Newsletter Sécurité 1/07 2016, Au théâtre ce soir

Bonjour,

Le patron de la société JeRiposte, classée parmi les OIV (opérateur d’importance vitale) a connu récemment une cyberattaque aux conséquences très fâcheuses. Cette attaque, violente, a non seulement coûté à sa société une somme coquette, et entaché  sa réputation et celle de ses employés, mais a aussi sapé la confiance que ses clients consacraient à ses produits et services.

Cette cyberattaque s’est produite quelques jours après que sa société a gagné un contrat important sur un marché où elle était en concurrence, en finale, avec la société Jattaque.  Le patron de Jattaque, mauvais perdant, avait très mal pris la chose et s’était même permis de menacer verbalement le patron de JeRiposte. Une semaine après, la cyberattaque sur la société JeRiposte se déclenchait. Son patron souhaite que les choses n’en restent pas là. Il a accumulé des preuves sur le préjudice subit, suite à la cyberattaque, et il a enregistré les traces qu’elle a laissées.

Il est probable, pense-t-il, que le directeur de la société Jattaque soit, si ce n’est l’agresseur, au moins le commanditaire de la cyberattaque. Aussi, accompagné de sa directrice de la communication, il se rend dans un cabinet d’avocat pour voir ce qu’il peut faire pour porter l’affaire en justice et peut-être aussi pour contre-attaquer, mais sans sortir bien sûr des chemins de la légalité. Il est reçu par Maitre Cécile Barbosa, avocate experte dans le droit des technologies du numérique.

Qui seront les acteurs qui joueront le rôle du patron et de la directrice de la com ? C'est une surprise que je vous révèlerai dans ma prochaine lettre. Maitre Céline Barbosa est une vraie avocate au Barreau de Nanterre. Avant de créer son cabinet d’avocat, elle a travaillé chez un OIV.

Cette pièce sera jouée devant vous, pour une représentation unique, au « Lundi de l’IE » de septembre, du Cercle d’Intelligence Economique du Medef Ile-de-France, au 10, rue du Débarcadère Paris 17eme, métro Porte Maillot. « Au théâtre ce soir », titre d’une émission télévisée qui proposait des pièces de théâtre de boulevard qui ont accompagné ma jeunesse, ce sera donc pour le soir du 19 septembre 18h00-20h00. Les inscriptions pour assister à ce spectacle gratuit et ouvert à tous, et même si vous le souhaitez pour intervenir dans cette pièce de théâtre au cours de la session questions / réponses, se font sur http://www.medef92.fr/lundi-de-lie-cybercriminalite-cas-pratiques.html.

Je passe la plume à Maitre Céline Barbosa :

« Les meilleures procédures ne suffiront pas à protéger l’entreprise, ses actifs, ses employés de tout risque cyber. Mais le législateur attend les Opérateurs d'Importance Vitale ("OIV") au tournant. Les entreprises de transport, les usines classées, les opérateurs de réseaux et autres OIV doivent s’attendre à subir un contrôle de leur sécurité et les années 2017-2018 devraient voir émerger des contrôles inopinés.

Toutes les sociétés sont-elles concernées? Toutes les sociétés ne sont pas sont concernées directement par la Loi sur la Programmation Militaire mais toutes les sociétés sont concernées par la sécurité de leurs systèmes d’information ou par la protection de leurs données personnelles ou par la lutte contre le blanchiment d'argent,...

Elles aussi doivent prendre en compte les risques cyber et les risques de contrôle de leur organisation.
Alors, dans ce dédale de textes contraignants, pouvons-nous imaginer des moyens simples de démontrer que l’entreprise a bien intégré dans son organisation les exigences légales et que son personnel adhère bien aux règles de l’entreprise?  C'est bien l'enjeu de toutes ces règlementations, à savoir faire de l'entreprise une organisation "compliant".

Outre, le nécessaire respect des lois et règlements, pourquoi est-ce si important ? Toute absence d’anticipation de ces problématiques retardera l’entreprise dans sa défense, dans la démonstration de sa qualité de victime. L'anticipation, c'est aussi prendre des mesures appropriées. Cet indicateur non quantifié aujourd’hui pourrait se traduire par un désavantage concurrentiel en cas de risque avéré, non anticipé. À travers des cas pratiques et en traitant la question de la preuve, nous essaierons de sensibiliser l’audience à ces questions. »

Je reprends la plume.

Au Lundi de l’IE de mai sur le thème « Le phénomène blockchain, quels enjeux, quels usages ? », pour lequel nous avions enregistré 330 inscriptions ! Henri d’Agrain, directeur du CHECy (Centre des Hautes Etudes du Cyberespace) et les trois groupes de travail dans lesquels les auditeurs de CHECy ont planché cette année (bitcoins, blockchains et DAO) nous ont fait un survol remarquable de ces technologies disruptives. Tout aussi remarquable est le compte-rendu de cet évènement, écrit par un de mes brillants élèves du MBA Management de la Sécurité des Données Numériques, Lilian Berruyer. Vous pouvez télécharger son compte-rendu très complet, avec également les slides utilisés par les auditeurs du CHECy sur http://www.medef92.fr/lundi-de-lie-enjeux-phenomene-blockchain.html

Bien sûr ces documents ne remplaceront ni le plaisir d’avoir assisté à cet évènement, avec l’ambiance particulière de nos « Lundi de l’IE », ni la possibilité d’avoir pu poser vos questions et d’avoir obtenu les réponses, et d’avoir pu pratiquer le réseautage, mais bon, ne ratez plus les « Lundi de l’IE » suivants. Le compte-rendu du Lundi de l’IE de juin, où Madame le commissaire divisionnaire Anne Souvira nous a présenté la cybercriminalité basée sur l’ingénierie sociale, est en cours de rédaction.

Pendant que nous organisions des évènements pour vous permettre de rester à l’état de l’art de ce qui se fait de plus pointu dans le cyberespace, dans la nuit du 16 au 17 juin 2016, l’inimaginable s’est produit. L’exploitation d’une faille dans le code d’un « smart contract » d’une organisation autonome décentralisée (TheDAO), fond d’investissement participatif et mutualisé qui repose sur une blockchain Ethereum et une cryptomonnaie appelée l’ether, a permis à un petit malin, anonyme et malveillant, en émettant un appel récursif, autorisé, sans doute à tort, par le code des smart contracts, de siphonner  3,6 millions d’ethers, soit le tiers des 150 millions de dollars récoltés par ce fond d’investissement ! Par le jeu des délais pour transformer les éthers en monnaie réelle, les mineurs de cette blockchain ont jusqu’aux alentours du 14 juillet pour trouver une solution, avant que le petit malin ne puisse concrétiser le fruit de son cyber larcin. Acte de malveillance ? Oui sans doute. Acte illégal ? Pas sûr car dans une blockchain ethereum, le contrat EST la loi, et personne en central n’est là pour décider. Acte alégal ? A discuter … Ceci met en question la confiance et peut être même l’existence de cette blockchain.

Jacques Baudron, administrateur de l’association Forum ATENA, dans le cadre de cette association, organise un grand évènement sur les blockchains autour du thème « La blockchain a-t-elle les moyens de ses ambitions ? », le mardi 5 juillet 14h30-18h00 à l’ISEP, 10 Rue de Vanves, 92130 Issy-les-Moulineaux (tout près du métro Corentin Celton - ligne 12). Un survol des différentes blockchains (Bitcoin, Ethereum, …) par Jacques Baudron sera suivi de deux tables rondes « mécanismes de la blockchain » et « usages de la blockchain » qui vont réunir des personnalités de rêve. J’éprouverai l’ivresse de présider la première table ronde. La deuxième sera présidée par Maitre Olivier Iteanu, avocat au barreau de Paris, dont vous avez peut-être déjà goûté à ses mémorables et doctes présentations et ses très instructifs écrits. Nous sommes en plein dans la tourmente de l’affaire TheDAO ; nous aurons ainsi l’occasion de l’analyser sur ses aspects techniques et juridiques.

Pour vous inscrire à cet évènement gratuit, c’est en http://www.forumatena.org/conference-blockchain-2016

Dans la première table ronde, il y aura Louis Pouzin qui n’en est pas à une technologie disruptive près. L’une d’elle fut … le datagramme qui a rendu possible l’Internet dans les années 60. La blockchain sera-t-elle aussi disruptive que l’a été Internet, puis le web ? Et puis … d’après mes antennes, Louis est actuellement sur une autre technologie nommée "RINA" qui pourrait redistribuer les cartes. Nous l'avions abordée, il y a quelques années dans la série des évènements de l'atelier sécurité de Forum ATENA qui exploraient l'Internet du futur. Aujourd'hui RINA continue, plus que jamais. C'est en http://www.forumatena.org/quel-futur-pour-le-socle-de-l-internet.

Recevez-vous la newsletter de Forum ATENA ? Attention, ce n’est pas cette lettre de l’atelier sécurité de Forum ATENA que vous lisez actuellement. Des floraisons d’informations utiles s’y alignent tous les mois. Pour la recevoir, laissez simplement votre adresse sur le bandeau de droite du web de Forum ATENA, rubrique « News Forum Atena ». J’y ai ouvert deux rubriques que j’approvisionne chaque mois. L’une « La cryptologie expliquée à mon voisin qui n’y connait rien mais qui voudrait savoir », j’en suis à mon troisième article. J’ai initialisé, dans la lettre de juin, une deuxième rubrique : « Les formations de l’enseignement supérieur en sécurité des données numériques ». Je donne la plume, chaque mois à un directeur de Master/ Mastère/ MBA/ CES qui nous expliquera la finalité et les points forts de son enseignement en sécurité du numérique. J’ai commencé par les Cht’is avec le nouveau mastère spécialisé « Ingénierie de la sécurité » de Télécom Lille, présenté par son directeur, Boulbaba Ben Amor. Les newsletters déjà parues de Forum ATENA se trouvent en http://www.forumatena.org/newsletters-FA

Alors on se dit au 5 juillet ?

À bientôt

Gérard Peliks

Président de l'atelier sécurité et vice-président de Forum ATENA

AGENDA