Compte Rendu du Forum Atena – 12 février 2009
Traçabilité et monitoring
Par Catherine SCHWARTZ et Guillaume TAILLAND
Compte Rendu du Forum Atena – 12 février 2009
Traçabilité et monitoring
Par Catherine SCHWARTZ et Guillaume TAILLAND

En tant qu’élèves de la dominante Systèmes de l’Information, et plus particulièrement futurs élèves de l’option MTIC (Management des Techniques de l’Information et de la Communication), nous avons été conviés au Forum Atena qui s’est tenu le 12 février dernier, sur le thème de la Traçabilité et du Monitoring. Gérard Peliks, directeur de l’atelier sécurité et maître de cérémonie de cet événement, a donné la parole à de nombreux experts abordant ainsi des problèmes allant du domaine technique au domaine juridique.

Nous sommes tous des utilisateurs des technologies d’information et de communication (internet, téléphone, etc.) Chaque connexion, chacune de nos actions dans un système d’information laisse des traces, comparables à nos traces de pas dans la neige. De ce fait, nous sommes tous concernés par cette problématique. Mais qui collecte ces traces, les utilise, et dans quel but ? C’est ce que nous avons découvert lors de cette conférence.

Avant de rentrer dans le vif du sujet, Jean-Michel Nicolle, directeur de l’EPF, nous a souhaité la bienvenue et a souligné l’importance de tels rassemblements au sein des Grandes Écoles. Se sont ensuite succédé plusieurs intervenants porteurs de messages. Ainsi Philippe Recouppé nous a présenté l’association Forum Atena dont il est le président ; Lazaro Pejsachowicz, représentant l’association Clusif, nous a fait la description de l’activité de son association et nous a annoncé la reconnaissance prochaine d’utilité publique de celle-ci ; et Béatrice Laurent, directrice des relations extérieures au MEDEF Ouest-Parisien, nous a exposé les différentes opportunités que pouvait proposer son organisation.

Puis l’atelier Sécurité a pu commencer, avec en première partie l’ « État de l’Art ».

Tout d’abord Georges de Souqual, Commandant de Police à la Direction Centrale de la Police Judiciaire travaillant au sein de l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication), nous a expliqué comment se passait une enquête en cybercriminalité et ses différentes procédures. En effet, les Technologies de l’Information et de la Communication (TIC) facilitent certaines infractions telles que les détournements de fonds, la pédopornographie, le piratage de cartes bancaires ou le phishing. Il a illustré ses propos par des exemples concrets, naturellement sans révéler d’informations confidentielles. Il a insisté sur les difficultés que la PJ pouvait rencontrer, notamment l’immatérialité des preuves ou l’aspect international de certaines enquêtes. L’une des informations importantes de son discours était la durée minimale de conservation des données IP : 1 an en France. C’est-à-dire que pour chaque action réalisée sur le Web/Internet, le fournisseur d’accès (FAI) ou l’hébergeur doit être capable de fournir les traces de cette activité. Le recueil d’une preuve informatique est un travail d’orfèvre : chaque trace ou indice compte et il est important de ne pas aller trop vite lors d’une constatation. En outre, le Commandant de Souqual a souligné la nécessité de garantir l’intégrité numérique : pour des raisons évidentes, il ne faut rien modifier sur un disque dur saisi lors d’une perquisition. Pour cela, la PJ utilise des outils logiciels spécifiques comme SACASA, TRECORDER, LOGICUBE, Write Blocker XP, Encase, X-ways Forensic, Access Data ou iLook. Les enjeux futurs de la stratégie européenne sont une meilleure coopération internationale, la conservation de données et la possibilité de perquisitionner à distance.

Ensuite Lazaro Pejsachowicz, représentant CLUSIF et responsable de la sécurité des systèmes de l’information de la CNAM TS (Caisse Nationale d’Assurance Maladie des Travailleurs Salariés), nous a exposé sa vision personnelle de la « trace informatique ». Elle diffère de la manière dont on l’utilise habituellement qui se cantonne à journaliser des actions prohibées ou non dans le seul but de réparer le système. Il a donc soulevé le problème des personnes possédant des droits d’accès (à tort ou à raison) qui peuvent faire une utilisation incorrecte ou frauduleuse du système d’information sans jamais transgresser les contrôles d’accès. Aucune trace de leurs actions n’est décelée s’il n’y a pas une imputation systématique de leur activité. Ainsi Monsieur Pejsachowicz propose de repenser de manière intelligente la création et le stockage de traces, logs ou journalisation, comme par exemple écrire les logs sur un serveur tiers dont les droits d’accès sont différents, ce qui permettrait d’éviter qu’une personne « habilitée » puisse les modifier pour dissimuler une action frauduleuse. Il a par ailleurs suggéré l’utilisation de SSO, identification unique pour toutes les applications informatiques.

Puis le Lieutenant-colonel de Gendarmerie Éric Freyssinet nous a expliqué la nécessité absolue de la traçabilité pour une enquête judiciaire. Il a décrit ensuite le principe d’effacement des données (droit à l’oubli) et ses exceptions au niveau français et au niveau européen. Pour illustrer ses propos, il nous a décrit une situation concrète d’enquête. Pour finir, il nous a affirmé son souhait d’aller vers une meilleure sécurité et une meilleure utilisabilité des données afin d’améliorer la qualité des investigations futures.

L’intervention de Maître Olivier Iteanu, avocat à la Cour, nous a éclairés sur l’aspect législatif de la traçabilité et de la cybersurveillance. Il a notamment rappelé qu’une trace est une preuve admissible devant les tribunaux et qu’il y a obligation de conserver les traces pendant 1 an en France. Il a insisté sur le fait qu’une menace peut être extérieure à l’entreprise, mais aussi et surtout à l’intérieur. Il a décrit les limites de la cybersurveillance en entreprise, en particulier l’interdiction d’accéder au contenu des documents et courriers électroniques personnels des employés. De plus il a recommandé aux employeurs d’interdire l’accès aux ressources informatiques à des fins personnelles dans la charte d’usage, du fait d’une jurisprudence permissive outrepassant cette interdiction et défavorable à l’employeur en cas de litiges. En matière de traces, il a listé celles qui sont légalement conservées pendant un an par les FAI et les hébergeurs et qui peuvent donc servir lors d’un procès ou une enquête.

Mauro Israel, RSSI (Responsable Sécurité des Systèmes d’Information) et invité surprise de cet atelier Sécurité, nous a entretenus sur le thème de l’anonymat dans la navigation sur Internet. Il nous a donné comme exemples le site anonymizer.ru et l’application Tor permettant tous deux de brouiller ses traces lorsque l’on navigue sur Internet. Il est à la fois impressionnant de voir qu’il est si simple d’être à l’abri de la traçabilité mise en place par les autorités et aussi effrayant d’imaginer les dérives de cette liberté, au cas où ces outils seraient placés entre des mains mal intentionnées.

En seconde partie de l’atelier, les partenaires solutions sont intervenus.

Verizon Business, représentée par Toufic Daaboul, a rappelé certains risques concernant la sécurité dans les entreprises. Il a ensuite insisté sur l’importance de bien gérer la journalisation de ses logs et de bien analyser les risques.

Wallix, représentée par Marc Balasko, a présenté sa solution Admin Bastion qui utilise une méthode SSO pour toutes les applications de l’entreprise. Ceci permet d’éviter de diffuser à tort et à travers les identifiants d’un serveur par exemple et donc de mieux gérer la confidentialité et les droits d’accès du personnel. De plus ceci permet d’avoir une traçabilité systématique qui correspond à l’un des objectifs à atteindre cités lors de l’atelier.

Websense, représentée par Guillaume Girard, a remis sur table le problème de différenciation entre une fuite d’information et un processus métier, ceci afin d’introduire sa solution. En effet Websense permet de restreindre au strict nécessaire les activités informatiques d’une entreprise. Selon 4 critères : Qui manipule ? Quelle donnée ? Pour la mettre Où ? de Quelle manière ? Cette précaution évite les activités non conformes, volontaires ou accidentelles. La traçabilité des activités n’en est qu’améliorée.

Lors de la table ronde, les questions se sont plutôt orientées vers des points de droit. Par exemple : « Quelle est la valeur juridique d’un email ? » ou encore : « Comment les autorités peuvent-elles suivre les cybercriminels au-delà des frontières ? ». Les divers spécialistes se sont alors passés la parole pour répondre au mieux à toutes les interrogations du public.

Nous avons tous trouvé cette expérience très enrichissante. Il était très impressionnant de voir autant de spécialistes rassemblés autour d’un même sujet. Les intervenants ont tous abordé le sujet de la traçabilité et du monitoring sous un angle différent, tout en se complétant mutuellement. Un grand merci à eux, ainsi qu’à Forum Atena pour cette superbe expérience.

Catherine SCHWARTZ et Guillaume TAILLAND

Elèves Ingénieurs de l’EPF

 

Retour à la page de garde de l’événement