Retrouvez cet article dans : Misc 22

Parmi les préoccupations des RSSI, intrusions, actes délictueux ou fraudes aux systèmes de traitement sont des sujets qui deviennent centraux. Les pandémies virales ne sont pas pour autant évincées de leur triste podium. Cependant, dans la hiérarchie des risques, les systèmes comptables et financiers, de gestion commerciale ou de production et les systèmes de données « métier » sont prioritaires.Pour prévenir, détecter et réagir aux incidents de sécurité, les moyens informatiques permettent d’enregistrer et de remonter quantité d’informations à traiter. Si cette supervision est une préoccupation légitime, elle est aussi considérée comme une activité de cybersurveillance. La légalité des pratiques, comme leur coût en efforts et en moyens, imposent d’organiser rationnellement la supervision de la sécurité.
Nous n’abordons pas dans cet article ce qu’il y a lieu de faire après une intrusion (ça n’est pas le sujet ici, ce fut celui du dossier MISC n°14). Nous rappelons juste quelques points pour continuer à travailler, sans pour cela altérer le déroulement des procédures.
Une première partie de cet article aborde des questions clefs et dimensionnantes :

• Quelles traces collecter, sans tomber dans l’excès de surveillance ?
• Avec quels éléments reconnaître la réalisation d’une infraction ?
• Comment continuer à travailler et superviser, sans perturber une enquête judiciaire ?

Ces besoins éclairés, la supervision de la sécurité informatique doit reposer sur des activités définies. Des engagements de niveaux de service, des tableaux de bords, des procédures sont déterminés en correspondance. C’est l’objet de la seconde partie de cet article.
En dernière partie, des prestations spécialisées sont indiquées pour déléguer la télésurveillance, notamment à destination des PME et PMI.

1. De quel droit vous permettez-vous ?

Précisons en préambule que les données suivantes sont basées sur les textes actuellement en vigueur. Les modifications de la loi peuvent rapidement rendre certains points obsolètes.
Ensuite, notez que chaque cas est unique. Les exemples et interprétations données ci-après sont des cas généraux, et nous trouverons toujours des cas précis où ils ne s’appliqueront pas exactement tel que décrit dans cet article. Sous l’angle juridique, les « traces informatiques », leur collecte et leur traitement sont essentiellement régis en France par la loi dite « Informatique et Liberté » du 6 janvier 1978 modifiée le 7 août 2004.
Les infractions à cette loi sont principalement prévues et reprises par les articles 226-16 à 24 du Code Pénal dans la section « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ».
Le pénaliste n’expliquera pas aux techniciens comment faire. En revanche, il peut expliquer que constitue une preuve ou une pièce à conviction tout élément ou objet produit devant une juridiction répressive et qui a pour objectif d’attester de la matérialité d’une infraction.
La preuve n’a pas à répondre à une forme ou à des critères précis. C’est leur ensemble qui doit permettre à l’enquêteur et aux magistrats de comprendre le déroulement des faits et l’implication de chaque intervenant.
Dès lors, toute « certification » apportée à la trace (par exemple au moyen de scellements des informations enregistrées par les équipements et de certificats X509), pourra utilement la faire passer du statut de simple donnée à celui de fait établi, lequel pourra être qualifié de preuve le cas échéant.
Légalité de la preuve

Suivant une jurisprudence plusieurs fois répétée, « aucune disposition légale ne permet au juge répressif d’écarter les moyens de preuve produits par les parties au seul motif qu’ils auraient été obtenus de façon illicite ou déloyale, qu’il leur appartient seulement (...) d’en apprécier la valeur probante après les avoir soumis à la discussion contradictoire. »

Dés lors, même un système de cybersurveillance entaché d’illégalité peut fournir des éléments susceptibles d’être utilisés par les enquêteurs et les juges. Cela ne veut pas dire que tout est permis, simplement que chaque cas est unique et qu’il appartient à la Justice de se prononcer sur chacun.

Ce que dit la Loi

L’article 1er de la loi tient à préciser que « L’informatique doit être au service de chaque citoyen. (...) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Et fort logiquement, l’article 226-16 du Code Pénal commence par « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende. »
Ainsi, jouer avec des fichiers peut représenter un gros risque pour l’entreprise, son dirigeant et/ou ses responsables informatiques. Les personnes disposant de droits d’accès privilégiés aux systèmes en vue de leur administration, sont particulièrement concernées.
La loi précise (art. 5) qu’elle s’applique aux traitements de données à caractère personnel [1] dont le responsable est, soit établi en France, soit recourt à des moyens de traitement situés sur le territoire français (hors le simple transit).
Les sous-traitants sont prévus (art. 35). Les mêmes obligations vont s’imposer à eux et au commanditaire ; lequel ne peut se décharger des obligations prévues par la loi.

Des données distinctement qualifiées

Dans le flot des données qui circulent sur un réseau informatique, comment différencier une donnée à caractère personnel, donc visée par la loi d’une donnée qui n’a pas de caractère personnel ?
L’article 2 de la loi du 6 janvier 1978 dit : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
Dans ce cadre, tous les identifiants de machines peuvent être des données à caractère personnel. Nous prendrons l’exemple du téléphone : savoir qu’un numéro s’est connecté à un autre ne permet pas de déterminer quelles personnes physiques ont conversé, mais un numéro de téléphone est clairement rangé dans la catégorie « donnée à caractère personnel ».
Il en est de même pour l’identifiant d’une machine (adresse IP ou autre nommage identificateur, y compris les adresses MAC). Il n’indique pas nécessairement qui se servait de l’ordinateur, mais recoupé ultérieurement avec les mesures de protection en place, avec les fichiers de la pointeuse, du parking, etc., il permettra de s’en rapprocher et sera donc considéré comme une « donnée à caractère personnel ».
Ainsi, très vite, nous constatons que les historiques qui vont être conservés, ou les données qui vont être agrégées pour détecter les incidents, vont contenir des « données à caractère personnel ».
Comme la Loi du 6 janvier 1978 dit que :

• « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. » (art. 2) ; et
• « Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. » (art. 2) ; nous voila donc dans l’obligation légale de respecter les formalités préalables à la mise en Å“uvre de ces traitements.

Les seuls cas où les fichiers ou traitements contenant des données à caractère personnel n’ont pas à être déclarés sont limitatifs. Les détails sont sur le site de la CNIL (www.cnil.fr), mais nous pouvons résumer en disant que, de façon générale, seuls les traitements comptables sont dispensés de déclaration préalable, ainsi que les données privées de particuliers et les listes des membres d’organisations religieuses, politiques, syndicales ou philosophiques.
De même, certaines prises de positions de la CNIL peuvent s’interpréter comme « surveiller le réseau, oui ; surveiller les personnes, non ».
Les systèmes de surveillance statistiques, automatiques, à anonymisation rapide (« fichiers de journalisation ») non adossés à des traitements de données à caractère personnel et n’ayant pas pour finalité la surveillance des salariés, sont autant de fichiers dont la déclaration n’est pas nécessaire, et ce même s’ils collectent des données jusqu’à l’équipement du salarié.
Une « fiche de synthèse » de la CNIL datée du 11 février 2002 est titrée « Cybersurveillance sur les lieux de travail ». Les responsables d’entreprise, les responsables informatiques et les administrateurs, comme les représentants du personnel pourront utilement s’y reporter tant elle recoupe le présent dossier.
Nous en retiendrons deux prises de positions de la CNIL :

• « Les administrateurs qui doivent veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes sont conduits par leurs fonctions mêmes à avoir accès à l’ensemble des informations relatives aux utilisateurs (messagerie, connexion à internet, fichiers ‘logs’ ou de journalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de travail. Un tel accès n’est contraire à aucune disposition de la loi du 6 janvier 1978. »
• « Aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications des informations dont les administrateurs de réseaux et systèmes peuvent avoir connaissance dans l’exercice de leur fonction ne saurait être opérée, d’initiative ou sur ordre hiérarchique. »

La surveillance conduit à constater une infraction :

L'infraction étant soit soupçonnée soit établie, que faire ?... Sauvegarder ! 

Il n’y a rien de plus volatil qu’une trace informatique. Sauvegardez et archivez les éléments qui vous ont conduit à constater des faits. On ne reprochera jamais de prendre des mesures conservatoires en vue d’une action en justice !...
Lorsque les responsables de l’entreprise intéressés par la commission de l’infraction (responsable informatique pour les constatations, DRH pour les implications avec le Code du Travail, dirigeant qui prendra la décision finale...) auront arrêté une position commune, et rapidement si possible, il conviendra de s’y tenir.
Si c’est une attaque ou une intrusion subie, qui vous cause préjudice et vous est dommageable, vous êtes une victime. Dès lors, vous déposez plainte si vous souhaitez que le ou les auteurs de l’infraction soient identifiés et punis par la justice pénale.
Si l’infraction ne vous cause pas préjudice (par exemple sans effet sur votre réseau ni votre sécurité), pouvez-vous révéler ces faits à la justice ? La loi n’impose aucune obligation générale et absolue au citoyen pour révéler toute infraction dont il aurait connaissance. Hormis la non-dénonciation de crime ou d’atteinte à l’intégrité corporelle, ou visant les mineurs et personnes vulnérables, c’est une possibilité qui est offerte à chacun, un choix moral.
Un point important : la loi n’impose pas à chacun de savoir distinguer une contravention, un délit ou un crime. Vous n’avez pas à déterminer avec exactitude l’infraction que vous pensez exister, mais seulement à faire preuve de bonne foi dans votre révélation (ou témoignage). Si par la suite, les faits n’apparaissent pas constitutifs d’une infraction pénale, vous ne pouvez être pénalement tenu pour responsable des conséquences de votre révélation si vous avez toujours été de bonne foi (Remarque technicienne : les activités de cybersurveillance servent à cela).

Ceci posé, le responsable du traitement informatique (normalement le dirigeant, le DSI, le responsable informatique, l’informaticien, l’administrateur ou selon les délégations de responsabilités le RSSI mais aussi, tout simplement et souvent, surtout les utilisateurs bureautiques) sait si son fichier de cybersurveillance va contenir ou non des données à caractère personnel.
S’il faut le déclarer, rendez-vous sur le site de la CNIL. Nous ne paraphraserons pas inutilement les pages de la CNIL ici. Autant vous reporter à l’original.
S’il faut résumer, disons qu’il va falloir passer par les points suivants :

• Définir la finalité du fichier : savoir quelles données sont collectées et dans quel but, car l’article 226-21 du Code Pénal dit que tout détournement de finalité est puni.

Si je collecte à des fins statistiques les e-mails de tous ceux qui remplissent un formulaire sur mon site, je ne peux pas réutiliser cette liste pour envoyer des messages commerciaux.

• être transparent : l’article 226-18 du Code Pénal dit que la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni. Et l’article 32 de la Loi énumère les obligations aux responsables de traitement. Au minimum, qui collecte des données, et pourquoi (responsable du traitement ou représentant, et finalité de la collecte)?

Par exemple, que BRZGH Telecom collecte les données informatiques issues de la connexion aux fins d’assurer un meilleur service à ses clients ; ou que JKLM Finance collecte les informations nominatives des visiteurs de son site dans le but de leur proposer la plus haute sécurité possible.  Car, dans la ligne de ce texte, le décret 81-1142 du 23.12.1981 précise que le refus ou l’entrave au bon exercice des droits des personnes sont également puni, de contraventions de cinquième classe.

• Sécuriser les données : tout fichier de données à caractère personnel doit être sécurisé. L’article 226-17 du Code Pénal prévoit la responsabilité du propriétaire du fichier s’il est, par exemple, pillé et réutilisé frauduleusement et que l’on démontre ensuite que c’est la faiblesse de la sécurisation qui a permis l’intrusion. Si je collecte les numéros de carte bancaire de mes clients, je ne laisse pas la sauvegarde du fichier sur un coin de mon bureau.
• Ne pas divulguer les données à n’importe qui : l’article 226-22 du Code Pénal dit que la communication d’informations à des personnes non autorisées, y compris par négligence ou imprudence, est puni. C’est cohérent avec l’article précédent.

Si j’ai un problème avec le traitement des requêtes, je ne vais pas transmettre le contenu du fichier au « copain du copain » qui va débuguer le process.

• Ne pas conserver les données ad vitam aeternam : la définition initiale du fichier doit inclure une durée prévisible de traitement et de conservation. L’article 226-20 du Code Pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée.

Corollaire du « droit à l’oubli » maintes fois rappelé par la CNIL, la durée de conservation des données à caractère personnel est toujours examinée par la Commission. La Loi Informatique et Liberté ne fixe pas de durée précise.  Elle dit simplement que les données ne sont conservées que « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Par exemple, pour des données liées à la scolarité, la CNIL a accepté la durée demandée de deux ans, ce délai permettant de gérer l’année scolaire en cours et de préparer la suivante.  On en revient à la finalité du fichier. De celle ci doit découler une durée suffisante pour le traitement mais non excessive par rapport à celui ci.
Parmi les points à préciser immédiatement sur la cybersurveillance : le courrier électronique.

Des entreprises peuvent-elles être dans l’obligation de stocker des données?

La LCEN (Loi pour la Confiance dans l’Économie Numérique) impose aux Fournisseurs d’Accès Internet de conserver les données de connexion de leurs clients aux fins de répondre aux requêtes des autorités judiciaires. Problème, la durée de cette conservation, comme la nature exacte des données, doivent être fixées par un décret d’application qui n’a toujours pas été publié. La seule chose aujourd’hui fixée est la durée maximale de conservation, soit un an.
Cependant, un arrêt du 4 février 2005 de la Cour d’Appel de Paris a jugé qu’une entreprise offrant à ses salariés un accès internet devait être soumise aux mêmes règles que les FAI en matière de conservation des données de connexion de leurs salariés. Si cette décision est confirmée, elle aura des répercussions majeures sur toutes les entités offrant des accès internet (les cybercafés entre autres).

La loi est claire mais souvent outrepassée par les responsables d’entreprises ou leurs subordonnés : « Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45.000 euros d’amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. » (Article 226-15 Code Pénal). Donc, toute personne qui consulte le mail d’une autre sans son autorisation ou sans l’excuse de l’étourderie, de l’erreur de destinataire, etc. commet un délit prévu et réprimé.  Toute action de cybersurveillance portant sur le courrier devra donc être clairement définie puis portée à la connaissance des personnes concernées.
Que dire de l’atteinte à l’intimité de la vie privée ?
L’article 226-1 du Code Pénal dit : « Est puni d’un an d’emprisonnement et de 45 000 euros d’amende le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’intimité de la vie privée d’autrui :

• En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ;
• En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé.

Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu’ils s’y soient opposés, alors qu’ils étaient en mesure de le faire, le consentement de ceux-ci est présumé. »
Il est suivi de l’article 226-2 qui précise : « Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d’un tiers ou d’utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l’aide de l’un des actes prévus par l’article 226-1. »
Et l’on retrouve les fichiers de données à caractère personnel dans l’article 226-22 qui dit que « Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces informations à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni d’un an d’emprisonnement et de 15 000 euros d’amende.
La divulgation prévue à l’alinéa précédent est punie de 7 500 euros d’amende lorsqu’elle a été commise par imprudence ou négligence ».
Si nous croisons ce point et les précédents, nous constatons que mettre en place un suivi des mails entrant et sortant, pour s’assurer que les salariés ne passent pas leur temps à envoyer et recevoir des mails et des pièces jointes, en particulier hors de l’entreprise, va devoir donner lieu à déclaration à la CNIL si les adresses mail ou identifiants des machines sont conservées ; et pas forcément si on se contente de collecter les domaines ou fournisseurs d’accès et les volumes échangés, mais qu’il est de toute façon formellement interdit d’accéder au contenu des courriers. On pourra objecter que les logiciels antivirus ou anti-spam le font et peuvent, suivant leur paramétrage, mettre en quarantaine ou isoler des courriers jugés dangereux ou indésirables, que des personnes physiques différentes du destinataire pourraient alors consulter. Si une action en justice est introduite un jour sur une telle base, le résultat en sera intéressant.
Un dernier point sur la Loi Informatique et Liberté, à propos des « Correspondants Informatique et Liberté » (CIL).
Les modifications du 7 août 2004 ont prévu ce nouvel intervenant. En contrepartie de la désignation d’un correspondant informatique et liberté, il y a allègement des obligations déclaratives. En gros, c’est de l’autocontrôle : le correspondant informatique et liberté devient le garant du respect des obligations relatives aux fichiers de données à caractère personnel. Cependant, à ce jour, les décrets d’applications ne sont toujours pas parus (mais ils ne sauraient tarder), donc nous sommes toujours dans un cadre sans correspondant informatique et liberté.
Et en entreprise ?
La vie privée est également protégée au sein de l’entreprise. Le Code du Travail par ses articles 120-2, 121-8 et 432-2, dit successivement que :

• Nul ne peut apporter aux droits des personnes et aux libertés collectives des restrictions qui ne seraient pas proportionnées au but recherché ;
• Aucune information concernant personnellement un salarié ou un candidat à l’emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi ;
• Le comité d’entreprise (...) est informé et consulté, préalablement à la décision de mise en Å“uvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.

On constate que ces dispositions reprennent l’esprit de protection de la vie privée ci-dessus évoqué, et les obligations portant sur les traitements de fichiers de données à caractère personnel.

Reconnaître la réalisation d’une infraction

De façon réaliste et pratique, il n’y a guère que la définition d’une activité « moyenne » d’un salarié ou d’un poste de travail qui pourra nous orienter, s’il s’agit de mettre en place un premier niveau automatique de tri. Certes, l’informaticien peut toujours tomber « par hasard » sur une infraction : une intervention sur un poste, un mail qui s’égare, etc. ; mais ce ne sont pas des recherches automatisables. En fonction de son réseau et de son activité, chaque administrateur choisit ses critères pertinents et ce qui s’écarte trop de la fourchette donne lieu à contrôle. Ce sont des critères de rapport coût/résultat qui vont entrer en compte.
Les infractions les plus fréquemment constatées :

• intrusions :

votre réseau est utilisé comme point de départ pour des attaques, dénis de service et autres. Les DOS génèrent souvent des traces caractéristiques, répétitives. Quant aux attaques, c’est le choix du protocole ou des ports qui permettra de les soupçonner.

• serveur de fichiers contrefaisant :

votre réseau héberge à votre insu des zones d’hébergement (diffusion ou rapatriement) de fichiers images, musicaux, vidéo ou autres. Là, c’est le nombre de connexions extérieures et le volume des échanges qui sera significatif. Les autres infractions réalisables à travers un réseau ne génèrent souvent que des traces trop faibles pour être aisément discriminées de l’activité habituelle. C’est typiquement le cas des fraudes sur les systèmes de gestion. Leur détection implique que les applications correspondantes aient prévu des étapes de sécurité avec des points de contrôle des traitements et de croisements loguant.
De nombreuses autres utilisations du réseau peuvent contrevenir aux règles de bon usage de l’entreprise mais, sans infraction visée par le Code Pénal, elles n’entrent pas dans le présent cadre.
Les besoins légitimes et par obligation ainsi récapitulés constituent une base importante pour définir les traces à constituer.
Les informations à collecter techniquement et à agréger, comme les actions de protection et de conservation, peuvent être définies.
Aussi, nous pouvons identifier des activités pour :

• distinguer les « traces sécurité » des autres correspondantes aux conditions de bon fonctionnement ;
• spécifier les informations d’application comme les données techniques pertinentes pour chacun des besoins de trace ;
• arbitrer leur traitement selon les contraintes juridiques les concernant, individuellement et agglomérées à d’autres ;
• décider des moyens de collecte, de traitement, de conservation et de destruction adaptés, tout comme des réactions.

2. Organiser... et s’organiser en pratique

Dans l’alignement de ces activités, la supervision de la sécurité informatique doit s’organiser pour trois raisons :

• Le coût induit par les systèmes de supervision (matériels et logiciels) comme par les efforts humains ne sont pas à négliger.
• Pour être utile, la supervision implique d’être pertinente.
• Les risques juridiques de la cybersurveillance l’amène à devoir être cohérente avec les contraintes et les obligations rappelées ci-dessus.

Organiser la maîtrise des coûts

Manager la sécurité, corréler les logs, etc. sont autant de thèmes marketing réchauffés au fil des saisons et au gré du vent soufflant dans certaines réunions « technico-commerciales ». Superviser la sécurité est une activité coûteuse, mais utile en rapport des risques considérés. Sa « rentabilité » (rapport Coût/Risque) peut être considérée en fonction de son efficience, soit le rapport coût/efficacité.
Aussi, pour simplifier, nous considérerons ici seulement les coûts relatifs aux aspects :

• techniques :
  matériels, logiciels, maintenances ;
• organisationnels :
  soit l’équivalent jours/hommes par compétence.

Nous ne paraphraserons pas ici l’article « Gestion des risques et maîtrise des coûts » [MISC 7], préférant un bref rappel.
Maîtriser les coûts relatifs à la « technique » est un sujet généralement bien traité.
L’utilisation de solutions libres (par exemple telles celles présentées dans la suite de ce dossier) pour réaliser les fonctions de la supervision, outre défendre une position déontologique franche, contribue à cette maîtrise de façon certaine. La contractualisation de la maintenance avec les sociétés de services suffisamment courageuses et honnêtes pour réaliser le relais nécessaire avec la communauté (via l’emploi de vraies compétences correctement payées) assure une alternative pleinement équivalente aux solutions propriétaires croulantes sous les brevets généralement abscons et dangereux.Les coûts relatifs à l’organisation humaine sont en revanche souvent à maîtrise plus dérivante. Si les choix techniques ont leur part de responsabilité, notamment du fait de la maturité technologique et du degré d’intégration fourni, la façon de réaliser les tâches par les bonnes compétences (et de bonne volonté) est une équation plus délicate à résoudre. L’organisation des activités autour de la supervision, avec des tâches définies et allouées en fonction des compétences, permet d’adresser correctement ce problème.

Pertinence de la supervision

Une bonne supervision doit commencer par fournir les bonnes informations pour la gestion des traces attendues. Nous entrons là dans un projet de système d’information tout ce qu’il y a de plus habituel... Il est juste spécifique à un périmètre fonctionnel particulier.
Par cohérence avec le dossier, la suite de cet article traite les traces de malveillances sur des réseaux informatiques.
Cette supervision consiste à détecter le moment de réalisation d’une infraction. Soit du fait de comportement anormal du trafic, soit des systèmes (notamment dans le cas d’une injection « cohérente » via les couches applicatives pour générer des fautes). Aussi, les données intéressantes peuvent provenir du réseau via les IDS, les alertes de filtrage (ACL de routeurs, FW, proxies, socks), les sondes SNMP des commutateurs (très utiles pour détecter des croissances de trafic anormales, signe possible d’extrusion d’information), ou des logs divers... et toujours très variés !
Aussi, des points de mesure doivent être définis pour implanter les « capteurs ». Selon les chemins possibles, la corrélation d’alerte et le niveau de risque envisagé peuvent varier, influant du coup la supervision. L’étude fine et précise de ces points et de ce qu’ils doivent exactement remonter, permet déjà de disposer d’une supervision saine. La pertinence va provenir principalement de la corrélation, c’est-à-dire la mise en relation des évènements collectés.  En définissant rigoureusement ces règles de couplage, outres des relations binaires (couples), l’étude de caractéristiques pour identifier les équivalences possibles permet de réduire le taux de faux-positifs et de vrais-négatifs.  Dans la pratique, à moins d’être un ayatollah de la théorie des graphes, on se contente d’indiquer au système d’apprentissage (lorsqu’il y en a un...) ce qu’il peut considérer comme des fausses alertes.

S’organiser en tenant compte des risques juridiques et autres

Collecter des traces malveillantes, c’est légitime... mais ça doit rester légal. Exclure de l’ensemble des traces collectées, celles non légales n’est pas trivial.
Ceci principalement pour des raisons techniques d’identification de ces dernières, et de retrait sans impact en intégrité, complétude et cohérence des autres traces.  Par ailleurs, selon le type de trace, les conditions de traitement, de stockage et de destruction peuvent nécessiter des précautions particulières : stockage en accès restreint, chiffrement, effacement sécurisé, etc. Faites attention aux temps de conservation des traces : préférez l’utilisation de médias de type CD-Rom non réinscriptible. De plus, certaines technologies à obsolescence rapide ou en fin de cycle pourraient être handicapante (par exemple les disques de type DON). Concernant le scellement des traces pour des vérifications d’intégrité : utile au responsable (par défaut, le dirigeant, mais bien souvent l’administrateur) pour montrer sa volonté de mettre en œuvre tous les moyens permettant de montrer sa bonne foi, le pénaliste lui ne considère pas sa fiabilité. En effet, vous fournissez les traces et les clefs correspondantes... que vous avez générées ! Du moins, vos équipements.
De là à externaliser votre supervision à un tiers de confiance...
Enfin, la supervision implique une acquisition et un traitement d’information particulièrement importants et généralement très obscurs (une fois installées, plus personne ne se souciera des boîtes noires). Pour l’intégration sur votre réseau, comme pour l’exploitation de votre supervision ou son externalisation, ne la confiez pas à n’importe qui.

Les activités de supervision, en particulier de la sécurité

Pour aller à l’essentiel, les activités de supervision informatique sont standardisées. Vous trouverez une littérature abondante sur le sujet avec la boîte à outil ITIL (IT Infrastructure Library). Cet ensemble documentaire regroupe des procédures génériques, des plans documentaires standards et des conseils pertinents pour améliorer l’efficacité des systèmes d’information, optimiser les activités de production informatique (supervision, administration, help desk, achats, etc.), améliorer la qualité des services informatiques. Comme beaucoup de normes et de standards, cette boîte à outils est malheureusement payante. La supervision est traitée via les aspects d’incident/problem management. La supervision de la sécurité, toute particulière qu’elle soit, n’échappe pas à cette règle. Elle nécessite de plus grandes précautions, en confidentialité notamment.

Détection d'une infraction à caractère public :

l'infraction est publique ; pas de difficulté.

C’est le cas par exemple d’une petite annonce accessible à tous sur l’intranet de l’entreprise et qui proposerait les derniers logiciels à des prix défiant toute concurrence. Vous avez le droit (mais non l’obligation) de révéler. C’est un choix moral.
Craignez-vous d’être impliqué comme complice si vous ne révélez pas ?
La complicité est définie par l’article 121-7 du Code Pénal, qui dit que « Est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. (...) ».Il est à supposer que vous ne vous placerez jamais dans la position où votre action (ou absence d’action) permettra la consommation ou la préparation de l’infraction. On peut placer ici la position du gestionnaire de forum : à partir de quel moment peut-il craindre de voir sa responsabilité mise en cause ? Dés lors qu’il aura sciemment fourni aide ou assistance. En pratique, c’est toujours une décision découlant d’un jugement personnel de la nature de la situation.
Est-ce que l’absence d’effacement d’un message à caractère frauduleux est une assistance à la préparation ou à la consommation d’une infraction ?
La jurisprudence nous dit qu’une simple négligence ne peut être assimilée à une participation intentionnelle ; que l’élément intentionnel implique que son auteur ait eu conscience de l’aide apportée à l’action principale ; il implique une participation volontaire et consciente de l’aide apportée à la commission d’une infraction.
Maintenant, il existe une qualification pénale qui s’appelle le recel (article 321-1 du Code Pénal) qui se définit par « (...) le fait de dissimuler, détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit. (...) également (...) le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit. »
Détenir, utiliser ou tirer profit de l’utilisation, en toute connaissance, par exemple de programme contrefaisant, fait de vous un receleur. Notons que dans le cas d’une infraction visant l’intégrité corporelle d’une personne, outre le cas des mineurs et personnes vulnérables déjà citées, la non-assistance à personne en danger est prévue et réprimée par l’article 223-6 du Code Pénal. Dans ce cas, il y a obligation de révéler les informations dont vous avez connaissance.
Ce serait par exemple le cas d’un mail dont vous prendriez connaissance par erreur et qui contiendrait des éléments suffisamment clairs et plausibles pour vous faire penser que si c’était vous la personne visée vous aimeriez bien être protégé.Encore plus, l’article 434-1 du Code Pénal punit celui qui n’informe pas les autorités judiciaires « d’un crime dont il est encore possible de prévenir ou limiter les effets ou dont les auteurs sont susceptibles de commettre de nouveaux crimes qui pourraient être empêchés ».
Révéler un crime alors qu’il peut encore être évité est donc une obligation.

Détection d'une infraction à caractère restreint « au privé » ou confidentiel :

L'infraction n'est pas publique : avez-vous le droit de la révéler ? 

 Le « secret professionnel » est défini par l’article 226-13 du Code Pénal : « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15000 euros d’amende. »
Donc, si vous avez connaissance d’une infraction alors que vous agissez dans ce cadre, vous voila lié au secret, vous n’avez pas le choix. Notons que la loi ne prévoit pas expressément les personnes, professions ou fonctions. La jurisprudence pénale est pléthorique pour les médecins, avocats, ministres des cultes, experts-comptables, notaires ou autres, mais il semble qu’au pénal il ne soit nulle part fait mention d’informaticien, administrateur ou toute autre profession liée à l’informatique.
Ce que vise la loi, c’est la confiance qui s’impose dans certaines professions, notamment la sécurité des confidences qu’un particulier est dans la nécessité de faire à une personne dont l’état ou la profession fait d’elle un confident nécessaire.
Dans le cas général (par exemple une intervention sur un disque dur en panne), c’est une obligation de discrétion, liée à la notion de protection de la vie privée, qui prévaut. Dès lors, autant la partie dénoncée peut relever un manquement qu’elle poursuivra au Civil, autant la partie dénonciatrice ne semble pas pouvoir être poursuivie au plan pénal. Révéler une infraction non publique est un choix moral.
Concernant le secret professionnel, vous en êtes délié par l’article 226-14 du Code Pénal qui prévoit que « L’article 226-13 n’est pas applicable dans les cas où la loi impose ou autorise la révélation du secret. En outre, il n’est pas applicable (...) 1°: A celui qui informe les autorités judiciaires, médicales ou administratives de privations ou de sévices, y compris lorsqu’il s’agit d’atteintes sexuelles, dont il a eu connaissance et qui ont été infligées à un mineur ou à une personne qui n’est pas en mesure de se protéger en raison de son âge ou de son incapacité physique ou psychique ».
Vous en êtes également délié par l’article 434-1 du Code Pénal réprimant la non-dénonciation de crime. Dans les deux cas, il s’agit d’une possibilité de révélation, non d’une obligation.
La loi pénale a donc prévu des circonstances très précises quant au secret ou à la révélation du secret. Pour les autres cas, infraction publique ou pas, c’est une responsabilité morale.

Pour résumer ces activités normalisées et en simplifiant, elles adressent :

• la signalisation : la détection d’une alarme ;
• le diagnostic et la qualification : la vérification de l’alarme permettant d’indiquer la réalité de l’incident ;
• l’assignation et le traitement : l’application éventuelle de parades définies pour une première réaction en urgence ;
• la clôture : la compréhension de l’incident, éventuellement l’enquête, etc.

Définir comment sont réalisées chacune de ces activités implique de préciser le rôle de chacun des intervenants, les outils dont il a besoin et les résultats qu’il doit produire sous conditions de présentation, voire sous contrainte de réactivité ou d’astreinte.
Ce travail d’organisation dépasse la simple description des moyens techniques et de points d’implantation de diverses sondes. Pour être rigoureux, s’inscrivant en ligne notamment avec une législation pénale, il nécessite d’être clair sur les engagements de moyens et/ou de résultats, comme sur les responsabilités de chacun.

Engagements de services

Les besoins de supervision sont comme les besoins de sécurité : ils varient selon les environnements techniques, les chaînes de traitement et surtout les applications. En particulier, concernant les malveillances, les efforts de supervision doivent être cohérents avec la ségrégation des environnements homogènes en besoins de sécurité. Par exemple, des engagements de services organisés sur des heures ouvrables pour une chaîne de traitement donnée, amènent de ne pas « voir » les incidents hors cette plage.  Les conséquences sur une chaîne de traitement immédiatement adjacente, de sensibilité et d’engagements supérieurs (par exemple H24), induisent une situation de crise par incohérence... Le degré d’isolation de ces environnements adjacents peut en effet éviter quelques moments de stress inutiles dans la réaction. La présence d’un serveur web pour lequel les engagements de service sont « légers » (et pour lequel la robustesse n’aura probablement pas été renforcée), à côté du serveur de gestion financière, supervisé, mais sans cloisonnement peut générer des situations ubuesques...
Même si les engagements de service de cette application sont élevés, la détection d’incident alertera certainement un peu trop tard. Le curseur du niveau de stress de l’équipe de supervision risque alors de flirter avec le cran « Panique », impactant la qualification de la gravité réelle et le post-traitement.

Gestion par contrats et tableaux de bords

Avec des besoins de supervision identifiés, des engagements correspondants définis, la façon de les réaliser peuvent faire l’objet de contrats de service. Ceux-ci consistent à clarifier les prestations (éléments à superviser et besoins, temps de réaction, traitements de crise prévus, etc.) à exécuter sur un environnement considéré. Ces contrats précisent également des notions de responsabilités, des conditions d’exécution comme de limites de services. Ce type de gestion par contrat permet à une cellule de supervision d’organiser ses pratiques en niveaux homogènes. La configuration de l’offre de service correspond à ce qu’elle sait réaliser de façon « industrielle » avec les moyens dont elle dispose. Pour ne pas nous attarder sur ces aspects, vous trouverez plus d’information sur les Managed Services dans l’ensemble documentaire ITIL. Les tableaux de bords remontent à fréquence contractualisée des états chiffrés correspondants aux environnements supervisés. Typiquement, ces tableaux de bords peuvent indiquer des quantités de vulnérabilités, d’attaques, des répartitions par systèmes, par typologies, en camembert, en diagramme bâton, etc.  Bref, une remontée « d’information » aux commanditaires du contrat pour leur dire le plus souvent : « tout va très bien ». Il ne faut cependant pas dénigrer l’utilité de ces graphiques : ils permettent à la supervision de justifier son existence... réellement utile le jour où il y a un véritable incident !
Les solutions techniques décrites dans la suite de ce dossier font pour la plupart de jolis tableaux de bords, probablement tout prêts pour un contrat de service type.

La finalité légale sur laquelle la cybersurveillance doit être alignée :

Déposer une plainte ? 

Comment ?

• Directement au Commissariat de Police ou à la Brigade de Gendarmerie locale.
  C’est rapide et facile, mais peut vous exposer à un refus ou à un mauvais traitement (par manque de compétence ou surcharge de travail). Néanmoins, tout service recevant les plaintes est tenu de recevoir et d’enregistrer toute plainte, quitte à transmettre ensuite à un service plus compétent. Vous vous exposez alors à devoir attendre la saisine d’un autre service, et à devoir tout répéter à un nouvel interlocuteur. Il est à noter que, face à la monté des plaintes liées à la cyber-délinquance les services de Sécurité Publique se dotent peu à peu de « référents cybercriminalité » dotés des connaissances suffisantes pour vous recevoir et apprécier la suite à donner à votre démarche.
  Cette démarche est en cours d’installation, ces « référents » peuvent ne pas encore exister partout.
• Par lettre-plainte auprès du Procureur de la République
  Le Procureur de la République dispose du privilège de l’opportunité des poursuites : c’est lui qui peut classer sans suite ou faire procéder à une enquête, par le service de son choix (Police, Gendarmerie, service judiciaire spécialisé), mais il y a risque de perte de temps (traitement par le Tribunal) et risque de perte de tout contrôle sur le cheminement de la plainte (choix du service enquêteur, des investigations à réaliser...).
• Par plainte avec constitution de partie civile.
  Par l’intermédiaire d’un avocat, auprès du Doyen des Juges d’Instruction. Cela entraînera automatiquement l’ouverture d’une information judiciaire et la désignation d’un juge, mais prévoyez des délais et des frais d’avocat.
• Après contact préalable, auprès d’un service ou d’un enquêteur spécialisé.
  Cela vous permet d’avoir un interlocuteur compétent : les E.S.C.I. (Enquêteurs Spécialisés en Criminalité Informatique) dans chaque Service Régional de Police Judiciaire ; les enquêteurs N-Tech dans les Brigades de Recherche en Gendarmerie ; et à Paris les policiers de la B.E.F.T.I. (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information, dépendant de la Police Judiciaire).

Les cadres juridiques possibles

• L’enquête de flagrant délit.
  Dans les 48 heures après la constatation de l’infraction, dure au maximum 7 jours ; les enquêteurs disposent de pouvoirs coercitifs (sous contrôle, toujours, du procureur). Si vous êtes sous le coup d’une attaque, si l’infraction est toujours en cours, bref pour tous les cas d’urgence.

 

• L’enquête en mode préliminaire.
  

  La plus courante, sans délais contraignants (pour rappel et sauf cas particuliers la prescription d’une contravention est d’un an, celle d’un délit de trois ans et celle d’un crime de dix ans). Les enquêteurs disposent peu de pouvoirs coercitifs. C’est le cadre général des enquêtes ouvertes sur instruction du procureur.
  

• L’enquête en exécution de Commission Rogatoire.
  Délivrée aux enquêteurs par le juge d’instruction, après ouverture d’une information judiciaire (sur réquisitoire introductif du Parquet ; après plainte avec constitution de partie civile ou après une enquête « classique »).

où déposer une plainte ?
Les critères de détermination du service d’enquête et du Tribunal compétent sont, dans l’ordre : la localisation de l’auteur, le lieu de l’infraction, la localisation de la victime.

Comment bien déposer une plainte?

• Savoir faire la différence entre acte malveillant et incident, bug, erreur, acte involontaire (cas des virus intrusifs avec dissémination des données).
• Sauvegarder les traces : sauvegardez les logs ; ne réutilisez pas le matériel en cause ; isolez-le du reste du réseau et ne l’éteignez pas...
• Agir vite : il y a déperdition rapide des traces en informatique et peu de conservation des données chez les différents intervenants (24 H pour les proxys internet, 3 mois pour les logs d’IP chez beaucoup de FAI, et de toute façon 1 an délai maximum de conservation des fichiers de données à caractère personnel selon la CNIL).
• Ne pas contacter l’auteur de l’acte malveillant : ne pas lui dire qu’une plainte est déposée, ne pas l’induire à effacer les traces de ses actes dans ses matériels.

que vont vous demander les enquêteurs ?
Et bien, cela dépendra de chaque cas. Des règles de conduite générale et absolue n’existent pas, elles dépendent de chaque infraction, de chaque enquête et de circonstances particulières que seuls les enquêteurs sauront estimer.
À côté de sauvegardes inaltérables (typiquement des gravures CD) contenant si possible tous les éléments informatiques descriptifs des faits, il sera pris par les enquêteurs des auditions détaillées permettant de comprendre ultérieurement ces sauvegardes, de les expliquer à un public qui n’est pas forcément constitué de spécialistes.

tout ceci va-t-il bloquer vos équipements et vos informaticiens ?
Et bien, encore une fois, cela dépendra de chaque cas. Comprenez bien que pour une recherche de traces dans votre système propriétaire dans une enquête portant sur un enlèvement d’enfant, les contraintes seront plus fortes que dans une enquête de déni de service dont vous êtes la victime et pour laquelle vous avez déjà sauvegardé tous les logs d’attaque. Plus l’affaire sera technique, plus on rentrera dans votre système et plus votre implication sera demandée par les enquêteurs. Mais il est vraisemblable que si les enquêteurs ont besoin d’entrer en profondeur dans votre système, vous souhaiterez les accompagner. Vous êtes le garant du bon fonctionnement du système. Quant à « immobiliser » un système, c’est une exigence qui n’est que rarement nécessaire, et qui décroît à mesure de l’importance de cet équipement pour votre entreprise.

Qu’est-ce qu’on peut me demander ?
Et bien, si vous êtes la victime, vous aurez sûrement à cœur de fournir aux enquêteurs toutes les informations qui peuvent leur être nécessaire. Si vous êtes dans la position du tiers ou du sachant, les enquêteurs peuvent vous requérir, c’est-à-dire vous obliger, et ce sont eux qui prennent la responsabilité pénale de l’acte demandé.
Ce sont les articles 60-1, 77-1 et 99-3 du Code de Procédure Pénale qui définissent les réquisitions judiciaires suivant le cadre juridique et qui contiennent tous la même formulation : le juge d’instruction, le procureur de la République, l’Officier de Police Judiciaire « peut requérir de toute personne, de tout établissement ou organisme privé ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l’enquête, y compris ceux issus d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces documents, sans que puisse lui être opposée, sans motif légitime, l’obligation du secret professionnel (...) ».
Seuls les avocats, médecins, huissiers, avoués, notaires et journalistes peuvent refuser de répondre... pas les responsables informatiques !
Et l’article 60-1 précise que l’absence de réponse dans les meilleurs délais est punie d’amende.

qui est responsable pour dialoguer avec les enquêteurs ?
« Nul n’est responsable pénalement que de son propre fait ». C’est ce que dit l’article 121-1 du Code Pénal. Mais parce qu’il incombe au chef d’entreprise une obligation légale de surveiller son préposé et de veiller à l’observation des règlements au sein de son établissement, il en est pénalement responsable.
Néanmoins, l’évolution de notre société et des entreprises a permis de dégager une jurisprudence maintenant bien établie autour du concept de « délégation de pouvoir » et « délégation de responsabilité », qui peuvent être résumées par cette reprise du texte de plusieurs arrêts de 1993 de la Chambre Criminelle de la Cour de Cassation : « Sauf si la loi en dispose autrement, le chef d’entreprise qui n’a pas personnellement pris part à la réalisation de l’infraction, peut s’exonérer de sa responsabilité pénale s’il apporte la preuve qu’il a délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens nécessaires ». D’où l’intérêt réciproque pour le chef d’entreprise comme pour ses salariés employés à des postes de responsabilité de définir les missions et les moyens attribués. Ce point est important en particulier pour le cas des DSI, des RSSI et notamment des CIL.

qui va discuter avec les enquêteurs ?
Le responsable légal de l’entité sera le nécessaire interlocuteur initial. Puis, bien souvent, il délèguera à l’homme de l’art, qu’il soit un salarié ou un prestataire externe.
Les enquêteurs ne cherchent pas des fonctions, ils cherchent des compétences.

à fréquence contractualisée des états chiffrés correspondants aux environnements supervisés. Typiquement, ces tableaux de bords peuvent indiquer des quantités de vulnérabilités, d’attaques, des répartitions par systèmes, par typologies, en camembert, en diagramme bâton, etc.  Bref, une remontée « d’information » aux commanditaires du contrat pour leur dire le plus souvent : « tout va très bien ». Il ne faut cependant pas dénigrer l’utilité de ces graphiques : ils permettent à la supervision de justifier son existence... réellement utile le jour où il y a un véritable incident !
Les solutions techniques décrites dans la suite de ce dossier font pour la plupart de jolis tableaux de bords, probablement tout prêts pour un contrat de service type.

3. « Télésurveillance » pour les PME

Loin de se compliquer la tâche à essayer de mettre en œuvre des usines à gaz et des documentations trop riches pour un environnement informatique raisonnable (comparé à celui de sociétés multinationales), les PME/PMI ont tout intérêt à aller simplement et directement à l’essentiel pour leur sécurité : la configuration « réfléchie » des logs sur les serveurs, applications, antivirus, routeurs, firewall, etc.  Des sociétés de services peuvent assister les PME/PMI pour définir une politique de gestion de traces et la configurer sur les équipements. La consultation régulière et l’analyse des traces est ensuite nécessaire... pour que la sécurité soit tout simplement efficace ! Cependant, cette activité d’analyse de logs est généralement trop lourde pour un administrateur dans une PME/PMI. Avec les années, les grandes sociétés ont organisé leur production informatique en convergence vers les standards BS15000 de Managed Services. Prestataires de services internes, ils ont inspiré de nouvelles filières économiques pour des opérateurs de services à valeur ajouté comme les MSSP (Managed Security Services Provider). Pour les sociétés ne souhaitant pas développer de compétences propres en sécurité informatique, les MSSP leur fournissent ces services. Outre de grands opérateurs comme France Télécom qui proposent des services adaptés en particulier aux PME/PMI, sans leur faire non plus de publicité, nous pouvons citer d’autres acteurs spécialisés comme VIANetworks, Thales Secure Solution, Securalis ou Ubizen.
L’offre de télésurveillance couvre généralement les équipements « de sécurité » : VPN, pare-feu, antivirus, sondes de détection d’intrusions, logs des serveurs, etc.
Particulièrement pertinents pour les PME/PMI, ces opérateurs spécialisés sont en outre un appui fort pour les responsables informatiques internes. Si la délégation de responsabilité est un sujet toujours très sensible (en cas d’ennui lors de conférences SSI, c’est toujours l’occasion de débats garantis), la réalité des services de proximité pour des partenaires de ces MSSP renforce généralement bien le niveau de sécurité technique des PME/PMI.  Généralement de petites sociétés de services « internet » ou des SSLL locales sauront promouvoir l’offre de ces MSSP, relayer un premier niveau de prestation technique et agir en interface à transparence progressive pour les prestations à valeur ajoutée. En plus d’être techniquement mûre, la supervision de la sécurité informatique est une réalité possible pour les PME/PMI, notamment sur le plan économique avec un coût de prestation de service très abordable. Pour finir, les Conseils habituels des dirigeants de PME/PMI (avocats, notaires et experts comptables) sont les professionnels historiques de la protection de l’information et du patrimoine. En saine neutralité (le Conseil de l’Ordre veille au respect du code de déontologie), ils indiquent toujours aux responsables légitimes ce qu’ils doivent faire comme ce qu’ils peuvent faire. Cette réalité, souvent oubliée hors des cercles dirigeants, concerne en particulier les aspects juridiques des moyens informatiques. Les consultants technologiques des prestataires de services trouveront là des interlocuteurs incontournables sur les questions de cybersurveillance en entreprise, d’autant que les Ordres concernés sont sensibilisés et attentifs à certaines évolutions.

En guise de conclusion

La cybersurveillance en entreprise est juridiquement encadrée. Tout n’est pas possible pour prévenir les malveillances envers des machines et par là, les affaires économiques au sens large. La protection des individus prime, en particulier celle des libertés individuelles. Les recours judiciaires indiqués informent de manière à ce que les victimes puissent exprimer l’outrage subi et laisser agir en cohérence les représentants de la force publique (Police, Gendarmerie, services judiciaires spécialisés, etc.).
La cybersurveillance s’organise alignée sur ces contraintes et dans cette optique. Autrement, inutile et coûteuse, elle est déviante et peut faire l’objet de sanctions, notamment pénales. Pour agencer les moyens techniques et les pratiques humaines associées, les standards ITIL d’incident & problem management peuvent servir de référence utile.  Les activités industrialisées amènent une gestion en niveaux de services avec des contrats correctement formatés. Ceux ci clarifient les engagements, les modalités d’intervention et leurs limites, comme ils fixent les conditions de remontées périodiques d’information structurées en tableaux de bords.
Les PME/PMI sont en particulier adressées par le biais d’offres adaptées. Acteurs spécialisés en « télésurveillance de l’informatique », les MSSP peuvent être relayés par les partenaires de proximité usuels des PME/PMI. Enfin, les Conseils habituels pour la protection du patrimoine, régulés par leurs Ordres légitimes (Avocats, Notaires, Experts Comptables), sont les acteurs incontournables pour les PME/PMI. Évolutions technologiques incitant, peut-être leur rôle aurait-il besoin d’être mieux connus pour rapprocher la sécurité des informations, à laquelle ils se consacrent, d’autres domaines de la SSI dont la sécurité informatique ?
[1] Les termes « donnée nominative » de la Loi Informatique et Liberté version 1978 ont été officiellement remplacés par les termes « donnée à caractère personnel », traduction de l’expression anglophone « personnal data » utilisée au niveau européen.

  Retrouvez cet article dans : Misc 22