Justice Les IDS et les obligations CNIL

Posté par . Édité par baud123. Modéré par Christophe Guilloux. Licence CC by-sa
23
23
juin
2012
Justice

La mise en place de systèmes de détection d'intrusion (IDS) ou de prévention d'intrusion (IPS) est de plus en plus utilisé par les organisations. Pour autant, il semble que tout le monde ne respecte pas systématiquement les obligations CNIL liées à leur mise en œuvre.

Qu'on utilise Snort, Prélude ou autres, il est nécessaire de demander une autorisation à la CNIL, préalablement à leur exploitation, en raison du fait que ces outils traitent des données relatives à des infractions pénales (ex : l'IDS protège contre des accès frauduleux).

On comprend que la vie privée soit un enjeu important, mais est-ce qu'il ne faudrait pas simplifier un minimum les procédures dans un cas pareil ? Si à chaque fois qu'on met en place un IPS il faut attendre l'aval de la CNIL, on n'est pas prêt de mettre en place des protections efficaces. Déjà qu'on a du mal…

  • # plus q'une semaine...

    Posté par (page perso) . Évalué à  10 .

    pour composer le 3615 AMESYS

    * Ils vendront Usenet quand on aura fini de le remplir.

  • # Je ne comprends pas

    Posté par . Évalué à  5 .

    Si je configure un firewall, que je loggue les tentatives de connection sur mon ssh, ne suis-je pas déjà en train de prévenir et détecter les intrusions ? Ai-je besoin d'une autorisation pour logguer les IP qui se connectent à mon serveur ?

    • [^] # Re: Je ne comprends pas

      Posté par (page perso) . Évalué à  5 .

      De ce que j'ai compris, ça n'a rien de spécifique aux IDS.
      À partir du moment ou tu as des IP's dans tes logs et que tu es une société, tu dois fair une déclaration à la CNIL.
      Cela doit être valable pour :
      - Serveur Web
      - FTP
      - Serveur d'email
      - Firewall
      - SSH / telnet (y en a encore ?)
      - Fail2ban
      - etc …

      Sinon, tu peux dire que tu as calqué ton choix de ne pas considérer une adresse IP comme une donnée personnelle en te basant sur l'avis d'une magistrate de référence en matière de NTIC, à savoir la présidente de la Commission de protection des droits de l'Hadopi (ref : http://www.numerama.com/f/109761-t-l39hadopi-affirme-que-l39adresse-ip-n39est-pas-une-donnee-personnelle.html) pour ne pas faire de déclaration.

      Ce qu'on peut faire sinon, c'est inciter les sociétés à faire des déclarations à la CNIL pour chaque service qui enregistre dans le syslog, à savoir à vue de nez 347 000 000 de demandes, avec ça ils auront tellement de boulot, qu'ils auront du mal à avoir du personnel disponible pour venir nous faire chier …

      • [^] # Re: Je ne comprends pas

        Posté par . Évalué à  5 .

        Pas besoin de faire 36 déclarations à la CNIL. Il suffit de nommer un Correspondant Informatique et Libertés (CIL) et de le déclarer une fois pour toute à la CNIL. Le CIL ne doit pas forcément être informaticien, au contraire. Son rôle sera d'informer, de sensibiliser les utilisateurs et de répertorier les données stockées et de faire une fiche pour chacune, disponible en consultation.
        En fait, la CNIL transfère son travail d'Hercule vers les CIL. Problème, l'Europe veut transférer la responsabilité pénale des chefs d'entreprises vers les CIL, on pourra les battre.

        • [^] # Re: Je ne comprends pas

          Posté par . Évalué à  3 .

          Ca n'a rien à voir, il s'agit d'une AUTORISATION et non d'une DECLARATION !!!!

          Cela signifie que les délais sont 3 fois plus long, que la CNIL peut vous le refuser, et que le CIL n'a rien à voir là dedan puisqu'il ne concerne que les déclarations et non les demandes d'autorisation.

          C'est le régime de formalité le plus lourd en fait…

          • [^] # Re: Je ne comprends pas

            Posté par . Évalué à  5 .

            _Cela signifie que les délais sont 3 fois plus long, que la CNIL peut vous le refuser, et que le CIL n'a rien à voir là dedan puisqu'il ne concerne que les déclarations et non les demandes d'autorisation.

            C'est le régime de formalité le plus lourd en fait…_

            Surtout que si on prend l'interpretation de Thiébaut Devergranne (l'auteur du post qui a généré cette dépêche) il faut fair euen déclaration qui comprend un audit complet des traitements et de leur finalité donc

            a) - Exit les IPS/IDS privateurs - A moins qu'ils rendent public l'ensemble des traitements qu'ils effectuent et qu'ils expliquent la finalité de chacun d'eux, on a pas moyen de replir convenablement la demande CNIL.

            b) - Exit aussi les les IPS/IDS libres - Ben oui, à chaque modification du traitement (donc à chaque mise à jour des règles ou des programmes d'analyse) il y a un nouvel audit suivit d'une nouvelle déclaration à faire à la CNIL. Pour qu'un IDS/IPS puisse fonctionner il faut donc que les règles et les programmes restent inchangées fonctionellement pendant 3 mois, le temps que la CNIL réponde.

            c) - Exit Internet, en France tous les fournisseurs d'accès à destination du public (comprendre tout ce qui n'est pas un accès à un réseau intranet à l'intérieur d'une société ou d'un batiment) sont tenus de mettre en place et de maintenir des dispositifs de controle et de pouvoir fournir aux autorités compétentes tout un tas de données, dont l'adresse IP, permettant de caractériser certaines infractions (C'est bien monsieur Michu qui le 12 à 14h était connecté sur le port 5234 de megafermé.com). Les IPS et IDS étant tous interdit en vertu de a) et b) ils ne peuvent donc plus faire leur travail.

            Je ne remet pas en cause les compétences du monsieur, mais je le trouve bien définitf sur un bon nombre de sujets sur lesquels la cour de cassation et les hautes instances juridiques européennes ont du mal à se mettre d'accord. Surtout que, une fois de plus, si il a raison nous sommes bon pour débrancher l'internet francais.

            En plus des problèmes similaires se posent déjà dans des cadres comparables (par exemple un lieu ouvert au public placé sous vidéosurveillance) et que les cas complexes ne nécessitent cependant rien de plus qu'une déclaration CNIL, même si le but second de toute vidéo surveillance est d'aider à la caractérisation d'infraction (le but premier étant la dissuasion)

            Il est possible que nous ayons à faire à une nouvelle loi schizophrénique, comme celle qui règne dans le millieu bancaire (Pour rappel, en millieu bancaire il est à la fois obligatoire de surveiller l'ensemble des conversations des employés à des fins d'audit et de sécurité des clients - (ca fait mauvais genre quand un délit d'initié se perd dans la nature) - et également interdit de surveiller l'utilisation des moyens de communication mis à disposition par l'entreprise -( Tout employé ayant le droit d'utiliser lesdits moyens à des fins privées, donc confidentielles, dans la limite du raisonnable )).

            Cependant pas mal de services mis en place dans le cadre de l'utilisation normale des communications électroniques sont dispensés de déclarations CNIL. C'est le cas par exemple des moyens ayant "pour finalité exclusive de permettre ou faciliter la communication par voie électronique". On peut considérer que ne pas se faire hacker le site violamment tous les quatre matins par des script-kiddies rentre dans ce cadre là.

            A mon sens (de non juriste idiot et trollifère) il y a erreur d'interpretation dans la phrase "Dans les faits, ces systèmes vont donc traiter des données relatives à des infractions pénales", car ici les infractions ne sont pas caractérisées. De fait seul monsieur le juge (ou éventuellement un agent assermenté abilité à dresser une contravention et/ou un procès verbal) sont en mesure de caractériser l'infraction. Le problème se poserait donc surtout dans le cas d'une société qui veut utiliser les logs dans une action en justice, mais qui veut tout de même en conserver uen copie pour un usage interne.

            • [^] # Re: Je ne comprends pas

              Posté par . Évalué à  3 .

              Ehhh, là vous passez totalement dans l'extrême.

              Le fait qu'il faille une autorisation de la CNIL n'interdit pas l'Internet, fort heureusement !

              De même, une fois que vous avez obtenu l'autorisation de la CNIL vous n'avez pas à la redemander en particulier si vous changez simplement les règles de l'IDS. Le traitement est autorisé, point barre, on passe à la suite. Il n'y a pas de changement dans la finalité du traitement (ce qui est essentiel). Sauf évidemment si tes règles IDS ont subitement pour objet de te permettre de lire les emails privés de tes utilisateurs, mais ça c'est logique.

              Ce post/article souligne simplement une contrainte légale disproportionnée par rapport à la situation. Ce qui va se passer c'est que la CNIL fera une AU (autorisation unique) qui simplifiera cette procédure. L'intérêt de l'article est simplement de souligner le fait que personne n'est à jour sur ces obligations, parce que personne n'a vraiment vu le probleme (correlation avec IDS et traitement de données relatives aux infractions).

              J'ai appelé la CNIL hier pour avoir des informations à ce sujet et ils m'ont confirmé ce qui était dit dans l'article à savoir que si tu traites des données relatives à des infractions pénales, il te faut bien une autorisation.

              Maintenant, il te reste plus qu'à te dépecher de prendre tes formulaires et te mettre en conformité si tu veux pas être dans l'illégalité.

              Au prix ou sont les avocats, moi je dis merci pour l'info gratuite ;-)

              • [^] # Re: Je ne comprends pas

                Posté par . Évalué à  2 .

                on passe à la suite. Il n'y a pas de changement dans la finalité du traitement (ce qui est essentiel).

                Le problème d'un IDS c'est qu'il y a de nombreux traitements et que l'apparition de nouvelles menaces peut fort bien générer de nouveaux traitements, lesquels nouveaux traitements se traduieront très probablement par de nouvelles analyses du comportement des machines et des outils. A partir de là, même si la finalité reste la même (au hasard protection des biens et des données de l'entreprise), il est quand même difficile de ne pas refaire une déclaration CNIL.
                Une fois de plus par analogie avec le monde de la video surveillance et du contrôle d'accès (qui n'est pas forcément la meilleure analogie possible, mais dans ce domaine au moins on a des pages et des pages de jurisprudence et d'explications en français courant), quand on rajoute des caméras, des accès controlés par badge ou que l'on change les modalité d'enregistrement ou de conservation des images et des logs de passage, il est de bon ton de refaire une déclaration.

            • [^] # Re: Je ne comprends pas

              Posté par . Évalué à  10 .

              Non il n'y a pas d'erreur d'interprétation. Le monsieur est « conseiller juridique », il a donc tout intérêt à propager le doute, l'incertitude et la peur pour vendre ses services.

              • [^] # Re: Je ne comprends pas

                Posté par . Évalué à  5 .

                Ça serait bien de le signaler dans cette dépêche alors, parce que déjà le ton populiste fait assez moyen, je trouve, en plus.

                • [^] # Re: Je ne comprends pas

                  Posté par . Évalué à  0 .

                  Et il semble que, ca soit pas la première dépêche qui soit en fait juste un bookmark…

  • # Équilibre

    Posté par (page perso) . Évalué à  4 .

    Je ne suis pas expert juridique, donc j'exprime ici mon opinion, et elle est à prendre en tant que telle.

    C'est de l'ordre du réglementaire, donc on risque seulement une amende. Éventuellement des dommages et intérêts si un usager du service s'est senti léger (mais il faudra qu'il prouve qu'il a subit un préjudice).

    Je pense que c'est encore une fois un des nombreux jeux d'équilibres avec lesquels les dirigeant doivent jongler. Personnellement, je préfère m'assurer de la sécurité de mon SI et risquer une amende, plutôt que de risquer ma responsabilité pénale parce qu'un gus aura utilisé mon réseau comme base arrière pour attaquer un tiers et ainsi être pris en défaut de sécurisation.

    Ceci dit, faire les démarches auprès de la CNIL ait autant un devoir citoyen qu'une nécessité pour l'image de l'entreprise.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.