L'IoT (Internet Of Things = Objets connectés) augmente la surface d'attaque des SI, si une attaque réussit sur un de ces objets, elle permettra une intrusion dans le SI. Multiplier l'interconnexion systèmes augment d'autant la surface d'attaque.
Le Système d'information se compose autant de l'accès à internet, que du réseau, des serveurs, des ordinateurs, imprimantes et smartphones. Certains objets utilise des technologies detransfert courte distances comme le bluetooth ou le Wi-Fi (ex: montre connectée). Ces réseaux sont à risque dès le moment où ils ont accès à internet.
Quel que soit le niveau de sécurité de l’équipement, il est toujours possible de le compromettre si on peut accéder à un certain niveau d’information.
Le « cloud » c’est-à-dire le « nuage », consiste en la mutualisation des ressources de calcul et de stockage distribuées dans des datacenters répartis dans le monde entier.
Notons également que les hébergeurs de ces données se conforment aux lois des pays dans lesquels ils sont implantés.
L’ensemble des réseaux qui relient ces objets crée le cyberespace.
Par conséquent, les attaques informatiques utilisent ce territoire pour atteindre les cibles.
Or, celui-ci possède des propriétés particulières qui font qu’il est nécessaire de repenser le modèle habituel.En effet, le cyberespace est un espace sans frontières concrètes.
Mais ces propos sont à nuancer, car les réseaux reposent sur des infrastructures techniques physiques qui se trouvent sur un territoire bien déterminé : il y a donc une dimension de territorialité. Par exemple, dans certains pays, il est interdit de posséder ou de faire transiter une donnée qui serait chiffrée sans permission.
De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale, de sécurité ou pour maîtriser la circulation iconographique, culturelle ou religieuse.
L’objectif est de bannir les sites ne respectant pas les idéaux du pays et de créer un Internet national, c’est-à-dire un réseau fermé respectant les normes religieuses ou idéologiques.
La multiplicité des points d’accès fait qu’il est difficile d’attribuer une attaque à une personne, une entreprise ou un gouvernement. En effet, les attaquants ont tendance à couvrir les traces d’une attaque en modifiant les caractéristiques des machines utilisées, en passant un grand nombre de relais pour atteindre la cible, voire en effaçant les journaux d’enregistrement des cibles.
Par l’intermédiaire du cyberespace, des organisations peuvent attaquer des états et inversement. Cette asymétrie permet à un petit groupe d’individus de s’en prendre à un état et de toucher un point névralgique comme les usines de traitement de l’eau, par exemple.
Contrairement à ce que l’on pourrait penser, ce cyberespace n'est pas totalement libre et désordonné.
Cependant, la nature décentralisée d’Internet fait de lui un espace « contrôlé » par plusieurs organismes, états ou entreprises.
À tous les échelons, de nombreux organismes exercent ou peuvent exercer un contrôle ou une censure sur les informations qui y circulent. Notons tout d’abord que pour fonctionner, le réseau est tributaire de câbles ou de satellites : en l'absence de « tuyaux » suffisamment grands, le trafic peut être très fortement ralenti. Aujourd’hui, de nombreux pays sont dépendants, pour leur accès au réseau, d'un ou deux câbles sous-marins ou souterrains. Notons également que certains pays disposent techniquement de la capacité de bloquer ou de censurer tout ou partie d'Internet.
Durant les manifestations qui ont précédé la chute de Hosni Moubarak, par exemple, l'Égypte a pu couper quasi-instantanément l'accès au réseau en faisant pression sur les fournisseurs d'accès à Internet (FAI). Sans aller jusqu'à ces extrémités, de nombreux pays exercent aussi un contrôle très fort sur le réseau.
Des contenus contraires aux lois nationales sont ainsi bloqués dans la plupart des pays autoritaires, mais aussi dans des démocraties : en France, la loi sur les jeux d'argent en ligne permet d'ordonner le filtrage des sites qui n'ont pas reçu un agrément.
La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de « loi informatique et libertés », est une loi française qui règlemente la liberté de traitement des données personnelles, c’est-à-dire la liberté de ficher les personnes.
Les données personnelles correspondent à toute information relative à une personne physique.
Ces moyens d’identification sont nombreux : nom, prénom, adresse (physique et électronique), numéro de téléphone, lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d’immatriculation d’un véhicule, photo, empreinte digitale, données médicales et génétiques, etc.
Il existe plusieurs types de pirates ayant des motifs d’attaques différents : du hacker isolé agissant par vengeance ou démonstration de compétence, au groupe de hackers organisé ayant pour objectif de revendre ses services pour déstabiliser des entreprises, ou de revendre des informations subtilisées dans des bases de données non-sécurisées comme des informations bancaires ou des données nominatives.
Des groupes organisés tels que le réseau Anonymous quant à eux procèdent par exemple à des actions de défacement, de piratage de sites web, ou de divulgation d'informations pour revendiquer des actions auprès d’entreprises réputées ou pour procéder à des opérations punitives.
Les attaques de masse sont aujourd’hui très courantes, car leur coût est très faible pour l’attaquant et les revenus générés peuvent rapidement devenir intéressants.
Les attaques de masse scannent ou balayent Internet pour trouver des objets non-sécurisés comme les caméras que nous avions citées en introduction pour en prendre le contrôle facilement si le mot de passe n’a pas été changé.
Les attaquants arrivent ainsi à se constituer un réseau d’objets connectés pour en faire un « botnet », c’est-à-dire un réseau de machines compromises, autrement dit un groupe d’ordinateurs infectés et contrôlés par un pirate à distance.
Ce réseau servira par la suite à commettre une attaque sur une cible prédéfinie par l’intermédiaire des objets connectés des entreprises ou des logements personnels sans que personne ne le sache.
Le rançongiciels se diffusent généralement par e-mail à l'aide de techniques de phishing visant à imiter les couleurs d'une institution. L'objectif est de faire télécharger un logiciel malveillant à l'utilisateur au travers d'un lien.
Pour se protéger des conséquences d’un rançongiciel, il est important de sauvegarder régulièrement vos données, de vérifier les expéditeurs des emails, d’être vigilant avec les extensions de fichier en .exe.
En parallèle des attaques massives que nous venons de voir, les entreprises ou les personnes peuvent être victimes d’attaques ciblées. A contrario des attaques de masse, les attaques ciblées sont moins courantes. En effet, les modes opératoires sont plus complexes et demandent des compétences spécifiques ou une connaissance particulière de l’entreprise.
Concrètement, cela veut dire que l’attaquant connaît sa victime et qu’il met en œuvre tout un procédé pour l’atteindre. Il s’agit principalement de cas d’espionnage pour obtenir une information qui n’est pas publique : espionnage économique ou industriel, atteinte à la propriété intellectuelle, ou encore pour des raisons politiques.
Ces attaques sont appelées APT pour « Advanced Persistent Threat » qui se traduit littéralement par « menace persistante avancée ». Ces attaques très subversives sont souvent repérées des années après la première infiltration sur le réseau de la personne visée. Elles utilisent généralement un code malveillant développé spécifiquement sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu le plus longtemps possible.
Pour réaliser une attaque ciblée, l’attaquant va utiliser l’ensemble des informations de l’entreprise visée trouvées sur Internet pour en faire une cartographie précise.
Par la suite, l’attaquant va infecter le réseau de l’entreprise, via un email envoyé à un employé qui contient une pièce jointe malveillante par exemple. Cet employé, peu regardant sur le fichier en question et n’étant pas conscient d’être une potentielle victime, va ainsi sans le vouloir ouvrir son poste à l’attaquant.
L’attaquant prenant ainsi le contrôle du poste de l’employé, pourra se connecter au réseau interne de l’entreprise, puis contaminer l’ensemble du réseau jusqu’à trouver l’ordinateur qui contient l’information à protéger.
Dans ce cas, on dit que le collaborateur a servi de « tête de pont » à l’attaquant pour commettre son attaque.
Face à ces attaques ciblées, les protections « classiques » telles que les antivirus ou les pare-feu ne vous protègeront pas d’un attaquant très motivé qui vous a bien observé, vous devez donc être vigilant !
Il est intéressant de noter qu’aujourd’hui ces menaces ou « malwares » ne sont plus aussi différenciées qu'auparavant. En effet, ce qui varie est plutôt le comportement de ces virus, vers, etc. Par exemple un « Trojan » ou « Cheval de Troie » va généralement embarquer des fonctions de « backdoor » (porte dérobée) lui permettant de maintenir son accès sur le système ou embarquer des fonctions de « keylogger » pour enregistrer la caméra ou encore les frappes du clavier effectuées sur le poste.
D’autres programmes connus sous le nom de « rootkit » s’installent sur votre machine pour dissimuler une activité sur le système de fichiers (création, lecture, écriture), une activité réseau, ou encore une activité en mémoire (calculs). Un rootkit peut travailler dans l’environnement de l’utilisateur, sans droits particuliers, ou en profondeur dans le système d’exploitation, nécessitant par conséquent des droits d’exécution élevés. L’installation de ces programmes nécessite que le système soit préalablement compromis (cheval de Troie, intrusion).
Ces programmes modifient souvent les commandes usuelles de l’administrateur, afin de dissimuler toute trace de leur présence. Un outil de dissimulation d’activité n’a pas pour but d’offrir un accès quelconque à la machine hôte. En revanche, la plupart de ces outils malveillants embarquent des fonctionnalités de porte dérobée permettant à l’auteur un accès à distance et un maintien sur le système compromis.
Le défi : (souvent les jeunes possédant des compétences en informatique), ils sont appellés "Script Kiddies" car ils utilisent souvent des logiciels préfaits ou des tutoriels trouvés sur internet
Au contraire, certains ont un profil beaucoup plus technique, et ce sont eux qui vont apporter les logiciels aux script kiddies. Il recherchent souvent de nouvelles failles (donnant naissance à des failles 0-day) et créent un moyen simple pour exploiter cette faille. Ces attaquants peuvent même vendre leurs découvertes et créations et alimenter un marché noir.
Perte financière : Pour les entreprises et les particuliers, les conséquences des cyberattaques peuvent être de plusieurs natures mais la conséquence la plus couramment rencontrée est la perte financière engendrée par la fraude. La fraude est un acte commis dans l’intention de nuire et d’en tirer un profit illicite.
Plusieurs conséquences sont alors possibles : les « pirates » peuvent se connecter aux systèmes dans le but de détruire des données, ou au contraire d’accumuler les données pour mieux connaitre leur « proie » et parvenir à détourner de l’argent.
Ce dernier cas est illustré par la « fraude au président » qui consiste à obtenir un virement vers un compte à l'étranger, sur ordre supposé d'un dirigeant ou d'un fournisseur, derrière lequel se cache en réalité un internaute malveillant. En effet, la fraude est assez facile à mettre en œuvre avec les nouveaux modes de communication puisqu’il est assez simple de récupérer des données d’une entreprise en comparaison du gain financier qui peut être important.
On peut également retrouver la fraude dans des cas plus précis et plus techniques comme les attaques sur les systèmes d’information des bourses et notamment les systèmes de HFT (« High Frequency Trading ») où il y a un risque d’effacement de millions de transactions et de détournement d’investissements associés. Dans ce cas, des sommes importantes d’investissement peuvent être perdues et donc léser l’entreprise.
Atteinte à l'image : Au-delà de l’aspect financier, les attaques informatiques peuvent jouer sur l’avenir des dirigeants. Par exemple, lors du piratage d’un site de rencontres extraconjugales, le PDG de la société propriétaire du site a décidé de démissionner suite à la publication de 30 Go de données du site contenant les noms, les comptes utilisateurs, les courriels et les adresses ainsi que les historiques de navigation de ses clients. Malheureusement cette expérience a démontré que cela pouvait aller tragiquement plus loin puisque certaines personnes se sont suicidées suite aux révélations du site. Il s’agit là d’un aperçu des conséquences sociales que peut avoir un piratage.
De manière plus poussée, les cyberattaques peuvent également aller jusqu’à détruire du matériel physique. Par exemple, il est possible de leurrer les capteurs de sécurité d’un système industriel afin de modifier ses réglages et donc l’obliger à détruire voire à s’autodétruire. Ces attaques sont rares, mais restent envisageables.
Enfin, les attaques informatiques peuvent servir à neutraliser les systèmes ciblés. Par exemple, l’attaque par déni de service distribué (DDoS) va saturer le réseau pour rendre un site Internet indisponible par exemple. Pour une entreprise, cela peut se traduire par des pertes financières élevées lors de l’indisponibilité de ses services.
Le cyberespace est un monde à hauts risques qu’il est important d’identifier afin de mettre en place les mesures de protection adaptées pour protéger les systèmes d’information visés par les attaquants.
Si malgré toutes vos précautions vous êtes la cible d’une cyberattaque, quelques recommandations s’imposent.
D’autre part, la plateforme cybermalveillance.gouv.fr mise en place par l’ANSSI a pour objectif de venir en aide aux victimes d’actes de cybermalveillance. La plateforme s’adresse aux particuliers et également à toutes les entreprises et collectivités territoriales (hors OIV).
Elle a pour objectifs :
Concrètement, une victime d’un acte de cybermalveillance pourra se connecter sur une plateforme en ligne qui lui indiquera la marche à suivre.
Grâce à ses réponses au questionnaire, la victime sera orientée vers les prestataires de proximité susceptibles de répondre à son besoin technique.
La plateforme d’assistance aux victimes d’actes de cybermalveillance (ACYMA) fournira également des contenus de sensibilisation aux enjeux de la protection de la vie privée numérique et développera des campagnes de prévention en la matière.
Grâce au recueil de nombreuses statistiques, ACYMA créera un observatoire du risque numérique permettant ainsi de l’anticiper.
Les CERT (Computer Emergency Response Team) - de l'entreprise, d'état ou autre – sont également capables d'intervenir pour vous venir en aide.
Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en France, le président de la République a souhaité qu’en 2013 soit rédigé un deuxième livre blanc pour la Défense et la Sécurité Nationale. Ce livre blanc apporte un classement des menaces les plus importantes sur l’État et montre que la menace informatique est classée seconde derrière la menace terroriste.
En substance, le document évoque une « menace cyber diverse et croissante » qui peut avoir pour conséquence le sabotage, l’espionnage et la subversion.
Cette menace concerne l’ensemble des acteurs français, aussi bien économiques qu’administratifs. Notons que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008 mettait déjà en évidence la menace que représentent les attaques informatiques.
Il a ainsi permis la création de l’ANSSI.
Il ressort trois priorités de ce livre :
Pour résumer, le livre blanc montre que l'État a conscience des évolutions technologiques et cherche à assurer sa protection dans le domaine numérique.
Pour cela il prévoit un effort budgétaire nécessaire pour créer des protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de compétences.
De plus afin de renforcer la sécurité des systèmes d'information de l'État, il prévoit :
En 2015, le Premier ministre a officialisé la première stratégie pour la sécurité du numérique. L’ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques et notamment la cybersécurité. La stratégie nationale pour la sécurité du numérique n’est pas une stratégie pour la cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et défis qui se posent. Les cinq axes de la stratégie que nous allons découvrir se veulent complémentaires.
Les questions de sécurité numérique auprès des OIV.
En effet, aujourd’hui, de nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, ...) sont gérées par informatique, ce qui peut générer de gros dommages potentiels en cas de cyber-attaque. Une Nation qui veut conserver sa souveraineté doit faire de la cybersécurité une priorité nationale confirmée. OIV en france : Secteur Étatique Activités civiles de l’État Activités militaires de l’État Activités judiciaires de l’État Espace et recherche
Protection des citoyens Santé Gestion de l’eau Alimentation
Vie économique et sociale de la Nation Énergie Communications électroniques, Audiovisuel et Information Transports Finances Industrie
Le rôle des entreprises non OIV.
En effet, bien qu’une cyberattaque isolée mettant en difficulté une PME n’ait pas d’incidence en terme de sécurité nationale, la généralisation de telles attaques peut entrer dans le domaine de la sécurité nationale. Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc potentiellement plus vulnérables à un risque de contamination. Il faut pouvoir apporter une réponse à cette menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d’agir en aidant les victimes d’actes de cybermalveillance. Actuellement, le statut de ces victimes n’est pas reconnu clairement, ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes traditionnels de compensation des risques (assurances).
La formation à la cybersécurité. Le troisième axe promeut la formation à la cybersécurité. Au cours des 5 dernières années, le nombre de formations spécifiques à la cybersécurité a ainsi explosé alors qu’il y a 10 ans celles-ci étaient marginales. Il existe aujourd’hui de nombreuses formations de qualité mais on observe une inadéquation entre l’offre et la demande. Cet axe encourage à développer la formation initiale, la formation professionnelle et à sensibiliser et véhiculer les bons messages auprès des jeunes, dès la fin du primaire, en leur expliquant les notions basiques de la sécurité. Cette initiation à la sécurité doit être réalisée au même moment que la sensibilisation au numérique : une fois encore, sécurité et numérique doivent aller de pair.
Le rôle des industries. Le quatrième axe de la stratégie propose d’inclure les industries dans le développement de la cybersécurité nationale. En effet, la France a besoin d’une industrie forte, nationale et structurée par le processus de qualification. Ce processus est ouvert aux acteurs étrangers via une évaluation des produits et des services. Ce travail est compliqué et prend du temps mais il est indispensable afin de savoir qui est compétent et de confiance. Pour résumer cette mesure, les industries doivent produire des produits de sécurité « made in France » et doivent se protéger pour elles-mêmes et pour le pays, afin de ne pas être les « maillons faibles » de la chaîne.
La stratégie du numérique dans un contexte international. Enfin, le dernier axe explique que la stratégie du numérique doit s’envisager dans un contexte international. En effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit pour venir en aide aux états les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les aider à monter en puissance.
Au-delà des objectifs philanthropiques, il s’agit aussi, comme pour tous les domaines stratégiques, de protéger ses alliés pour se protéger soi-même. Tous ces éléments mettent en exergue l’impératif de trouver un compromis entre efficacité et confiance. Les différents services de l’État impliqués ont tout pour aider les industriels à aller vers l’export, afin qu’ils deviennent des leaders mondiaux dans le domaine cyber.
Nous l’avons vu en introduction, l'ANSSI (Agence nationale de la sécurité des systèmes d’information) créée en 2009 est l’autorité nationale en matière de sécurité des systèmes d’information.
À ce titre, elle prévoit des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information vitaux de la Nation et elle coordonne l’action gouvernementale en matière de défense des systèmes d’information.
Elle anime et coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection des systèmes d’information et veille à l’application de celles-ci notamment par le biais d’inspections.
Elle conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement.
Elle délivre des agréments aux produits et aux prestataires de services destinés à protéger les systèmes d’information des entreprises.
Depuis 2015, l’ANSSI déploie un dispositif territorial chargé de relayer et de coordonner l’action de l’ANSSI dans les territoires ainsi que de contribuer au partage d’expérience entre les acteurs locaux de la cybersécurité. Ce dispositif est formé par des référents territoriaux en régions spécialistes de la sécurité du numérique. Ceux-ci accompagnent la mise en œuvre des politiques de cybersécurité avec les structures et les autorités régionales existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques.
L’ANSSI se charge de l’anticipation de la menace pour la sécurité du numérique. Pour cela, sept laboratoires de recherche lui permettent de rester à la pointe de l’état de l’art en matière de cybersécurité. Lorsque les menaces sont détectées, l’ANSSI identifie les failles utilisées par les codes malveillants, ce qui lui permet d’avoir une vision plus générale sur l’analyse de la menace. Pour les cas plus extrêmes qui le nécessitent, un dispositif de crise peut être activé pour répondre de manière efficace à un événement d’ampleur. L’ANSSI dispose pour cela d’un centre opérationnel qui fonctionne 7 jours sur 7 et 24 heures sur 24 et qui lui permet d’effectuer une veille permanente et une supervision de l’activité sur les différents réseaux couverts, afin de détecter des attaques potentielles auprès des services ministériels. Enfin, le centre opérationnel collecte et assure la synthèse des informations nécessaires à la compréhension des attaques.
L’ANSSI se charge également d’accompagner les services de l’État et les Opérateurs d’Importance Vitale (OIV), c’est-à-dire les organisations privées ou publiques identifiées par l'État comme ayant des activités indispensables à la vie de la Nation, dans le but de protéger leur système d’information à importance vitale (SIIV). Pour assurer leur sécurisation, elle recommande l’utilisation de produits qualifiés ainsi que de prestataires de services de confiance. Elle réalise des audits de certains systèmes d’information afin de contrôler la robustesse des mesures mises en place et apporte ses recommandations.
L’ANSSI qualifie des produits et des prestataires de services pour démultiplier ses actions auprès du secteur économique.
Pour obtenir ce label de l’ANSSI, les entreprises doivent respecter des critères de qualité sur des sujets très sélectifs.
Pour résumer, l’ANSSI se charge d’évaluer et de faire évaluer la sécurité de nouveaux dispositifs ou de projets à l’étude. Elle se charge également de mettre en place des labels (label Cloud, SecNumedu, CSPN), des qualifications (PASSI, PRIS, PDIS), des référentiels (RGS) des outils de sécurisation et de bonnes pratiques, et du respect général de la sécurité (surveillance des menaces, centre de crise et mise en place d’une plateforme de signalement des failles de sécurité).
Tous les ministères mettent en place des structures de sécurité des systèmes d’information, plus ou moins musclées et en relation avec l'ANSSI.
Le Ministère des Armées quant à lui, se distingue par des enjeux très forts pour l'État : potentiel de guerre au sens du code de la défense, prise en compte d'une menace étatique étrangère, protection et défense de systèmes d'armes très complexes… À ce titre, il nécessite des structures musclées (plusieurs milliers de personnes), mais aussi quelques compétences uniques...
Le Centre d’Analyse en Lutte Informatique Défensive (CALID) est le CERT (Computer Emergency Response Team) du Ministère de la Défense, c’est-à-dire la structure "technique" de défense des systèmes d’information. Le CALID est en charge de la surveillance des différents SI du ministère et partage des outils de détection des menaces avec l'ANSSI.
Le commandement opérationnel de cyberdéfense (ComCyber) assure la conduite des opérations de défense des SI. À ce titre, il commande le CALID, mais aussi plus généralement toutes les opérations militaires dans le cyberespace. Depuis le livre blanc et les discours du ministre des Armées, il est effectivement clairement affiché que le ministère des Armées dispose désormais de capacités offensives en la matière.
Le Ministère des Armées peut intervenir conformément à sa mission pour la défense de la Nation, notamment en cas de crise cyber ; il est également gestionnaire de la réserve cyber (citoyenne et opérationnelle). La RCC se charge de faire la promotion des bonnes pratiques en matière de cybersécurité sur l’ensemble du territoire. Il s’agit de réservistes civils qui souhaitent donner de leur engagement pour une cause d’intérêt général. La réserve opérationnelle quant à elle, sera activée en cas de crise informatique majeure pour aider à la résilience des systèmes d’information. L’objectif est donc de réduire drastiquement le temps nécessaire pour réinstaller quelques milliers de postes informatiques par exemple. Il s’agit de personnels techniques, formés et mobilisables à tout moment.
Le Ministère des Armées, au travers notamment de la DGA et de l'expertise de la DGA-MI (délégation générale de l’armement – maîtrise de l’information), se charge de faire développer des équipements souverains.
Enfin, le Ministère des Armées a mis en place le pôle d'excellence cyber en région Bretagne. L’objectif de ce pôle se structure autour de trois axes : la formation, la recherche et le développement du tissu industriel.
Afin de protéger les citoyens, la mission du ministère de l’intérieur est de garantir l’état de droit, sur le plan matériel comme dans le cyberespace. La stratégie ministérielle de lutte contre les cybermenaces définit les objectifs spécifiques du ministère de l’Intérieur au regard du cadre fixé par la stratégie nationale de sécurité du numérique présentée par le Premier ministre le 16 octobre 2015. Elle s’inscrit dans le cadre des 5 objectifs définis par le Premier ministre.
OBJECTIF 1 - DÉFENDRE LES INTÉRETS DE LA NATION
En complément de la judiciarisation des infractions, le gouvernement a décidé en octobre 2015 la mise en place du dispositif d’assistance aux victimes d’actes de cyber malveillance nommé cybermalveillance.gouv.fr.
Ce dispositif, via une plate-forme Internet, permet aux particuliers, entreprises et collectivités d’être mis en relation avec des acteurs de proximité référencés qui les aident à remettre en bon fonctionnement leurs équipements informatiques.
Les victimes peuvent également trouver de l’aide pour les démarches administratives comme pour le dépôt de plainte par exemple.
Le dispositif propose également des contenus de sensibilisation aux enjeux de protection de la vie privée numérique et de prévention.
Enfin, il héberge un observatoire qui offre une vue réelle et consolidée de la menace numérique qui pèse sur les particuliers, entreprises et administrations.
Ce dispositif a été mis en place au cours du premier semestre 2017.
Même si la cybersécurité n’est pas son cœur d’action, la Commission Nationale Informatique et Libertés (CNIL) possède une action très liée à la thématique de la sécurité des systèmes d’information.
En effet, elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et à exercer leurs droits.
Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés.
En matière d’information et de sensibilisation, la CNIL met à disposition des particuliers et des entreprises des outils pratiques et pédagogiques pour participer à l’éducation au numérique qui permettent de mieux comprendre et de mieux appréhender les mesures de sécurité par la suite.
L’objectif principal de la CNIL est de veiller à ce que le développement des nouvelles technologies et les usages numériques ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
La sécurité est l’affaire de tous et dépend de votre écosystème.
Au sein de votre entreprise ou votre administration, il est nécessaire d’identifier une personne qui aura la charge de coordonner les différentes mesures de sécurité.
Cette personne peut-être un Responsable de la Sécurité des Systèmes d’Information (RSSI), si la taille de la structure dont vous faites partie est suffisamment importante, ou un simple référent pour les plus petites entreprises.
En conclusion, les acteurs que nous avons pu découvrir dans cette unité ne sont pas les seuls mais ils représentent bien la diversité des acteurs de cybersécurité en France.
Le livre blanc de défense et de la sécurité nationale ainsi que la stratégie nationale de sécurité du numérique montrent également que la France se donne les moyens d’être optimiste : elle dispose de toutes les cartes nécessaires pour jouer un rôle de premier ordre dans le domaine du numérique et de la sécurité qui en dépend.
Il y a une bonne compréhension globale de la part des acteurs concernés des objectifs à atteindre et des arbitrages budgétaires permettent de déployer davantage de moyens.
Cela octroie d’importantes responsabilités à l’ANSSI, qui doit porter la question de la cybersécurité de manière à continuer à protéger la sécurité et la croissance économique du pays face à une menace qui ne va cesser de croître.
Nous l’avons vu en introduction de ce module, protéger le cyberespace permet d’éviter les conséquences ravageuses d’une cyberattaque.
Pour cela, il faut respecter une règle générale : utiliser une défense en profondeur sans jamais perdre de vue que la cybersécurité est l’affaire de tous.
De même, penser qu’utiliser un logiciel de sécurité (anti-virus, pare-feu, logiciel de chiffrement, etc.) est le remède universel contre les attaquants est illusoire car les outils seuls ne suffisent pas.
Pour mieux comprendre comment sécuriser son SI, nous vous proposons d'étudier les 12 règles éditées par l’ANSSI et présentées aux entreprises.
Ces règles vous permettront de comprendre certaines contraintes imposées par les personnes responsables de l'informatique dans votre entreprise.
Bien entendu, elles peuvent souvent être adaptées et avoir un intérêt pour vos équipements personnels à la maison.
La première règle de ce guide et de loin la plus évidente consiste à choisir ses mots de passe avec soin. L’exemple présenté dans le guide illustre bien le risque pour l’utilisateur dans ses activités personnelles et par extension pour son entreprise, s’il utilise un mot de passe faible.
En effet, la majorité des tentatives de cyberattaques parvient à compromettre un système à cause d’un mot de passe trop faible, voire jamais changé. Ainsi, il est courant de retrouver des mots de passe par défaut sur les objets qui se connectent à Internet comme « 0000 » ou « admin ». Les attaquants n’ont alors qu’à tester ces possibilités pour parvenir à leurs fins. De plus, notez qu’il est nécessaire d’avoir un mot de passe différent pour chaque usage avec une robustesse différente selon la criticité du service et sans lien avec le service utilisé. En effet, votre mot de passe de messagerie ou votre code de connexion à votre banque doit avoir une robustesse supérieure à celle de votre de mot de passe de compte de réseaux sociaux par exemple.
Choisissez des mots de passe de qualité : Définissez pour cela une formule connue de vous seul, c’est-à-dire un mot de passe difficile à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne. Pour le construire, utilisez par exemple une phrase de passe composée de 12 caractères dont au moins 1 majuscule, 1 minuscule, 1 chiffre, 1 caractère spécial. Bien sûr, il faut éviter que cette phrase soit évidente.
Pour conserver vos différents mots de passe, il existe des coffres-forts de mots de passe comme nous le découvrirons dans le module suivant. Enfin, notez que le mot de passe de l’ordinateur permet d’accéder aux données qu’il contient. Il est donc important de le protéger et de ne pas le communiquer. N’écrivez aucun mot de passe sur des documents, ne les sauvegardez pas sur votre navigateur et ne les affichez pas sur des post-it !
La deuxième règle consiste à mettre à jour régulièrement son matériel et ses logiciels (système d’exploitation, navigateur, base virale de l'antivirus, pare-feu personnel, etc.). Les éditeurs de vos logiciels mettent des correctifs à votre disposition pour vous protéger davantage.
Ne pas faire les mises à jour revient, en revanche, à vous exposer davantage comme vous pouvez le voir sur la situation présentée. En effet, les mises à jour de logiciels n’apportent pas uniquement des nouvelles fonctionnalités puisqu’elles permettent souvent de corriger des failles de sécurité découvertes depuis la dernière mise à jour.
La troisième règle de ce guide explique qu’il est nécessaire de bien connaître ses utilisateurs et ses prestataires. En effet, comme nous pouvons le constater sur l’exemple, des liens piégés peuvent vous attirer sur des pages web infectées.
Pour éviter l’infection de votre poste, vous devez être vigilant avant d’accéder à une adresse internet (URL), d’installer un logiciel ou d’accéder à toute autre ressource disponible sur un support externe (clé USB, disque dur).
La quatrième règle de notre guide propose d’effectuer des sauvegardes régulières et sur différents supports. Comme nous pouvons le voir dans cette situation à l’écran, ne pas faire de sauvegarde vous expose et expose votre société à de lourds préjudices en cas de perte.
En effet, l’un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement sans affecter son activité. Dans le cas d’une attaque informatique (virus, rançongiciel, etc.) ou d’une erreur humaine (suppression/altération de dossiers/fichiers), il est indispensable de pouvoir retrouver les documents disparus.
La cinquième règle du guide aborde la nécessité de sécuriser son accès Wi-Fi. En effet, la technologie Wi-Fi permet d’accéder à un réseau sans fil visible par le public qui est à proximité de la borne. Le réseau sans fil est donc plus vulnérable aux attaques, notamment si ce dernier est mal sécurisé : absence de mot de passe, mot de passe trop simple ou technologie de chiffrement peu sécurisé (WEP).
Comme dans l’exemple à l’écran, notez bien qu’un attaquant qui accède à votre réseau sans fil, peut aussi accéder à votre réseau local, mais il pourrait également :
La règle 6 du guide indique d’être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur. En effet, les smartphones et les tablettes sont devenus omniprésents dans les entreprises et dans nos foyers. Or, force est de constater que ces objets contiennent des informations confidentielles qui sont souvent mal protégées !
Comme nous pouvons le voir dans l’exemple, il est nécessaire d’être attentif sur les applications que l’on y installe puisqu’elles peuvent être une source de fuite de données personnelles et qu’elles peuvent également augmenter la surface d’attaque de votre smartphone/tablette. Installez uniquement les applications qui vous sont réellement utiles et pensez à supprimer les autres.
Il est également nécessaire de protéger ses données lors de ses déplacements. Aujourd’hui, les ordinateurs portables, smartphones ou tablettes facilitent l’échange d’informations lors des déplacements personnels et professionnels
Cependant, voyager avec ses appareils nomades fait peser des menaces sur des informations sensibles. N’oubliez pas que le vol ou la perte peuvent avoir des conséquences importantes sur les activités de l’entreprise.
Pour tous déplacements, il est conseillé de se référer au « passeport de conseils aux voyageurs » édité par l’ANSSI qui vous permettra d’adopter les bons gestes avant, pendant et après le déplacement.
La huitième règle rappelle qu’il est nécessaire d’être prudent lors de l’utilisation de sa messagerie, puisque les courriels et leurs pièces jointes sont souvent le vecteur central dans la réalisation des attaques informatiques.
En effet, comme nous pouvons le voir dans cet exemple à l’écran, il n’est pas rare de recevoir des courriels frauduleux avec des liens ou des pièces jointes piégées semblant provenir de ses contacts
La neuvième règle consiste à télécharger ses logiciels uniquement sur les sites officiels des éditeurs. En effet, la situation présentée n’est pas rare aujourd'hui puisque de nombreux utilisateurs pensent que les programmes trouvés sur Internet sont systématiquement de « confiance ».
Or, la plupart des contenus numériques présents sur des sites Internet ne sont pas garantis par le site qui les héberge. Vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui peuvent contenir des virus ou des chevaux de Troie. Comme nous l’avons vu précédemment, une fois installés, ces programmes vont permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine. Ils pourront alors espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.
La dixième règle consiste à être vigilant lors d’un paiement sur Internet. En effet, comme le montre l’exemple, lors de la réalisation d’achats sur Internet via un ordinateur ou un smartphone, les coordonnées bancaires peuvent être interceptées par des attaquants directement sur votre ordinateur ou dans les fichiers clients du site marchand.
Avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site :
La onzième règle rappelle de séparer les usages personnels des usages professionnels. En effet, les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, smartphone, etc.) personnels et professionnels. Le AVEC (Apportez Votre Equipement personnel de Communication) plus connu sous le nom de BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, smartphone, tablette, etc.) dans un contexte professionnel.
Cette méthode pose des problèmes, notamment lors de la perte ou le vol d’un équipement, puisque des données d’entreprises potentiellement sensibles y transitent. Notez que l'inverse est également vrai : il ne faut pas utiliser les moyens professionnels à la maison.
Enfin, la douzième règle de ce guide rappelle de prendre soin de ses informations personnelles, professionnelles et de son identité numérique. Internet n’est pas un lieu complètement anonyme et préservé, les informations que l’on y laisse nous échappent instantanément !
Dans ce contexte, une bonne pratique consiste à ne jamais laisser de données personnelles dans des forums ou des jeux concours comme dans la situation présentée à l’écran. De même, ne saisissez pas de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises. Dans le doute, mieux vaut s’abstenir.
Notez que sur Internet, des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire qu’elles récoltent des informations personnelles, le plus souvent frauduleusement et à l’insu de l’utilisateur, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.
Enfin, notez qu’il est important d’ajouter une autre consigne non comprise dans le guide proposé afin d’établir une charte informatique en entreprise. En effet, au sein d’une entreprise, il est important d’établir avec ses salariés, une stratégie en matière de sécurité des systèmes d’information, comme une charte informatique.
L’objectif de cette charte est d’informer chacun des acteurs de ce qu’il peut faire (bonnes pratiques) ou de ce qu’il doit faire (obligations) pour maîtriser les risques. Elle rappelle par exemple la nécessité de changer les mots de passe régulièrement.
La charte peut ainsi prévoir par exemple de verrouiller systématiquement son poste de travail en quittant son bureau durant les pauses et à la fin de la journée de travail ou encore d’accompagner les visiteurs dans leurs déplacements ou de ranger ses documents confidentiels.
Dans cette unité, nous allons voir comment, en tant qu’utilisateur, nous pouvons participer activement à préserver la sécurité de nos données et celles de notre entreprise.
Pour commencer cette unité, définissons ensemble ce qu’est une donnée. Une « donnée » doit être largement entendue puisqu’elle englobe plusieurs caractéristiques : un type, une criticité, des droits et des moyens d’accès.
Une donnée peut se présenter sous différents formats : elle peut être physique (documents papiers, affiches, livres, etc.) ou numérique, c’est-à-dire comprenant des fichiers électroniques (ppt, xls, doc, odt, odp, jpeg, html, sons, vidéos, animations, etc.)
Selon leur forme et leur criticité, ces données seront stockées sur différents supports, eux-mêmes plus ou moins accessibles à d’éventuelles personnes malveillantes. Indépendamment de tout support, retenons qu’une donnée est une information.
Au niveau informatique, la donnée est stockée dans le temps sur un support de stockage (disque dur, CD, clé USB, serveur de fichiers, système d’information, etc.). À un instant T elle peut également être présente dans la mémoire vive d'un ordinateur, transiter sur le réseau, ou encore être analysée par un système de détection d'intrusion, etc.
Une donnée est générée et stockée sur des moyens informatiques de notre système d’information. Ces supports permettent de la produire, de l’utiliser, de l’archiver, de la modifier et de la partager.
La principale notion caractérisant les données est la criticité, c’est-à-dire leur importance pour vous-même ou pour votre entreprise.
Les données sont pour l'entreprise ce que le cerveau est à l'homme : mémoire et intelligence. Elles constituent des informations sensibles pouvant porter atteinte à l'entreprise si elles sont divulguées à des tiers.
Une donnée ne doit être accessible qu’aux personnes autorisées, il est donc important de mettre en place un système de classification et de définir qui a accès à quel niveau de classification.
Une donnée/information a une durée de vie. Tout comme un être humain qui nait, vit et meurt, une donnée/information a une date de création, une durée de vie utile au cours de laquelle elle peut être modifiée, puis une phase d'obsolescence dans laquelle elle n'a plus de valeur (ou une valeur réduite).
La destruction de la donnée sur un support peut intervenir pendant la phase de durée de vie utile ou lorsque l'information n'a plus de valeur. On parle pour cela de
« cycle de vie de l’information ». Les modalités concernant son classement, son stockage, son échange et sa destruction, sont définies dès sa création selon sa classification.
Il existe plusieurs niveaux de risque pour vos données.
En matière de sécurité de l’information, on considère que ces risques pour les données sont plus ou moins importants selon les critères des Disponibilité, d’Intégrité et de Confidentialité (DIC), connue aussi sous le nom Anglais CIA (Confidentiality, Integrity, Availability).
Le premier niveau de risque atteint la disponibilité des données, c’est-à-dire le fait que le système ne soit pas disponible pour un utilisateur autorisé. En 2016 par exemple, de nombreuses attaques de type déni de service (DDOS) ont ainsi atteint de nombreux sites mondialement connus, notamment grâce aux objets connectés comme nous avons pu le voir précédemment avec des caméras de vidéosurveillance.
Le deuxième niveau de risque porte sur l'intégrité des données, c’est-à-dire sur la modification non-autorisée d'une donnée. En effet, la modification d'une transaction sur le réseau ou la modification d'un enregistrement en base de données par exemple, peut engendrer des conséquences pour l’entreprise qui se retrouverait ainsi avec des données erronées entrainant des pertes financières.
Enfin, le troisième niveau de risque porte sur la confidentialité, c’est-à-dire sur la divulgation non-autorisée de données. En effet, comme nous avons pu le voir, les données sont classifiées et les conséquences de leur divulgation peuvent être plus ou moins importantes selon leur niveau de classification (secret, confidentiel, etc.). La divulgation des données peut être causée par des individus malveillants, mais elle peut également provenir de manière involontaire des collaborateurs lors de leurs déplacements par exemple.
Rappelons que les données sont ce que le cerveau est à l’homme : mémoire et intelligence.
Elles sont le patrimoine informationnel d’une entreprise. Il est la richesse de votre entreprise au quotidien et son capital de développement futur (portefeuille de prospects/clients, nouveaux projets/produits, recherche et développement, etc.).
La protection de ces données garantit le fonctionnement quotidien de l’entreprise mais aussi sa pérennité car si ce patrimoine venait à disparaitre, elle ne pourrait plus fonctionner aussi efficacement.
En tant qu’employé et utilisateur du système d’information de votre entreprise, vous êtes donc tenu de faire les sauvegardes adéquates (assurer la disponibilité), de ne pas les modifier lorsque cela n’est pas nécessaire (assurer leur intégrité), mais aussi de vous assurer que les données ne sont pas accessibles à n'importe qui (préserver la confidentialité des données).
Pour protéger les données de votre entreprise, notez qu’il est tout d’abord nécessaire d’être attentif à :
Pour assurer la continuité de son activité et protéger son patrimoine informationnel, votre entreprise dispose généralement de moyens de protection. Pour cela, elle peut par exemple :
En tant que salarié d’une entreprise, il est de votre devoir de protéger son patrimoine informationnel, mais au-delà de ce point, il est également important de protéger sa réputation et son image.
N’oubliez pas que construire l'image et la réputation d’une entreprise prend beaucoup de temps, mais que cela est très rapide à détruire.
En effet, si un pirate modifie par exemple la page d’accueil de votre site internet, votre image peut en être profondément affectée.
Votre entreprise met généralement en place un ensemble de mesures pour éviter les risques les plus basiques (proxy* pour éviter les sites malveillants, antivirus ou sandbox* sur les pièces-jointes des emails, antivirus sur les postes pour éviter la contamination, etc.).
Cependant, vous devez toujours rester vigilant car ces mesures seules ne suffisent pas face à un attaquant très motivé qui pourra vous atteindre par la ruse.
En tant qu’utilisateur du système d’information de votre entreprise, vous devez être vigilant face aux cyber-risques tels que les tentatives d’hameçonnage, de rançonnage ou de compromission par des virus présents sur les périphériques amovibles par exemple.
Restez conscients que toutes les mesures mises en place par votre société, aussi restrictives soient-elles pour vous, ne protègeront jamais à 100% le système d’information si vous n’êtes pas impliqué dans sa sécurité et si vous ne restez pas vigilant au quotidien.
Au quotidien, il est nécessaire d’avoir une attitude proactive pour éviter les incidents de sécurité.
Si malgré votre vigilance, vous constatez un incident de sécurité, rappelez-vous que chaque seconde compte pour limiter les conséquences pour votre entreprise.
En tant que salarié vous devez signaler toute anomalie dès sa survenue à votre hiérarchie, par tous les moyens et quel que soit le type d’incident : erreur humaine, intrusion physique, violation de compte, etc.
Restez toujours vigilant car le fait de ne pas rapporter rapidement un incident de sécurité peut avoir de lourdes conséquences sur la capacité de votre entreprise à réagir pour en limiter les effets et éviter les ré-occurrences.
Outre le fait de corriger immédiatement une faille ou une anomalie, le signalement de l’incident permettra d’améliorer durablement la sécurité en prévoyant par exemple de nouveaux investissements de matériel ou en révisant les procédures de gestion d’incident en place.
Notez que si une personne malveillante a ciblé votre entreprise et ne parvient pas à y pénétrer, elle peut essayer de récupérer les informations qu’elle cherche dans les poubelles qui restent le plus souvent accessibles et éloignées de votre vue.
Pour éviter que vos documents confidentiels ne soient compromis, il est recommandé d’utiliser des broyeurs de papier, de préférence en « coupe croisée », pour détruire vos documents avant de les jeter.
Respectez les mesures mises en place par votre entreprise et ne cherchez pas à les contourner. De même, n’empêchez pas les mises à jour de vos postes de travail et de l’ensemble de votre matériel informatique. En effet, votre entreprise fait généralement le nécessaire pour que le système et les logiciels se mettent à jour selon ses conditions.
N’oubliez pas que votre poste de travail doit être verrouillé lorsque vous devez vous absenter. En effet, un visiteur un peu curieux pourrait tenter de s’introduire dans votre machine et pourrait ainsi accéder à vos documents, mais aussi à ceux de votre entreprise si vous êtes connecté sur le réseau.
De même, lors de vos déplacements (train, avion, restaurant, etc.) soyez vigilant à ne pas laisser une personne espionner vos documents ou écouter vos conversations et gardez toujours votre matériel informatique à proximité.
Enfin, n’emportez pas d’informations confidentielles afin d’éviter que celles-ci soient compromises.
Rappelez-vous que votre ordinateur est une porte ouverte sur le système d’information de l’entreprise. Afin d’éviter une intrusion incontrôlée et le vol de données confidentielles, vous devez toujours verrouiller votre session en quittant votre poste, même un court instant.