Newsletter Sécurité 20/08 2016, Contre attaquer légalement suite à une cyberattaque ? Mais comment ? Contre qui ?

Bonjour,

Pour notre prochain « Lundi de l’IE » du Cercle d’Intelligence Economique du Medef Ile-de-France, le lundi 19 septembre de 18h00 à 20h00, sur la scène du 10 rue du Débarcadère – Paris 17e, près de la Porte Maillot, nous frapperons les trois coups. Ce Lundi de l’IE sera, disons … « un peu particulier ». Nous vous convions à une grande soirée spectacle gratuite, inspirée de l’émission « Au théâtre ce soir » qui faisait les délices, dans mon enfance, des téléspectateurs pour qui l’étrange lucarne, en noir et blanc, était alors un vrai spectacle qu’on goûtait en famille. Bien sûr ces émissions ont suscité bien des vocations de comédiens et notre pièce de théâtre, sur un scénario très réaliste et pédagogique, sera jouée par des acteurs que je vous fais ici en partie découvrir (sauf un).

Si vous étiez parmi les nombreux participants au Lundi de l’IE de mai sur les blockchains, vous avez pu apprécier les intervenants des trois tables rondes composés par des auditeurs du CHECy (Centre des Hautes Etudes du Cyberespace, à Versailles) présidées par leur Directeur général Henri d’Agrain. Vous découvrirez, à notre Lundi de l’IE de septembre, une autre facette du talent d’Henri d’Agrain qui dirige une troupe de théâtre « La compagnie du potager ». Il jouera le rôle du patron d’une société, sous-traitante d’une société classée parmi les Opérateurs d’Importance Vitale (OIV), qui a subi une attaque destructrice venue du cyberespace. Il pense savoir d’où elle vient, il a accumulé les preuves. Le patron d’une société concurrente, mauvais perdant d’un appel d’offre gagné récemment par l’entreprise d’Henri d’Agrain, avait décidé de se venger, c’est certainement lui l’agresseur. Henri a décidé de contre attaquer pour régler son compte à ce salopard, mais comment ? Par une cyber contre-attaque ? Par une action en justice au pénal ? Au civil ? Car, de nos jours, pas question de le provoquer en duel …

Accompagné par sa directrice de la communication, Il va demander conseil à un cabinet d’avocats. Sa réaction doit être connue, faire écho le plus largement possible, nuire à l’adversaire, mais en restant dans les limites permises par la loi. Le rôle de la directrice de la communication sera joué par Béatrice Laurent, qui est, dans le monde réel, Secrétaire générale du Carré des Entrepreneurs. Si vous avez déjà assisté à un des « Lundi de l’IE » mensuels que nous organisons, Béatrice et moi, depuis plusieurs années, vous découvrirez à ce Lundi de l’IE une autre facette de sa personnalité, car Béatrice est une passionnée de théâtre.

L’avocate qui va recevoir le patron et sa directrice de la communication, jouera le rôle du métier qu’elle exerce dans la vie réelle. Maitre Céline Barbosa est avocate à la Cour, au barreau des Hauts-de Seine, et auteure du scénario de la pièce que nous allons vous jouer, dans une unique représentation. Elle a réellement travaillé chez un OIV avant de créer le cabinet d’avocats Incentact, à Neuilly (http://www.incentact.fr/).

Je lui laisse la plume :

« La pièce permet de pousser à l'extrême la manière de penser des patrons et l'expression de leurs convictions. La séance leur donnera des axes de réflexion pour leur organisation qui doit s'adapter aux nouvelles contraintes. Actuellement, les personnes qui doivent appliquer les lois et règlements (il y en a un paquet), ou les responsables informatiques, ont du mal à démontrer à un patron l'importance des sujets.

Les responsables informatiques qui viendront aujourd'hui, seuls, voir leur DG en leur demandant des moyens supplémentaires sans faire peur au DG, n'obtiendront rien. Il faut approcher les patrons avec des problématiques liées au business et au contrôle interne. »

Je reprends la plume :

Le patron n’a pas cru bon de se faire accompagner par son directeur sécurité. Pour lui, attaque et riposte sont des actes d’ordre humain plutôt que technique. Il a tort évidemment, nous le verrons. Et se produira vers la fin un coup de théâtre, avec la montée sur scène d’un quatrième acteur. Mais je ne vous dévoile pas cette fin inattendue. Qui viendra, verra.

Quand le rideau sera tombé, plusieurs questions auront trouvé une réponse : Quelles sont les obligations spécifiques d’un OIV (Opérateur d’Importance Vitale) après une agression, en matière de communication ? Peut-on contre attaquer légalement si on pense être sûr de savoir qui est son agresseur et dans quelles limites ? Quelles peuvent être les conséquences d’une cyberattaque, en perte de confiance sur le personnel ? Qui accuser en interne ? Faut-il virer un employé trop naïf, ou trop maladroit avec sa messagerie et les réseaux sociaux, par qui l’agression a trouvé son chemin ? Que faire en légal suite à une cyberattaque pour en diminuer les effets ? Quelle est l’importance, la solidité et la recevabilité de la preuve ? Et vous pourrez alors poser vos questions aux acteurs, redevenus experts chacun en leur domaine.

Spectacle, pardon évènement, gratuit comme tous nos « Lundi de l’IE », inscription obligatoire en : http://www.medef92.fr/lundi-de-lie-cybercriminalite-cas-pratiques.html. Mais contrairement aux pièces de théâtre, cette représentation sera unique.

Comment ne pas aborder dans cette lettre le tragique évènement qui a frappé la population qui venait d’assister au feu d’artifice du 14 juillet 2016, à Nice, sur la Prom. ? Je précise que je suis Niçois, je suis né à Nice, j’y ai passé mes vingt premières années, et j’y passe le plus souvent mes vacances. Les images de ce camion fou lancé sur la foule parmi laquelle des bébés, des familles, des vieillards, des personnes qui venaient pour se distraire et célébrer notre fête nationale ponctuée par un feu d’artifice qui illuminait la colline du château, m’ont particulièrement affecté dans ce paysage qui m’est si familier.

Les idées nauséabondes, insufflées à l’assassin au volant du camion, peuvent se transformer en horreur chez les esprits tourmentés et influencés. Et les victimes sont aussi les entreprises qui parfois ne se remettent pas d’un acte terroriste commis près de chez elles. J’ai remarqué qu’il y avait moins de monde, à Nice, depuis l’attentat. Depuis quelques mois, dans le cadre du Cercle d’Intelligence Economique du Medef Ile-de-France, en particulier sous l’impulsion de Bernard Besson, romancier et ex haut fonctionnaire au ministère de l’Intérieur, nous avons choisi le thème général de notre grand colloque annuel : L’entreprise et les attentats : Faire Face ! Ce colloque est organisé par le Medef Ile-de-France avec la participation de l’association Forum ATENA. Des tables rondes réuniront des autorités en la matière. Ce sera le lundi 28 novembre, toujours au 10 rue du Débarcadère Paris.

Une manière de faire face à la menace est de se rapprocher de la réserve citoyenne ou opérationnelle. Le terrorisme, cyber ou pas, nous concerne tous ; nous avons ensemble une réponse à donner pour préserver nos désirs de liberté, d’égalité et de fraternité. L’appel à rejoindre la réserve, pour lutter contre l’inhumanité, me parait être un acte citoyen. Attention tout de même à ne pas nous tromper de cible, c’est ce qu’espèrent nos ennemis. Le problème de la difficile attribution d’une attaque sera d’ailleurs un de ceux évoqués dans notre Lundi de l’IE de septembre.

Quelques mots maintenant sur notre Lundi de l’IE d’octobre, le lundi 17 octobre 18h-20h sur le thème du Bug Bounty (prime au bug) qui est la recherche des vulnérabilités présentes dans les applications des clients qui demandent un audit de sécurité. Les aspects techniques et juridiques seront abordés par deux intervenants. Interviendront une juriste, Maître Isabelle Landreau avocate à la Cour, au barreau de Paris, fondatrice du cabinet d’avocats « droitdanslemil »,  et un expert technique Yassir Kazar qui a créé son entreprise Yogosha pour en faire son métier. Isabelle et Yassir sont aussi membres de l’ARCSI, Association des Réservistes du Chiffre et de la Sécurité de l’Information (ARCSI), deux excellents experts à venir écouter.

Notre Lundi de l’IE de juin a donné la parole à madame le commissaire divisionnaire Anne Souvira, qui a dirigé la BEFTI (Brigade d’Enquête sur les Fraudes liées aux Technologies de l’Information), maintenant conseillère pour les questions de cybercriminalité auprès du préfet de police de Paris. Ce Lundi de l’IE, sur le thème « Prévenir les escroqueries réalisées grâce à l’ingénierie sociale » a fait l’objet d’un excellent compte rendu de Pierre-Marie Lore, un de mes élèves du MBA Management de la Sécurité des Données Numériques de l’Institut Léonard de Vinci – Paris La Défense. Ce compte-rendu ainsi que les supports de présentation de madame Anne Souvira sont téléchargeables en : http://www.medef92.fr/lundi-de-lie-ingenierie-sociale.html

Autre initiative, qui va dans le sens d’une prise de conscience que le cyberespace est un monde qu’il faut savoir maîtriser pour diminuer les risques qui pèsent sur les données numériques, la création récente de l’association CyberEdu. Le dernier Livre blanc de la Défense et la sécurité nationale (2013-2018) a fait le constat qu’il n’est pas acceptable que des étudiants en informatique, niveau Bac+3 et Bac+5 sortent de leur cursus sans jamais avoir entendu parler de sécurité du numérique, parce que leurs enseignants ne leur en ont pas donné les bases. Par manque de sensibilisation à la sécurité, les programmeurs laissent, sans en être conscients, des vulnérabilités béantes dans les applications qu’ils développent. Des gestionnaires de bases de données, ou de lacs de données dans le cas du Big Data, qui n’ont pas entendu parler de chiffrement, ne se soucient pas de la confidentialité et de l’intégrité des données numériques qu’ils gèrent. Et pourquoi s’en soucieraient-ils s’ils n’ont jamais entendu parler de cryptologie ? Pour apporter une réponse à ces problèmes gravissimes, l’ANSSI a produit à l’intention des enseignants en informatique, avec l’Université européenne de Bretagne et Orange, des supports de cours et animé des colloques pour que ces enseignants incorporent au moins un minimum de notions de cybersécurité dans leurs enseignements.

À l’initiative de l’ANSSI, l’association CyberEdu que j’ai l’honneur de présider, regroupant essentiellement des universitaires à Paris et dans toutes les Régions de la France métropolitaine (pour commencer), a été créée pour prendre le relais sur le projet CyberEdu. Des informations sur cette association se trouvent sur http://www.cyberedu.fr/ et un podcast a été tourné par NoLimitSecu avec, au micro, Olivier Levillain, directeur du Centre de Formation à la Sécurité des Systèmes d’Information (CFSSI) de l’ANSSI et secrétaire adjoint de l’association CyberEdu.

C’est en : https://www.nolimitsecu.fr/cyberedu/

Vous informer, vous faire connaître les diverses facettes de la cybersécurité, utiliser notre savoir-faire pour contribuer à faire-savoir comment combattre les attaques venant du cyberespace et diminuer les risques qui pèsent sur vos données numériques, tels sont les buts de nos évènements et des documents que nous produisons.

À bientôt, et ne ratez pas notre pièce de théâtre, le lundi 19 septembre à 18h00. Il n’y aura qu’une seule représentation.

Gérard Peliks

Président de l’atelier sécurité et VP de Forum ATENA

AGENDA

  • Lundi 19 septembre 18h00 à 20h00 10 rue du débarcadère Paris, Lundi de l’IE  de septembre – Spectacle théâtral : Relever le défi de la cybercriminalité dans les organisations, cas pratiques - http://www.medef92.fr/lundi-de-lie-cybercriminalite-cas-pratiques.html

  • Mercredi 28 septembre 9h00 à 12h30 : Medef national, avenue Bosquet Paris 7e, conférence CES - 3 : What’s NEXT ? en prélude au CES (Consumer Electronics Show) 2017 - Las Vegas. Contact : Xavier DALLOZ <dalloz@dalloz.com>

  • Lundi 17 octobre 18h00 à 20h00 : 10 rue du débarcadère Paris, Lundi de l’IE  d’octobre – Le Bug Bounty ou la recherche de failles dans les applications des clients, dans le cadre de la loi, avec maître Isabelle Landreau et Yassir Kazar. Inscriptions ouvertes bientôt.

  • Mercredi 19 octobre 19h00-22h00 : Dîner networking de Forum ATENA avec Patrick Chaise, président de l’AVICCA http://www.forumatena.org/diner-networking-patrick-chaize-avicca

  • Lundi 7 novembre 18h00 à 20h00 : 10 rue du débarcadère Paris, Colloque annuel du Cercle IE du Medef Ile-de-France – L’intelligence inventive – Bernard Besson, de Besson Consulting et Renaud Uhl, Inscriptions : Béatrice Laurent <beatrice.louis.laurent@gmail.com>

  • Mardi 15 novembre 16h15 : Table ronde autour des « Security Analytics », de la sécurité du big data et de l’IoT. Contact : Aroua Biri <biri.aroua@yahoo.fr>

  • Mercredi 16 novembre 09h00 à 20h00 : École du Val de Grace Paris, « Les 10e rencontres de l’ARCSI » – La dépendance au numérique. Contact : Jean-Marc Laloy <bureau@arcsi.fr>

  • Jeudi 17 novembre 09h00-18h00 : Atelier IAM de Forum ATENA, Identité du Numérique, entre marchés et sécurité - http://www.forumatena.org/colloque-identite-numerique-2016

  • Lundi 28 novembre 17h30 à 20h00 : 10 rue du débarcadère Paris Colloque annuel du Cercle IE du Medef Ile-de-France – L’entreprise et les attentats : Faire Face !  Inscriptions : Béatrice Laurent <beatrice.louis.laurent@gmail.com>