Cet article fait suite à la table
ronde réalisée le 01.10.2014 à MONACO dans le cadre des Assises de la Sécurité
(http://www.lesassisesdelasecurite.com). J'ai essayé de répondre aux questions posées par Jérôme SAIZ. Cette table ronde était composée de Madame le Commissaire Anne SOUVIRA et Maitre Diane MULLENEX.
Il s'agit de l'évènement incontournable depuis 14 ans de la Sécurité des
Systèmes D'Informations permettant sur trois jours aux RSSI, décideurs de
s'informer, de rencontrer les entreprises spécialisées dans ce domaine. Des
informations très intéressantes ont été diffusées sous Twitter via le hashtag #AssisesSI. Si cet évènement est
parfois comparé à tord à d'autres... lui reste inimitable tant par la qualité, que la
précision de son organisation.
Il s'agit d'un retour d'expérience basée sur ma pratique professionnelle (ex-OPJ spécialisé dans les enquêtes numériques et analyse criminelle, chargé d'enseignement et Ingénieur Opérationnel dans le domaine de la Défense pendant un an pour monter un protocole spécifique pour la gestion et l'analyse des incidents de sécurité).
Préambule :
Dans un contexte ou journellement
les administrations et les entreprises sont soumises à des incidents de
sécurité, il devient primordial d’adopter au même titre d’un PRA ou PCA, une
méthodologie relative à la conduite de l’investigation numérique et notamment
de l’aspect « enquête interne » lorsque les faits sont susceptibles de générer
une action contentieuse.
En effet, la survenance d’un
incident de sécurité peut résulter à la fois d’une attaque informatique, d’un
acte involontaire d’un collaborateur ou d’un acte de malveillance volontaire
destinée à nuire au SI de l’emprise. La gestion d’un incident de sécurité est
intimement liée à une notion de recommandations qui peuvent soit être
issues des normes
ISO (ISO/IEC 27035) ou
des RFC (2828
– 3227), mais
également à des obligations
d’ordres juridiques. Cette gestion passe aujourd’hui impérativement par
l’investigation numérique. C’est le concept de « Cybersurveillance ».
L’origine de l’enquête interne
:
L’enquête interne est
généralement subordonnée à la découverte d’un incident de sécurité. Selon l’ISO
2700-2, il s’agit
: “d’un ou
plusieurs évènements liés
à la sécurité
de l'information,
indésirables ou inattendus
présentant une probabilité
forte de compromettre
les activités de l'organisation et de menacer la sécurité
de l'information”. Il peut résulter d’une
action malveillante ou
accidentelle, interne ou
externe.
Il peut
s’agir d’une intrusion, d’une infection
virale, d’une fraude,
pouvant engendrer ou
non une perte
d’information protégée ou classifiée. Pour apporter une réponse à
cette problématique, il est nécessaire de mettre en place une procédure
spécifique pour le traitement de ces faits.
On ne peut jamais préjuger de la
suite qui sera donnée à un incident de sécurité, mais anticiper pour les
investigations qui seront conduites dans le cadre de celui-ci, conjuguerons à
la fois les aspects techniques comme juridiques.
Quelle organisation pour des
enquêtes internes ? (et pourquoi la créer)
Les enquêtes internes reposent
sur une organisation spécifique pouvant mêler l’action de différentes
directions, telles que la Direction de la Sûreté, la Direction des Ressources
Humaines mais à des stades différentes. Elle se déroule en deux temps :
- l’enquête elle-même
- son traitement juridique (en
interne et/ou externe)
La direction de la Sûreté ou le
service dédié veille à protéger aux intérêts de l’entreprise va réaliser les
actes techniques et élaborer un rapport objectif. Celui-ci sera seulement
transmis à la Direction des Ressources Humaines si le contentieux est traité en
Interne pour une simple violation de la charte informatique.
Ce service procédera aux
différents entretiens (mis en cause, témoins, responsables hiérarchiques). Cette direction pourra se faire assister pour les aspects techniques, mais exclusivement par
une personne de l’entreprise. En effet, la présence d’un
prestataire extérieure est interdite lors des entretiens est interdite
(Cass. soc. 28 octobre 2009 n° 08-44241), chose important à savoir avec la notion d'agrément envisagé par l'ANSSI (*). A cet effet, il est nécessaire de
vulgariser la matière dans le rapport technique pour le juriste chargé de
régler ce contentieux.
Si le dossier peut constituer une
infraction à la loi pénale, le dossier est également transmis à la Direction
juridique qui peut décider ou non d’une action judiciaire. Cette action peut
être validée avec le recours ou non à un cabinet d’avocat.
Cette répartition tripartite au
sein d’une entreprise ne peut présenter que des avantages, car elle permet
d’avoir une vision tripartite adaptée à chaque étape du dossier. Cela peut
permettre à l’amélioration du processus, notion de PDCA : (Plan Do Check Act
appelée aussi roue de Deming). En effet, chaque dossier doit donner lieu à un
RETEX et à la formulation de recommandations pour prévenir des faits
identiques. Cela peut notamment passer par des sensibilisation par des officiers
de sécurité si l’entreprise en possède.
La gestion d’un PCA ou PRA repose
sur une méthodologie préétablie. La conduite d’une enquête interne et notamment
de ses aspects « investigation numérique » doit également reposer sur une
équipe techniquement compétence et sensibilisée juridiquement à ses droits et
ses obligations, mais également à des outils testés et validés en interne.
Celle-ci peut inclure l’aspect « gestion de crise » et notamment sa
communication en fonction de la gravité des faits ayant motivée cette enquête.
Cette notion de communiquer
vis-à-vis a du grand public peut présenter des avantages pour ponter que la
transparence pour l’entreprise vis-à-vis de ses clients, ou un désavantage car
susceptible de nuire à sa crédibilité et donc à d’éventuelles pertes de
marchés. L’hébergeur OVH avait notamment pris le soin de communiquer suite à un
problème de sécurité il y a quelque mois.
En aucun cas, le personnel chargé
d’une enquête interne ne doit se substituer aux services étatiques (police-gendarmerie),
car il n’en possède pas les prérogatives. Attention aux outils « miracles » qui
peuvent se révéler très intrusifs en violant certaines dispositions
réglementaires (code du travail, code pénal, réglementation CNIL) et qui sont
survendus par certaines entreprises.
La conduite d’une enquête interne
ne constitue pas un « blanc sein » pour celui qui la conduit.
Qu’est-ce qu’un tel projet
exige en terme de ressources dans l’entreprise (humaines & techniques) ? En
gros, ça coûte combien ?
Le coût de montage d’un tel
projet peut coûter plusieurs milliers de K€, car il nécessite effectivement des
ressources humaines et techniques. Il comprend le salaire d’un collaborateur
qui va établir le protocole d’intervention juridique conjoitement avec la DJ et
la DRH, mais également le processus technique.
Le coût du matériel est de
l’ordre de 20 K€ minimum pour l’équipement d’un poste complet comprenant à la
fois une licence software incluant ou non un service de SMS (Forensics Toolkit,
Xways, Encase, Forensics Explorer). D’autres produits et/ou versions existent
avec des fonctionnalités avancées comme l’analyse en réseau avec l'installation
d'agent sur des postes de travail. Par contre, attention aux solutions miracles
qui vous sont présentées, comme elles le sont parfois présentées par certains
commerciaux qui n’ont jamais procédé à des enquêtes ou n’ont aucune formation juridique.
Ce fut le cas avec d'une solution qui me fut présentée lors d'un salon en 2013
en pleine affaire PRISM...
A cela, il faut ajouter un
système de clonage autonome haut débit, d’éventuels bloqueurs en écritures,
voir des logiciels spécifiques complémentaires (analyse de traces Internet,
etc…). Devant la multitude support à analyser, le kit d'intervention peut
comprendre une solution d'analyse des téléphones mobiles (UFED, XRY). La
première solution intégrant la détection de malwares.
Le coût des mises à jours de ces
solutions est important. On peut aussi passer par des outils issus du libre
(Autopsy III, DFF (cocorico solution made in France)
Redline, Dumpit, Absolution, RtCa ou bien le recours à des Live CD : Paladin, Caine, Sift, Deft), mais l’avantage
d’un logiciel d’investigation acheté est la facilité d'utilisation et
l’automatisation des processus. Certains d'entre eux prennent en compte tant
l’analyse des processus en cours, que la ram et l'intégralité des données contenues sur support en lui-même.
Personnellement j’ai recours à FTK mais ce logiciel demande des ressources
matérielles sur-vitaminées. Un logiciel a retenu mon intention dernièrement est Forensics Explorer de GetData.
Quelles limites juridiques aux
enquêtes internes ?
La conduite d’une enquête doit
tout d’abord respecter l’ensemble des règles juridiques existantes pour
préserver les droits du collaborateur et éviter tout recours. Il faut veiller notamment au respect de loyauté de la preuve reposant notamment sur les principes suivants, elle ne doit pas :
* porter atteinte a l'intimité de la vie privée,
* porter atteinte à un droit fondamental et doit être proportionnée au but recherché.
* avoir été obtenue déloyalement.
En effet, une intervention sur un
incident de sécurité (remontée antivirus,
présence de logiciels illicites, connexions Internet, ou comportement particulier)
ne préjuge en rien du résultat des investigations et de la suite qui sera
donnée à celui-ci, s'agissant de la mise en cause réelle du salarié. Il peut
s’agit d’une action extérieure résultant d’une intrusion.
En conséquence, il est nécessaire
de recouvrir à du personnel identifié, formé "response team" et recourant à un
protocole déterminé. Il faut également veiller au respect de la « Chain Of
Custody » comme celle qui est utilisée en matière de Criminalistique. En effet il
est nécessaire d’assurer l’intégrité des supports / données sur lesquelles les
investigations vont être réalisées, mais également la traçabilité des supports analysés. Il est
nécessaire de communiquer sur la méthode d’action pour éviter toute sorte de
malentendus notamment auprès des instances représentatives du personnel.
A cet effet, le prélèvement d’un
poste de travail doit reposer sur des règles strictes. Il n’est pas question de
recourir journellement aux services d’un huissier mais d’adopter des règles
spécifiques, car ce type d’intervention à un coût. A titre de comparaison, dans
le cadre d’une enquête judiciaire, l’OPJ saisi avec l’accord de l’intéressé des
pièces à conviction ou d’autorité en fonction du cadre d’enquête dans lequel il
agit.
Au niveau du code du travail, des
règles spécifiques existes pour accéder aux données / objets d’un collaborateur
en présence ou en son absence, même si selon un arrêt de la Chambre Sociale de
la Cour de Cassation du 12 février 2013 rappelle le principe suivant en matière
de BYOD (bring your own device) :
« Une clé USB, dès lors qu’elle est connectée à
un outil informatique mis à disposition du salarié par l’employeur pour
l’exécution du contrat de travail, étant présumée utilisée à des fins
professionnelles, l’employeur peut avoir accès aux fichiers non identifiés
comme personnels qu’elle contient, hors de la présence du salarié »
Le protocole qui a été retenu dans mon
précédent poste dans le domaine de la défense nationale, validée par les
différentes directions reposait sur un principe de : transparence
et d'information du collaborateur. A cet effet, l’action des investigateurs reposaient sur des dispositions dument mentionnées dans la charte
d’usage des S.I, notamment en matière de contrôle, mais également les obligations imposées aux collaborateurs. Ces éléments étaient à la
fois mentionnés dans le rapport technique que lors de l’entretien avec le
collaborateur incriminé lors qu’un contentieux exclusivement traité en interne.
Le meilleur compromis est le
recours à des fiches préétablies sur lequel le service chargé de l’enquête
interne pourra s’appuyer, ainsi que sur une organisation interne graduelle. A
titre d’exemple le prélèvement d’un poste de travail va reposer sur un document
par lequel le collaborateur prend connaissance des raisons motivant cette
action, mais surtout l’y autorise expressément.
La méthodologie retenue avait
pour objet de l’informer qu’aucune donnée personnelle le concernant ne sera
utilisée ou conservée. Parallèlement à cette information, il lui était
également rappelé son devoir de loyauté vis-à-vis de son employeur, notamment sur
la communication des mots de passes qu’il utilisait (arrêt de la Chambre sociale de la Cour de Cassation du 18 mars 2003 -
Affaire Mme X. c/ UMS Union Mutuelle Solidarité) [1]
Suivant les cas, le poste de
travail ou le disque dur était placé dans un contenant sécurisé fermé sur
lequel les personnes présentes signaient outre la rédaction du document de
prise en compte de ce poste de travail décrivant son état et ses
caractéristiques. Ce type de solution peut être envisagé pour les entreprises
disposant de multiples sites. Le protocole retenu prévoit les aspects
remédiation, mais également des aspects de restitution des données
professionnelles et personnelles afin de permettre une continuité des activités.
Ces précautions peuvent paraître
importantes, mais elles sont destinées à préserver les droits de chacune des
parties et notamment respecter certaines règles imposées par le Code du Travail
et le Code Pénal. En effet, si l’on peut accéder sous certaines conditions
comme nous l’avons précédemment indiqué [2] aux fichiers personnels du collaborateur,
voir à certains objet (cas du BYOD), l’analyse
des éléments techniques contenus dans le système d’exploitation apportera
autant de réponses que la simple consultation des fichiers personnels.
En effet, l’analyse des artéfacts
du système d’exploitation (par exemple : les shellbags, les clefs importantes de la base de registre),
des logs locaux ou issus des applicatifs de sécurité, des évènements systèmes,
des espaces alloués et non alloués du support permettent de révéler de très
nombreuses données qui permettent de se faire une idée très précise du
fonctionnement normal ou anormal du système d’exploitation sans qu’il soit
besoin d’aller consulter un quelconque fichier comportant l’indication «
personnel ». A titre d'exemple la messagerie est volontairement écartée. D'autres part, des consignes sont données pour le stockage des fichiers personnels (exemple : mes documents), et professionnels (2° partition : data).
A cet effet, il est nécessaire
de rappeler aux « investigateurs » les risques encourus en termes de
modification, altération d’une preuve, car le support, l’objet doit être
considéré comme tel (Article 434-4 du Code Pénal), mais aussi le risques
d’atteintes à l’intimité de la vie privée (exemples : correspondances privées Art 226-15 du Code Pénal – Arrêt NIKON 2001). Il
convient aussi de rappeler les règles qui régissent le secret professionnel. Ces
sanctions sont beaucoup plus contraignantes que la simple règle du DICP
(Disponibilité, Intégrité, confidentiel, preuve).
Pour le premier aspect, il
convient de garder à l’esprit qu’un SI faisant l’objet d’une investigation doit
être considéré comme une preuve, et traité comme tel sur le plan technique, en
ayant conscience de la théorie de l’échange notamment sur un SI en
fonctionnement «Nul ne peut agir avec l'intensité que suppose l'action
criminelle sans laisser des marques multiples de son passage.» E. LOCARD 1919.
En conséquence, on doit assurer l’intégrité des objets en recours à des
solutions logicielles ou matérielles telles que des bloqueurs en écriture
interdisant toute modification de données.
Pour le second aspect, de plus en
plus de solutions dites « Forensics » ou d’e-discovery » permettent d’accéder à
distance aux postes de travail utilisés par les collaborateurs. Le recours à ce
type de solution doit être déclarée, et le champ d’action de la DSI, DSG ou de la structure
chargée de l’enquête interne est expressément prévu dans la charte d’usage. En
effet, à ce titre, il convient surtout de se conformer aux dispositions du Code
du travail : L’article L.1121-1 de ce code pose deux principes sur le
fondement desquels le caractère proportionné et justifié des contrôles
effectués sera toujours recherché par le juge qui sanctionnera l’employeur en
cas de contrôles répétés et sans justification.
A ce titre, par finalité on
attend l’objectif recherché mais surtout sa finalité s’agissant du traitement
d’un incident de sécurité, et le principe de proportionnalité dispose que le
contrôle de l’activité des salariés doit être nécessaire et pertinente au
regard des objectifs poursuivis et s’effectuer dans le respect de la vie privée
des salariés. [3]. Le schéma issue de du mémento SYNTEC décrit parfaitement le
processus :
L’action de la « response team »
est cadrée par des fiches réflexes permettant de définir une méthodologie
répondant aux questions suivantes : « On fait quoi, comment, pourquoi et avec
quels outils ». Ceux-ci ont été préalablement testés. A cet effet, un protocole de 130 pages comportant les aspects techniques et juridiques avait été élaboré, il permettait d'identifier l'outil "Ad Hoc" pour analyser tel artéfact et comment y accéder. Ensuite dans le cadre de l'intervention "graduelle",différents intervenants avaient été formés pour recueillir les données issues d'un système numérique. Ils disposaient de fiches réflexes (copie d'un support à froid, à chaud, collecte de la Ram, des fichiers systèmes, modalités de transmission de ces données au département cyberdéfense, etc...),
Rien ne vaut une réelle préparation
pour faire face le moment venu à un problème.
La conduite d’une enquête interne
ne peut s’éterniser indéfiniment. En effet, s’il s’agit d’une malveillance
entraînant une action contentieuse à l’égard d’un collaborateur, et notamment
d’une procédure de licenciement, l’employeur doit entamer son action dans un
délai n’excédant pas deux mois et en informer l’intéressé. Le délai court à
partir de la découverte du fait fautif, et non de la commission de celui-ci, et
ce en application des dispositions de l’article L.1332-4 du Code du travail.
Passé ce délai, il y a prescription, et un avertissement écrit sur ces faits ne
peuvent donner lieu après à une sanction.
Au titre de comparaison pour la
commission d’une infraction pénale, le délai de prescription est de 1 an pour
une contravention et 3 ans pour un délit. Le rapport technique étant communiqué
au collaborateur indélicat par la Direction des ressources Humaines chargées de
conduire les entretiens, un rappel dans celui-ci peut être fait :
* d’une part sur la méthodologie,
et le ou les matériels utilisés lors des investigations (aspects techniques).
* et d’autre part sur le cadre
légal de celles-ci (aspects juridiques) avec l’ajout d’une mention spécifique
comme " Les opérations techniques
réalisées ont respectées la réglementation en vigueur tant au niveau du code du
travail que du code pénal, en ne portant pas sur la consultation de dossier(s),
fichier(s) ou tout autre élément marqué ou identifié comme
"personnel" ou "privé". Elles ont été réalisées
conformément aux dispositions des articles X, Y, Z de la charte d'usage des SI
de l’entité. (visée CCE le )"
Dans le code du travail il est
simplement question d’une « faute », mais il est préférable de mentionner dans
le rapport les éventuelles violations des articles de la charte et de mentionne
au besoin les incriminations juridiques pour lesquels la société est victime et
dont elle pourrait engager une action judiciaire. Il convient de rappeler que le code pénal sanctionne le détournement de la finalité d'une chose (Article 314-1 du Code pénal).
Comment et pourquoi décider de
judiciariser un incident ?
Cette décision ne doit pas reposer sur une décision de la personne ayant conduit l’enquête interne, mais plutôt en
fonction des structures présentes dans l'entreprise d’une décision concertée et réfléchie.
Elle prend en compte différents aspects tel que le préjudice subi, le risque
d’atteinte à l’image en cas de judiciarisation des faits, mais également de
l’éventuel coût de la procédure.
L’action peut être entreprise à
titre préventif pour servir d’exemple et rappeler ainsi qu’il convient de
respecter les règles d’usage du SI de l’entreprise. Il est aussi parfois
nécessaire d’obtenir un véritable consensus des différentes directions mais surtout de la Direction
générale.
Il n’y a pas d’obligation de
dénonciation de la commission d’un délit commis par un collaborateur dans le
cadre de son activité salariée, car elle n’est pas sanctionnée. Par contre, il
s’agit d’une obligation pour les fonctionnaires en application de l’article 40
du Code de Procédure Pénale. La notion de « RSE et Compliance » étant de plus en
plus en présente avec le respect d’un Code d’Ethique, les entreprises sont de plus en plus enclines a déposer plainte ou à signaler les faits pour un acte grave.
Il convient de rappeler que si
l’employeur peut faire poursuivre un de ses collaborateurs en justice sur le
fondement de l’article 314-1 du Code Pénal pour un détournement d’usage de la
finalité de son SI, il peut aussi voir sa propre responsabilité engagée si les
faits ont été commis à partir d’un système qu’il a mis à disposition. La question ne se pose jamais dans le cadre
d’atteintes aux mineurs, un signalement au parquet est généralement réalisé.
- Comment ne pas
"pourrir" le travail des enquêteurs par l'intervention de ses propres
équipes ( + conservation de la preuve)
Le protocole décrit précédemment
et qui est similaire à celui employé par les services étatiques doit être la pierre angulaire de la conduite des enquêtes internes. Il doit
reposer sur une chaine cohérente dans le cadre d’une entreprise disposant de
plusieurs entités réparties en tout point du territoire (et pas seulement). A
cet effet, si les personnes chargées de la conduite des enquêtes sont
généralement rattachées à une Direction sureté, l’on peut s’appuyer sur des
niveaux d’interventions en fonction de l’incident de sécurité qui procéderont
aux investigations techniques.
Les services d’enquêtes
n’interviennent pas toujours directement, il faut au demeurant un minimum
d’élément tendant à présumer qu’une infraction pénale à été commise où tentée
d’être commise pour une procédure judiciaire. Sur plusieurs dossiers traités, c’est
le travail initial de l’entreprise qui conduit à saisir ou non les services de
Police ou de Gendarmerie. A cet effet, un protocole et des outils ayant été
testés sont préalablement définis en fonction su SI sur lequel on doit
intervenir (Pc, Téléphone, Serveur, type d’OS), ainsi que s’il est en
fonctionnement ou non.
Ce protocole doit prendre en
compte les aspects de protection du patrimoine de l’entreprise (Cryptage
Safeguard, Stormshield, TrueCrypt, etc..), car certaines entreprises chiffrent l'intégralité du disque dur. Dans la collecte des éléments sur un
SI en fonctionnement pour éviter ou limiter les modifications du support, il y
a ordre prédéfini de collecte des données (exemple : Ram, fichiers systèmes, puis intégralité du DD suivant le cas).
L’intérêt étant de minimiser les modifications sur le système cible lorsqu'on n'a pas eu le choix que de copier le disque dur à chaud en raison du chiffrement. Pour
mémoire la collecte des informations sur un système en fonctionnement via
certains outils peut modifier la dernière date d’accès de certaines clefs de la
base de registre comme nous avons évoqué dans la théorie de LOCARD.
Par contre s’il y a une
malveillance volontaire du collaborateur établie dès le départ,via les systèmes de
détection, il est précédé autrement. Copie intégrale du support d’origine à
froid, lequel est placé sous une enveloppe cachetée pour remise éventuelle aux
services de police, et travail sur une copie. Les services étatiques pourront procéder à leur propre investigation de leur côté.
Pour optimiser ce type d’opération,
il est nécessaire d’identifier l’interlocuteur localement compétent au sein des services
d’enquêtes qui pourra le cas échéant
intervenir rapidement. En France, il existe des enquêteurs spécialisés
au sein de la Police (ICC) et de la Gendarmerie (N-TECH). Ces services se sont lancés dans la formation d'intervenant de premier niveau afin d'avoir une meilleure compréhension des aspects numériques.
En outre, au niveau universitaire, depuis quelques années, la gestion des incidents de sécurité, la saisine de la justice ainsi qu'une initiation à l'investigation numérique sont dispensées dans certaines universités au sein des masters SSI (IRIAF à NIORT et UT TROYES). Ce type d'enseignement est très apprécié par les étudiants. A ces enseignements, il leur est également inculqué le droit de contrôle et/ou de perquisition ainsi que le droit de communication/réquisition pour connaître à la fois leurs droits et obligations face aux services étatiques.
Comment cela se passe-t-il à
l'international (lorsque l'incident frappe une filiale à l'étranger).
La société doit se conformer soit aux
règles du pays ou celles qui régissent le contrat de travail du collaborateur,
d’un pays à l’autre les règles peuvent varier, et ce qui ne constituerait pas
une infraction en France, pourrait l’être a l’étranger.
