APT et questions juridiques

Magazine
Marque
MISC
Numéro
80
Mois de parution
juillet 2015
Domaines


Résumé

Paradoxalement, au regard de l’importance acquise aujourd’hui par les APT dans le monde de la sécurité, la littérature sur ce phénomène semble faire peu de cas de ses enjeux juridiques. Quelques articles que nous trouvons au gré de recherches sur le net évoquent bien en quelques mots l’existence d’une problématique juridique, mais la plupart l’effleurent davantage que ne la développent. L’accent est la plupart du temps mis sur les aspects techniques, sur les briques constitutives d’une APT, sur les méthodes ou processus visant à se prémunir de ce type de menace, voire sur la définition d’une typologie des acteurs (cibles, attaquants). Dans cet article, nous essaierons de définir le cadre juridique de l’APT, et verrons que pour cela il nous faut revenir, rapidement, sur l’histoire de cette notion, ses multiples manifestations, ses diverses composantes, avant d’aller chercher dans les corpus juridiques existants des outils applicables, et d’en discuter les limites.


1. Définir l’APT

Pratiquée et connue des spécialistes depuis les années 1990, l’attaque ciblée et persistante trouve sa nouveauté dans sa plus forte médiatisation à compter du milieu des années 2000, et la prise de conscience accrue qui en résulte [1]. L’histoire des APT est en effet déjà longue, en attestent ses multiples manifestations [2] : des célèbres opérations Moonlight Maze (1998), Titan Rain (2000), aux récentes Khaan Quest (2013-2014) ou campagne Siesta (2014), Pitty Tiger (2014), Ali Baba (2014) en passant par les non moins médiatisées opérations Shady Rat (2006), Gh0stNet/Shadownet (2007), ou Aurora (2009), pour n’en citer que quelques-unes.

1.1 Définitions

L’expression serait née au sein de l’US Air Force au milieu des années 2000 [5] pour désigner des adversaires sophistiqués, engagés dans des manœuvres de guerre de l’information, en vue d’atteindre sur le long terme des objectifs stratégiques [6]. Les définitions...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] Virgile Juhan, Les menaces persistantes avancées, Le Journal du Net, 24 août 2011, http://www.journaldunet.com/solutions/securite/les-menaces-persitantes-avancees-apt-definition-et-moyens-de-protection/

[2] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014

[3] http://securityaffairs.co/wordpress/26592/cyber-crime/pitty-tiger-atp.html

[4] http://securityaffairs.co/wordpress/33682/cyber-crime/ali-baba-apt-middle-east.html

[5] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014

[6] Rapport Fortinet, Threats on the Horizon : The Rise of the Advanced Persistent Threat, 16 pages, 2013, http://www.fortinet.com/sites/default/files/solutionbrief/threats-on-the-horizon-rise-of-advanced-persistent-threats.pdf

[7] Margaret Rouse, Advanced Persistent Threat (APT), TechTarget, novembre 2010, http://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT

[8] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014

[9] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 220 pages, décembre 2014

[10] Cédric Pernet, Sécurité et espionnage informatique. Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, p.198-199, décembre 2014

[11] Rapport Fortinet, Threats on the Horizon : The Rise of the Advanced Persistent Threat, 16 pages, 2013, http://www.fortinet.com/sites/default/files/solutionbrief/threats-on-the-horizon-rise-of-advanced-persistent-threats.pdf

[12] http://cyber-serenite.fr/actualites/cyberattaques-la-france-tres-touchee

[13] https://www.lw.com/thoughtLeadership/managing-apt-cybersecurity

[14] http://www.legaltechnology.com/latest-news/comment-apts-pose-rising-security-threat-to-law-firms/

[15] Les atteintes aux intérêts fondamentaux de la nation sont sanctionnées par le Code Pénal. Par exemple : article 410-1, 411-1, 414-5, 414-6, 411-8, 414-8, 414-9, pour sanctionner l’exercice d’activité pour s’informer sur les intérêts de la nation pour une puissance étrangère. Ou encore sanctionner l’appropriation d’un secret de défense nationale, ou la soustraction de secret de défense nationale (Code pénal article 413 et 414)

[16] Protéger les internautes. Rapport sur la cybercriminalité, groupe de travail interministériel sur la lutte contre la cybercriminalité, février 2014. Rapport : http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf ; Annexes du rapport : http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite_annexes.pdf

[17] Marie Barel, Le vol d’informations n’existe pas… Quelles voies juridiques pour la protection de l’information ?, SSTIC 2009, https://www.sstic.org/media/SSTIC2009/SSTIC-actes/Le_vol_d_informations_n_existe_pas/SSTIC2009-Article-Le_vol_d_informations_n_existe_pas-barel.pdf

[18] Proposition de Directive du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (2013/0402(COD)

[19] http://www.assemblee-nationale.fr/14/propositions/pion2139.asp

[20] Convention sur la Cybercriminalité, 23 novembre 2001, http://conventions.coe.int/treaty/fr/Treaties/Html/185.htm

[21] http://www.computerweekly.com/news/2240235526/Over-a-hundred-cyber-criminals-arrested-in-global-operation

[22] https://www.europol.europa.eu/content/31-arrests-operation-against-bulgarian-organised-crime-network

[23] http://edition.cnn.com/2014/05/19/justice/us-global-hacker-crackdown/

[24] https://www.lw.com/thoughtLeadership/managing-apt-cybersecurity

[25] http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028338825&dateTexte&categorieLien=id

[26] http://www.forbes.com/sites/jodywestby/2012/11/29/caution-active-response-to-cyber-attacks-has-high-risk/

[27] Sony Pictures Tries to Disrupt Downloads of its stolen files, http://recode.net/2014/12/10/sony-pictures-tries-to-disrupt-downloads-of-its-stolen-files/

[28] Microsoft takes down dozens of ZeuS, SpyEye Botnets, http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/

[29] 18 U.S. Code Chapter 96, Racketeer Influenced and Corrupt Organizations, http://www.hg.org/rico-law.html

[30] http://www.bitlaw.com/source/15usc/

[31] How Microsoft appointed itself Sheriff of the Internet, http://www.wired.com/2014/10/microsoft-pinkerton/

[32] http://www.cbsnews.com/videos/are-u-s-companies-launching-illegal-cyber-counterattacks/

[33] http://www.nationaljournal.com/tech/nsa-chief-warns-companies-against-revenge-hackings-20141028

[34] http://www.worldcrunch.com/hack-back-when-cyber-attack-victim-turns-digital-vigilante/tech-science/hack-back-when-a-cyber-attack-victim-turns-digital-vigilante-/c4s5887/#.VRbPgvmG_X6



Articles qui pourraient vous intéresser...

Un œil technique sur les sanctions de la CNIL

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

Près de trois quarts des sanctions prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) ont parmi leurs causes des vulnérabilités techniques de sécurité. À partir de ce constat, et au prisme de notre expérience à la fois en cybersécurité technique et en protection des données à caractère personnel, nous avons analysé les sanctions de la CNIL publiées sur le site https://www.legifrance.gouv.fr/. Nous avons notamment établi une correspondance avec les catégories de vulnérabilités techniques identifiées dans la nomenclature du top 10 de l'OWASP 2017 (Open Web Application Security Project). Nous avons également étudié les fuites de données majeures survenues en Europe et dans le monde. Il en ressort que les vulnérabilités les plus communes sont liées à l’authentification, au contrôle d’accès et à la protection des données au repos et en transit.

ISO 27701 : le Système de Management des Informations Privées (SMIP)

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

L’article 32 du RGPD formalise clairement non seulement les exigences organisationnelles et techniques de sécurité à apporter aux traitements de données à caractère personnel afin de limiter les risques sur la vie privée pour les personnes concernées, mais aussi les exigences d’évaluation et d’amélioration continue permettant de tester et de contrôler régulièrement la conformité et l’efficacité des mesures juridiques et de sécurité. Nous nous intéresserons à synthétiser la nouvelle norme ISO 27701 (août) 2019) formalisant les exigences d’un Système de Management des Informations Privées (SMIP) dans un but d’amélioration continue des mesures organisationnelles et techniques pour assurer la sécurité des traitements de données à caractère personnel. Nous montrerons comment l’implémentation du SMIP permettra aux organismes d’assurer leurs devoirs de conformité au RGPD, d’amélioration continue voire de certification.

L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

Magazine
Marque
MISC
Numéro
106
Mois de parution
novembre 2019
Domaines
Résumé

L’analyse de l’actualité ne cesse de nous alerter sur la très faible prise en compte de la sécurité native dans un grand nombre de projets et plus particulièrement sur la sous-estimation de l’intégration des exigences de protection de la vie privée.Les articles 25 du RGPD « Protection des données dès la conception et protection des données par défaut » et 32 « Sécurité du traitement », formalisent l’obligation pour le responsable du traitement de prendre en compte les exigences juridiques et techniques pendant toutes les phases des projets de la conception jusqu’à la fin de vie du système cible.Nous nous attacherons à identifier les principaux acteurs concernés et leurs modes de concertation dans les gestions de projets en V ou Agile.Nous chercherons à souligner les points d’attention et d’amélioration dans les deux méthodes.

Écologie en entreprise : comment s’en sortir

Magazine
Marque
Linux Pratique
Numéro
115
Mois de parution
septembre 2019
Domaines
Résumé
Il ne se passe pas un jour sans que les questions de l’écologie, du recyclage et du changement climatique n’apparaissent dans les médias ou dans le monde politique. Pourtant, s’il existe beaucoup de dispositifs pour réutiliser le plastique, recycler le papier ou végétaliser les villes ultra-bétonnées, il reste au moins un domaine inexploré : l’informatique.  

La gestion des incidents de sécurité : un cadre de gouvernance globale

Magazine
Marque
MISC
Numéro
104
Mois de parution
juillet 2019
Domaines
Résumé

Une chaîne d’alerte doit s’articuler de façon à ce que le traitement d'un incident de sécurité puisse être effectué efficacement et être signalé simplement et rapidement aux autorités compétentes, y compris dans son aspect de traçabilité. Pour cela, il est possible de définir un processus de gestion des incidents à partir de la norme ISO 27035 (« Information Security Incident Management »). Dans le cadre d'un processus de gestion des incidents, la remontée d’une alerte traitée doit suivre une procédure la plus claire et la plus simple possible, connue par le plus grand nombre d’acteurs en lien direct ou indirect avec l’organisation (IT, chaîne sécurité du système d'information, responsables métiers, opérateurs, partenaires, etc.).