sstic

SSTIC 2011 - Faille de sécurité ou défaut de sécurité

g4l4drim

g4l4drim

2 min read


Faille de sécurité ou défaut de sécurité

Ah, la présentation juridique de SSTIC !!! toujours aussi rafraîchissant après un lendemain de social difficile 🙂

D’après la loi, les entreprises sont tenus de sécuriser leur données etc… mais bon, dans les faits, il n’y a que de faibles condamnations, et quand ça tombe financièrement bah, les entreprises provisionnent et hop !

Bon par contre c’est le flou quand à l’obligation de sécurisation, et quand on analyse les textes de loi, il faut « prendre toutes les précautions utiles », mais  » à l’impossible nul n’est tenu » … et là ça devient plus difficile, car le 0 défaut est impossible en sécurité ! On a le droit à un rappel sur la jurisprudence Tati dans ce genre de situation.

Si le défaut de sécurisation n’est pas suffisant pour prononcer une peine, il se peut que l’entreprise soit rattrapée par la divulgation d’informations confidentielles.

Coté plateforme
Pour ce qui est du juridique, si la faille est inconnue (0-day) bon bah, on peut rien faire, mais lorsque la faille est connue, il y a faute professionnelle ! Quand il y à un défaut, en absence de best practice, si le juge estime qu’il y à une faute de la part de l’entreprise boum ! Quand il y a best-practice, là ça fait plus mal.

Coté intrus
Vis à vis du SI: Jurisprudence Tati mais vis à vis des données: toute appropriation est fautive (boum!)

Pour les victimes
Mais de qui ? car il faut déterminer le responsable (intrus, plateforme?).

Les vraies conséquences sont énormes : chômage technique, fermeture des services, perte d’image, perte d’activité, perte de confiance, interdiction d’exploitation émise par la CNIL, frais d’avocats (lol), appel à des experts (« le Hervé japonais »)…

L’avenir c’est quoi ?
Bon on à échappé à l’article 34 (voir les actes SSTIC 2010)… mais il y a bientôt l’obligation de notification de la CNIL et de l’utilisateur en cas de perte de données… sauf si le plan de remédiation soumis à la CNIL est validé ! (pour les détails cf actes à venir )

Normitologie : vu le nombre de normes et de guides, difficile de dire qu’on était pas au courant !!! (ce qui aggrave le cas…)

Certificologie : certification, agrément, label, etc… ce ne sont pas les tampons qui manquent ! bien qu’ils ne reflètent pas l’état réel de sécurité de l’entreprise, ils peuvent servir de ligne de défense pour une entreprise en difficulté… (on compte donc 14 hervé dans la présentation, le compte est bon 😀 )

L’obligation de notification, c’est le bordel, en cas de doute, pouf, on est obligé de signaler aux utilisateurs ! Et tout ça à des conséquences fâcheuses sur les entreprises, et les DSI/RSSI vont pas chômer…

Read more