54 et dans le côté psychologique, vous rajoutez du "surtout
01:14:57 tant pas la personne, c'est juste entre nous".
01:15:00 Ça on aime bien, être dans le secret, ça.
01:15:03 Ça renforce un petit peu le lien.
01:15:06 Et ça, ça marche bien. Et vous allez avoir un petit peu
01:15:09 moins d'une personne sur deux qui va faire ce fameux virement.
01:15:12 Et ensuite, c'est trop tard. Après, vous savez, comme dans
01:15:15 les films américains, quand on voit la carte du monde,
01:15:18 ça part dans tous les sens et vous ne retrouvez plus votre argent.
01:15:24 Financiers... Ah oui, image et réputation, j'en ai pas parlé.
01:15:27 Très peu d'entreprises en parlent, de ces attaques,
01:15:30 ransomware ou arnaques aux présidents,
01:15:33 parce qu'on n'est pas fiers, en fait. On s'est fait avoir
01:15:36 et on est persuadés que ça va avoir un impact
01:15:39 sur l'image de l'entreprise.
01:15:42 Ça peut avoir un impact sur l'image de l'entreprise.
01:15:45 Aujourd'hui, on arrive à faire comprendre aux chefs d'entreprise
01:15:48 que c'est normal de se faire attaquer. Ils vont tous se faire attaquer,
01:15:51 donc il y en a de plus en plus qui témoignent.
01:15:54 C'est pour ça qu'aujourd'hui, moi, dans le Baird,
01:15:57 on est capable d'en parler plus facilement.
01:16:00 On les pousse un petit peu à témoigner.
01:16:03 L'image, je ne suis pas sûr que vous perdez en marché,
01:16:06 parce que vous avez Saint-Gobain, on tourne très bien.
01:16:09 D'accord ? Ça marche bien pour eux.
01:16:12 Donc, impact sur les emplois, l'activité, le chiffre d'affaires,
01:16:15 bon, voilà, ça, c'est évident. C'est un gros problème.
01:16:18 C'est pour ça que je suis sûr que vous avez Saint-Gobain,
01:16:21 c'est la personne qui a cliqué sur le... qui a fait le virage.
01:16:24 On est bien, maintenant ?
01:16:27 Non, parce que je ne peux pas encore tenir.
01:16:30 Encore un peu ?
01:16:33 La cartographie, je ne vais pas m'attarder dessus,
01:16:36 parce qu'on en a déjà parlé longuement.
01:16:39 Cartographie, c'est ce qui n'est jamais fait,
01:16:42 mais c'est ce qui vous permettra d'identifier cette information sensible
01:16:45 et stratégique, et ce qui vous permettra de la protéger ensuite.
01:16:48 D'accord ? Si vous ne commencez pas par ce travail de cartographie,
01:16:51 ce sera impossible de la protéger.
01:16:54 C'est toujours très compliqué
01:16:57 d'identifier cette info.
01:17:00 J'ai encore des gens qui me disent "Non, mais moi, il n'y a rien de stratégique chez moi,
01:17:03 il n'y a rien de sensible." C'est faux.
01:17:06 C'est faux. Dans une entreprise,
01:17:09 vous avez tous un savoir-faire, un savoir-être,
01:17:12 qui produit un plan, une recette
01:17:15 qui a de la valeur,
01:17:18 et qui fait vivre l'entreprise.
01:17:21 Ça peut être l'expérience d'un technicien qui est là depuis 30 ans,
01:17:24 ça peut être les plans de la fusée Ariane,
01:17:27 ça peut être votre grille tarifaire.
01:17:30 Il y a forcément une information
01:17:33 qui est à protéger.
01:17:36 Si ça peut vous aider à l'identifier, cette information,
01:17:39 si elle est détruite,
01:17:42 si elle est perdue ou si elle est publiée, si elle est diffusée dans le public,
01:17:45 elle va mettre en mal
01:17:48 l'activité de l'entreprise.
01:17:51 A partir de là, si ça répond oui,
01:17:54 si vous répondez oui à cette question, c'est que c'est une entreprise sensible
01:17:57 et une information sensible qu'il faudra tenter de protéger.
01:18:00 Alors, histoire de faire monter un petit peu la parano,
01:18:03 vol, perte de données ou d'ordinateur, ça j'aime bien.
01:18:06 On n'est pas dans James Bond,
01:18:09 néanmoins on est au 21e siècle et ça arrive.
01:18:12 On n'est pas dans un monde de bisounours.
01:18:15 On va chercher à vous piquer votre information,
01:18:18 on va chercher à vous voler de l'information parce qu'on veut faire du business.
01:18:21 (Rires)
01:18:24 Donc ça, ça arrive.
01:18:27 Alors, c'est pas normal, c'est illégal, néanmoins ça arrive.
01:18:30 Les transports, vous avez tous vu cette fameuse photo
01:18:33 dans le TGV ou dans le Rallis
01:18:36 où on voit quelqu'un en train de travailler sur son ordi
01:18:39 avec en gros marqué "confidentiel" sur sa présentation.
01:18:42 Celui-là, il est bien.
01:18:45 Les hôtels, le Wi-Fi, le Wi-Fi, j'aime beaucoup.
01:18:48 Dites-vous qu'à chaque fois que vous utilisez votre téléphone
01:18:51 et que vous avez un port ouvert vers l'extérieur,
01:18:54 Wi-Fi, Bluetooth, c'est également une porte d'entrée vers votre téléphone.
01:18:57 Alors avoir le Wi-Fi ou le Bluetooth ouvert en continu
01:19:00 à part pour vous pomper les batteries, je vois pas l'utilité.
01:19:03 Ça marche bien parce qu'on est crédules,
01:19:06 parce qu'on n'est pas sensibilisés.
01:19:09 Maintenant que vous allez voir un port USB, vous allez vous méfier.
01:19:12 Mais c'est très bien.
01:19:15 C'est dans une conférence, le meilleur endroit pour récupérer de l'information,
01:19:18 c'est dans un salon ou une conférence.
01:19:21 Les gens sont là pour parler de leur projet.
01:19:24 On peut passer à la prochaine.
01:19:27 C'est bon ?
01:19:30 Ça, c'est les solutions qu'on propose.
01:19:33 Donc beaucoup de formation, beaucoup de sensibilisation.
01:19:36 La partie gestion de crise. Voilà.
01:19:39 (Applaudissements)
01:19:42 (Applaudissements)
01:19:44 [SILENCE]