![Page 1: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/1.jpg)
LE PENTESTFACE AU DROIT
CYBER@HACK 2015 / / Benjamin Benifei Juriste ITrust
![Page 2: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/2.jpg)
DROIT VS. PENTEST1. Définitions préalables
2. Risques juridiques
3. Encadrement juridique
![Page 3: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/3.jpg)
DÉFINIR LEPENTEST
![Page 4: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/4.jpg)
QUID ?Pentest/Test d'intrusion
Tentative de pénétration d'un système (mise en situationd'une attaque, exploitation des failles)
![Page 5: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/5.jpg)
DU CÔTÉ DU PENTESTEURQuel système d'information cible ? / Quelles
connaissances ? / Quelle méthodologie ?
![Page 6: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/6.jpg)
NIVEAU DE CONNAISSANCE DUPENTESTEUR
Boîte noire / Boîte grise / Boîte blanche
![Page 7: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/7.jpg)
MÉTHODOLOGIE DU PENTESTLogique / Physique
Technique / Ingénierie sociale
![Page 8: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/8.jpg)
PENTEST ≠ AUDITL'audit est une étude aboutissant à un panorama
complet du SI et indique sa situation par rapport à unréférentiel
![Page 9: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/9.jpg)
DIFFÉRENCES MAJEURESUn pentest est relativement peu cher, mais limité dans
son périmètre et sa durée
Un audit est plus large, mais aussi plus cher
Juridiquement, le pentest est une obligation de moyens(et l'audit, de résultat)
![Page 10: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/10.jpg)
QUELSRISQUES
JURIDIQUES ?
![Page 11: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/11.jpg)
TL;DR
GRAVES ET NOMBREUX
![Page 12: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/12.jpg)
FRAUDE INFORMATIQUELoi Godfrain (articles 323-1 à 323-7 du Code pénal)
![Page 13: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/13.jpg)
DÉLITS DE LA LOI GODFRAINNotion de système de traitement automatisé de données
Accès et maintien non autorisés / Entrave dufonctionnement / Introduction, modification,
suppression de données
Punition de la tentative / Aggravation lorsque STAD misen œuvre par l'État
![Page 14: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/14.jpg)
SANCTIONS DE LA LOI GODFRAINAccès/Maintien
2 ans d'emprisonnement, 30k€ d'amende
Contre un STAD étatique
3 ans d'emprisonnement, 45K€ d'amende
![Page 15: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/15.jpg)
SANCTIONS DE LA LOI GODFRAINModification de données
5 ans d'emprisonnement, 75k€ d'amende
Contre un STAD étatique
7 ans d'emprisonnement, 100k€ d'amende
![Page 16: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/16.jpg)
COUR D'APPEL DE PARIS, 5 FÉVRIER 2014Illustration de condamnation sur le fondement de la loi Godfrain
« L’accès, qu’il ne conteste pas, lui a en fait été permis enraison d’une défaillance technique concernant
l’identification existant dans le système, défaillance quereconnaît l'ANSES ; dans ces conditions l’infraction n’est
pas caractérisée »
« O.L. a fait des copies de fichiers informatiquesinaccessibles au public à des fins personnelles à l’insu etcontre le gré de leur propriétaire ; [sa] culpabilité seradonc retenue des chefs de maintien frauduleux dans un
STAD »
![Page 17: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/17.jpg)
UNE EXTENSION ISSUE DE LA LPMAjout par la Loi de programmation militaire de décembre
2013 du délit de détention de données(reproduction/extraction/détention/transmission)
Article 323-3 du Code pénal
![Page 18: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/18.jpg)
COUR D'APPEL DE PARIS, 5 FÉVRIER 2014« en l’absence de toute soustraction matérielle de
documents appartenant à l’Anses, le simple fait d’avoirtéléchargé et enregistré sur plusieurs supports des fichiersinformatiques de l’Anses qui n’en a jamais été dépossédée,
puisque ces données, élément immatériel, demeuraientdisponibles et accessibles à tous sur le serveur, ne peut
constituer l’élément matériel du vol, la soustractionfrauduleuse de la chose d’autrui, délit supposant, pour
être constitué, l’appréhension d’une chose »
![Page 19: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/19.jpg)
UNE AMBIGUÏTÉ DANS LA LPM ?Introduction dans le Code de la propriété intellectuelle
de la possibilité de tester un logiciel pour s'assurer de sasécurité (L. 122-6-1 III du CPI)
![Page 20: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/20.jpg)
ART. 25 LPM → L. 122-6-1 III CPIToute personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester lefonctionnement ou la sécurité de ce logiciel afin de
déterminer les idées et principes qui sont à la base den'importe quel élément du logiciel lorsqu'elle effectue toute
opération […] qu'elle est en droit d'effectuer.
![Page 21: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/21.jpg)
EN ATTENDANT LE JUGE…L'insécurité juridique règne !
Les tests sauvages de sites sont fortement déconseillés
Pas l'intention du législateur / Totalement contraire à laloi Godfrain
![Page 22: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/22.jpg)
ATTEINTE AUX DROITS DE PROPRIÉTÉINTELLECTUELLE
Code de la propriété intellectuelle
![Page 23: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/23.jpg)
DIFFÉRENTS DROITSPropriété littéraire et artistique (écrits, logiciels, etc.)
Propriété industrielle (brevets, marques, etc.)
Protection sui generis des producteurs de bases dedonnées
![Page 24: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/24.jpg)
ARTICLE L. 335-2-1 DU CPI« Est puni de trois ans d'emprisonnement et de 300 000euros d'amende le fait d'éditer, de mettre à la disposition
du public ou de communiquer au public, sciemment et sousquelque forme que ce soit, un logiciel manifestement destinéà la mise à disposition du public non autorisée d'oeuvres ou
d'objets protégés »
![Page 25: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/25.jpg)
PROTECTION DES DONNÉESPERSONNELLES
Loi informatique et libertés
![Page 26: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/26.jpg)
EXEMPLE DES RISQUESArticle 226-16 du Code pénal
Extraire, consulter ou collecter des données personnellessans respecter les formalités de la LIL
Amende de 300k€ et 5 ans d'emprisonnement
![Page 27: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/27.jpg)
EXEMPLE DES RISQUESArticle 226-16 du Code pénal
« Le fait, y compris par négligence, de procéder ou de faireprocéder à des traitements de données à caractère
personnel sans qu’aient été respectées les formalitéspréalables à leur mise en oeuvre prévues par la loi est punide cinq ans d’emprisonnement et de 300 000 € d’amende »
![Page 28: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/28.jpg)
LE TROISIÈME HOMMEL'hébergeur ou le sous-traitant
![Page 29: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/29.jpg)
HÉBERGEUR/PRESTATAIRELe risque de perturbation des services du prestataire
contrevient à la loi Godfrain…
… Et souvent aux CGU de l'hébergeur
![Page 30: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/30.jpg)
AMÉNAGER UNEPROTECTIONJURIDIQUE
![Page 31: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/31.jpg)
L'ESSENTIEL CADRE CONTRACTUEL
![Page 32: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/32.jpg)
PROCESSUS CONTRACTUELContrat antérieur à l'opération de pentest
Négociation permettant d'informer le client (risques) etde valider et décrire chaque étape du test
Détermination des responsabilités et rôles
![Page 33: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/33.jpg)
CONTENU DU CONTRATIdentité du client, du testeur, du commanditaire
Obligation de moyens du testeur (+ limites)
Périmètre/Modalités de l'obligation
Forme du livrable
Propriété intellectuelle (notamment du rapport)
Confidentialité
![Page 34: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/34.jpg)
AUTOUR DU CONTRATAutorisation de l'hébergeur
Charte d'éthique
Référentiel de l'intrusion de la Fédération desprofessionnels des tests d'intrusion
![Page 35: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/35.jpg)
AMÉLIORER LA CULTURE SÉCURITÉ(JURIDIQUE)
Désignation d'un CIL
Sensibilisation des commerciaux et prestataires
Associer les compétences juridiques et techniques
![Page 36: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/36.jpg)
LE PENTESTFACE AU DROIT
CYBER@HACK 2015 / / Benjamin Benifei Juriste ITrust
![Page 37: LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation](https://reader031.vdocuments.mx/reader031/viewer/2022021910/5bfe6b7e09d3f297368cdbb1/html5/thumbnails/37.jpg)
ALLER PLUS LOINITrust, Les aspects juridiques des scans et tests intrusifs
FPTI, Référentiel de l'intrusion
Hackers Republic, Loi Godfrain : explications et illustrations
Nmap.org, Legal issues
Benjamin Benifei, La loi de programmation militaire a-t-ellevraiment rendu légale l’attaque de sites internet ?