PACK PAPIER MISC 2017


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)

Pub & Internet :

Le nouvel arsenal des publicitaires

  • Régies publicitaires : le monstre au bout de l'enchère
  • IP Squatting appliqué au SPAM
  • Black SEO : de l'autre côté du miroir
  • SPAM : pourrier un jour, pourriel toujours

SOMMAIRE :

Exploit Corner

p. 04-11 Architecture 64 bits/ASLR : quelles conséquences pour les exploits 32 bits ? Étude de cas avec Java et le CVE-2010-0842

Pentest Corner

p. 12-22 Approche pragmatique du dump mémoire

Forensic Corner

p. 24-28 Un Honeypot nommé DFIR

Dossier

p. 30 Préambule
p. 31-35 Le monstre au bout de l'enchère
p. 36-40 IP Squatting appliqué au SPAM
p. 42-47 Black SEO : de l'autre côté du miroir
p. 48-50 Pourriel un jour, pourriel toujours

Système

p. 52-58 Détection d’attaques avec Splunk
p. 61-67 UnSHc : déchiffrer des scripts Shell compilés et chiffrés par SHc

Cryptographie

p. 68-76 Cassage de mots de passe : que mettre dans votre bo”te ˆ outils ?

Réseau

p. 77-82 Automatisation des tests de sécurité en environnement web avec Mozilla Minion



éDITO :

YOU’VE GOT MAIL

Nous ne saurons probablement jamais si des cyberattaques commandées par la Russie ont fait basculer l’élection américaine en faveur de Donald Trump. En revanche, le fait que la question soit débattue, et que cette hypothèse semble tout à fait plausible y compris pour des enquêteurs de la CIA nous fait mesurer à quel point les questions de cyberdéfense sont devenues stratégiques. Il était largement convenu que les attaques informatiques puissent constituer une nuisance et avoir d’énormes impacts financiers. En revanche, que des pirates puissent influer sur l’élection du président de la première puissance mondiale a de quoi surprendre.

Si l’on reprend l’historique des évènements, le New York Times révèle en mars 2015 que Hillary Clinton a utilisé une boîte mail privée lorsqu’elle était secrétaire d’état plutôt que la boîte sécurisée mise à sa disposition par l’administration américaine. Évidemment, cela ne fait pas très professionnel, mais que celui qui n’a jamais mélangé vie numérique privée et professionnelle par étourderie, négligence ou facilité lui jette la première pierre.

En juillet 2016, l’enquête du FBI qualifie l’attitude d’Hillary Clinton d’ “ extremely careless ” notamment parce que des documents classés “Secret” et “Top-Secret” ont transité par cette boite. Passées ces remontrances, le dossier est néanmoins clos, la procureure en charge du dossier considérant qu’il s’agit de négligence plus que d’une réelle intention de violer la loi. Par ailleurs, des éléments techniques plutôt croustillants sont révélés montrant que l’équipe en charge de l’exploitation du serveur avait fait bien peu de cas de la sécurité et n’avait même pas mis en place de certificat TLS les premiers mois d’utilisation [1].

Double coup de théâtre en octobre 2016. Alors que Donald Trump tente d’exploiter déjà régulièrement cette affaire pour affaiblir son adversaire, le FBI tombe, dans le cadre d’une autre enquête [2], sur plusieurs milliers de nouveaux mails d’Hillary Clinton, envoyés depuis sa boîte personnelle et décide de rouvrir l’enquête un mois avant des élections. Ce même mois, Wikileaks commence à publier le contenu de la boîte Gmail piratée de John Podesta, un très proche collaborateur de la candidate démocrate, révélant des éléments internes de la campagne et des détails sur les conférences rémunérées d’Hillary Clinton devant des banquiers d’affaires. Les services américains soupçonnent rapidement un groupe de hackers, lié aux services de renseignements russes et accusent Moscou de vouloir influencer le résultat des élections. Les publications sur Wikileaks continuent jusqu’aux derniers jours de la campagne, malgré la coupure de l’accès internet de Julien Assange par l’Ambassade d’Équateur, lui reprochant de vouloir faire échouer le camp démocrate.

Bien entendu, pour le grand public, ces deux affaires ne font qu’une et c’est l’extrême négligence d’Hillary Clinton, dénoncée par le FBI, qui a rendu possible la divulgation de tous ces messages.

Il sera très difficile d’avoir la preuve de l’implication réelle de Moscou dans ce coup de théâtre et il est certainement impossible de mesurer l’impact de celui-ci sur le résultat du scrutin. Néanmoins, que la Russie ait été ou non à la manoeuvre, cet épisode deviendra probablement un cas d’école dans les formations de cyberdéfense et de diplomatie.

Cédric Foll / cedric@miscmag.com / @follc

[1] https://www.washingtonpost.com/investigations/how-clintonsemail-scandal-took-root/2016/03/27/ee301168-e162-11e5-846c-10191d1fc4ec_story.html

[2] http://www.lemonde.fr/elections-americaines/article/2016/10/28/aux-etats-unis-le-fbi-va-examiner-de-nouveaux-courriels-d-hillaryclinton_5022250_829254.html

Messageries sécurisées :

TELEGRAM, SIGNAL, WHATSAPP... : Quelle confiance leur accorder ?

  • Tour d'horizon des logiciels de messagerie sécurisée
  • La sécurité de Telegram passée au crible
  • Signal est-il vraiment inviolable ?
  • Attaque par Man In The Middle sur les systèmes de messagerie


SOMMAIRE :

Exploit Corner

p. 04 : Authentification interprotocolaire sous Windows et élévation de privilèges

Pentest Corner

p. 12 : Injection de DLL dans le service IKEEXT : un moyen (encore) efficace pour élever ses privilèges sous Windows

Malware Corner

p. 21 :  À la découverte de Mirai

Dossier

p. 28 : Préambule
p. 29 : Dans la jungle des messageries instantanées
p. 34 : Telegram, la controversée
p. 40 : Chiffrement de messagerie quasi instantanée : à quel protocole se vouer ?
p. 50 : Présentation de l’attaque Man In The Contacts pour piéger les utilisateurs de WhatsApp, Signal et Telegram

Réseau

p. 58 : Durcissement des switchs HP Comware
p. 66 : Usurpations de préfixes en BGP

Organisation & Juridique

p. 72 : L’évolution de la fonction CIL vers la fonction DPO

Cryptographie

p. 78 : Psychologie… et mots de passe

éDITO :

L’IA, c’est plus fort que toi

Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker. Une victoire d’abord symbolique. Si l’on s’était habitué depuis quelque temps à ce que la machine supplante l’homme aux jeux ne laissant que peu de place au hasard, le Poker semblait pouvoir rester, encore pour quelque temps, un jeu pour lequel une analyse froide ne suffirait pas. Pourtant à bien y regarder, il s’agit essentiellement d’un calcul de probabilités, domaine trivial pour un ordinateur si on lui fournit assez de données, avec un soupçon d'adaptation au style du jeu de l’adversaire. Mais le grand public et la presse n’aiment rien tant que se faire peur en imaginant un futur proche dans lequel les ordinateurs dépasseront les humains pour la plupart des tâches. 

Un peu moins médiatisé, mais particulièrement spectaculaire, Google vient de publier un article [1] de recherche détaillant les avancées en matière de reconstruction d’images très pixelisées grâce à des réseaux de neurones. Les résultats pour la reconstruction de visages à partir d’une poignée de pixels sont bluffants et ressemblent au genre de scènes qui prêtaient à sourire dans les séries de types « Alias », « 24h » ou « Les experts » il y a encore très peu de temps. Plus proche de nos problématiques, deux IA ont également réussi à concevoir un algorithme de chiffrement pour communiquer entre elles.

Traduction automatisée, reconnaissance d’images ou de la voix, assistant personnel, fouille de données, les technologies dites « d’intelligence artificielle » ouvrent des perspectives étourdissantes et démontrent semaine après semaine l’incroyable étendue de leurs champs d’application. Je vous recommande à ce propos cette excellente série d’articles [2] sur le Deep Learning mettant en lumière une partie des possibilités offertes par ces technologies.

Le domaine de la sécurité des systèmes d’information a été l’un des précurseurs dans l’usage des concepts d'apprentissage avec notamment l’utilisation de filtres bayésiens pour la détection de messages publicitaires évoqués en 2002 dans le désormais célèbre article de Paul Graham « A plan for spam » [3]. L’imagination débordante de certaines personnes les a amenées à explorer d’autres domaines tels que la recherche de sites pornographiques avec une certaine efficacité [4]. Avec un peu moins de succès, des filtres bayésiens ou des réseaux de neurones ont été à la même époque expérimentés pour détecter des trafics anormaux par les IDS. En particulier quelques plugins ont été développés pour le vénérable Snort apprenant ce qui s'apparentait à du trafic normal et signalant les flux inhabituels. 

Pourtant si les succès récents du Deep Learning ouvrent une lucarne des utilisations possibles en matière de sécurité, je pense tout particulièrement à l’intégration de ces technologies dans des sondes réseau ou des SIEM, les concepteurs tardent encore à intégrer des mécanismes d’apprentissage et de classification automatisée basée sur une IA dans leur produit. Mais réelle plus-value technique ou buzzword marketing, nous pouvons parier que toutes les nouvelles versions de produits de sécurité verront se voir très rapidement apposer un logo Deep Learning !

Cedric Foll / cedric@miscmag.com / @follc

[1] https://arxiv.org/pdf/1702.00783.pdf

[2] https://medium.com/@ageitgey/machine-learning-is-fun-80ea3ec3c471

[3] http://www.paulgraham.com/spam.html

[4] https://linuxfr.org/users/cedric_foll/journaux/projet-pornfind-sur-savannah

SMART CITIES :

Comment protéger les villes intelligentes?

  1. Quelles sont les vulnérabilités des smart cities ?
  2. La sécurité des infrastructures de vidéosurveillance
  3. L'IoT à l'échelle d'une ville : une bombe à retardement !
  4. Quand les villes se mettent à l'Open Data

SOMMAIRE

Forensic Corner

p. 04 Détecter la persistance WMI


Malware Corner

p. 10 Botnet low cost


Pentest Corner

p. 20 Auditer la sécurité d’une application iOS avec Needle

Dossier

p. 30 Préambule
p. 31 Introduction au concept de smart city
p. 36 Le point sur la cybersécurité des systèmes de vidéosurveillance
p. 42 Les systèmes de vidéosurveillance et l’IoT : protocoles et vulnérabilités
p. 50 De l’Open data à la ville intelligente

Réseau

p. 54 SDN ou comment le réseau s’automatise à grande échelle

Système

p. 64 Sécurité des terminaux mobiles

Organisation & Juridique

p. 74 Les messageries sécurisées : enjeux sociétaux
p. 78 Faites vos jeux !

éDITO

Pour ne pas se retrouver en slip sur Internet

Tout responsable informatique s’est probablement agacé un jour des contraintes imposées par la CNIL en matière de gestion des données personnelles. Qui n’a pas connu ce grand moment de frustration lorsque le CIL joue les trouble-fêtes alors que, miracle de la gestion de projet, une maîtrise d’ouvrage arrive à correctement formuler un besoin, que les équipes de développement et d’intégration sont super motivées par le challenge technique et que la direction a décidé d’engager des moyens humains et financiers ? S’entendre annoncer en fin de réunion quand tout semble calé qu’une déclaration simplifiée risque de ne pas être suffisante et qu’une demande en bonne et due forme doit être adressée à la CNIL peut être une situation crispante. L’idée d’indexer les primes des commerciaux sur leur nombre de pas quotidien, la durée de leur sommeil et la fréquence de leurs rapports sexuels avait beau enthousiasmer le nouveau Chief Happiness Officer, votre CIL ne se montrait pas exagérément optimiste quant à l’adhésion de la CNIL au concept.

Car si l’on prend un peu de hauteur de vue, l’existence en France d’une autorité administrative indépendante comme la CNIL évite bien des désastres quant aux respects de la vie privée numérique. C’est d’autant plus manifeste dans une période de crispation sécuritaire mâtinée d’une certaine incompréhension, voire une incompétence criante, des autorités politiques quant aux problématiques de sécurité des systèmes d’information et de chiffrement. Les acteurs privés, à grand renfort de big data, ne sont pas en reste dans leurs désirs de connaître nos vies dans les moindres détails. Que ce soient les assureurs, mutuelles ou banques qui aimeraient tout connaître de notre hygiène de vie et de nos dossiers médicaux ; ou encore les régies publicitaires qui voudraient précéder et susciter nos envies en croisant nos habitudes de navigation avec nos relevés bancaires.

Dans un monde sans CNIL, où les lobbies représentant les grands acteurs économiques tiendraient la plume des parlementaires, nos données privées pourraient être vendues au plus offrant sans aucune considération morale. Dans un tel monde, Google ou Facebook, avides de connaître les miettes de navigation qui leur échappent lorsque les internautes ont l’outrecuidance de s’aventurer en dehors de leur offre de service, pourront s’adresser aux fournisseurs d’accès pour déterminer si vous visitez un site proposant de l’optimisation fiscale avant de déclarer vos impôts en ligne [1]. D’un point de vue économique, c’est du « gagnant gagnant », le fournisseur de service pourra vendre l’historique de navigation, améliorant ses marges sans augmenter le coût des abonnements, et les régies publicitaires pourront améliorer le taux de conversion de leurs annonces. Les esprits fâcheux pourraient arguer que l’historique de navigation est une donnée privée, intime, au point que les éditeurs de navigateurs ont tous implémenté le concept de « navigation privée » pour ne pas divulguer ses habitudes de navigation aux autres membres de la famille. On pourra leur opposer que si par malheur, vous achetez un sex toy sans passer par les grands acteurs de la vente en ligne, Google ou Facebook pourront immédiatement vous proposer un lubrifiant.

                                                                                                                  

                                                                                                                                 Cedric Foll / cedric@miscmag.com / @follc

[1] http://www.lemonde.fr/pixels/article/2017/03/29/les-deputes-americains-autorisent-les-fournisseurs-d-acces-a-vendre-les-donnees-de-leurs-clients_5102255_4408996.html

Exploration des techniques de

Reverse Engineering :

  1. Débuter l'analyse d'applications Android avec Androguard
  2. Recherche de failles par analyse de firmwares sur Netgear
  3. Les techniques anti-reverse engineering et leur contournement
  4. Comment monter une plateforme pour l'analyse de codes malveillants
  5. Fiche pratique : de la légalité du reverse engineering

SOMMAIRE :

Malware Corner

p. 04   Analyse d’un malware en Node.JS
 

Forensic Corner

p. 10   Frida : le couteau suisse de l’analyse dynamique multiplateforme

IoT Corner

p. 20   Sextoys connectés : la débandade ?

Dossier

p. 22   Préambule
p. 23   Rétro-ingénierie d’applications Android avec Androguard
p. 30   CVE-2017-6862 : How I Rooted Your Router
p. 39   Anti-RE 101
p. 46   Introduction à l’analyse de malwares
p. 52   Reverse Engineering : ce que le droit autorise et interdit

Réseau

p. 56   Gestion des logs : présentation et mise en œuvre simplifiée d’un collecteur et d’un SIEM
p. 66   iBeacon, ça balise un max !

Organisation & Juridique

p. 72   Villes intelligentes et questions de droit

Cryptographie

p. 76   Usage de la cryptographie par les formats d’archives ZIP, RAR et 7z


éDITO :

Les VIP constituent par essence une population complexe à gérer pour les responsables SSI.

Ce sont les utilisateurs qui manipulent les données les plus sensibles d’une entreprise ou d’une administration, dont les fonctions les amènent à être mobiles et à devoir emmener une partie du patrimoine informationnel avec eux. Si ces problématiques représentent déjà un enjeu, certains peuvent se traiter d’une manière technique à renfort de chiffrement, d'authentification forte ou de terminaux durcis, tant que les matériels sont maîtrisés. Mais un autre paramètre, bien plus insidieux, risque de donner des sueurs froides aux responsables de la sécurité. De plus en plus de VIP sont en effet particulièrement friands de gadgets technologiques qui passent sous les radars de la DSI, tout en étant réfractaires aux règles de sécurité.

Ayant débuté ma carrière il y a une quinzaine d'années, j’ai commencé par me confronter à une génération hermétique à la technologie, voire plutôt intimidée. Au tout début des années 2000, il n’était pas rare de voir un cadre dirigeant dicter à sa secrétaire des e-mails et celle-ci imprimer chaque matin les messages reçus avant de les déposer dans un parapheur.

Le renouvellement de génération aidant, les VIP sont devenus de plus en plus fréquemment technophiles. Si l'on croise encore quelques réfractaires à l’informatique, se satisfaisant des outils standards proposés à l’ensemble des personnels, l’espèce est clairement en voie de disparition. Et au combo ordinateur portable et BlackBerry s’est rapidement substitué le mélange de terminaux professionnels et privés, d’usage de service Cloud grand public en complément (voire en substitution) du système d’information mis à disposition par la direction des systèmes d’information.

Combien de fois avons-nous reçu des mails envoyés par erreur, quand ce n’est pas quasi systématique, depuis une adresse Orange ou Gmail par les équipes de direction ? Ou encore la découverte de Dropbox ou autre Google Drive installés sur leurs portables quand ils sont envoyés aux équipes de maintenance pour le grand ménage de printemps parce que ça rame. Heureusement, grâce au streaming (merci YouPorn), l’époque de l’installation de logiciels de P2P sur les terminaux professionnels est un peu passée de mode. De même, on peut rendre grâce à la richesse des offres logicielles SaaS ou open source pour avoir un peu fait disparaître les logiciels Warez et leur bouillon de culture.

Un exemple criant de cette désinvolture nous a été donné lors de la dernière campagne présidentielle américaine par les deux candidats. D’un côté Hillary Clinton utilisant une boîte mail personnelle à la sécurité douteuse, et en tout cas largement inadaptée aux enjeux et aux menaces, et de l’autre Donald Trump refusant d’utiliser autre chose que son smartphone personnel, un Samsung S3 plus mis à jour depuis des années [1].

Pourtant la montée en force de la cybermenace, qu’elle soit d’origine étatique ou le fait d'activistes, risque d’être particulièrement disruptive et changer rapidement la donne. Qu’il soit possible de récupérer des informations sensibles de politiques ou de cadres dirigeants sur des services de Cloud grand public après une simple campagne de phishing risque d’être bien plus efficace que toutes les campagnes de sensibilisation menées par les équipes SSI et IT.

 

Cédric Foll / cedric@miscmag.com / @follc

[1] http://gizmodo.com/what-can-we-do-about-donald-trumps-unsecured-smartphone-1792559649

Outils, Frameworks, Obfuscations, Protocoles...

Wikileaks et les Shadow Brokers

  1. Vault 7 : analyse de Marble, le framework d'obfuscation de code de la CIA
  2. Shadow Brokers : courtiers ou agents d'influence ?
  3. Mise en place de services cachés Tor
  4. Lanceurs d'alertes : outils et modus operandi pour leaker en limitant la catastrophe

Sommaire

Malware Corner

p. 04 Petya or not Petya, that is the question

Pentest Corner

p. 10 Exploitation des injections de template dans Django

Forensic Corner

p. 16 Aller plus loin que l’événement 4624 : détecter les actions malveillantes sur un AD

Dossier

p. 24 Préambule
p. 25 106 shades of Marble
p. 34 Shadow Brokers : courtier ou agent d’influence ?
p. 40 Soupe à l’.onion
p. 48 Lanceurs d’alerte : premier contact

Code

p. 54 Voyage en C++ie : les symboles
p. 58 Devops, automatisation et gestion d’incidents

Système

p. 69 Active Directory : transformer une faiblesse en point fort

Cryptographie

p. 78    Les standards de cryptographie : de la théorie à la pratique

 

éDITO :

Plusieurs événements liés à la sécurité ont pu vous sortir de votre torpeur ensoleillée cet été. Par chance, si vous avez posé vos congés en août, vous ne risquiez pas de couvrir l’écran de votre smartphone de crème solaire.

Une première lecture ayant retenu mon intérêt est la publication d’un billet sur le blog de Quarkslab [1] d’une faille sur microcontrôleur utilisé notamment dans l’industrie automobile. Un détail retient particulièrement l’attention sur ce billet : le parcours du combattant de Quarkslab avant de pouvoir communiquer la faille. La lecture de la timeline à la fin du billet est particulièrement instructive et révélatrice de ce que vivent la plupart des chercheurs s’étant engagés dans une procédure de responsible disclosureen vue de la publication d’une vulnérabilité découverte. Une attitude qui n’encourage malheureusement pas les chercheurs à adopter une démarche responsable. Il est dommage qu’il soit plus simple de vendre une vulnérabilité à un broker contre quelques bitcoins que de publier la faille avec l’accord de l’éditeur après qu’il ait pu développer un correctif.

Mais l’événement qui a fait bruisser tout le petit monde de la sécurité des systèmes d’information cet été est certainement celui de la mésaventure de MalwareTech inculpé à la sortie de l’avion alors qu’il rentrait de la Defcon [2]. MalwareTech s’est retrouvé sous les projecteurs quelques semaines auparavant alors qu’il stoppait presque par hasard la propagation de Wannacry, le malware décrit par les médias comme une apocalypse allant détruire l’ensemble des systèmes d’information de la planète en un week-end. Si l’on se souvient que le vecteur d’infection de ce code malveillant le rendant si dangereux était basé sur ETERNALBLUE, l’outil probablement conçu par la NSA pour compromettre les systèmes d’exploitation Windows, découvrir que MalwareTech était quelques semaines plus tard mis en accusation et interrogé par le FBI pour un obscur code malveillant datant de 2015 [3] est quelque peu ironique.

Passée la franche rigolade de voir le FBI s’attaquer à un geek britannique de 22 ans rémunéré en pizza [4] pour avoir bloqué un ver informatique utilisant un code de la NSA qui n’aurait jamais dû se retrouver dans la nature, on peut s'interroger sur l’impact de ce genre de pratique sur la recherche en sécurité. Si les spécialistes en sécurité doivent s’attendre à ce genre d’intimidation par les services étatiques des pays dont ils passent la frontière, et en tout premier lieu par les États-Unis, la recherche publique et le partage d’informations risquent de ne pas faire long feu. Et, ce que malheureusement ne comprennent pas les tenants d’une approche prohibitive, c’est que brider la recherche ouverte n’a jamais amélioré la sécurité des utilisateurs, mais fait le lit du marché noir.

Cedric Foll / cedric@miscmag.com / @follc

[1] https://blog.quarkslab.com/vulnerabilities-in-high-assurance-boot-of-nxp-imx-microprocessors.html

[2] https://www.wired.com/story/marcus-hutchins-arrest

[3] https://doublepulsar.com/regarding-marcus-hutchins-aka-malwaretech-650c99e96594

[4] http://www.numerama.com/politique/258637-langlais-qui-a-stoppe-wannacrypt-gagne-un-an-de-pizzas-et-10-000-dollars.html

CERT, CSIRT et SOC en pratique :

comment s'organiser et quels outils mettre en place ?

  • Création et gestion d'un CERT : retour d'expérience et écueils à éviter
  • TheHive, Cortex et MISP : un écosystème libre de Threat Intelligence et de réaction
  • A la découverte des concepts de Threat Hunting et de Threat Analytics
  • Quel est l'impact de la Loi de Programmation Militaire pour les CERT ?

SOMMAIRE :

Malware Corner

p. 04 Instrumentation de machines virtuelles avec PyREBox

Pentest Corner

p. 08 PfSense : obtention d'un reverse-shell root à partir d'une XSS

Forensic Corner

p. 18 ELK, une SIEM à prendre au sérieux

Dossier

p. 29 Martine monte un CERT s02e01
p. 36 TheHive, Cortex et MISP : la cyberdéfense à portée de main
p. 46 Threat hunting 101
p. 52 Voyage au centre de la Loi de Programmation Militaire

Système

p. 60 Psychologie comportementale, que faire du mot de passe ?

Cryptographie

p. 66 Le bon, la brute et le WPA2

Organisation et Juridique

p. 74 Maturité d'entreprise et plan d'action pour la mise en conformité avec le GDPR

edito :

     Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]

     À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience.

     Lorsque l’on est consultant avec une appétence pour la technique, devoir faire de l’audit de conformité ne fait pas forcément sauter au plafond. Et si vous êtes du côté de la production informatique, la longue liste d’actions à engager pour aligner son système d’information sur les exigences règlementaires a de quoi donner quelques migraines. Entre les actions organisationnelles, telles que la nomination d’un DPO, la sensibilisation des maîtrises d’ouvrage à la gestion de risques, et les actions techniques comme la portabilité des données ou encore la « pseudonymisation », la mise en oeuvre de la RGPD ne risque pas d’être une partie de plaisir et va coûter du temps et de l’argent à toutes les organisations disposant d’un système d’information important.

     Pourtant, si nous en sommes arrivés à devoir avancer à marche forcée, contraints par un arsenal règlementaire de plus en plus contraignant, c’est aussi parce que force est de constater que l’autorégulation commence à sérieusement montrer ses limites.

     En effet, un des enseignements des dernières fuites de données massives est qu’il ne faut pas attendre des miracles de la main invisible du marché pour sécuriser les données personnelles. Verizon n’a finalement obtenu qu’un rabais de 350 millions de dollars [3], soit moins de 7% sur le rachat de Yahoo! alors que ce dernier a laissé fuiter la totalité de son trésor de guerre, les données de ses 3 milliards de comptes utilisateurs. Quant à Equifax, qui a laissé s’échapper dans la nature les données de 145 millions de clients américains, soit la moitié de la population, son action a certes fait un plongeon de 35% le jour de l’annonce, mais celle-ci a depuis repris des couleurs. Et nous pouvons parier que lorsque la prochaine fuite de données massive surviendra ces deux dernières seront oubliées.

     En définitive, comme l’écrit Schneier dans un billet sur le site de CNN [4], cela coûte moins cher aux entreprises de faire le dos rond et de payer une boite de communication pour de la gestion de crise lorsqu’une fuite de données survient que de dépenser de l’argent pour protéger les données personnelles de leurs « clients ». Comme l’explique Schneier, l’amélioration de la sécurité dans l’industrie agroalimentaire, pharmaceutique ou celle du transport n’a jamais été le fait des sociétés elles-mêmes, mais de la règlementation imposée par la puissance publique.

     Un non-respect de la RGPD pouvant entraîner des sanctions financières allant jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros (le montant le plus élevé étant retenu), espérons que l’arbitrage entre protection ou gestion de crise se fasse maintenant en faveur de la sécurité des données.



Cedric Foll / cedric@miscmag.com / @follc

[1] https://www.nolimitsecu.fr/fuites-de-donnees-massives/

[2] https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

[3] http://siliconvalley.blog.lemonde.fr/2017/02/22/verizon-obtient-un-rabais-pour-racheter-yahoo/

[4] http://edition.cnn.com/2017/09/11/opinions/dont-complain-to-equifax-demand-government-act-opinion-schneier/index.html

Acheter ce pack


Référence : PPAP_MISC_17

45,00 €

53,40 €

Nouveaux produits