Articles

Sécuriser les données personnelles : Les directives de l’ENISA relatives aux solutions cryptographiques

L’ENISA lance aujourd’hui deux rapports. Le rapport de 2014 « Algorithmes, taille clé et paramètres » est le document de référence fournissant un ensemble de directives aux preneurs de décisions, en particulier, les spécialistes qui conçoivent et mettent en œuvre les solutions cryptographiques pour la protection des données personnelles au sein des organisations commerciales ou des services gouvernementaux pour les citoyens. L’ « étude sur les protocoles cryptographiques » fournit une perspective de mise en œuvre, en couvrant les directives relatives aux protocoles exigées pour protéger les communications commerciales en ligne contenant des données personnelles.

« Algorithmes, taille clé et paramètres »

Ce rapport est un ensemble de propositions sous une forme facile à utiliser, mettant l’accent sur les services commerciaux en ligne qui recueillent, conservent et traitent les données personnelles des citoyens de l’Union européenne. Il fournit une mise à jour du rapport 2013, sur les directives cryptographiques relatives aux mesures de sécurité exigées pour protéger les données personnelles dans les systèmes en ligne. Par rapport à l’édition 2013, le rapport a été étendu pour inclure une section sur les canaux latéraux de matériel informatique et de logiciels, la génération de nombres aléatoires, une gestion clé de la durée de vie, alors que la partie sur les protocoles est étendue pour 2014 et est une étude indépendante sur les protocoles cryptographiques.

Le rapport explique deux aspects des mécanismes cryptographiques :

Si des données primitives ou un programme peuvent être envisagés pour être utilisés actuellement, dans le cas où ils sont déjà déployés ; si des données primitives ou un programme conviennent en vue d’un déploiement dans des systèmes nouveaux ou à venir.

Les questions de conservation des données à long terme sont analysées avec un nombre de problèmes généraux liés au déploiement des données primitives et des programmes. L’ensemble des mécanismes abordés dans ce rapport sont jusqu’à un certain point normalisés, et ils ont été soit déployés ou il est prévu de les déployer, dans les systèmes réels.

« Étude sur les protocoles cryptographiques »

Le second rapport se concentre sur le statut actuel dans les protocoles cryptographiques et encourage une recherche plus approfondie. Un bref aperçu est présenté sur les protocoles qui sont utilisés dans des domaines d’application relativement limités, tels que le domaine sans fil, les communications mobiles, le domaine bancaire ((Bluetooth, WPA/WEP, UMTS/LTE, ZigBee, EMV) et des environnements spécifiques mettant l’accent sur le « cloud computing ».

L’accent principal du rapport porte sur les directives aux chercheurs et aux organisations dans le domaine, qui comprennent :

Les protocoles de sécurité et cryptographiques, qui doivent être conçus par les experts en matière de protocole cryptographique, plutôt que jusqu’à présent par le réseautage et les experts en matière de protocole. De plus, les chercheurs doivent simplifier l’analyse et permettre aux outils automatisés pour fournir des garanties informatiques solides.
Une attention plus soutenue requise pour la vérification automatisée, afin que la mise en œuvre d’un protocole puissent répondre aux objectifs en matière de sécurité, et examine la manière dont les outils automatisés peuvent garantir la mise en œuvre correcte de la conception d’un protocole.
De petits changements insignifiants dans les protocoles peuvent avoir pour effet l’invalidation des preuves de garantie.
Les protocoles futurs doivent être conçus en utilisant des principes d’ingénierie solides et bien établis, faciliter l’analyse de sécurité officielle, et en conjonction avec des preuves de sécurité officielle, conçus dans la cryptanalyse de leurs constituants primitifs.
Les protocoles futurs ne doivent plus être plus complexes qu’ils n’ont besoin de l’être.
De plus amples travaux doivent être réalisés sur la vérification des API pour les protocoles d’application.

Udo Helmbrecht a déclara à propos de ce rapport : « Ce qui est mis en exergue est le besoin de programmes de certification dans toutes les phases du cycle de vie technologique. Les processus et les produits intégrés de « sécurité par la conception ou par défaut », sont des principes de base pour la confiance. La normalisation des processus est un élément essentiel dans l’assurance de l’application correcte de la réforme de protection des données dans le service aux citoyens européens et son marché intérieur. Les directives de l’ENISA s’efforcent de fournir le cadre adéquat dans la sécurisation des systèmes en ligne. »

Le règlement CE 611/2013 référence l’ENISA en tant que corps consultatif, dans le processus d’établissement d’une liste des mesures de protection cryptographiques appropriée pour la protection des données personnelles. Les directives cryptographiques de l’ENISA doivent servir de documents de référence. Dans cette optique, les principes directeurs sont relativement conservateurs, fondés sur la recherche de pointe actuelle, en abordant la construction de nouveaux systèmes commerciaux avec un long cycle de vie.

Pour les rapports complets : « Algorithmes, taille clé et paramètres » & « Étude sur les protocoles cryptographiques »

Retrouvez ce communiqué de presse sur le site de l’ENISA : http://www.enisa.europa.eu/media/press-releases/securiser-les-donnees-personnelles-les-directives-de-l-ENISA-relatives-aux-solutions-cryptographiques

Cyber-attaques: le Parlement Européen adopte des sanctions communes plus strictes

Les cybercriminels seront soumis à des peines européennes plus strictes, conformément à un projet de directive adopté par le Parlement ce jeudi. Les nouvelles règles font déjà l’objet d’un accord informel avec les États membres. Elles visent également à faciliter la prévention et à renforcer la coopération policière et judiciaire en la matière. Dans le cas d’une cyber-attaque, les pays de l’Union devront répondre aux demandes d’aide urgentes dans un délai de huit heures.

Le texte exige que les États membres fixent une peine de prison maximale au minimum à deux ans pour les crimes suivants: l’accès illégal aux systèmes d’information ou interférence illicite dans ces systèmes, l’interférence illicite dans des données, l’interception illégale de communications ou la production et la vente intentionnelle d’outils utilisés pour commettre ces délits. Les cas « mineurs » sont exclus, mais il appartient à chaque État membre de déterminer la définition de cas « mineur ». La résolution rédigée par Monika Hohlmeier (PPE, DE) a été adoptée par 541 voix pour, 91 contre et 9 abstentions.

 

« Réseaux zombies »

Le projet de directive introduirait également une peine d’au moins trois ans d’emprisonnement pour l’utilisation de « réseaux zombies », visant à établir un contrôle à distance d’un nombre significatif d’ordinateurs en les infectant de maliciels par le biais de cyber-attaques ciblées.

 

Attaques d’infrastructures critiques

La peine maximale d’emprisonnement pour des attaques contre des infrastructures critiques, telles que des centrales nucléaires, des réseaux de transport et gouvernementaux, pourrait être d’au moins cinq ans. La même peine s’applique si une attaque est commise par une organisation criminelle ou si elle cause de sérieux dommages.

 

Délai de huit heures pour les demandes urgentes

Les points de contacts désignés par les États membres seront tenus de répondre aux demandes urgentes dans un délai de huit heures en cas de cyber-attaques, afin de rendre la coopération policière plus efficace.

 

Responsabilité des personnes morales

Les personnes morales, telles que les entreprises, seraient responsables des infractions commises pour leur compte (par exemple pour avoir engagé un pirate informatique afin d’obtenir l’accès à une base de données d’un concurrent). Mettre fin à l’octroi d’un avantage ou d’une aide publics ou fermer l’établissement concerné font partie des sanctions envisagées.

 

Prochaines étapes

Le texte adopté devrait rapidement être adopté formellement par le Conseil. La nouvelle directive repose sur des règles qui sont en vigueur depuis 2005. Une fois adoptée, les États membres auront deux ans pour la transposer dans le droit national.

 

Retrouvez ce communiqué de presse sur le site du Parlement Européen [ici]

La cybersécurité des institutions de l’UE a été renforcée suite au succès d’un projet pilote

Les institutions de l’Union européenne ont renforcé leur lutte contre les menaces informatiques en créant, sur une base permanente, l’équipe d’intervention en cas d’urgence informatique de l’UE, ou CERT-UE. Cette décision fait suite au succès d’un projet pilote mené pendant un an par l’équipe, qui a reçu des appréciations positives de la part des clients et des pairs.

M. Maroš Šefčovič, vice-président de la Commission, a déclaré à ce sujet: «Les institutions de l’UE, comme toute autre grande organisation, sont fréquemment l’objet d’incidents menaçant la sécurité de l’information. La CERT-UE nous aide à mieux nous protéger contre ces menaces. Il s’agit d’un très bon exemple de ce que les institutions de l’UE peuvent accomplir lorsqu’elles travaillent ensemble. Nous voulons que notre CERT se classe parmi les meilleures, en coopérant étroitement avec les autres équipes de la communauté CERT et en contribuant ainsi à la cybersécurité de tous.»

Mme Neelie Kroes, vice-présidente de la Commission, a déclaré: «La cybersécurité est une priorité pour la prospérité et la compétitivité de l’Europe. Les institutions de l’UE peuvent désormais compter sur une CERT permanente pour contrer des menaces informatiques plus en plus sophistiquées. Par cette décision, nous joignons l’acte à la parole.»

Ces dernières années, des CERT ont été créées tant dans le secteur public que dans le secteur privé, sous la forme de petites équipes de cyberexperts capables de répondre rapidement et efficacement aux incidents touchant à la sécurité de l’information et aux menaces informatiques. Elles se sont révélées un élément clé de la stratégie de défense contre ces menaces par la prévention, la détection et la correction des vulnérabilités et des failles. Elles avertissent leurs clients des points faibles ou des menaces et font des recommandations concernant les mesures à prendre pour atténuer les risques. Elles contribuent à déceler les systèmes défaillants et les attaques et à prendre des mesures appropriées pour y mettre un terme et/ou y remédier. Elles sont fortement interconnectées les unes avec les autres, créant ainsi une communauté d’experts luttant pour la cause commune de la cybersécurité.

Dans la stratégie numérique pour l’Europe, adoptée en mai 2010, la Commission s’est engagée à mettre en place une CERT pour les institutions de l’UE, dans le cadre d’un engagement général en faveur d’une politique renforcée et de haut niveau en matière de sécurité des réseaux et de l’information en Europe. La stratégie numérique invite aussi les États membres à créer leurs propres CERT en vue d’établir, d’ici à 2012, un réseau européen des équipes d’intervention des administrations publiques. Les CERT auront également une place centrale dans une prochaine communication sur la stratégie en matière de cybersécurité.

Contexte

Les ressources de la CERT-UE lui sont fournies par les grandes institutions (Commission européenne, Conseil, Parlement européen, Comité des régions et Comité économique et social) et agences de l’Union européenne, notamment l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Ses travaux sont placés sous la direction d’un comité de pilotage interinstitutionnel.

La CERT-UE travaille en très étroite collaboration avec les services chargés de la sécurité informatique interne des institutions de l’UE et en liaison avec la communauté des CERT et les entreprises de sécurité informatique dans les États membres et ailleurs, tous échangeant des informations sur les menaces et la manière de les contrer.

[Source : Commission européenne]