NIS et piratage informatique

Le droit et la notification des incidents liés au piratage informatique mais à quel prix?

Les seules pannes rencontrées étaient dues à des migrations ou des changements internes.

C’est ce que certains dirigeants ou opérationnels ont pu faire remarquer avant le développement en masse du piratage informatique. La panne d’un outil informatique ou industriel ou d’un objet était prévisible et donc réparable. La panne pouvait faire l’objet de dispositions contractuelles avec des sous-traitants ou des co-traitants pour prévoir les cas de réparation de l’objet, les cas de maintenance préventives, évolutives ou les cas de gros entretiens de l’unité industrielle, ou autre, dans des délais déterminés. Les changements internes, tels que le départ d’une personne spécialisée dans le domaine ou un changement d’organisation pouvaient également être anticipés.

Le virus informatique faisait partie du dommage et expliquait la cause de la panne. Visible rapidement, il était rapidement réparable.  Il s’est révélé être un outil légal qui peut se déployer sur plusieurs niveaux et dans un espace temps contrôlé par le hacker. Visible au moment du hacking ou postérieurement, au moment du dommage sur des installations, il n’est pas contrôlable quand il s’est déployé dans le système informatique et tant que le dommage n’est pas visible.

La question qui va se poser est celle de savoir ce qu’on va bien pouvoir déclarer comme incident auprès de la nouvelle entité créée par la Directive NIS.

Le piratage, un art de haut vol, dans un environnement connu.

Quelques événements

Plusieurs évènements devraient nous inviter à nous pencher sur la trop grande généralité des articles de loi sans distinction dans les incidences économiques, juridiques entre l’objet acheté par le consommateur, l’unité industrielle, les services publiques et les valeurs que le droit véhicule.

le droit veut protéger le consommateur mais

L’un, en décembre 2015, a visé des installations de la société Prykarpattyaoblenergo situées en Ukraine qui ont subi une panne électrique, privant d’électicité 700 000 foyers. Un malware (blackenergy) serait en tout ou en partie à l’origine de l’arrêt de l’installation. Le malware serait chargé de détruire des portions de disques durs, et les données qui s’y trouvent. Il aurait été commandé pour se dissimuler dans un document Office puis aurait été déployé dans le système de l’opérateur électrique contrôlant et commandant les infrastructures industrielles. Le malware pouvait entraîner la panne électrique complète ou ralentir le redémarrage de l’installation industrielle.

L’autre, en janvier 2016, tout aussi important, concerne le piratage d’un drone de la NASA et le vol des informations associées (missions effectuées, plans de vol, noms des employés). Le piratage aurait consisté à implanter un logiciel espion (le malware) au sein même du réseau local de la NASA (un cheval de Troie qui capte et envoie directement aux pirates les identifiants qui circulent sur le réseau). Le logiciel aurait  permis aux pirates d’opérer un changement de trajectoire du drone. L’opérateur de la NASA affecté au vol du drone a cependant repris le contrôle manuel du drone avant qu’il ne touche terre.

Un autre évènement a porté sur le dévoiement d’un drone espion américain qui survolait l’Iran, alors que des informations transmises au GPS par les Iraniens ont permis aux Iraniens de prendre le contrôle du drone, laissant cependant les opérateurs américains penser que la trajectoire était en partie respectée. Le malware s’est doublé d’un leurre. Ce leurre a empêché la reprise du contrôle manuel du drone par l’opérateur de la NASA.

En février, arriva ce qui était craint depuis un moment : l’hôpital Hollywood Presbyterian Medical Center de Los Angeles a été victime d’une attaque informatique, un ransomware. toutes les données ont été chiffrées, illisibles. Les patients ont dus être transférés dans d’autres établissements. Après avoir réclamé une rançon de 3,6 millions de dollars, l’hôpital aurait payé 17 000 dollars pour mettre fin à cette paralysie.

La liste risque d’être longue. Il est temps de publier ce billet.

 

Le nouveau piratage : faiblesse du système ou des employés ?

Le piratage n’est plus un acte isolé, ni dédié à l’espionnage industriel mais il fait partie intégrante de stratégies s’appuyant sur des outils de piratage attractifs (un message à ouvrir) dont l’unique objet est d’être visible puisqu’il cible l’ employé, ses faiblesses prend le contrôle d’identifiants (clefs), afin ensuite d’accéder à de l’information, de consulter certaines informations dans l’espace d’information de l’entreprise; cet espace de l’entreprise étant situé sur plusieurs territoires (siège, établissement, sous-traitant, outils industriels). La connaissance prise de ces informations permettra aux hackers d’adapter de nouvelles stratégies de pillage de données, de réclamations, d’organiser le sabotage d’unités industrielles, et cette connaissance des informations de l’entreprise, de ses outils industriels peuvent constituer de véritables actes de déstabilisation de l’Etat, de ses institutions.

Le repérage de l’intrusion semble difficilement détectable. L’authentification de l’identité des pirates est compliquée, sauf à transformer l’entreprise en société de sécurité et attendre des outils industriels des systèmes de sécurité différents. Des systèmes de sécurité des outils industriels existent déjà mais n’avaient pas pour finalité de se protéger contre un détournement de leurs fonctions. Ils sont déjà l’objet de toutes les attentions auprès de l’ANSSI.

Face à cette problématique, le droit semble vouloir culpabiliser l’entreprise.  Dire que l’entreprise est la responsable, car incapable de sécuriser son enceinte, ses données, son personnel, ses contacts, serait une erreur car elle est la première victime du piratage de ses données.

 

Une réponse européenne : la Directive NIS et la Directive 2002/58/CE relative à la vie privée et aux communications électroniques, pour quoi faire ?

Entrée en vigueur

La directive appelée NIS qui doit entrer en vigueur avant 2018 ne semble pas apporter de réponses adéquates aux problèmes posés aux entreprises et à la société mais fait peser sur les entreprises une charge financière supplémentaire et un climat de suspicion peu propice à sa compétitivité.

Etendue

La Directive s’applique aux entreprises de l’UE qui sont des opérateurs des infrastructures critiques, telles que les transports, le gaz, l’électricité, l’eau, le nucléaire, prestataires du web…

La Directive ne s’applique pas à certains acteurs du web ! (yahoo…).

Objet

La Directive NIS :

déclare vouloir protéger les consommateurs des conséquences d’une cyber-attaque contre des infrastructures dites critiques, telles que les infrastructures de fourniture de gaz, les transports, l’électricité,…

Modalités

Pour  parvenir à cette protection dite absolue, elle impose aux Etats d’adopter une stratégie de cyber-sécurité;

et, pour y parvenir, elle impose aux Etats de rentrer dans un réseau de communication inter-étatique pour le reporting des incidents (CSIRT);

et, pour y parvenir, elle demande aux Etats de créer un organe qui  va collecter les rapports (CERT)

et, pour obtenir des rapports, elle demande aux entreprises de reporter les incidents critiques auprès de la CERT;

et pour comparer ces rapports et les bonnes pratiques, la Commission Européenne va rédiger des documents standards qui devront être appliqués par les entreprises.

Une fois les rapports obtenus, le CERT n’aura plus qu’à pointer du doigt des évidences du moment, la défaillance de l’entreprise ne venant ainsi que démontrer l’absence de sécurisation des outils industriels (son contrôle-commande,…)

Le CERT national devra obtenir tous les pouvoirs pour auditer les entreprises.

En France, les Opérateurs d’Importance Vitale (OIV) ont déjà  l’obligation de reporter aux autorités compétentes toute attaques informatique auprès de l’ANSSI.

La grande idée : faire la publicité de la défaillance de l’entreprise hackée!

Coût

Quel est le coût pour les entreprises?

  • le temps, la taille de l’entreprise n’ont pas été pris en compte.
  • une obligation supplémentaire de rédiger un triple rapport (rapport d’incidents envers son autorité de Tutelle, au CERT et du fait des incidents en matière de protection de données); Cf : Le Règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de donnés à caractère personnel en vertu de la Directive 2002/58/CE relative à la vie privée et aux communications électroniques oblige les fournisseurs de services d’informer la CNIL au plus tard 24 heures après le constat de l’incident des incidents sur la perte ou au vol de données des internautes.
  • assumer une présomption de responsabilité supplémentaire, alors qu’elle sera la première victime.

 

Résultats

Aucun. La révélation d’une défaillance ne fera qu’augmenter un sentiment d’insécurité et pourrait attiser l’audace de nouveaux hackers.

A venir

La protection juridique et commerciale de l’entreprise passe par d’autres moyens.